Основні
завдання PL:
- формування
екранних зображень;
- читання і
запис у екранні форми інформації;
- управління
екраном;
- і обробка
рухів миші і натискань клавіш клавіатури.
BL- це частина
коду програми, яка визначає алгоритми
вирішення конкретних завдань програми.
Зазвичай цей код пишеться з використанням
різних мов програмування.
DL - це частина
коду програми, яка пов'язана з обробкою
даних усередині програми (даними управляє
власне СУБД), де використовується мова
запитів і засоби маніпулювання даними
стандартної мови SQL. Процесор управління
даними (Data Base Manager System Processing) - це власне
СУБД, яка забезпечує управління та зберігання
даних.
В ідеалі
СУБД повинна бути прихована від
BL-додатки. Однак для розгляду архітектури
програми нам треба їх виділити в окрему
частину програми.
Відомості,
котрі становлять комерційну таємницю
підприємства:
- Інформація
про виробничу діяльність: структура кадрів
та підприємства; характер діяльності
об'єктів зв'язку; організація праці; відомості
про навантаження та виробничі можливості
підприємства; відомості про систему організації
послуг.
- Інформація
про технологію послуг і робіт: відомості
щодо застосовуваних та перспективних
технологій, технологічних процесів та
обладнання; технологічні досягнення,
що забезпечують успіх у конкурентній
боротьбі; дані про специфіку застосування
технологічних процесів.
- Інформація
про управління: управлінська (керівна)
інформація; аналітична інформація для
підтримки керівних рішень; службова інформація
органів управління та програмне забезпечення
її обробки.
- Інформація
про фінанси: відомості, котрі розкривають
планові й фактичні показники фінансового
плану; стан майна, бюджет, обороти; банківські,
фінансові й валютні операції; рівень
доходів і боргові зобов'язання; стан кредиту,
джерела й умови кредиту; розмір комісії;
інформація фінансових закладів.
- Бухгалтерська
звітність, кількість грошових коштів
на рахунках: інформація бухгалтерського
обліку; облік доходів і розрахунки; облік
розрахунків; облік витрат на виробництво;
облік грошових засобів; облік фондів;
податковий облік; облік розрахунків за
векселями; облік договорів; зведені звіти
з фінансової діяльності підприємства
(щомісячні, щоквартальні, щорічні, кількарічні);
кредитні договори з банком; договори
купівлі-продажу.
- Інформація
автоматизованої системи комплексних
розрахунків (АСКР) за послуги зв'язку:
обробка даних про міжнародні та міжміські
переговори; обробка і тарифікація оплати
від населення та організацій; дані рахунків,
податкових книг, обліку продукції; акти
звірень; дані трафіку; статистика; первинна
інформація в цехах.
- Ділові партнери,
постачальники, реальні обороти, проведення
переговорів, складення контрактів тощо.
- Інформація
стосовно ринку послуг.
- Інформація
про ділових партнерів: списки орендарів;
постачальники обладнання й покупці послуг;
дані про постачальників та користувачів;
комерційні зв'язки; картки абонентів
та клієнтів; характеристика партнерів
(основні виробничі фонди, товаро- і послугообіг,
кредити тощо); дані про конкурентів, їхні
слабкі та сильні сторони; дані про потенційних
партнерів, перевірка їх на сумлінність;
відомості про фінансовий стан, репутацію
та решта даних партнерів; заходи, які
вживаються відносно конкурентів.
- Інформація
щодо переговорів: внутрішній порядок
опрацювання пропозицій вітчизняних та
зарубіжних партнерів; інформація щодо
фактів підготовки та ведення переговорів,
тактики переговорів; дані щодо осіб, які
ведуть переговори; відомості й документи,
стосовні ділової політики, рівня цін,
обсягів фондів; інформація про ділові
прийоми;
- Інформація
про ринок послуг та обладнання: стан ринку
послуг, огляд ринку; результати маркетингових
досліджень; ринкова стратегія; відомості,
висновки та рекомендації спеціалістів
щодо стратегії й тактики діяльності підприємства;
відомості про послуги й розвиток послуг;
відомості про купівлю обладнання зв'язку;
відомості про перспективні види обслуговування,
джерела коштів, партнерів.
- Інформація
про контракти: умови за угодами, погодженнями
й платежами; детальні розшифрування предмету
ліцензії в разі її купівлі/продажу; дані
про конкурси, аукціони або торги до їхнього
опублікування.
- Інформація
про ціни: відомості про методики розрахунку
вартості робіт та послуг; розрахунки
цін, структура ціни, калькуляція ціни;
відомості
про собівартість і ціни послуг.
- Інформація
з планування: плани розвитку підприємства;
відомості про розширення послуг зв'язку;
перспективні плани виробничої діяльності;
інвестиції підприємства, інвестиційні
програми та техніко- економічні обгрунтування;
поточні планово-аналітичні матеріали;
наради, предмет та результати нарад і
засідань органів управління.
- Інформація
з проектування: характер та мета науково-дослідних
і дослідно-конструкторських робіт та
їхні результати; технічні проекти; технологічні
секрети; технологічні рішення, нові технології,
раціоналізаторські роботи, винаходи
до подання заявки на них; конструкція
об'єктів, схеми, креслення, технічні рішення,
розрахунки; відомості щодо стану програмного
та комп'ютерного забезпечення; комп'ютерні
програми та продукти; інформація про
нові розробки.
- Інформація
про зміст і власне чинник використання
на підприємстві об'єктів інтеллектуальної
власності: відкриття, винаходи, раціоналізаторські
пропозиції, «ноу-хау», програмні продукти,
пристрої, секрети та зміст яких потребують
захисту від всіляких «піратів».
- Інформація,
стосовна іншої діяльності підприємства,
яка не становить державної таємниці,
розголошення (передання, витік) якої може
призвести до втрат або збитків підприємства
(Закон України «Про підприємства в Україні»).
Оцінювання
важливості інформації
Для
категоріювання інформації за групами
безпеки як критерії розглядають характер
і масштаб можливої шкоди в разі реалізації
основних загроз безпеці. Можна виокремити
такі категорії інформації: А - особливо
важлива; Б — важлива; В - базова (звичайна).
До вищої категорії слід віднести особливо
важливу інформацію, реалізація основних
загроз щодо якої може потягти за собою
максимальні як за характером, так і за
масштабами збитки.
Такою інформацією
є інформація в системі управління
електрозв'язком, виведення якої з
ладу може спричинитись до повної зупинки
мережі загального користування чи її
частин. До першої (вищої) категорії
належить інформація технологічного управління,
до другої - розрахунково-тарифна інформація,
до третьої - інформація користувачів.
Кожну
категорію інформації класифікують,
у свою чергу, за масштабом чи розміром
збитків, що їх може бути завдано внаслідок
НСД порушників, поділяючи її на кілька
класів безпеки. Номер класу визначає
масштаб можливих збитків, котрі можуть
мати наслідки.
Цінність
інформації зумовлюється шкодою, до якої
можуть призвести атаки на інформацію,
| може визначатись витратами на
усунення пошкоджень системи (відновлення
ПЗ, файлів даних; витратами часу, протягом
якого користувачі не могли дістати
доступу до системи й інформації;
витратами на заміну ПЗ і апаратури;
витратами на розроблення і створення
нових засобів безпеки, здатних
попередити інциденти з безпекою.
3.Аналіз
інформаційного, фізичного,
обчислювального середовища,
середовища користувачів
та персоналу ОІД
Інформаційне
середовище
Інформація
підприємства поділяється на такі категорії:
- загальнодоступна
інформація:
- комерційна
таємниця;
- конфіденційна
інформація.
Фізичне
середовище
Фізичне
середовище включає:
- приміщення,
в яких розташовано сервер та робочі станції
з усіма компонентами: обчислювальна система,
сховища для носіїв інформації та документації,
робочі місця обслуговуючого персоналу
тощо;
- засоби
енергопостачання, заземлення, життєзабезпечення,пожежної
та охоронної сигналізації, відео спостереження,
кондинціонування приміщення;
- допоміжні
технічні засоби та засоби зв'язку.
- приміщення,
де розміщуються компоненти обчислювальної
системи, повинні розташовуватись на контрольованій
території й мати охорону. Доступ до цих
приміщень без обмежень дозволяється
лише користувачам, яким надано повноваження
спроваджувати КСЗІ та забезпечувати
керування автоматизованою системою;
- за необхідністю
дозволяється доступ до приміщень розробникам
програмного забезпечення, постачальникам
устаткування й технічних засобів та фахівцям,
котрі здійснюють його монтаж, поточне
гарантійне й післягарантійне обслуговування.
Обчислювальне
середовище
Апаратні
засоби захисту:
- засоби забезпечення
живлення ПК: мережеві фільтри, згладжуючі
пульсації напруги живлення і струму;
програмоване джерело безперебійного
живлення сервера, джерела безперебійного
живлення робочих станцій; мережу;
- пристрої
резервного копіювання інформації, за
допомогою яких є можливість зберігати
напрацьовану фірмою інформацію через
певні проміжки часу;
- сервер локальної
мережі, який при грамотному адмініструванні
здатний запобігти несанкціоноване проникнення
в ІС із зовнішньої мережі, а також розмежувати
доступ користувачів до робочих станцій
локальної мережі.
-
підсистема опрацьовування інформації
забезпечує створення, зберігання. До
засобів опрацьовування інформації належать
WEB-сервер та необхідна кількість робочих
станцій.
-
підсистема взаємодії з користувачами
автоматизованої системи забезпечує за
запитами користувачів надавання доступу
до загальнодоступної інформації WEB- сторінки,
яка має вигляд HTLM- документа, з використанням
мереж передавання даних та стандартних
Інтернет- протоколів..
-
підсистема обміну даними забезпечує
підготовку та безпосередньо імпортування/експортування
інформації до/із автоматизованої системи,
а також внутрішньо системний обмін інформацією
поміж WEB- сервером та робочими станціями
з реалізуванням фаз встановлення, підтримання
та завершення з'єднання.
Програмні
засоби захисту:
- Операційна
система Linux;
- Програми-антивіруси
Dr / WEB та AVP.
- На АРМ встановлена
програма реєстрації входу / виходу, а
також всіх вироблених дій з урахуванням
часу.
Характеристика
середовища користувачів
За рівнем
повноважень щодо доступу до інформації,
характером та складом робіт, які
виконуються в процесі функціонування
автоматизованої системи, користувачі
поділяються на такі категорії:
- користувачі,
яким надано право доступу лише до загальнодоступної
інформації WEB-сторінки;
- користувачі,
яким надано повноваження супроваджувати
КСЗІ та забезпечувати керування автоматизованою
системою. До них належать: адміністратор
безпеки, інші співробітники СЗІ, користувачі
з функціональними обов'язками WEB-майстрів,
адміністраторів сервісів, адміністраторів
мережного устаткування, адміністраторів
ресурсів DNS(Domain Name System), PROXY, FTP (File Transfer
Protocol) та ін., якщо передбачається їхня
взаємодія з WEB-сторінкою, тощо;
- технічний
обслуговуючий персонал, котрий забезпечує
належні умови функціонування автоматизованої
системи, повсякденне підтримування життєдіяльності
фізичного середовища. Це - електрики,
технічний персонал з обслуговування
приміщень будівель, ліній зв'язку тощо;
- розробники
програмного забезпечення, які здійснюють
розробляння та впровадження нових функціональних
процесів, а також супровадження вже діючого
функціонального програмного забезпечення
сервера, розробники та проектанти фізичної
структури автоматизованої системи;
- постачальники
устаткування і технічних засобів та фахівці,
котрі здійснюють його монтаж, поточне
гарантійне й післягарантійне обслуговування.
Середовище
користувачів має відповідати
таким вимогам:
- користувачі,
яким надано повноваження с упроваджувати
КСЗІ та забезпечувати керування автоматизованою
системою, мають володіти навичками обслуговування
засобів захисту інформації й використання
технічних та програмних засобів, застосовуваних
ними під час виконання своїх службових
та функціональних обов'язків;
- технічний
обслуговуючий персонал повинен мати
належний рівень кваліфікації для виконання
своїх службових та функціональних обов'язків
відповідно до певних технологічних процесів
та режимів експлуатації устаткування;
- розробники
програмного забезпечення та постачальники
устаткування можуть мати доступ до програмних
та апаратних засобів автоматизованої
системи лише під час робіт із тестування
й інсталяції програмного забезпечення,
встановлення і регламентного обслуговування
устаткування тощо, за умови обмеження
їхнього доступу до технологічної інформації
КСЗІ. Зазначені категорії осіб повинні
мати дозвіл на доступ до відомостей, які
містяться в програмній й технічній документації
на автоматизовану систему чи окремі її
компоненти, і є необхідні їм для виконання
функціональних обов'язків.
4.Модель
загроз ОІД
Для
того, щоб провести аналіз уразливих
елементів, необхідно перелічити усі
елементи, що входять до складу мережі.
Перелік
пристроїв:
-
Сервери мережі, які забезпечують необхідні
сервіси
Одним
з напрямків захисту інформації
в інформаційних системах є технічний
захист інформації (ТЗІ). У свою чергу,
питання ТЗІ розбиваються на два
великих класи завдань: захист інформації
від несанкціонованого доступу (НСД)
і захисту інформації від витоку
технічними каналами. Під НСД звичайно
мається на увазі доступ до інформації,
що порушує встановлену в інформаційній
системі політику розмежування доступу.
Під технічними каналами розглядаються
канали сторонніх електромагнітних випромінювань
і наведень (ПЕМІН), акустичні канали, оптичні
канали й ін.