ПРИКАСПИЙСКИЙ ЖУРНАЛ
УПРАВЛЕНИЕ И ВЫСОКИЕ ТЕХНОЛОГИИ
Анализ направлений и результатов модернизации информационной системы фирмы-партнера «1С» с целью повышения уровня информационной безопасности деятельности организации
 |
Читать | Романова О. М., Честнов А. А. Анализ направлений и результатов модернизации информационной системы фирмы-партнера «1С» с целью повышения уровня информационной безопасности деятельности организации // Прикаспийский журнал: управление и высокие технологии. — 2018. — №1. — Стр. 173-184. |
/173-184.jpg)
Романова О. М. - Аспирант; ассистент кафедры, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, chobitoksana@mail.ru
Честнов А. А. - студент, Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а, hydroman7eve@mail.ru
Показана актуальность решения задачи модернизации информационной системы фирмы-партнера «1С» с целью повышения уровня информационной безопасности деятельности организации. Обоснована необходимость подбора методики, позволяющей произвести оценку состава и структуры системы на соответствие требованиям информационной безопасности. Описаны существующие подходы к решению задачи оценки состава и структуры информационной системы фирмы-партнера «1С». К ним относятся методики CRAMM, FRAP, OCTAVE и др. Охарактеризованы достоинства и недостатки этих методик. Представлена свободная от таких недостатков методика оценки уровня информационной безопасности информационной системы, являющаяся частью общей методики оценки качества информационных систем «Ревизор». Приведены основные положения данной методики. Обосновано, что данная методика требует адаптации под особенности информационной системы конкретной организации. Приведены характеристики рассматриваемой организации, существенные для темы статьи. В целях адаптации указанной методики была проанализирована диаграмма потоков данных информационной системы «Обработка заказов клиентов» на примере деятельности организации по ведению нового проекта. Результатом анализа стала ясная демонстрация взаимоотношений информационных процессов на определенном примере. Для проведения адаптации методики к использованию применительно к рассматриваемой организации в соответствии с рекомендациями, приведенными в проекте методики ФСТЭК по определению угроз безопасности информации в информационной системе, была сформирована экспертная комиссия. Она решала такие задачи: определение состава объектов нечеткой когнитивной модели; заполнение базы знаний, описывающей с помощью нечетких продукционных правил влияние повреждений элементов информационной системы на работоспособность сервисов информационной безопасности; формирование входных данных для методики «Ревизор». В частности, экспертами были определены средства защиты информации, угрозы для информационной системы, ее потенциальные уязвимости, виды атак на информационные системы, возможные повреждения. Далее экспертами была произведена оценка непосредственно состава и структуры информационной системы фирмы-партнера «1С»; оценен уровень ее информационной безопасности. Результаты оценивания: текущий уровень информационной системы в организации - «Высокий», событийно-прогнозный уровень информационной безопасности - «Средний», уровень обеспечения сервиса «конфиденциальность» - «Средний» (индекс схожести нечетких чисел 1.0); уровень обеспечения сервиса «целостность» - «Средний» (индекс схожести 0.9); уровень обеспечения сервиса «доступность» - «Средний» (индекс схожести 0.9); уровень обеспечения сервиса «достоверность» - «Средний» (индекс схожести 0.8).Эти оценки послужили основанием для разработки и внедрения рекомендаций по модернизации состава и структуры информационной системы. В частности, было решено использовать следующее: программное обеспечение для создания защищенного внутреннего локального чата; SFTP-сервер c защищенным соединением; выделенный почтовый сервер.
Ключевые слова: информационная система, information system, information security, evaluation methods, 1C, partner firm, risk structure, risk assessments, concept variety, linguistic variable, fuzzy cognitive modeling, “Revizor” method, information system upgrade, информа