АНАЛИЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ БАЗ ДАННЫХ С ОПЕРАТИВНОЙ ИНФОРМАЦИЕЙ В ИНТРАНЕТ

- 2 -

1 2 3 4 5

Вопросы оперативного управления предприятием требуют получения лицами, принимающими решения (ЛПР) в любой момент времени по запросу конфиденциальной, достоверной и актуальной информации. Наиболее эффективным способом для этого является использование интранет с доступом к оперативной информации. Организация данной информации может быть различна: от экранных форм комплексной системы оперативного управления предприятием, до сообщений электронной почты.

Промежуточным, но в тоже время полноценным решением для ЛПР являются базы данных (БД), доступные в интранет. Особый интерес представляют их реализация на продуктах Open Source, что исключает зависимость от конкретного поставщика, которая является одним из факторов, влияющих на системную безопасность предприятия [1].

Определим следующие 3 уровня защиты информации:
1. доступность информации для авторизованных пользователей;
2. в дополнение к пункту 1, контроль целостности информации;
3. в дополнение к пункту 2, контроль конфиденциальности информации.

Для обеспечения защиты информации на каждом из уровней используем:
1. резервное копирование/восстановление информации, авторизация пользователя по логину и паролю с любого компьютера интранет;
2. в дополнение к пункту 1, разграничение доступа, ограничение прав на просмотр и редактирование информации, проверка рабочего места пользователя при авторизации;
3. в дополнение к пункту 2, шифрование данных.

Для анализа угроз рассмотрим применение модели нарушителя информационной безопасности (ИБ):
- достаточная квалификация для эксплуатации возможностей системы управления;
- необходимые технические познания для эксплуатации возможностей системы управления;
- навыки и опыт использования уязвимостей и недекларированных возможностей операционных систем (ОС), распространенного прикладного программного обеспечения (ПО);
- опыт взлома подобных систем;
- намерение нанести ущерб компании
на каждом из из трёх уровней защиты информации.