В данном курсовом проекте рассматривается вопрос обеспечения защиты данных в системе «Учет рабочего времени», разрабатываемой для предприятия НПО «Криста» занимающегося внедрением и сопровождением бухгалтерской программы «Смета» в г.Воркута.Система создается для автоматизации процесса контроля и учета распределения рабочего времени, а так же формирования сопроводительных документов, и информации полученной в процессе работы.

В работе рассматривается вопрос обеспечения защиты данных в системе, разрабатываемой для сопроводителей и методы практической реализации обеспечения безопасности этих данных.

Целью проекта является повышение эффективности работы сопроводителей.

Кроме этого, предлагаемая система должна позволять: уменьшить затраты времени на обработку заявок, поступающих от организаций, экономить рабочее время сотрудника и облегчить его работу в оперативности получения и обработки информации о предстоящих посещениях организаций; хранить данные в более удобном компактном виде, что существенно повысит скорость доступа к информационным ресурсам, а также обеспечит надёжную защиту от потери информации и несанкционированного доступа к ней.

Разработчиком системы является студент группы ИСТ-03, Степанова И.А., Заказчиком системы является НПО «Криста» в лице директора

1. Класс защищённости разрабатываемой подсистемы

Все классы оценки автоматизируемых систем разделяют на 3 группы, которые различаются особенностями обработки информации:

3 группа: классифицирует АС, в которой работает один пользователь, допущенный ко всему объёму информации АС, относящейся к одному уровню конфиденциальности (3А, 3Б).

2 группа: классифицирует АС, в которой пользователи имеют одинаковые права ко всей информации и вся она размещена на одном уровне конфиденциальности (2А, 2Б).

1 группа: классифицирует многопользовательские АС, в которых одновременно обрабатывается и хранится информация разных уровней конфиденциальности, и не все пользователи имеют права доступа ко всей информации (1А, 1Б, 1В, 1Г, 1Д).

Разрабатываемая система относится к первой группе, т.к. она является многопользовательской. В подсистеме предусматривается разграничение прав доступа пользователей к данным (каждый пользователь имеет доступ только к тем данным, которые необходимы только ему). В то же время информация, с которой работает система, не имеет ни один из грифов секретности, а носит чисто конфиденциальный характер. Таким образом, классом защиты нашей системы будет являться 1Г.

2. Горизонтальная модель сети

Все пользователи системы, а также сервера баз данных соединены в сеть (см. Приложение 1 «Схема сети»). Компьютеры пользователей соединены между собой устройством (Switch), которое позволяет объединить компьютеры в небольшую локальную сеть. Один из компьютеров подключен к Интернету с помощью модема.

Данная сеть нуждается в защите информации, передаваемой по сети. Информация может быть подвергнута изменению, удалению, хищению, что приведет предприятие к потерям. Для разграничения доступа к информации на сервере будет установлена СУБД и организован доступ к серверу со всех клиентов. Следовательно, получение, заполнение и редактирование информации будет происходить средствами сервера СУБД, что позволяет разграничивать доступ к информации средствами самой СУБД. АС будет доступна только сопроводителям предприятия и руководителю.

Вся информация будет храниться на сервере с установленной системой управления базами данных (СУБД) и будет организован доступ к серверу со всех клиентов посредством локальной сети предприятия. Таким образом, получение, заполнение и редактирование информации будет происходить средствами сервера СУБД, что позволяет разграничивать доступ к информации средствами самой СУБД.

В разрабатываемой системе в зависимости от используемых ролей настраиваются права конкретного пользователя, при этом оговаривается набор доступных ему подсистем и перечень операций, которые он может выполнять в каждой из них.

Табл.1

Пользователи
Таблица БД	Сопроводитель	Руководитель
Расписание	П	ПРДУ
Организации	П	ПРДУ
Заявки	П	ПРДУ
Сотрудники	П	ПРДУ
Акты	ПРДУ	ПРДУ

Условные обозначения:

П – просмотр данных;

Р – редактирование;

Д – добавление данных;

У – удаление данных;

Сопроводитель имеет право просматривать расписание, организации заявки и информацию о сотрудниках. Руководитель же, может все эти данные просматривать, редактировать добавлять в них данные и удалять их. На таблицу Акты и сопроводитель, и руководитель имеют одинаковые права.

2.1 Организационные мероприятия

Самым дешёвым и самым эффективным средством защиты информации является проведение организационных мероприятий. Для защиты автоматизируемой подсистемы «Учет рабочего времени» необходимо проведение следующих организационных мероприятий:

1. Утверждение политики безопасности;

2. Охрана периметра здания;

3. Распоряжения о персональном доступе в кроссовое помещение;

4. Учёт ключей и их выдача лицам, утверждённым в специальном списке, имеющим доступ к серверным помещениям, активному оборудованию и конфиденциальной информации; все действия, выполняемые в этих помещениях, должны документироваться и регистрироваться, т.е. необходимо ведение аудита;

5. Регламент на работу с конфиденциальной информацией;

6. Регламент о резервном копировании и архивировании:

­ Выполнение функций резервного копирования и архивирования данных за отчетный период должны быть закреплены за ответственным лицом;

--> ЧИТАТЬ ПОЛНОСТЬЮ <--