Схема организации информационной безопасности ИС

На рисунке 3.1 отражена схема информационной безопасности учреждения. Как из нее видно, контроль проникновения посторонних лиц осуществляет охранник, используя систему наблюдения и журнал, в который он вносит каждого посетителя.

Каждая рабочая, так и серверная, станции оснащены такими средствами защиты как антивирус и встроенный файрвол. Так же на сервере настроена функция резервного копирования и размещен ИБП на случай возникновения непредвиденной угрозы (н-р: непредвиденное отключение электричества).

Для работы с системой как пользователю, так и администратору необходимо пройти процедуру аутентификации: сначала в операционной системе, а затем в информационной.

Чтобы получить доступ непосредственно к БД, минуя ИС, так же необходимо ввести логин и пароль.

Обоснование выбора политики безопасности

Доступ к учетным записям должен производиться на основе аутентификации. То есть пользователь должен вводить логин и пароль, и, если они верны, попадать в систему [14].

Требования к паролям учетных записей, частоте их изменения, способам хранения

Требования к паролям учетных записей:

· пароль должен состоять как из строчных, так и из прописных букв;

· пароль должен включать в себя как минимум одну цифру;

· минимальная длина пароля – 7 символов;

· максимальная длина пароля – 12 символов;

· максимальный срок действия пароля – 2 месяца;

· новые пароли пользователя не должны совпадать с предыдущими;

· пароль не должен совпадать с именем пользователя (логином);

· пароль должен храниться в шифрованном (хешированном виде),

чтобы предотвратить его утечку в случае взлома базы данных [15].

Логины и пароли пользователей должны храниться в таблице «Учитель» в базе данных в виде логин/хеш-пароля. Хеширование должно производиться с помощью алгоритма хеширования [16].

Анализ степени сохранности данных, их важность и возможность резервного копирования данных

В данный момент в заведении не предусмотрено каких либо средств резервного копирования.

Рекомендуется использовать встроенные средства резервного копирования, которыми обладает СУБД MS SQL Server. Необходимо выполнять резервное копирование БД по крайней мере 4 раза в месяц, в конце каждой рабочей недели.

Своевременное создание резервных копий БД позволит восстановить данные в следующих неблагоприятных для учреждения случаях:

· форс-мажорные ситуации;

· аппаратный сбой;

· сбой носителя;

· ошибки пользователей при работе (случайное удаления, изменение данных).

Еще одним способом сохранения данных могут служить RAID массивы. Безусловно, эта технология уже давно зарекомендовала себя как один из лучших способов сохранения резервных данных. В основном, RAID-массивы используются в крупных предприятиях и компаниях. Стоимость подобной технологии довольно высока и в учебном заведении просто-напросто нет необходимости в ее использовании [17].

Анализ возможности бесперебойной работы ИС

В данный момент в заведении отсутствует устройства, необходимые для бесперебойной работы ИС.

Так же для успешного функционирования сервера, а, следовательно, и системы, в случае непредвиденных ситуаций, необходимо наличие ИБП.

Требования к ИБП:

Но, так как в учреждении отсутствует какой либо ИБП, поэтому его необходимо будет закупить

Так как данное учебное учреждение является бюджетным, то основополагающим фактором при выборе ИБП является ценовая категория.

Для сравнения были выбраны 3 ИБП в ценовой категории до 3 т.р.

Сравнительный анализ ИБП приведен в таблице 2.18

Таблица 2.18. Сравнительный анализ ИБП

Самым подходящим вариантом в данной ценовой категории является ИБП APC BE550G-RS, так как он полностью удовлетворят предъявленным требованиям и является оптимальным соотношением цены и качества. Его технические характеристики приведены в таблице 3.2.

Таблица 3.2. Технические характеристики ИБП APC BE550G-RS