Структура информационного обеспечения образовательного учреждения

- организация  доверенного взаимодействия сторон (взаимной идентификации/аутентификации) в информационном пространстве;

- защита от  автоматических средств нападения;

- интеграция  защиты информации в процессе  автоматизации ее обработки в  качестве обязательного элемента [51].

Понятно, что  проблема защиты информации приобретает  особое значение в экономической области, характеризующейся повышенными требованиями одновременно к скрытности и оперативности обработки информации.

Анализ уязвимости машинной информации позволяет выделить две группы возможных причин ее искажения или уничтожения, которые представлены на рис. 9.

Рисунок. 9. Группы причин искажения или уничтожения машинной

информации

Непреднамеренные  действия - сбои технических средств, ошибки обслуживающего персонала и пользователей, аварии и т.п. [51];

Несанкционированные действия -непланируемый (несанкционированный) доступ и ознакомление субъектов с информацией; прямое хищение информации в электронном виде непосредственно на носителях; снятие слепков с носителей информации или копирование информации на другие носители; запрещенная передача информации в линии связи или на терминалы; перехват электромагнитных излучений и информации по различным каналам связи и т.п. [51].

Естественно, что такое большое число причин искажения (уничтожения) информации определяет необходимость использования значительного числа способов и средств ее защиты, причем эти способы и средства только тогда, эффективны, когда они применяются комплексно. Названные обстоятельства обусловливают содержание понятия «защита электронной информации».

Под защитой информации в компьютерных системах принято понимать создание и поддержание организованной совокупности средств, способов, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования информации, хранимой и обрабатываемой в электронном виде [50].

Наряду с определением понятия  «защита информации» важным вопросом является классификация имеющихся способов и средств защиты, которые позволяют воспрепятствовать запрещенному (незаконному) ее использованию. На рис. 10 приведены наиболее часто используемые способы защиты информации в компьютерных сетях и средства, которыми они могут быть реализованы (на рис. эти возможности изображены стрелками от способа к средствам) [51].

Рассмотрим  краткое содержание каждого из способов защиты информации.

Препятствия предусматривают создание преград, физически не допускающих к информации.

Управление  доступом — способ защиты информации за счет регулирования использования всех

ресурсов системы (технических, программных, временных и др.).

Маскировка информации, как правило, осуществляется путем ее криптографического закрытия.

Регламентация заключается в реализации системы организационных мероприятий, определяющих все стороны обработки информации.

Принуждение заставляет соблюдать определенные правила работы с информацией под угрозой материальной, административной или уголовной ответственности.

Наконец, побуждение основано на использовании действенности морально-этических категорий (например, авторитета или коллективной ответственности) [51].

Средства защиты информации, хранимой и обрабатываемой в электронном виде, разделяют на три самостоятельные группы: технические, программные и социально-правовые. В свою очередь среди технических средств защиты выделяют физические и аппаратные.

К физическим средствам защиты относятся:

механические  преграды, турникеты (заграждения), специальное остекление; сейфы, шкафы; механические и электромеханические замки; датчики различного типа; теле- и фотосистемы наблюдения и регистрации и др.

Под аппаратными средствами защиты понимают технические устройства, встраиваемые непосредственно в системы (аппаратуру) обработки информации.

Программные средства защиты данных в настоящее время получили значительное развитие. По целевому назначению их можно разделить на несколько больших классов (групп):

- программы  идентификации пользователей;

- программы определения  прав (полномочий) пользователей (технических устройств);

- программы  регистрации работы технических  средств и пользователей (ведение так называемого системного журнала);

- программы  уничтожения (затирания) информации  после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации;

- криптографические программы (программы шифрования данных).

Организационные и законодательные средства защиты информации предусматривают создание системы нормативно-правовых документов, регламентирующих порядок разработки, внедрения и эксплуатации информации.

Морально-этические  средства защиты информации основаны на использовании моральных и этических норм, господствующих в обществе, и требуют от руководителей всех рангов особой заботы о создании в коллективах здоровой нравственной атмосферы [51].

Следовательно, необходимо учитывать важнейшие обстоятельства:

- во-первых, защита информации  от несанкционированных действий эффективна только тогда, когда комплексно применяются все известные способы и средства;

- во-вторых, защита должна  осуществляться непрерывно.

3. Вопросы безопасности системы «1С: ХроноГраф Школа 2.5 Проф»

Информационная система  современной школы должна удовлетворять как минимум, следующим требованиям безопасности:

- Достаточно низкая  вероятность сбоя системы по  внутренним причинам.

- Надёжная авторизация  пользователей и защита данных  от некорректных действий.

- Эффективная система  назначения прав пользователей.

- Оперативная система  резервного копирования и восстановления  в случае сбоя [4].

Любая система безопасности должна создаваться с учетом целесообразности и стоимости владения. В целом  при разработке и внедрении информационной системы необходимо, чтобы цена защиты системы соответствовала:

- ценности защищаемой  информации;

- затратам на создание  инцидента (в случае умышленной  угрозы);

- финансовым рискам  в случае инцидента [4].

Основные особенности  механизма информационной безопасности системы

В «1С: ХроноГраф Школа 2.5 Проф» для хранения информации используется MS SQL Server, что обеспечивает:

- Достаточно надёжное  хранение данных.

- Изоляцию файлов от  прямого доступа. 

- Достаточно совершенные  механизмы транзакций и блокировок.

Схема контроля доступа  на уровне прикладного решения предоставляет  следующие возможности:

- Авторизация пользователя по паролю.

- Авторизация пользователя  по текущему пользователю Windows.

- Назначение ролей  пользователям системы. 

- Ограничение выполнения административных функций по ролям.

- Назначение доступных  интерфейсов по ролям. 

- Ограничение доступа  к объектам метаданных по ролям. 

- Ограничение доступа  к реквизитам объектов по ролям. 

- Ограничение доступа  к объектам данных по ролям  и параметрам сеанса.

- Ограничение интерактивного  доступа к данным и исполняемым  модулям. 

- Некоторые ограничения  выполнения кода [4].

В целом, используемая схема доступа  к данным достаточно типична для  информационных систем такого уровня. Однако применительно к данной реализации трёхзвенной клиент-серверной архитектуры есть несколько принципиальных аспектов, которые приводят к относительно большому количеству уязвимостей:

1. Большое количество  этапов обработки данных, причем  на каждом этапе могут действовать отличающиеся правила доступа к объектам. Несколько упрощённая схема этапов обработки данных, существенных с точки зрения безопасности, приведена на рис. 11. Общим правилом для 1С является уменьшение ограничений по мере перехода вниз по данной схеме, поэтому, использование уязвимости на одном из верхних уровней может нарушить работу системы на всех уровнях [4].

 

 

Рис. 11. Этапы обработки данных

2. Недостаточно отлаженные  процедуры контроля передаваемых  данных при переходе с уровня  на уровень. К сожалению, далеко не все внутренние механизмы системы идеально отлажены, особенно это касается неинтерактивных механизмов, отладка которых всегда с одной стороны более трудоёмка, но с другой более ответственна.

3. Сравнительно небольшой  возраст платформы. Среди продуктов сходной направленности и целей использования это одно из самых молодых решений. Функциональность платформы более-менее устоялась всего несколько лет назад. Функциональность типовых прикладных решений до сих пор растёт не по дням, а по часам, хотя из возможностей платформы используется от силы половина [4].

9. Оценка затрат на внедрение информационной системы.

Целью данного расчета  является экономически обоснованное определение  величины  затрат на создание информационной системы.

Оценка вероятной стоимости тех ресурсов, которые потребуются для выполнения работ, предусмотренных проектом, проводится на протяжении всего срока реализации проекта. Но для того, чтобы дать проекту разрешение на старт, необходимо вначале проверить предпроектные оценки его стоимости. Оценка примерной стоимости создания системы проводится на этапе подготовки предложений. Но так как на данном этапе неопределенность в понимании реального объема работ проекта еще слишком велика, используется предварительная оценка, так называемая оценка «порядка величины», отличие которой от реальной стоимости лежит в интервале от -25% до +50%. По ходу реализации проекта требуются более точные оценки.

Создание информационной системы МОУ СОШ №16 предусматривает  осуществление следующих затрат:

• Затраты на обучение персонала;
• Затраты на инсталляцию и настройку системы.

Для работы с программой «1С: ХроноГраф Школа 2.5 Проф»  и  её дополнениями понадобится следующее  оборудование и программное обеспечение:

Сетевое оборудование, серверная  часть, клиентская часть, удовлетворяющее техническим требованиям, на предприятии уже имеется.

Программный продукт 1C:ХроноГраф  Школа 2.5 ПРОФ. Сетевая многопользовательская  версия стоит 14400 руб.

1С:Образование 4. Школа  2.0 - Система программ для организации  и поддержки образовательного процесса стоит – 9600 руб.

«1С:Школьное Питание  ПРОФ» - 9000 руб.

1C:Школьная Библиотека. Базовая версия - 2400 руб.

Сервер видеонаблюдения Synology DS209+ II - 18 662 руб.

Итого стоимость аппаратного  и программного обеспечения: 54 062 руб.

Стоимость совершенствования будет рассчитываться из количества часов, затраченных на установку системы специалистом фирмы - внедрения.

Для совершенствования  необходимо установить клиентскую часть  на все машины и серверную только на сервер, также необходимо учесть настройку и отладку системы. Клиентскую часть необходимо устанавливать и настраивать на каждом рабочем месте, а рабочих мест в школе 16.

Установка и настройка  информационной системы на каждое рабочее  место занимает 0,5 часа.

Расходы на оплату 1 часа работы специалиста = 1000 руб. в час.

Инсталляция клиентской части на все машины займет 8 часов, из чего посчитаем затраченные средства: 8*1000=8000 руб.

Установка и настройка  серверной части займет 5 часов, так  как необходимо зарегистрировать и  распределить права всех пользователей: 5*1000=5000 руб.

Итого стоимость установки  и настройки системы составляет: 8000+5000=13 000 руб.

Было принято решение  провести обучение работе с системой 2 учителей информатики на территории школы. Обучение одного человека (с  учетом скидки) составляет 3000 руб. Итого стоимость обучения персонала составит: 2*3000=6 000 руб.

Таблица 9. Примерная стоимость в руб. создания информационной системы

1C:ХроноГраф Школа 2.5 ПРОФ. Сетевая  версия	14400
1С:Образование 4. Школа 2.0 - Система  программ для организации и поддержки образовательного процесса.	9600
«1С:Школьное Питание ПРОФ»	9000
1C:Школьная Библиотека. Базовая  версия	2400
Сервер видеонаблюдения Synology DS209+ II	18 662
Инсталляция клиентской части на все  машины	8 000
Установка и настройка серверной части	5 000
Стоимость обучения персонала	6 000
ИТОГО	73062