Модуль режима коммерческой тайны как дополнительный элемент системы защиты информации торговой организации

Тип работы:
Реферат
Предмет:
Общие и комплексные проблемы технических и прикладных наук и отраслей народного хозяйства


Узнать стоимость

Детальная информация о работе

Выдержка из работы

УДК 004. 056. 52
МОДУЛЬ РЕЖИМА КОММЕРЧЕСКОЙ ТАЙНЫ КАК ДОПОЛНИТЕЛЬНЫЙ ЭЛЕМЕНТ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ТОРГОВОЙ ОРГАНИЗАЦИИ
1 2 Дубровин А. С., Губин И. А.
1 ФКОУ ВПО «Воронежский институт Федеральной службы исполнения наказаний», Воронеж, Россия (394 076, Воронеж, ул. Иркутская, 1а), e-mail: asd_kiziltash@mail. ru
2 ФГБОУ ВПО «Воронежский государственный педагогический университет», Воронеж, Россия (394 043,
Воронеж, ул. Ленина, 86), e-mail: gubin24@yandex. ru_
Предлагается решение задачи по оперативному разделению доступа к информации сотрудников торговой организации при инициации режима коммерческой тайны (РКТ). Выделены определенные свойства рассматриваемой автоматизированной информационной системы торговой организации. Согласно нормативным актам, дается описание режима коммерческой тайны и информации, составляющей коммерческую тайну. Частично раскрывается суть эталонной модели защищенной автоматизированной системы (ЭМЗАС). Предлагается использование менеджера ресурсов, расположенного на восьмом уровне ЭМЗАС, в качестве архитектурной основы разделения доступа к конфиденциальной информации. Сервис контроля целостности информации (СКЦИ) предлагается рассматривать не только как элемент организационно-технологического управления автоматизированной системы, но и как эффективный инструмент контроля доступа к информационным ресурсам. В публикации представлена схема и дается описание функционирования СКЦИ при введении РКТ. Результатом исследования является эффективная модель использования ресурсов СКЦИ для решения задачи по разделению привилегий доступа.
Ключевые слова: автоматизированная информационная система, дискреционный доступ, защита информации, коммерческая тайна, менеджер ресурсов, контроль целостности, торговая организация, эталонная модель защищенной автоматизированной системы.
MODULE TRADE SECRET AS AN ADDITIONAL ELEMENT OF INFORMATION PROTECTION SYSTEMS TRADE ORGANIZATION
Dubrovin A.S. 1, Gubin I.A. 2
1 Voronezh Institute of the Russian Federal Penitentiary Service, Voronezh, Russia (394 076, Voronezh, street Irkutskaya, 1a), e-mail: asd_kiziltash@mail. ru
2 Voronezh State Pedagogical University, Voronezh, Russia (394 043, Voronezh, street Lenina, 86), e-mail:
gubin24@yandex. ru_
Offer a solution to the problem of the operational separation of access to information by the dealer at the initiation of a commercial secret (ICS). Allocated certain properties considered an automated information system trade organization. According to regulations, describes the regime of trade secrets and information that falls under this concept. Partially reveals the essence of the standard model secure automated system (SMSAS). Proposes the use of a resource manager, located on the eighth level SMSAS as architectural framework separation of classified information. Service integrity monitoring information (SIMI) proposed to consider not only as an element of organizational and technological management of automatedsystem, but also as an effective tool for controlling access to information resources. The publication is a diagram and a description of the functioning of the introduction SIMIICS. The result of this study is to model the effective use of resources
SIMI to the task of separation of access privileges. _
Keywords: automated information system, discretionary access, data protection, trade secrets, the resource manager, integrity control, trade organization, a reference model for a secure automated system.
Торговая организация (ТО) — организация различных организационно-правовых форм, осуществляющая торговую деятельность, включая необходимые средства и работников с распределением ответственности, полномочий и взаимоотношений (ГОСТ 51 303−2013).
Автоматизированная информационная система (АИС) — это система, состоящая из персонала и комплекса средств автоматизации его деятельности, необходимого для выполнения его функций при помощи информационных технологий (ГОСТ 34. 003−90).
Для Т О АИС является основой деятельности, так как включает в себя контроль над финансовыми потоками, товарными запасами, документами. В силу развития конкуренции и увеличения угрозы несанкционированного доступа к данным, руководство ТО уделяет особое внимание понятию «Коммерческая тайна». В соответствии с Федеральным законом от 29. 07. 2004 № 98-ФЗ «О коммерческой тайне» представим определения:
Коммерческая тайна (КТ) — конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Информация, составляющая коммерческую тайну — научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.
Доступ к информации, составляющей коммерческую тайну — ознакомление определенных лиц с информацией, составляющей коммерческую тайну, с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации.
Обладателем информации, составляющей КТ в рассматриваемой ТО, является орган правления. Работники организации, получившие доступ к КТ, обязаны: выполнять установленный в организации режим КТ, строго хранить известную им КТ, пресекать действия других лиц, которые могут привести к разглашению тайны. При введении режима коммерческой тайны (РКТ) в рассматриваемой ТО, рекомендуется ограничить доступ к надлежащим информационным массивам до соответствующего распоряжения.
Цель исследования
1. Учитывая особенности и специфику АИСТО предполагается разработать механизм оперативного разделения доступа к критически важной информации, представляющей коммерческую тайну. Введение режима коммерческой тайны реализовать в составе механизма функционирования сервиса контроля целостности информации (СКЦИ), максимизирующего защищённость информации при обеспечении достаточной оперативности выполнения функциональных задач АИСТО.
Материал и методы исследования
Материал исследования основан на использовании литературных источников, представленных в конце данной статьи. Общей методологической основой проведенного исследования является системно-концептуальный подход.
Результаты исследования и их обсуждение
В соответствии с [1], всегда присутствует угроза несанкционированного доступа и потери данных за счет несовершенности структуры самой АИС. В связи с этим целесообразно применять концепцию эталонной модели защищенной автоматизированной системы (ЭМЗАС).
Согласно [4], все многообразие угроз безопасности АИС организации можно представить в виде целой связки ключей и отмычек, а систему защиты информации от несанкционированного доступа (СЗИ НСД) организации как сейф, в котором содержатся данные. Можно подобрать ключ — получить пароль и доступ к данным. Если умело использовать отмычку, то получиться открыть сейф, взломав пароль.
Недостатки стандартных моделей были устранены путём разработки нового математического аппарата моделирования СЗИ НСД — ЭМЗАС. Необходимо все процессы доступа к ресурсам распределить по уровням эталонной модели, в итоге получим защищенную модель АИС организации с минимальным уровнем уязвимости. Рассмотрим восьмой уровень ЭМЗАС, который называется «Менеджерский». Он определяет доступ прикладного компонента сервера АИС, авторизованного некоторым образом, к менеджерам ресурсов данного сервера.
Предполагается, что в общем случае информация, располагающаяся на данном сервере, может находиться под управлением различных менеджеров ресурсов, поэтому на данном уровне уместнее всего расположить субъекты полного разграничения данных всего сервера. Субъект менеджера ресурсов «Общие данные» и субъект менеджера ресурсов «Специализированные данные» будут разграничивать информацию на условно допустимую для разглашения и максимально неприемлемую для обнародования (конфиденциальную -используемую только руководством) (рис. 1).
Разработаем основные положения, обуславливающие функционирование АИСТО в РКТ:
1.

Статистика по статье
  • 25
    читатели
  • 8
    скачивания
  • 0
    в избранном
  • 0
    соц. сети

Ключевые слова
  • АВТОМАТИЗИРОВАННАЯ ИНФОРМАЦИОННАЯ СИСТЕМА,
  • ДИСКРЕЦИОННЫЙ ДОСТУП,
  • ЗАЩИТА ИНФОРМАЦИИ,
  • КОММЕРЧЕСКАЯ ТАЙНА,
  • МЕНЕДЖЕР РЕСУРСОВ,
  • КОНТРОЛЬ ЦЕЛОСТНОСТИ,
  • ТОРГОВАЯ ОРГАНИЗАЦИЯ,
  • ЭТАЛОННАЯ МОДЕЛЬ ЗАЩИЩЕННОЙ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ,
  • AUTOMATED INFORMATION SYSTEM,
  • DISCRETIONARY ACCESS,
  • DATA PROTECTION,
  • TRADE SECRETS,
  • RESOURCE MANAGER,
  • INTEGRITY CONTROL,
  • TRADE ORGANIZATION,
  • A REFERENCE MODEL FOR A SECURE AUTOMATED SYSTEM

Аннотация
научной статьи
по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства, автор научной работы & mdash- ДУБРОВИН А.С., ГУБИН И.А.

Предлагается решение задачи по оперативному разделению доступа к информации сотрудников торговой организации при инициации режима коммерческой тайны (РКТ). Выделены определенные свойства рассматриваемой автоматизированной информационной системы торговой организации. Согласно нормативным актам, дается описание режима коммерческой тайны и информации, составляющей коммерческую тайну. Частично раскрывается суть эталонной модели защищённой автоматизированной системы (ЭМЗАС). Предлагается использование менеджера ресурсов, расположенного на восьмом уровне ЭМЗАС, в качестве архитектурной основы разделения доступа к конфиденциальной информации. Сервис контроля целостности информации (СКЦИ) предлагается рассматривать не только как элемент организационно-технологического управления автоматизированной системы, но и как эффективный инструмент контроля доступа к информационным ресурсам. В публикации представлена схема и дается описание функционирования СКЦИ при введении РКТ. Результатом исследования является эффективная модель использования ресурсов СКЦИ для решения задачи по разделению привилегий доступа.

ПоказатьСвернуть
Заполнить форму текущей работой