Информационная система поддержки мероприятий защиты информации банка
Требования к системе защиты корпоративной информационной системы современного банка. Деятельность отдела режима и охраны, методы выявления угроз, анализ их причин и обеспечение безопасности. Концептуальная и логическая модель информационной системы.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 27.08.2012 |
Размер файла | 2,8 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Содержание
- Сокращения
- Введение
- 1. Описание предметной области
- 1.1 Информация
- 1.2 Информационная безопасность
- 1.3 Организационная структура мероприятий банка
- 1.4 Отдел режима и охраны
- 1.5 Сектор режима
- 1.6 Сектор охраны
- 1.7 Специальный отдел
- 1.8 Группа инженерно-технической защиты
- 1.9 Группа безопасности внешней деятельности
- 1.10 Основные документы для выполнения мероприятий
- 2. Концептуальная модель предметной области
- 3. Проблемы предметной области и концепция информационной системы
- 3.1 Проблемы предметной области
- 3.2.1 Основные понятия
- 3.2.2 Функциональные требования
- 3.2.3 Нефункциональные требования
- 4. Концептуальная модель информационной системы
- 5. Логическая модель информационной системы
- 5.1 Модель поведения
- 5.2 Модель структуры
- 6. Реализация модели в среде case-средства
- 6.1 Начало работы над проектом
- 6.2 Разработка модели поведения
- 6.4 Разработка модели структуры
- Заключение
- Сокращения
- Для удобства чтения примем следующие сокращения:
· Мероприятия защиты информации банка - мероприятия;
· СБ - служба безопасности
· ПрО - предметная область;
· ИС - информационная система;
· ПО - программное обеспечение;
· UML - унифицированный язык моделирования;
Введение
Вопросы обеспечения информационной безопасности (ИБ) для современного банка являются жизненно важными.
Во-первых, банк с точки зрения информационной безопасности - компания «повышенного» риска. Банк - сосредоточение «живых» денег. При этом автоматизированная банковская система (АБС), неотъемлемая составляющая корпоративной информационной системы банка, поддерживает процессы проведения выплат, предоставления кредитов, перевода средств и др., и очевидно, что незаконное манипулирование такой информацией может привести к серьезным убыткам.
Во-вторых, современный банк предоставляет большое число сервисов, связанных с удаленным доступом к информационной системе банка. Это и персональный интернет-банкинг, и система интернет-доступа к финансовым рынкам, и система электронного документооборота, и многое другое. С этих позиций банк - «точка пересечения» публичных сетей (Интернет) и коммерческих финансовых сетей (Western Union, VisaNet, SWIFT и др.).
В-третьих, на сегодняшний день банки обладают сложными информационными системами, которые включают большой набор «бэк-офисных» и «фронт-офисных» приложений, нередко гетерогенных. А управление этими системами осложняется территориальной распределенностью компаний, наличием многочисленных филиалов и офисов. При этом информационная система современного банка является основой функционирования почти всех основных бизнес-процессов. Наконец, банк хранит персональные данные граждан и конфиденциальную информацию своих клиентов - юридических лиц.
Все это предъявляет жесткие требования к системе защиты корпоративной информационной системы современного банка, основными из которых являются комплексность, интегрируемость, адекватность финансовым затратам, легитимность, управляемость, масштабируемость и отказоустойчивость.
Цель данной работы будет создание информационной системы поддержки мероприятий защиты информации банка, использование которой будет способствовать решению производственных целей:
- повышение эффективности проведения мероприятий по защите информации банка;
- построение максимально интегрированной системы для обеспечения высокой управляемости системы информационной безопасности и отслеживания событий информационной безопасности;
- повышение безопасности банка за счет увеличение реакции и своевременного выявления угроз и анализа причин;
- использование ИС как часть системы обеспечения безопасности.
1. Описание предметной области
Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью лицам, ответственным за планирование, реализацию или поддержку решений безопасности в организации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации, а также в интересах обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта следует выбирать и использовать в соответствии с действующим законодательством.
1.1 Информация
Информация -- это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса.
Информация может существовать в различных формах. Она может быть напечатана или написана на бумаге, храниться в электронном виде, передаваться по почте или с использованием электронных средств связи, демонстрироваться на пленке или быть выражена устно. Безотносительно формы выражения информации, средств ее распространения или хранения она должна всегда быть адекватно защищена.
Информационная система (по законодательству РФ и www.glossary.ru) - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.
1.2 Информационная безопасность
Информационная безопасность -- механизм защиты, обеспечивающий:
· конфиденциальность: доступ к информации только авторизованных пользователей;
· целостность: достоверность и полноту информации и методов ее обработки;
· доступность: доступ к информации связанным с ней активам авторизованных пользователей по мере необходимости.
Мероприятие (Согласно толковому словарю русского языка Ушакова) - действие, направленное на осуществление чего-н., для осуществления какой-н. цели.
Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.
1.3 Организационная структура мероприятий банка
Организационная структура управления мероприятиями - упорядоченная совокупность служб, управляющих деятельностью мероприятиями, взаимосвязями между ними. Принцип формирования структуры управления - организация и закрепление тех или иных функций управления за подразделениями (службами) аппарата управления.
Все мероприятия выполняет службы безопасности банка. Её структурная схема приведена на рис. 1.1.
Рассмотрим организационную структуру службы безопасности. Условно ее можно разделить на несколько подразделений, выполняющих различные мероприятия по защите различными способами. Это отдел режима и охраны, сектор режима, сектор охраны, специальный отдел, сектор обработки документов с грифом «коммерческая тайна», группа инженерно-технической защиты, группа безопасности к внешней деятельности. Подробное описание каждого из этих подразделений, со списком мероприятий, я приведу ниже.
Рисунок 1.1 - Структура службы безопасности
1.4 Отдел режима и охраны
Отдел режима и охраны является самостоятельным структурным подразделением службы безопасности и подчиняется начальнику службы безопасности.
Отдел режима и охраны банка имеет следующие задачи:
1. Организация и осуществление мер по обеспечению безопасности деятельности и защите сведений, составляющих коммерческую тайну.
2. Разработка и совершенствование системы предотвращения несанкционированного допуска и доступа к сведениям, составляющим коммерческую тайну.
3. Организация и поддержание пропускного и внутри объектного режима.
4. Организация охраны арестованных по режиму конфиденциальных помещений.
5. Организация личной охраны руководителей и ведущих сотрудников.
6. Организация и установление мер физической и технической защиты зданий и помещений.
7. Организация, разработка и контроль системы безопасности в повседневных и в особых условиях (стихийные бедствия, поломки, аварии, беспорядки и т.п.).
В соответствии с вышеперечисленными задачами, этот отдел выполняет следующие мероприятия по защите банка:
1. Организует работу по выполнению решений, приказов и распоряжений руководства предприятия по обеспечению защиты коммерческих секретов и обеспечению безопасности деятельности.
2. Определяет единство действий и организует защиту, безопасность, сохранность документов и ценностей в обычных и особых условиях.
3. Разрабатывает, обновляет и дополняет инструкции, положения и иные нормативные материалы по режиму и охране.
4. Осуществляет руководство работой по установлению степени конфиденциальности сведений, содержащихся в документах. Совместно с основными подразделениями проводит работу по анализу практики применения «Перечня сведений, составляющих коммерческую тайну», по подготовке и внесению в него в установленном порядке необходимых изменений и дополнений, а также организует его переработку и переиздание.
5. Организует разработку и контроль за эффективностью действующей разрешительной системы допуска сотрудников, компаньонов и клиентов к ознакомлению и работе с документами конфиденциального характера, с целью исключения возможности ознакомления со сведениями, не относящимися к выполняемой ими работе.
6. Разрабатывает и рассматривает совместно со специальным отделом и подразделениями предложения по совершенствованию делопроизводства с грифом «Коммерческая тайна», предотвращению факторов включения в документы секретного и несекретного характера излишнего объема сведений, являющихся коммерческой тайной, сокращению издаваемых и разрабатываемых документов конфиденциального характера, неоправданной из рассылки.
7. Организует и обеспечивает систему контролируемого доступа и специального пропускного режима в здания и помещения.
8. Организует, обеспечивает и контролирует выполнение требований внутри объектного режима.
9. Определяет систему охраны и участвует в ее организации и обеспечении работы выделенных помещений.
10. Организует разработку тактических принципов использования средств автоматизации, сигнализации, связи и охраны.
11. Организует охрану, пропускной, допускной и внутри объектный режим и осуществляет оперативно-методическое руководство работами по защите выделенных помещений и информации, обрабатываемой и передаваемой с использованием технических средств.
12. Осуществляет руководство и режим защиты коммерческих сведений в работе по отбору, хранению и использованию архивных материалов.
13. Осуществляет методическое руководство и принимает непосредственное участие в проведении предупредительно-профилактической работы с исполнителями работ и документов конфиденциального характера.
14. Организует проведение служебных расследований по фактам утраты документов конфиденциального характера, разглашения охраняемых сведений, нарушения охраны и пропускного режима, необоснованного ознакомления сотрудников и командированных лиц со сведениями, составляющими государственную и коммерческую тайну и по другим фактам, которые привели или создавали условия, способствующие утечке конфиденциальной информации.
15. Обеспечивает личную охрану руководства и сотрудников.
1.5 Сектор режима
Сектор режима является подразделением отдела режима и охраны службы безопасности.
Сектор режима должен выполнять следующие задачи:
1. Организация пропускного и внутри объектного режима.
2. Разработка разрешительной системы и обеспечение допуска сотрудников к документам, материалам и сведениям, составляющим коммерческую тайну.
3. Контроль за соблюдением режима допуска к сведениям и документам.
4. Совершенствование системы пропускного и внутри объектного режима.
5. Участие в разработке «Перечня сведений, составляющих коммерческую тайну».
Мероприятия сектора режима
В части обеспечения режима основными функциями сектора являются разработка, реализация и осуществление основных положений системы получения разрешений на доступ к информации, составляющей коммерческую тайну, в том числе:
· права, обязанности и ответственность сотрудников, допущенных к работе с документами, содержащими коммерческую тайну;
· схема выдачи разрешений на доступ сотрудников к сведениям, составляющим коммерческую тайну;
· порядок доступа на совещания по вопросам, содержащим сведения, составляющие коммерческую тайну;
· порядок и контроль доступа к сведениям, составляющим коммерческую тайну, представителей других предприятий и государственных органов;
· ведение, уточнение и изменение «Перечня сведений, составляющих коммерческую тайну";
· учет сотрудников, допущенных к работе с документами и материалами, содержащими сведения, составляющие коммерческую тайну;
· учет и анализ нарушений режима работы с документами, содержащими коммерческую тайну, различного рода попыток несанкционированного доступа к конфиденциальным документам традиционного и автоматизированного исполнения (базы данных, персональные файлы и др.), случаев телефонных переговоров, содержащих конфиденциальную информацию;
· организация и проведение деловых совещаний, переговоров и встреч с обсуждением вопросов, связанных с коммерческой тайной;
· организация и обеспечение пропускного и внутри объектного режима: выдача пропусков (постоянных, временных, разовых), порядок посещения, учет посетителей;
· определение выделенных помещений, проведение их паспортизации, обеспечение их защиты совместно с группой Инженерно-технической защиты информации.
В части работы с персоналом учитывается, что сотрудники -- главный источник утечки конфиденциальной информации. С учетом этого функции группы составляют:
· беседы с поступающими на работу в подразделения, работа которых связанна с коммерческой тайной, с целью установления их пригодности для этой работы;
· изучение поступающего на работу в части его прошлой трудовой деятельности;
· оформление обязательств о неразглашении сведений, составляющих коммерческую тайну;
· анализ служебной осведомленности сотрудников;
· анализ и учет трудовой удовлетворенности с целью предупреждения увольнения сотрудников, допущенных к сведениям, составляющим коммерческую тайну;
· ведение досье на сотрудников, допущенных к документам с коммерческой тайной;
· организация обучения сотрудников по вопросам защиты коммерческой тайны;
· беседы с увольняющимися и оформление контракта (обязательства) не разглашать коммерческие секреты.
Кроме того, сектор в тесном взаимодействии с отделом кадров:
· разрабатывает планы комплектования кадрами;
· оформляет прием, перевод и увольнение сотрудников, допущенных к коммерческой тайне;
· готовит материалы для преставления сотрудников к поощрениям и должностным перемещениям.
1.6 Сектор охраны
Основная задача сектора охраны - обеспечение надежной защиты зданий, помещений, оборудования, валютных и материальных ценностей, а также личной охраны руководящего состава в обычных и экстремальных условиях.
В соответствии с поставленной задачей, сектор охраны будет выполнять следующие мероприятия:
1. Сектор охраны осуществляет охрану зданий, помещений, оборудования, линий связи и перевозок, пожарную охрану, а также личную охрану руководящего состава.
2. Сектор охраны обеспечивает необходимые условия, исключающие несанкционированный доступ в охраняемые здания, помещения, отдельные конфиденциальные участки и зоны территории и служебных помещений. Особое внимание уделяется критическим условиям, связанным со стихийными бедствиями, поломками, авариями.
3. Сектор охраны:
· реализует учет, контроль и наблюдение за охраняемыми зонами, помещениями, хранилищами;
· обеспечивает установку и работу на местах технических средств охраны, охранной и пожарной сигнализации;
· осуществляет прием под охрану и сдачу в эксплуатацию охраняемых помещений, проверяя при этом надежное срабатывание средств охраны, делая соответствующую запись в журнале приема и сдачи под охрану;
· принимает меры по ликвидации возможных пожаров и других аварийных ситуаций.
1.7 Специальный отдел
Специальный отдел является самостоятельным структурным подразделением службы безопасности и подчиняется непосредственно начальнику службы.
Специальный отдел занимается организацией и руководством делопроизводства секретных документов и документов с грифом «Коммерческая тайна».
Приведу основные мероприятия, которыми должен заниматься специальный отдел:
1. Обработка поступающей и отправляемой корреспонденции, доставка ее по назначению.
2. Осуществление контроля за сроками исполнения документов.
3. Организация работы по регистрации, учету и хранению документальных материалов текущего пользования.
4. Разработка номенклатуры дел, осуществление контроля за правильным формированием дел в подразделениях и подготовкой материалов к своевременной сдаче в архив.
5. Разработка и внедрение предложений по совершенствованию системы делопроизводства.
6. Печатание и размножение секретных документов и документов с грифом «Коммерческая тайна».
7. Участие в подготовке созываемых и проводимых руководством закрытых совещаний и организация их технического обслуживания.
8. Специальный отдел в части обеспечения обработки секретных документов руководствуется соответствующими документами, в части ведения делопроизводства с грифом «Коммерческая тайна» выполняет требование «Инструкции по защите коммерческой тайны».
1.8 Группа инженерно-технической защиты
Группа инженерно-технической защиты информации является структурным подразделением службы безопасности и подчиняется непосредственно начальнику службы.
Группа инженерно-технической защиты имеет следующие задачи:
1. Обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования.
2. Выявление и оценка степени опасности технических каналов утечки информации.
3. Разработка мероприятий по ликвидации (локализации) установленных каналов утечки информации организационными, организационно-техническими или техническими мерами, используя для этого физические, аппаратные и программные средства и математические методы защиты.
4. Организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий. Проведение обобщения и анализа результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты.
5. Обеспечение приобретения, установки, эксплуатации и контроля состояния технических средств защиты информации.
В соответствии с поставленными задачами, группа инженерно-технической защиты выполняет следующие мероприятия:
1. Определение границ охраняемой (контролируемой) территории (зоны) с учетом возможностей технических средств, наблюдения злоумышленников.
2. Определение технических средств, используемых для передачи, приема и обработки конфиденциальной информации в пределах охраняемой (контролируемой) территории (зоны).
3. Определение опасных, с точки зрения возможности образования каналов утечки, технических средств.
4. Локализация возможных каналов утечки информационно-организационными, организационно-техническими или техническими средствами и мероприятиями.
5. Организация наблюдения за возможным неконтролируемым излучением за счет ПЭМИН (побочных электромагнитных излучений и наводок).
6. Организация контроля наличия, проноса каких-либо предметов (устройств, средств, механизмов) в контролируемую зону, способных представлять собой технические средства несанкционированного получения конфиденциальной информации.
1.9 Группа безопасности внешней деятельности
Группа безопасности внешней деятельности является самостоятельным структурным подразделением службы безопасности и подчиняется непосредственно начальнику службы.
Группа организует работу в тесном взаимодействии с основными структурными подразделениями службы безопасности и предприятия.
Группа безопасности внешней деятельности имеет следующие задачи:
1. Изучение и выявление предприятий и организаций, потенциально являющихся союзниками и конкурентами.
2. Добывание, сбор и обработка сведений о деятельности потенциальных и реальных конкурентов для выявления возможных злонамеренных действий по добыванию охраняемых сведений.
3. Учет и анализ попыток несанкционированного получения коммерческих секретов конкурентами.
4. Оценка степени реальных конкурентных отношений между сотрудничающими (конкурирующими) организациями.
5. Анализ возможных каналов утечки конфиденциальной информации.
В соответствии с поставленными задачами, группа безопасности внешней деятельности выполняет следующие мероприятиями:
1. Изучение торгово-конъюнктурных ситуаций в пространстве деятельности учредителей, партнеров, клиентов и потенциально возможных конкурентов.
2. Ситуационный анализ текущего состояния финансово-торговой деятельности с точки зрения прогнозирования возможных последствий, могущих привести к неправомерным действиям со стороны конкурирующих организаций и предприятий.
3. Выявление платежеспособности юридических и физических лиц, их возможности по своевременному выполнению платежных обязательств.
4. Установление антагонистических конкурентов, выявление их методов ведения конкурентной борьбы и способов достижения своих целей.
5. Определение возможных направлений и характера злоумышленных действий со стороны специальных служб промышленного шпионажа против предприятия, его партнеров и клиентов.
1.10 Основные документы для выполнения мероприятий
Подводя итоги описания предметной области, перечислим основные документы, описывающие бизнес-процессы в нашей организации.
Документы:
1. План проведения мероприятий (Составляется и редактируется начальником службы безопасности)
2. Список полученных данных в результате проведения и выполнения мероприятий (Составляется и редактируется индивидуально отделами службы безопасности).
В заключение выполним группировку по основным знаниям и аспектам предметной области комплексной архитектуры компании и представим её в виде таблицы 1.
Таблица 1 - Группировка предметной области по основным аспектам и знаниям
Данные |
Функции |
Места обработки |
Люди |
Операционное время (процессы) |
Цели |
|
План проведения мероприятий (Составляется и редактируется начальником службы безопасности);Список полученных данных в результате проведения и выполнения мероприятий (Составляется и редактируется индивидуально отделами службы безопасности). |
Формирование плана проведения мероприятий; Выполнение плана проведения мероприятия; Создание списка полученных данных в результате проведения и выполнения мероприятий; Анализ списков полученных данных в результате проведения и выполнения мероприятий. |
Отдел режима и охраны, сектор режима, сектор охраны, специальный отдел, сектор обработки документов с грифом «коммерческая тайна», группа инженерно-технической защиты, группа безопасности к внешней деятельности |
Начальник службы безопасности, сотрудники отдел режима и охраны, сектора режима, сектора охраны, специального отдела, сектора обработки документов с грифом «коммерческая тайна», группы инженерно-технической защиты, группы безопасности к внешней деятельности |
Руководство и контроль; Проведение мероприятий; Анализ списков полученных данных в результате проведения и выполнения мероприятий. |
Увеличение эффективности проведения мероприятий защиты информации банка. |
2. Концептуальная модель предметной области
Вариант использования иллюстрирует, как можно использовать систему. Преимущество вариантов использования заключается в том, что можно отделить реализацию системы от описания ее принципиальных основ. Разделение проекта на варианты использования является таким способом изучения системы, который ориентирован на сам процесс, а не на его реализацию.
Концептуальная модель предметной области представляет систему основных понятий и правил их комбинирования, не зависимых от языка и являющихся смысловой структурой предметной области, а также отображает логическое (обобщенное) представление о данных. Концептуальная модель описывает систему в терминах, понятных пользователю. Концептуальная модель представлена набором UML-диаграмм. Перед представлением концептуальной модели необходимо сформулировать необходимые высказывания на основе предметной области.
На основе предметной области, представленной в Разделе 1, разработан ряд необходимых высказываний и представлен в таблице 2.
Таблица 2 - Перечень необходимых высказываний о предметной области
№ |
Необходимые высказывания |
|
1. |
Предметная область определяется структурой схемы безопасности банка и мероприятиями выполняемыми ей |
|
2. |
Начальником службы безопасности создается план проведения мероприятий для каждого отдела службы безопасности |
|
3. |
Начальник службы безопасности доводит новый план мероприятий до каждого из отделов службы безопасности |
|
4. |
При выборе мероприятия отдел службы безопасности руководствуется планом, разработанным начальником службы безопасности |
|
5. |
Отдел службы безопасности выполняет мероприятия согласно плану, разработанный начальником службы безопасности |
|
6. |
В случае получения новых данных, в результате проведения мероприятий, отдел службы безопасности создает список полученных новых данных. |
|
7 |
В случае неполучения новых данных, в результате проведения мероприятий, отдел службы безопасности производит дальнейший выбор мероприятия по защите, согласно плану, разработанный начальником службы безопасности |
|
8. |
В случае создания списка полученных новых данных, отдел службы безопасности передает его начальнику службы безопасности и производит дальнейший выбор мероприятия по защите, согласно плану, разработанный начальником службы безопасности. |
|
9. |
В случае получения списка новых данных, начальник службы безопасности производит анализ полученных данных |
|
10. |
Если в результате анализа полученных новых данных необходимо проведение мероприятий защиты информации банка, то начальник службы безопасности создает новый план проведения мероприятий. |
|
11. |
Если в результате анализа полученных новых данных нет необходимости проведения мероприятий защиты информации банка, то начальник службы безопасности создает новый план проведения мероприятий. |
Необходимые высказывания, приведенные в Таблице 2, будут представлены UML-диаграммами:
- Диаграммой вариантов использования, моделирующих функциональную (процессную) структуру ПрО посредством вариантов использования и отношений между ними;
- Диаграммой активности, моделирующих алгоритмы ключевых процессов ПрО средствами вариантов использования;
- Диаграммой классов, моделирующих отношения ключевых объектов средствами диаграмм классов.
На рисунке 2.1 показана организация системы безопасности информации банка. На рисунках 2.1, 2.2, 2.3, 2.4, 2.5 приведены диаграммы вариантов использования для каждого из отделов системы безопасности банка (Отдел режима и охраны, специальный отдел, группа инженерно-технической защиты и группа безопасности внешней деятельности).
Диаграмма вариантов использования, моделирующих функциональную (процессную) структуру предметной области посредством вариантов использования и отношений между ними (Рисунке 2.6).
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Рисунок 2.1 - Организация системы безопасности информации банка
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Рисунок 2.2 - Диаграмма вариантов использования в отделе режима и охраны
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Рисунок 2.3 - Диаграмма вариантов использования в специальном отделе
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Рисунок 2.4 - Диаграмма вариантов использования в группе инженерно-технической защиты
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Рисунок 2.5 - Диаграмма вариантов использования в группе безопасности внешней деятельности
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Рисунок 2.6 - Диаграмма вариантов использования ИС поддержки мероприятий защиты информации банка
Пооперационное моделирование процесса проведения мероприятий, выполненное посредством диаграммы активности (Рис. 2.7 и Рис. 2.8), отражает потоки управления, т.е. последовательность выполнения операций или бизнес-логику.
Диаграммы активности отражают динамику проекта и представляют собой схемы потоков управления в системе от действия к действию, а также параллельные действия и альтернативные потоки.
В конкретной точке жизненного цикла диаграммы активности могут представлять потоки между функциями или внутри отдельной функции. На разных этапах жизненного цикла они создаются для отражения последовательности выполнения операции.
Диаграмма активности мероприятий для отдела режима и охраны приведена на рисунке 2.7.
Рисунок 2.7 - Диаграмма активности, моделирующая процесс выполнения мероприятий отдела режима и охраны
На рисунке 2.8 приведена диаграмма активности всей ИС поддержки мероприятий банка.
Рисунок 2.8 - Диаграмма активности, моделирующая процесс выполнения мероприятий службы безопасности банка
Моделирование отношений ключевых объектов ПрО, выполненное посредством диаграммы классов (Рис. 2.9), отражает объекты, на основе которых определяются основные понятия концепции ИС.
Рисунок 2.9 - Диаграмма классов объектов ПрО
3. Проблемы предметной области и концепция информационной системы
3.1 Проблемы предметной области
В данном разделе будет проведен предметный анализ предметной области. Проблемный анализ должен осуществляться с точки зрения начальника службы безопасности владельцев банка, которые заинтересованы в решение ряда проблем управления производством путем применения ИС.
Необходимо помнить, что цель курсового проекта - проект ИС, которая посредством своих функциональных возможностей решает полностью или частично существующие при выполнении бизнес-процессов проблемы.
Под проблемой понимается некоторое препятствие, которое либо стоит на пути достижения цели, либо требует дополнительных ресурсов для ее достижения (под целью понимают выполнение бизнес-плана).
Исходным материалом для проблемного анализа ПрО являются диаграммы модели ПрО, разработанные в результате решения задачи концептуального моделирования ПрО (см. Раздел 2). Основной диаграммой, которую необходимо анализировать на предмет выявления проблем, является диаграмма активности, раскрывающая ключевые варианты использования ПрО. В процессе анализа диаграммы активности необходимо определить потоки управления бизнес-процессов, информационные потоки и материальные потоки. На основе полученных знаний будут определены препятствия, которые существуют при движении информации (в информационных потоках), которые сказываются на эффективности выполнения бизнес-процесса (варианта использования) или вообще препятствуют получению его выходного результата.
Результат проблемного анализа - перечень проблем и их краткое описание - служит исходным материалом для разработки концепции ИС.
В результате анализа диаграмм модели ПрО (Рис. 2.1 - Рис. 2.8) были определены проблемы, которые мы приведём ниже:
· Не высокая скорость планирования мероприятий, начальником СБ, связи с тем что план мероприятий набирается или пишется вручную.
· Так как результаты проведения мероприятий подаются начальнику службы безопасности виде отчетов о проведении или записок на бумаге, возможна такая уязвимость как потеря отчета, или замена его результатов злоумышленником.
· Не всегда возможно быстрое донесение данных до начальника СБ курьером, так как отделы службы безопасности могут находится на различных расстояниях друг от друга, а отчеты предоставляются в бумажном виде, и поэтому низкая скорость проведения ответных мер (контрмер) на различные результаты мероприятий.
· Невозможность использования накопленной базы знаний на различные контрмеры другими банками, и связи с этим возможна неправильная реакция на различные виды угроз.
· Отсутствие возможности получение результатов мероприятий (включая критические) по обеспечению безопасности в реальном режиме.
· При получении плохих результатов после проведения защитных мероприятий отсутствует сортировка их по важности, по количеству и т.д.
3.2 Концепция информационной системы
Концепцию ИС иногда называют моделью требований или моделью желаемого результата. Содержание концепции (модели желаемого результата), используемого в процессе проектирования курсового проекта, определяет первую модель ИС и упрощенно выполняет функции технического задания и описания постановки задач.
Концепция ИС содержит набор требований, сгруппированный как минимум в три подраздела:
Основные понятия, которые должна использовать в процессе функционирования ИС;
Функциональные требования (или функциональные возможности), которыми должна удовлетворять (обладать) ИС для того, чтобы успешно решать проблемы;
Нефункциональные требования, которые определяют другие аспекты построения ИС (режимы работы, среда разработки, типовую архитектуру, используемые форматы данных и т.п.)
3.2.1 Основные понятия
Модель ПрО содержит ключевые понятия проектируемой системы:
· Начальник службы безопасности - сотрудник службы безопасности, производящий руководство над всеми отделами службы безопасности, путем формирования плана проведения мероприятий, а так же выполняющий анализ данных, полученных в результате проведения мероприятий.
· Отдел режима и охраны - отдел службы безопасности, осуществляющий мероприятия, описанные в предметной области в разделе 1.
· Сектор режима - отдел службы безопасности, осуществляющий мероприятия, описанные в предметной области в разделе 1.
· Сектор охраны - отдел службы безопасности, осуществляющий мероприятия, описанные в предметной области в разделе 1.
· Специальный отдел - отдел службы безопасности, осуществляющий мероприятия, описанные в предметной области в разделе 1.
· Группа инженерно-технической защиты - отдел службы безопасности, осуществляющий мероприятия, описанные в предметной области в разделе 1.
· Группа безопасности к внешней деятельности - отдел службы безопасности, осуществляющий мероприятия, описанные в предметной области в разделе 1.
· Мероприятие - действие, осуществляемое сотрудниками отдела безопасности, направленное на осуществление различных задач, согласно плану проведения мероприятий и задач отдела, для осуществления безопасности банка.
· План мероприятий - список задач для каждого из отделов службы безопасности, составляемый начальником службы безопасности.
· Список данных - список полученных данных в результате выполнения мероприятий.
3.2.2 Функциональные требования
Информационная система должна:
· иметь оперативную, надежную и постоянную связь между всеми пользователями системы (начальником СБ и отделами СБ);
· содержать все необходимые данные для формирования списка полученных данных в результате выполнения мероприятий, а так же возможность внесения новых;
· содержать все необходимые данные для формирования плана мероприятий, а так же возможность внесения новых;
· иметь удобную систему поиска (фильтрацию данных) как для составления плана мероприятий, так и для составления отчетов о проведенных мероприятиях;
· обеспечивать проверку на правильность вводимых данных;
· формировать отчеты о проведенных мероприятиях;
· возможность подключения к базе данных уязвимостей, или создание такой, для обучения на собственных ошибках;
3.2.3 Нефункциональные требования
· современное программное обеспечение, позволяющее максимально упростить процедуры подачи и обработки информации и обеспечивающее надлежащую безопасность передаваемых данных ;
· современное аппаратное обеспечение;
· навыки пользователей системы работы на компьютере в операционных системах семейства Windows (Windows XP, Windows Vista, Windows Server и т.д.);
· наглядный пользовательский интерфейс для простоты и удобства работы пользователя, а так же высокой скорости освоения;
· возможность хранения большого объема электронных документов;
· возможность работы в сетевом режиме;
· средства, обеспечивающие конфиденциальность информации и защиту от несанкционированного доступа (например, пароль, электронная подпись, сканирования отпечатков пальцев или сетчатки глаза);
· стоимость;
· с учетом возможности роста сети должна присутствовать возможность расширения системы;
· наличие принтера.
4. Концептуальная модель информационной системы
При решении задач курсового проекта будем рассматривать программную архитектуру как архитектуру взаимодействия классов, организованную в три слоя (представление, предметная область, источник данных) в рамках одного приложения. Основные высказывания о программной архитектуре заимствуются из описаний шаблонов архитектуры. Для разработки архитектуры информационной системы выбран шаблон трехслойной архитектуры. Представим основные высказывания по каждому слою архитектуры:
1. Слой представления: предоставляет услуги отображения данных, обработки событий пользовательского интерфейса (щелчки мыши, нажатия клавиш).
2. Слой предметной области: выполняет вычисления на основе вводимых и хранимых данных, проверку всех элементов данных и обработку команд, поступающих от слоя представления, а также передачу информации слою источника данных.
3. Слой источника данных: выполняет обращения к базе данных, обмен сообщениями, мониторинг транзакций.
Представим назначение классов по слоям в таблице 3.
№ |
Наименование класса |
Назначение класса |
|
Слой представления |
|||
1. |
E-UI-НачальникСБ |
Граничный класс, отвечающий за отображение формы, содержащей список выполняемых мероприятий, возможность добавление новых, списка полученных данных в результате выполнения мероприятий, возможность поиска, удаления и фильтрации проделанных мероприятий и их результатов. |
|
2. |
E-UI-СотрРежИОхр |
Граничный класс, отвечающий за отображение формы со списком мероприятий которые необходимо выполнить, и возможностью внесения списка полученных данных в результате выполнения мероприятий. |
|
3. |
E-UI-СотрСпец |
Граничный класс, отвечающий за отображение формы со списком мероприятий которые необходимо выполнить, и возможностью внесения списка полученных данных в результате выполнения мероприятий. |
|
4. |
E-UI-СотрИнжИТех |
Граничный класс, отвечающий за отображение формы со списком мероприятий которые необходимо выполнить, и возможностью внесения списка полученных данных в результате выполнения мероприятий. |
|
5. |
E-UI-СотрГрВнБез |
Граничный класс, отвечающий за отображение формы со списком мероприятий которые необходимо выполнить, и возможностью внесения списка полученных данных в результате выполнения мероприятий. |
|
6. |
Контроллер |
Управляющий класс, методы которого отвечают за управление приложением в целом |
|
7. |
Правила |
Класс хранения, содержащий данные бизнес-правил |
|
Слой предметной области |
|||
8. |
Обсл. вызовов |
Граничный класс, отвечающий за взаимодействие с классами слоя предметной области |
|
9. |
Е-История |
Класс хранения, содержащий данные о различных уязвимостях |
|
10. |
Е-Отчет |
Класс хранения, содержащий данные о пройденных мероприятиях, о результатах проведения. |
|
11. |
Е-Мероприятия |
Класс хранения, содержащий сведения о мероприятия (Такие как - кто, где, когда, что и как делал). |
|
12. |
Е-Сотрудник |
Класс хранения, содержащий данные сотрудников, являющихся пользователями информационной системы |
|
13. |
Права |
Класс хранения, прав доступа пользователей информационной системы |
|
Слой источника данных |
|||
13. |
Дата |
Граничный класс для взаимодействия с базой данных |
Результат разработки концептуальной модели информационной системы представлен на рисунке 4.1.
Рисунок 4.1 - Диаграмма классов, моделирующая структуру ПО ИС на концептуальном уровне моделирующая функцию аутентификации пользователя
На рисунке 4.2 представлена диаграмма последовательности,.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Рисунок 4.2 - Диаграмма последовательности, моделирующая функцию аутентификации пользователя
На рисунке 4.3 представлена диаграмма последовательности, моделирующая поддержку создания отчеты о выполненном мероприятии сотрудниками специального отдела.
Рисунок 4.3 - Диаграмма последовательности, моделирующая поддержку создания отчетов о выполненном мероприятии сотрудниками специального отдела
5. Логическая модель информационной системы
В данном разделе содержится набор UML-диаграмм, моделирующих функциональные возможности и структуру программного обеспечения (ПО) ИС на логическом уровне. Исходными данными для диаграмм логической модели служат диаграммы концептуальной модели ИС.
5.1 Модель поведения
Модель поведения разработана посредством диаграмм последовательности. На рисунке 5.1 представлена диаграмма последовательности, моделирующая процесс создания и редактирования плана мероприятий.
Рисунок 5.1- Диаграмма последовательности, моделирующая процесс создания и редактирования плана мероприятий
На рисунке 5.2 представлена диаграмма последовательности, моделирующая поддержку процесса выполнения мероприятий и создания по ним отчетов сотрудниками СБ.
Так как взаимодействие всех отделов СБ с разрабатываемой ИС одинаково, то для удобства представления приведем диаграммы последовательности только для отдела режима и охраны.
Рисунок 5.2- Диаграмма последовательности, моделирующая поддержку процесса выполнения мероприятий и создания по ним отчетов сотрудниками СБ
5.2 Модель структуры
Модель структуры является целевой моделью курсового проекта, разработанная посредством диаграммы классов. На рисунке 5.3 представлена диаграмма классов ПО ИС, на которой отражены все классы, составляющие ПО ИС поддержки мероприятий защиты информации банка.
Рисунок 5.3 - Диаграмма классов, моделирующая структуру ПО ИС поддержки мероприятий защиты банка на логическом уровне
6. Реализация модели в среде case-средства
В качестве примера реализации модели в среде Case-средства опишем процесс моделирования диаграмм логической модели ПО ИС.
6.1 Начало работы над проектом
В качестве среды разработки ИС было выбрано CASE-средство фирмы Rational Software Corporation - Rational Rose Enterprise Edition.
Запустить программу Rational Rose Enterprise Edition. Создать новый проект: FiIe->New. После того, как проект будет создан и работа с ним будет завершена, необходимо сохранить полученные диаграммы. Для этого в меню File выбрать пункт Save или Save As, дать имя проекту и сохранить его в файл с расширением *.mdl. В нашем случае проект имеет название КП.mdl.
6.2 Разработка модели поведения
Для создания диаграммы последовательности действий в программе Rational Rose необходимо добавить в список браузера новую диаграмму. Для этого нужно щелкнуть правой кнопкой мыши по папке Logical View (Логическое представление) и в появившемся контекстно-зависимом меню выбрать команду New -> Sequence Diagram (Создать -> Диаграмма последовательности действий). Для создания объектов и сообщений на диаграмме последовательности действий, прежде всего, нужно ее открыть, затем выбрать на панели инструментов сообщение или объект и перетащить его на диаграмму. Пример разработки модели поведения представлен на рисунке 6.1.
Рисунок 6.1- Пример разработки модели поведения в среде CASE-средства фирмы Rational Software Corporation - Rational Rose Enterprise Edition
6.4 Разработка модели структуры
Для создания диаграммы классов в программе Rational Rose необходимо добавить в список браузера новую диаграмму. Для этого нужно щелкнуть правой кнопкой мыши по папке Logical View (Логическое представление) и в появившемся контекстно-зависимом меню выбрать команду New -> Class Diagram (Создать -> Диаграмма классов). Пример разработки модели структуры в виде диаграммы классов представлен на рисунке 6.2.
Рисунок 6.2 - Пример разработки модели структуры в среде CASE-средства фирмы Rational Software Corporation - Rational Rose Enterprise Edition
Заключение
информационная система безопасность охрана банк
В процессе выполнения курсового проекта была разработана ИС поддержки мероприятий защиты информации банка. Основой для создания информационной системы послужили проблемы предметной области. В качестве среды разработки ИС было выбрано CASE-средство фирмы Rational Software Corporation - Rational Rose Enterprise Edition, с помощью которого были построены концептуальная и логическая модели ПО ИС.
После изучения универсального языка моделирования UML и принципов использования среды Rational Rose, была построена концептуальная и логическая модели информационной системы.
Использование разработанной ИС упрощает создание и проведение мероприятий, централизует хранение всех отчетов о выполненной работе и сводит количество противоречивых данных к минимальному. Благодаря этому представляется возможность сократить численности административно-управляющего персонала и расходов на зарплату, избежать снижение скорости реакций на новые угрозы с увеличением роста количества проводимых мероприятий, повысить уровень качества проведения и анализа мероприятий. Все это приводит к повышению управляемости компанией в целом и, как следствие, к увеличению прибыли.
Размещено на Allbest.ru
Подобные документы
Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.
дипломная работа [746,7 K], добавлен 09.11.2016Построение модели возможных угроз информационной безопасности банка с учетом существующей отечественной и международной нормативно-правовой базы. Сравнительный анализ нормативных и правовых документов по организации защиты банковской информации.
лабораторная работа [225,7 K], добавлен 30.11.2010Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009Понятие антивирусной защиты информационной инфраструктуры, виды возможных угроз. Характеристика программного обеспечения, используемого в ПАО "РОСБАНК". Средства защиты информационных ресурсов банка от угроз нарушения целостности или конфиденциальности.
курсовая работа [350,6 K], добавлен 24.04.2017Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Анализ рисков информационной безопасности. Оценка существующих и планируемых средств защиты. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия. Контрольный пример реализации проекта и его описание.
дипломная работа [4,5 M], добавлен 19.12.2012Система формирования режима информационной безопасности. Задачи информационной безопасности общества. Средства защиты информации: основные методы и системы. Защита информации в компьютерных сетях. Положения важнейших законодательных актов России.
реферат [51,5 K], добавлен 20.01.2014Основные угрозы по отношению к информации. Понятия, методы и способы обеспечения защиты данных. Требования к системе защиты. Механизм авторизации в информационной базе для определения типа пользователя. Работа администратора с системой безопасности.
курсовая работа [201,1 K], добавлен 24.06.2013Актуальность и важность технической защиты информации, нормативные документы. Анализ деятельности ООО "Технология защиты", информационные потоки. Обоснование угроз по техническим каналам. Разработка системы управления информационной безопасности.
дипломная работа [771,4 K], добавлен 13.06.2012Основные понятия защиты информации и информационной безопасности. Классификация и содержание, источники и предпосылки появления возможных угроз информации. Основные направления защиты от информационного оружия (воздействия), сервисы сетевой безопасности.
реферат [27,3 K], добавлен 30.04.2010