Разработка автоматизрованной системы управления

УДК 004.9(06) Автоматизированные системы обработки информации и управления
Р.В. АЛФИМОВ, М.Ю. КОРОБОВ, А.С. КОТЕЛЬНИКОВ,
А.Д. РЫСИНА, М.Е. ФЕДОТОВ, А.М. ФИЛАТОВ,
В.Н. ЯКУНИНА
Московский инженерно-физический институт (государственный университет)
РАЗРАБОТКА АВТОМАТИЗРОВАННОЙ СИСТЕМЫ
УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ РИСКАМИ
В настоящее время управление информационными рисками является одной из наиболее актуальных и динамично
развивающееся направлением менеджмента в области защиты информации. Управление информационными рисками
является важной задачей для любой организации, использующей информационные технологии в своей работе. Данная
разработка позволяет автоматизировать процесс управления, а также создать целостную модель информационных рисков организации.
Управление информационными рисками состоит из их периодической переоценки и выполнению мероприятий по их снижению до приемлемого уровня. Угрозу могут представлять неправильно ограниченный
доступ к важной информации, технические сбои, а также несогласованность данных. находящихся в разных
учетных системах компании.
На Западе законодательство предписывает компаниям управлять информационными рисками, к примеру,
в США этого требует закон Сарбейнса - Оксли, принятый в 2002 году. Стандарты в области информационной безопасности, которые должны соблюдать и отечественные предприятия, например ISO17799, BS7799,
ISO27001, также предусматривают механизмы управления рисками [1]. Оценка последних позволяет компании определить оптимальный объем расходов на обеспечение информационной безопасности и разумно
спланировать мероприятия по ее поддержке.
Основными целями создания автоматизированной системы управления информационными рисками (далее, Система) являются:
- создание целостной модели информационных рисков организации;
- учет, анализ и контроль информационных рисков организации;
- оперативное управление информационными рисками организации за счет реализации контролей
(контрмер);
- получение отчетности по состоянию информационных рисков организации.
Система функционирует в архитектуре клиент-сервер. Серверная часть (размещаемая на сервере БД)
предназначена для хранения метаданных, данных, выполнения хранимых процедур, функционирования серверных компонентов подсистем, обмена данными со смежными подсистемами. Клиентская часть (размещаемая на рабочих станциях пользователей) предназначена для организации диалога с пользователем. В основе сервера базы данных лежит СУБД Oracle 10g.
Система состоит из нескольких подсистем, которые выполняют следующие функции:
1.формирование иерархии бизнес – продуктов и обеспечивающих их ресурсов;
2. ведение списков бизнес – продуктов, направлений бизнеса, владельцев бизнеса, ресурсов, типов ресурсов, угроз и групп угроз, уязвимостей и типов уязвимостей, контролей и групп контролей;
3. расчет в реальном масштабе времени рисков и уровней реализации угроз с учетом дат внедрения контролей.
4. визуализация в реальном масштабе времени рисков информационных рисков и уровней реализации
угроз;
5. планирование внедрения контролей подтверждение принятия риска без внедрения контроля;
6. формирование предустановленных отчетов;
7. импорт уязвимостей из смежных систем;
8. хранение и доступ по запросу к историческим данным в целях анализа;
9. управление доступом пользователя к функциям Системы;
10. управление ролями, пользователями и системными настройками.
Информационный обмен между компонентами Системы осуществляется путем совместного использования информационной базы Системы и совместного доступа к папкам на сервере при передаче файлов данных.
Система имеет хорошие возможности к масштабированию и подстройке под каждого заказчика, с добавлением дополнительных подсистем и функций.
Список литературы
1. Петренко С.А, Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность.. М.: Ай-Ти
Пресс, 2004, 381 с.
ISBN 978-5-7262-0883-1. НАУЧНАЯ СЕССИЯ МИФИ-2008. Том 13
1