Разработка базы данных для учета средств защиты информации на предприятиях малого и среднего бизнеса

Содержание

Введение

1⠄Глава 1. Теоретические основы учета средств защиты информации на предприятиях малого и среднего бизнеса

1⠄1⠄Понятие, классификация и роль средств защиты информации в современных организациях

1⠄2⠄Нормативно-правовое регулирование и стандарты в области защиты информации для субъектов МСП

1⠄3⠄Обзор существующих подходов и систем к учету активов и средств защиты информации

2⠄Глава 2. Анализ предметной области и разработка требований к базе данных учета средств защиты информации

2⠄1⠄Анализ бизнес-процессов управления средствами защиты $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$

$⠄$⠄$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$ $$$$$$

$⠄$⠄$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$

$⠄$$$$$ $. $$$$$$$$$$ $$$$ $$$$$$ $$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$ $$ $$$$$$$$$$$$$

$⠄$⠄$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$

$⠄$⠄$$$$$$$$$$ $$$-$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$$

$⠄$⠄$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$

$$$$$$$$$$

$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$

Введение

В условиях стремительной цифровизации экономики и перехода значительной части бизнес-процессов в информационную среду, обеспечение кибербезопасности становится одним из ключевых факторов устойчивого развития предприятий. Особую актуальность эта проблема приобретает для субъектов малого и среднего предпринимательства (МСП), которые, обладая ограниченными финансовыми и кадровыми ресурсами, все чаще становятся объектами целевых кибератак. Эффективное управление средствами защиты информации (СЗИ) — антивирусным программным обеспечением, межсетевыми экранами, системами обнаружения вторжений и криптографическими средствами — невозможно без внедрения специализированных учетных систем, позволяющих контролировать жизненный цикл активов, своевременно обновлять конфигурации и минимизировать риски, связанные с человеческим фактором. Несмотря на наличие на рынке решений класса ITAM (Information Technology Asset Management), их функционал зачастую избыточен, дорог или не адаптирован под специфику учета именно средств защиты, что обуславливает необходимость разработки целевых баз данных.

Проблематика данного исследования заключается в противоречии между растущими требованиями регуляторов (ФСТЭК России, Приказы Минцифры) и стандартов (ISO/IEC 27001) к учету и контролю СЗИ, с одной стороны, и отсутствием доступных, масштабируемых и простых в эксплуатации инструментов для ведения такого учета на предприятиях МСП, с другой стороны. Существующие методы ведения учета посредством электронных таблиц или бумажных журналов не обеспечивают необходимого уровня целостности, непротиворечивости данных и автоматизации отчетности, что ведет к росту уязвимостей и потенциальным финансовым потерям.

Объектом исследования выступает система управления информационной безопасностью на предприятиях малого и среднего бизнеса. Предметом исследования являются методы и средства автоматизации процессов учета, мониторинга и инвентаризации средств защиты информации $ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$.

$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$, $$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$.

$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$:
$. $$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$ $$$, $$$$$$$$$$-$$$$$$$$ $$$$ $ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$.
$. $$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$-$$$$$$$$$ $$$$$$$$$$ $$$ $$ $$$$$$$ $$$$$$$$$$$ $$$, $$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$ $$$$$$.
$. $$$$$$$$$$ $$$$$ $$$$$$ $$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ ($$$$, $$$$-$$$$$$$$) $$$ $$$$$$$$$$ $$$$ $$$$$$.
$. $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$ $$$$ $$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$, $$$$$, $$$$$$$, $$$$$$$$ $ $$$$$$$$ $$$$$$$$$.
$. $$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$ ($$$$$, $$$$$$$, $$$$$$) $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$.

$$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$: $$$$$$$$$ $$$$$$, $$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$, $$$$$$$$$$$$$$$ $ $$$$$$$$$$$$. $$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ ($$$$, $$$$$) $ $$$$$ «$$$$$$$$-$$$$$» ($$-$$$$$$$$$$$$$). $$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$.

$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$$$ ($$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$), $$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$/$$$ $$$$$, $$$$$$$ $$$$$$$$$$ $ $$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$ ($ $$$ $$$$$ $$ $$$$$$$ $$$) $$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$, $ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$.

Понятие, классификация и роль средств защиты информации в современных организациях

В современном информационном обществе, характеризующемся высокой степенью цифровизации бизнес-процессов, защита информации превращается из технической задачи в стратегический приоритет деятельности любой организации. Особую значимость данный аспект приобретает для предприятий малого и среднего бизнеса, которые, с одной стороны, все активнее внедряют информационные технологии в свою деятельность, а с другой стороны, обладают ограниченными ресурсами для построения комплексных систем защиты. В этой связи ключевое значение приобретает четкое понимание сущности, классификации и функциональной роли средств защиты информации (СЗИ) как базовых элементов системы обеспечения информационной безопасности. Анализ современных научных подходов показывает, что категория «средства защиты информации» трактуется неоднозначно, что требует детального теоретического осмысления в рамках данного исследования.

Термин «средства защиты информации» в нормативно-правовой и научной литературе имеет несколько взаимодополняющих определений. Согласно положениям Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», под средствами защиты информации понимаются технические, программные, программно-аппаратные средства, а также средства криптографической защиты информации, предназначенные для предотвращения утечки, хищения, утраты, искажения или уничтожения защищаемой информации. В методических документах Федеральной службы по техническому и экспортному контролю (ФСТЭК России) данное понятие конкретизируется применительно к различным классам информационных систем, что особенно актуально для субъектов МСП, обязанных выполнять требования регуляторов [12].

В научной литературе последних лет предпринимаются попытки уточнения и расширения данного понятия. Так, исследователи отмечают, что СЗИ следует рассматривать не просто как набор технических устройств или программных продуктов, а как сложную организационно-техническую совокупность, интегрированную в общую систему управления предприятием. В работе ряда авторов подчеркивается, что эффективность применения СЗИ напрямую зависит от полноты и своевременности их учета, что является отправной точкой для разработки специализированных информационных систем. Данный подход представляется методологически обоснованным, поскольку он позволяет перейти от фрагментарного понимания к системному взгляду на проблему.

Классификация средств защиты информации представляет собой одну из фундаментальных задач теории информационной безопасности. В современной российской науке сложилось несколько подходов к классификации СЗИ, основанных на различных критериях. Наиболее распространенным является деление по функциональному назначению, в рамках которого выделяют следующие основные группы: технические средства защиты (аппаратные блокираторы, устройства физической защиты носителей), программные средства (антивирусное программное обеспечение, межсетевые экраны, системы обнаружения вторжений), программно-аппаратные комплексы (аппаратные криптошлюзы, токены), организационные меры (регламенты, политики безопасности) и правовые средства (договорные обязательства, локальные нормативные акты). Каждая из перечисленных групп играет свою уникальную роль в обеспечении защищенности информационных ресурсов предприятия.

Важным критерием классификации является способ реализации защиты. По данному основанию СЗИ подразделяются на превентивные (предотвращающие реализацию угроз), обнаруживающие (сигнализирующие о факте атаки или нарушения), локализующие (ограничивающие распространение воздействия) и восстанавливающие (обеспечивающие возврат системы в исходное состояние после инцидента). Кроме того, значимым представляется деление СЗИ по уровню контроля: средства защиты на уровне сети, на уровне операционной системы, на уровне приложений и на уровне данных. Данная классификация имеет $$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$ данных, $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$$ $$$$ $$$$$$$ защиты.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$ $$$$$$ $$$ $$$ $$$$$$. $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$$, $$$ $$$$ $$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$. $$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$ $$$$$$$ $$ $$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$.

$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$ $$ $$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$. $$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$$$ $$$$$$$, $$$$$ $$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ ($$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$), $$$$$$$$$$$ ($$$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$ $$$$$$$$ $ $$$$$$$$), $$$$$$$$$$$ ($$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$), $ $$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$ ($$$$$$$$ $$$$ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$). $ $$$$$$$$$ $$$$$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$.

$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$ $$$, $$$ $$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$$, $$ $ $$$$$$$$$$$$$$-$$$$$$$$$$$$$$ $$$$. $$$$$$$$$ $$$$$$ $$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$, $$$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$, $ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$ [$$]. $$$$$ $$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$.

$$$$$ $$$$$$$$, $$$ $ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$ $$$ $$$$$$$$$ $$$$$$$$$$. $$$$$$$ $ $$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$ ($$$) $$$$$$$ $$$$$ $$$$$$$ $$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$. $ $$$$ $$$$$ $$$$$$$ $$$$$ $$$ $$$$$$ $$$$ $$$$$$ $ $$$$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$ $$$$$ $$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$ $$.

$$$$$$ $$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$$$–$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$, $$$ $$$$$$$$ $$$$$ $$$ $$ $$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$ $$$$$$$$$$ $$$$$$$ $$$ $$$$$$$ $$$$$$$$$$. $$$$$$ $ $$$, $$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$ — $$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ — $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$ [$$]. $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$.

$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$$$ $$$$$$$$$$$$$$, $$$ $$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$ $ $$$$$. $$$$$$$$$ $$ $$$$$$$$, $$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$ $$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$.

Продолжая теоретический анализ, необходимо обратиться к вопросу жизненного цикла средств защиты информации, который имеет принципиальное значение для проектирования учетной системы. Каждое СЗИ, независимо от его типа и функционального назначения, проходит несколько последовательных стадий: планирование и обоснование необходимости приобретения, закупка и установка, эксплуатация и техническое обслуживание, обновление и модернизация, а также вывод из эксплуатации и утилизация. Каждая из этих стадий требует фиксации в учетной системе определенного набора данных: даты начала и окончания этапа, ответственного лица, финансовых затрат, ссылок на сопроводительную документацию. В научных работах последних лет подчеркивается, что именно разрыв или неполнота учета на каком-либо из этапов жизненного цикла приводит к потере управляемости системой защиты и возникновению критических уязвимостей. Например, несвоевременное обновление антивирусных баз или окончание срока действия лицензии на межсетевой экран могут стать причиной успешной кибератаки. Следовательно, разрабатываемая база данных должна обеспечивать сквозной контроль всех этапов жизненного цикла СЗИ, автоматически сигнализируя о наступлении контрольных точек.

Особое место в теории информационной безопасности занимает вопрос соотношения средств защиты информации и смежных понятий, таких как «активы информационной системы» и «объекты защиты». В методических документах ФСТЭК России под активами понимаются информационные ресурсы, программное обеспечение, аппаратное обеспечение, а также персонал, репутация и иные ценности организации. Средства защиты информации в данной парадигме выступают как специализированный подкласс активов, предназначенный для защиты других, более ценных активов. Такая трактовка имеет важное практическое следствие: учет СЗИ должен быть интегрирован с общим учетом активов предприятия, но при этом обладать собственной спецификой, отражающей их защитные функции. В ряде диссертационных исследований, выполненных в 2022–2024 годах, предлагается рассматривать СЗИ как «активы второго порядка», ценность которых проявляется опосредованно, через снижение рисков для основных бизнес-активов. Данный подход позволяет обосновать экономическую целесообразность инвестиций в СЗИ и разработку систем их учета.

Применительно к специфике малого и среднего бизнеса, теоретический анализ выявляет ряд существенных особенностей, отличающих данную категорию предприятий от крупных корпораций. Во-первых, для МСП характерна ограниченность штатной численности сотрудников, отвечающих за информационную безопасность. Зачастую функции администратора безопасности выполняет системный администратор или даже внештатный специалист, что накладывает ограничения на сложность и трудоемкость учетных процедур. Во-вторых, бюджеты на закупку СЗИ у субъектов МСП значительно скромнее, что вынуждает их отдавать предпочтение бесплатным или условно-бесплатным решениям с открытым исходным кодом. В-третьих, для малых предприятий характерна более высокая текучесть кадров и менее формализованные бизнес-процессы, что повышает риски утраты данных об установленных и используемых средствах защиты. Эти особенности необходимо учитывать при проектировании базы данных, которая должна быть интуитивно понятной, не требовать длительного обучения персонала и обеспечивать возможность быстрого восстановления информации после кадровых изменений [27].

Анализ современной научной литературы также выявляет тенденцию к конвергенции различных классов СЗИ. Если еще десять лет назад антивирусное программное обеспечение, межсетевые экраны и системы обнаружения вторжений существовали как самостоятельные продукты, то в настоящее время наблюдается их интеграция в единые платформы, получившие название Next-Generation Firewall (NGFW) или Unified Threat Management (UTM). Такая конвергенция создает дополнительные сложности для учета, поскольку один программно-аппаратный комплекс может выполнять функции сразу нескольких классов СЗИ. В связи с этим, в разрабатываемой базе данных должна быть предусмотрена возможность гибкой классификации, позволяющая одному объекту учета быть отнесенным к нескольким категориям одновременно или изменять свою категорию в процессе эксплуатации. Данное требование поддерживается современными исследованиями в области проектирования информационных систем, где подчеркивается необходимость использования полиморфных схем данных.

Важным теоретическим аспектом является вопрос оценки эффективности применения средств защиты информации. В научной среде сложилось несколько подходов к данной оценке: затратный (основанный на сопоставлении стоимости СЗИ и предотвращенного ущерба), вероятностный (базирующийся на снижении вероятности реализации угроз) и экспертный (использующий оценки квалифицированных специалистов). Для целей учета наиболее релевантным представляется затратный подход, поскольку он оперирует количественными, документально подтвержденными показателями. Вместе с тем, современные исследователи отмечают, что учет СЗИ сам по себе является инструментом повышения эффективности, так как позволяет выявить неиспользуемые или дублирующие друг друга средства защиты и оптимизировать бюджет на информационную безопасность. Данный тезис находит подтверждение в эмпирических исследованиях, проведенных на предприятиях МСП в 2023–2024 годах.

Необходимо также рассмотреть вопрос $$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$. $ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$ $ $$$ $$$$$$, $$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$$. $$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$, $$ $ $$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$$$$$-$$$$$$$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$$$$$ $$$ $$$$$$$$$$. $$$$$ $$$$, $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$ $$$$$$ ($$$$$$$$$$$ $$$$$ № $$$-$$) $ $$$$$$$$$$ $ $$$$ $$$$$ $$$$$$$$$$$ $$$$$ $$$$$ $$$$$$, $$$$ $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$$$$.

$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$ $$$ $$$$ $$$. $ $$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$: $$$$$$$$$$$ ($$$$$$$$$$ $$$$, $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$), $$$$$$$$$$$ ($$$$$$$$$$$ $$, $$$$$$$$$), $$$$$$$$$$ ($$$$$$, $$$$$$$$$$ $$$$$$$$$), $$$$$$$$$$ ($$$$$ $$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$) $ $$$$$$$$$$$$$$$. $$$$$$$ $$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$, $$$ $$$$$$ $$$$ $$$$$$$$ $ $$$$$$$$$ $$$$ $$$$$$. $$$$$$$$, $$$ $$$$$$ $$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $ $$$ $$$$$$ $$ $$$$$$$$$$ $$$$$$$$$ — $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$ $$$$$$$$$. $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$ $$$$, $$ $ $$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$ «$$$$$$ $$$$» $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$.

$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$. $$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$$$$$$$ $$ $$$$$$ $$$$$$$$ $$ $ $$$$$$$ ($$$$$$). $ $$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$, $$$-$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$. $$$$ $$$$$$$$ $$$ $$$$$ $$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$ $ $$$$$$$$$$$. $ $$$$$$$ $$$$$$$$$$$ $$$$–$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$ $$$$$$$$, $$$ $$$$$$$ $$$$$$$$$$$$ ($$$), $$$$$$ $$$$$$$$$$ $$$$$$, $$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$ $$$$$$ $$$$ $$$$$$$$ $ $$ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$, $$$$$$$$$$$$$ $ $$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$, $$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$ $$$$$$. $$-$$$$$$, $$$ $$$$$$$$$$$$ $$$$$ $$$$$$$, $$$$$$$$$$$$$$ $$$$$$ $$$$$, $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$$ $$$$$$$$$$$$, $$$$ $$$$$$$$$$ $$$$$ $ $$$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$. $$-$$$$$$, $$$$$$$$$$$$$ $$$ $$$$$$ $$$$ $$$$$$ $ $$$$$$$$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$, $$$ $ $$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$ $ $$$$$ $$$$$$$$$$$$$ ($$$$$$$$$$$ $$$ $$$$$$$$$$$$). $-$$$$$$$, $$$$ $$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$ $$$$ $$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$, $$$ $$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$ [$]. $-$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$, $$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$ $$$$$ $$$$$$$ $$$$$$. $$$$$$$, $$$$ $$$ $$ $$$$$$$$ $$$$$$$$$, $ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$$$ $$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$ $$$$$$.

Нормативно-правовое регулирование и стандарты в области защиты информации для субъектов МСП

Деятельность по обеспечению информационной безопасности на предприятиях малого и среднего бизнеса не может осуществляться в отрыве от существующей нормативно-правовой базы, которая устанавливает обязательные требования к защите информации различного вида. Российское законодательство в данной сфере характеризуется высокой степенью детализации и динамичностью, что создает определенные сложности для субъектов МСП, не имеющих в своем штате профильных юристов или специалистов по комплаенсу. В этой связи глубокое понимание структуры и содержания нормативно-правового регулирования является необходимым условием для корректной постановки задачи разработки базы данных учета средств защиты информации, поскольку именно требования законодательства определяют перечень подлежащих учету объектов, их атрибуты и периодичность обновления сведений.

Фундаментальную основу российского законодательства в области информационной безопасности составляет Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Данный нормативный акт закрепляет базовые принципы правового регулирования отношений в сфере информации, определяет понятие «защита информации» как принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Закон также устанавливает обязанность обладателя информации принимать необходимые меры по ее защите, что непосредственно относится к субъектам МСП, владеющим коммерческой тайной, персональными данными клиентов или иными охраняемыми сведениями. В контексте разработки базы данных данный закон задает общую рамку, определяющую необходимость фиксации факта принятия мер защиты и их состава.

Ключевым нормативным актом, регулирующим обработку персональных данных, является Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных». Данный закон обязывает операторов персональных данных, к которым относится подавляющее большинство субъектов МСП, принимать необходимые и достаточные меры для обеспечения выполнения обязанностей, предусмотренных законом. В соответствии с требованиями статьи 18.1 Закона № 152-ФЗ, оператор обязан назначить ответственного за организацию обработки персональных данных, утвердить политику в отношении обработки персональных данных, а также принять внутренние регламенты и иные документы. Важнейшим требованием является необходимость проведения инвентаризации информационных систем персональных данных и используемых средств защиты информации. Данное требование напрямую обосновывает необходимость разработки базы данных, которая позволит систематизировать сведения об установленных СЗИ и обеспечить оперативное предоставление отчетности по запросу контролирующих органов [6].

Методическую основу для выбора и применения средств защиты информации составляют документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Особое значение для субъектов МСП имеет Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Данный документ устанавливает четыре уровня защищенности персональных данных, каждому из которых соответствует определенный набор требуемых мер защиты. Для малых предприятий, обрабатывающих персональные данные, как правило, актуальны третий и четвертый уровни защищенности, требующие применения межсетевых экранов, антивирусного программного обеспечения, средств регистрации событий безопасности и контроля целостности. Учетная система должна обеспечивать возможность сопоставления установленных СЗИ с требованиями соответствующего уровня защищенности, что позволит оперативно выявлять несоответствия и планировать мероприятия по их устранению.

В 2021 году ФСТЭК России утвердила обновленные методические документы, в том числе «Методику оценки угроз безопасности информации» и «Меры защиты информации в государственных информационных системах». Хотя данные документы в первую очередь ориентированы на государственные органы, их положения активно применяются и в коммерческом секторе в качестве лучших практик. В частности, методика оценки угроз требует идентификации актуальных угроз и выбора адекватных мер противодействия, что невозможно без полного и достоверного учета имеющихся средств защиты. В научных публикациях 2022–2024 годов неоднократно отмечалось, что отсутствие систематизированного учета СЗИ является одной из основных причин неэффективного расходования средств на информационную безопасность и неспособности своевременно реагировать на изменяющуюся угрозовую обстановку.

Значимым событием в области нормативного регулирования стало принятие Указа Президента Российской Федерации от 1 мая 2022 года № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». $$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$ информационной $$$$$$$$$$$$$$ ($$$) $ $$$$$$ $$$$$$$ $$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$. $$$$ $$ $$$ $$$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$ $$$, $$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$ $$$$$ $$$ в $$$$$. $$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$ от $$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$, $$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$ $$$ $$$ $$$$$$, $ $$$$$ $$$$$$$$ $ $$$$$$$$$ в $$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $ $$$ $$$$$$.

$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$, $$$$$$ $$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$ $ $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$. $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$, $$$$$$$$ $$$$ $ $$$/$$$ $$$$$-$$$$ «$$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$». $$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$, $$$$$$$$$, $$$$$$$$$$$$$$$$, $$$$$$$$$$$, $$$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ ($$$$). $ $$$$$$ $$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$. $$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$ $$ $$$$$$ $$$$$, $ $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$. $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$ $ $$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$.

$$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$$$$$$ $$$$ $ $$$$$.$-$$$$ «$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$». $$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$, $$$$$$ $$$ $$$$$$$$$ $$$$$ $$$$ $$$$$$$ $ $$$ $$$$ $$$$$$$$$ $$$, $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$. $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$ $$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$. $$$$$$$ $$$$$$$, $$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$, $$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $ $$$$$ $$$$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$.

$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$ $$ $$$$ $$$$ $$$$ № $$$-$$ «$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$». $$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$, $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$ ($$$$$$$$). $$$$$$$$ $$$, $$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$. $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$, $$$ $$$$$$$$$ $$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$.

$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ ($$$$), $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$. $$$$$$$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$ $$$$$, $$$$$$$ $$$$$$$ $$$ $$$$$$, $$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$, $$$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$$. $$$ $$$$$$$$$ $$$, $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$ $$$$$, $$$$ $$$$ $$$$$$$$ $$$$$$$$$$$$. $$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$ $$$$$$, $$$$$ $$$ $$$$$$$$, $$$$$$ $$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$ $$ $$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$, $$$$$$ $$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$ $$$$$$$$$$-$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$, $$$ $$$$$$$$$$ $ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$$$$ $$$$ $$$$$ $$$$$$ $ $$$ $$$$$$, $ $$$$$ $$$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$ $$$$$ $$$: $$ $$$$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$ $$$$$$$$$$$$ [$$]. $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$, $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$, $ $$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$.

Продолжая анализ нормативно-правовой базы, необходимо обратиться к вопросу ответственности за нарушение требований законодательства в области защиты информации, что является важным мотивирующим фактором для субъектов МСП при внедрении систем учета СЗИ. Кодекс Российской Федерации об административных правонарушениях (КоАП РФ) содержит ряд статей, устанавливающих ответственность за нарушения в данной сфере. В частности, статья 13.11 КоАП РФ предусматривает штрафы за нарушение законодательства о персональных данных, размер которых для юридических лиц может достигать нескольких сотен тысяч рублей. Статья 13.12 КоАП РФ устанавливает ответственность за нарушение правил защиты информации, а статья 13.13 — за незаконную деятельность в области защиты информации. Для субъектов МСП, чей бюджет на информационную безопасность часто ограничен, даже однократное применение таких санкций может стать серьезным финансовым ударом. Наличие документированной системы учета СЗИ, подтверждающей принятие необходимых мер защиты, может служить смягчающим обстоятельством при рассмотрении дела об административном правонарушении или вовсе свидетельствовать об отсутствии состава правонарушения. Данный аспект существенно повышает практическую ценность разрабатываемой базы данных как инструмента минимизации правовых рисков.

Особого внимания заслуживает вопрос гармонизации российского законодательства в области информационной безопасности с международными стандартами и требованиями. В условиях санкционного давления и политики импортозамещения, российские регуляторы активно разрабатывают собственные нормативные документы, ориентированные на использование отечественных технологий и решений. Вместе с тем, для субъектов МСП, осуществляющих внешнеэкономическую деятельность или работающих с иностранными партнерами, может потребоваться соблюдение требований международных стандартов, таких как PCI DSS (для организаций, обрабатывающих данные банковских карт) или GDPR (для организаций, обрабатывающих персональные данные граждан Европейского Союза). Данные стандарты также содержат требования к учету средств защиты информации, что должно быть учтено при проектировании базы данных. В научных публикациях 2023–2025 годов предлагается создавать гибкие учетные системы, способные адаптироваться к различным нормативным требованиям за счет настраиваемых шаблонов отчетности и атрибутивного состава.

Важным аспектом нормативного регулирования является требование к периодичности обновления сведений об используемых средствах защиты информации. Большинство нормативных документов предписывает проводить инвентаризацию СЗИ не реже одного раза в год, а в случае существенных изменений инфраструктуры — незамедлительно. Однако, как показывает практика, ежегодная инвентаризация является недостаточной для поддержания актуальной картины состояния защищенности. В связи с этим, в методических рекомендациях ФСТЭК России последних лет прослеживается тенденция к переходу на непрерывный мониторинг состава и конфигурации СЗИ. Разрабатываемая база данных должна поддерживать возможность оперативного внесения изменений и ведения истории изменений, что позволит не только фиксировать текущее состояние, но и анализировать динамику изменений, выявлять тенденции и прогнозировать потребности в обновлении или модернизации средств защиты.

Отдельно следует рассмотреть требования к документационному обеспечению системы защиты информации, которые непосредственно связаны с учетом СЗИ. В соответствии с методическими документами ФСТЭК России, на предприятии должна быть разработана и утверждена следующая документация: политика информационной безопасности, положение о коммерческой тайне, перечень сведений, составляющих коммерческую тайну, инструкция пользователя информационной системы, план мероприятий по защите информации, а также журналы учета средств защиты информации, журналы учета носителей информации и иные учетные формы. Разрабатываемая база данных может автоматизировать ведение значительной части указанной документации, обеспечивая формирование журналов учета в электронном виде с возможностью их вывода на печать для предоставления контролирующим органам. В научных исследованиях подчеркивается, что автоматизация документооборота в сфере информационной безопасности является одним из наиболее эффективных способов снижения административной нагрузки на персонал малых предприятий [14].

В контексте цифровой трансформации государственного управления особую актуальность приобретает вопрос интеграции учетных систем предприятий с государственными информационными системами. В настоящее время активно развивается Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), к которой обязаны подключаться владельцы объектов критической информационной инфраструктуры. Хотя для большинства субъектов МСП такое подключение не является обязательным, добровольное участие в системе позволяет получать оперативную информацию об актуальных угрозах и рекомендации по противодействию им. Разрабатываемая база данных может быть спроектирована таким образом, чтобы обеспечивать возможность экспорта данных в форматах, совместимых с ГосСОПКА, что существенно расширит ее функциональные возможности и повысит привлекательность для предприятий, стремящихся к повышению уровня своей киберустойчивости.

Значимым направлением развития нормативного регулирования является стандартизация требований к системам управления информационной безопасностью для субъектов МСП. В 2023 году был разработан проект национального стандарта ГОСТ Р «Информационная $$$$$$$$$$. $$$$$$ $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$$ $$ $$$$$$$$$$ ГОСТ Р $$$/$$$ $$$$$ для субъектов $$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$$$$$». $$$$$$ $$$$$$$$ $$$$$$$$$ $$ $$$$$$$$$ требований $$$$$$$$$$$$$$ стандарта к $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$. В $$$$$$$$$, $$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$, $ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$ МСП $$$$$$$ $$$$$$$$$$ для $$$$$$$$$$ требований стандарта $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$.

$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$, $$$ $$$$$$$$$$$$$$ $$$$$$ ($$$$$$$$$$$$, $$$$$ $$$$$$, $$$$$$$$$$$) $$$ $$$$$$$$$$ $$$$$$$$ $$$ $$$$ $$$$$$$$ $$$$$$$$ $$ $$$$$$$ $ $$$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$. $ $$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$, $$$$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$, $$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$$$$$$$$$, $$$ $$$$$$ $$ $$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$. $$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$ $$$$$$.

$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$-$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$. $ $$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$ ($ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$), $$$ $$$$$$ ($ $$$$$ $$$$$$$$$$$$$$$$$ $$$$$$), $$$$$$$$$$$$$ ($ $$$$$ $$$$$$$$$$$$ $$$$$$) $ $$$$$$$$$$ $$$$$$$$$$$ ($$$$$$$$, $$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$). $$$$$$ $$ $$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$ $$$, $$$ $$$$$$$ $$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$ $$$$$$. $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$, $$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$$-$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$. $$-$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$, $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$ $$$$$ $$$ $$$$ $$$$$$$$$$ $$$$$$$$$$. $$-$$$$$$, $$$$$$$$$$$ $$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$, $$$ $$$$$$$ $$ $$$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$. $-$$$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ ($$$$$ $$$$$$, $$$ $$$$$$, $$$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$) $$$$$$ $$$$ $$$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$ $$$$$$$, $$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$. $-$$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$ $$$$$$$$ $$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$ $ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ [$]. $-$$$$$, $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$, $$$ $$$$$$$$$ $$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$-$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$ $ $$$$$ $$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$$$.

Обзор существующих подходов и систем к учету активов и средств защиты информации

Современный рынок информационных технологий предлагает широкий спектр решений, предназначенных для автоматизации учета активов предприятия, включая средства защиты информации. Однако, как показывает анализ научной литературы и практического опыта, далеко не все из этих решений в полной мере удовлетворяют потребностям субъектов малого и среднего предпринимательства. В данном разделе проводится систематизация и критический анализ существующих подходов и программных продуктов, используемых для учета СЗИ, с целью выявления их сильных и слабых сторон, а также обоснования необходимости разработки специализированной базы данных, учитывающей специфику МСП.

Традиционным и наиболее распространенным подходом к учету средств защиты информации на предприятиях малого и среднего бизнеса является использование электронных таблиц, в частности, Microsoft Excel или его бесплатных аналогов (LibreOffice Calc, Google Sheets). Данный подход привлекает своей доступностью, простотой освоения и минимальными финансовыми затратами. В рамках этого подхода сотрудник, ответственный за информационную безопасность, создает таблицу, в столбцах которой фиксируются наименование СЗИ, его версия, дата установки, срок действия лицензии, ответственное лицо и прочие атрибуты. Однако, как отмечается в научных публикациях последних лет, использование электронных таблиц сопряжено с рядом существенных недостатков. К числу основных проблем относятся: отсутствие механизмов обеспечения целостности и непротиворечивости данных, высокая вероятность ошибок при ручном вводе, сложность организации многоуровневого доступа и разграничения прав, отсутствие версионирования и аудита изменений, а также ограниченные возможности формирования сложных отчетов и аналитических выборок [5]. Кроме того, при увеличении объема учитываемых средств защиты таблица становится труднообозримой, что снижает эффективность ее использования.

Более продвинутым подходом является использование систем класса ITAM (Information Technology Asset Management), которые предназначены для управления жизненным циклом ИТ-активов предприятия. К числу наиболее известных российских и зарубежных продуктов данного класса относятся: ServiceNow ITAM, Ivanti IT Asset Management, HP Asset Manager, а также отечественные решения, такие как Naumen Service Desk, ELMA ITSM и SimpleOne. Данные системы обеспечивают полный цикл управления активами: от планирования закупки и ввода в эксплуатацию до списания и утилизации. Они поддерживают ведение единого реестра активов, автоматизацию процессов инвентаризации, управление лицензиями и контрактами, а также формирование отчетности. Однако, как показывает анализ, системы ITAM обладают рядом недостатков применительно к задачам учета СЗИ на предприятиях МСП. Во-первых, они являются дорогостоящими и требуют значительных затрат на внедрение и сопровождение, что часто недоступно для малого бизнеса. Во-вторых, их функционал является избыточным, поскольку они ориентированы на учет всех ИТ-активов, а не только средств защиты информации, что усложняет интерфейс и требует дополнительного времени на обучение персонала. В-третьих, данные системы не всегда учитывают специфические атрибуты СЗИ, такие как наличие сертификатов ФСТЭК России или ФСБ России, класс защищенности, перечень нейтрализуемых угроз.

Отдельную категорию составляют специализированные системы управления информационной безопасностью, известные как SIEM-системы (Security Information and Event Management). Примерами таких систем являются: MaxPatrol SIEM (Positive Technologies), Kuber SIEM (Kuber Group), R-Vision SIEM, а также зарубежные решения Splunk и IBM QRadar. Основное назначение SIEM-систем заключается в сборе, корреляции и анализе событий безопасности, поступающих от различных источников, включая средства защиты информации. В рамках SIEM-систем может вестись реестр активов, включая СЗИ, однако данный реестр, как правило, является вспомогательным и не предназначен для детального учета всех атрибутов, необходимых для управления жизненным циклом средств защиты. Кроме того, SIEM-системы являются сложными и дорогостоящими решениями, требующими высокой квалификации персонала для настройки и эксплуатации [19]. Для большинства субъектов МСП внедрение полноценной SIEM-системы является экономически нецелесообразным, однако отдельные компоненты таких систем, связанные с учетом активов, могут быть полезны при проектировании специализированной базы данных.

В контексте импортозамещения и политики обеспечения технологического суверенитета особого внимания заслуживают отечественные разработки в области учета средств защиты информации. В последние годы на российском рынке появился ряд решений, ориентированных на потребности государственных организаций и крупных корпораций. К числу таких решений можно отнести систему «Контур.Безопасность» (СКБ Контур), «1С:Предприятие. Управление ИТ-активами» и «Аудит ИБ» от компании «Инфосистемы Джет». Данные системы обеспечивают ведение учета СЗИ, контроль лицензий и сертификатов, планирование закупок и формирование отчетности. Однако, как показывает анализ, их функционал часто является избыточным для малых предприятий, а стоимость внедрения и сопровождения остается высокой. Кроме того, данные системы требуют установки на серверное оборудование и наличия квалифицированного персонала для администрирования, что не всегда доступно субъектам МСП.

Значительный интерес представляют решения класса CMDB (Configuration Management Database), которые предназначены для хранения информации о конфигурационных единицах ИТ-инфраструктуры и связях $$$$$ $$$$. $$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$: $$$$, $$$$ $$$$, $$$$$$$$$$ CMDB, $ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$. CMDB-$$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$ $$$$ $$$, $$ и $$$$$$$$$$$$ $$$$$ $$$$$ $$$$, $ $$$$$ $$$$$ $$$ и $$$$$$$ $$$$$$$$$$ инфраструктуры ($$$$$$$$$, $$$$$$$$ $$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$). $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$ $$ $$$$$ $$$ $$$$$$$$$$$$$ $$$$$$ $$$ $$ $$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$, $$$ и $ $$$$$$ $ $$$$-$$$$$$$$$, CMDB-решения $$$$$$$$ $$$$$$$$ и $$$$$$$$$$$$$$, $ $$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$-$$$$$$$$$ $$$$$$$$$$ ИТ-$$$$$$$$$$$$$$$, $$$ $$ $$$$$$ $$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ и $$$$$$$$ $$$$$$$.

$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$ $$$$$ ($$$$ $$$$$$), $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $ $$$$$ $$$$$ $$$$$$ $$$$$$$$$: $$$$ ($$$$$$$$$$$$ $$$$$ $$ $$$$ $$$$$$$$$$$$), $$$ $$$$$$$$$ $$, $$$$$-$$, $ $$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$ $$$ $$$$$$$ $ $$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$, $$$ $$$$$$ $$ $$$$$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$ $ $$$$$$$$$$$$ $$$$$$$$. $$$$$$, $$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$ $$$$$$-$$$$$$$ $$$$$$$$$ $ $$$$$ $$$$$$$$$$: $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$, $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$. $ $$$$$$$ $$$$$$$$$$$ $$$$–$$$$ $$$$$ $$$$$$$$$$, $$$ $$$ $$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$-$$$$$$ $$ $$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$, $$$ $$ $$$$$$ $$$$$$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$ ($$$$) $$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$ $$$$$$ «$ $$$$» $ $$$$$$$$$$$$$$ $$$$$ $$$$, $$$ $$$$$$$$$$, $$$$$, $$$$$$$$$ $$$ $$$$$$ $$$ $$$$$$. $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$: $$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$, $$$$$$ $$$$$$$$$ ($$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$), $ $$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$. $ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$, $$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$$ $$ $$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ [$$]. $$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$.

$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$ $$$$$$. $$-$$$$$$, $$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$ ($$$, $$$$$$$$$$$$$, $$$$$ $$$$$$, $$$$$$$$$$). $$-$$$$$$, $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$$ $$$$$ $$$, $$$$$$$ $$$$ $$$$$$$$$, $$$$$$$$$$, $$$$$$$$$ $$$$$$$$ $ $$$$$$ $$ $$$$$$$$$$$$. $-$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ ($$$$$$$$, $$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$$$). $-$$$$$$$$$, $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $ $$$$$$$$$, $$$$$$$ $$$$$ $$ $$$$$$$$. $-$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$ $$$$$$ $$$$$$ ($$ $$$$$ $$$, $$ $$$$$$$$$$$$$$, $$ $$$$$$ $$$$$$$$$ $$$$$$$$). $-$$$$$$, $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$.

$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $ $$$$ $$$$$$-$$$$$$$ $$$$$$$$$$, $$$ $$ $$$$ $$ $$$ $ $$$$$$ $$$$ $$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$. $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$, $$$$ $$$$$$-$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$, $ $$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$. $ $$$$$ $ $$$$, $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$ $$$$$$, $$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$ $$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$, $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$ $ $$$$$ $$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$, $$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$. $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$, $$$$ $ $$$$ $$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$$. $$$$ $$$$$$-$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$ $$ $$$$$$ $$$$$ $$ $$$$$$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$. $$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$ $$$$$ $$$$$$$$$ $$$$$$.

Продолжая анализ существующих подходов, необходимо детально рассмотреть методологические основы проектирования баз данных для учета активов, которые сформировались в российской научной школе за последние годы. В работах отечественных исследователей выделяется несколько ключевых принципов, которым должна удовлетворять подобная система. Прежде всего, это принцип системности, предполагающий рассмотрение средств защиты информации не как изолированных объектов, а как элементов единой системы обеспечения информационной безопасности, связанных между собой и с другими активами предприятия. Вторым важным принципом является принцип полноты, требующий включения в учетную систему всех без исключения СЗИ, независимо от их стоимости, способа приобретения или текущего статуса. Третьим принципом выступает принцип актуальности, который подразумевает необходимость своевременного обновления данных о состоянии каждого средства защиты. Наконец, принцип доступности означает, что система учета должна быть понятна и удобна для использования сотрудниками, не обладающими глубокими знаниями в области информационных технологий. Данные методологические принципы легли в основу требований к проектируемой базе данных.

Значительное внимание в современной научной литературе уделяется вопросу интеграции системы учета СЗИ с другими информационными системами предприятия. В идеале, база данных учета средств защиты информации должна быть интегрирована с системой управления ИТ-активами, системой управления инцидентами, системой управления уязвимостями, а также с системой финансового учета для автоматизации процессов закупки и списания. Однако, для субъектов МСП, где количество используемых информационных систем, как правило, невелико, такая интеграция может быть реализована поэтапно, начиная с наиболее критичных связей. В научных публикациях 2023–2024 годов предлагается архитектура, в которой база данных учета СЗИ выступает в качестве центрального репозитория, обменивающегося данными с другими системами через API-интерфейсы или путем прямого импорта-экспорта данных. Данный подход обеспечивает гибкость и масштабируемость системы, позволяя расширять ее функционал по мере роста предприятия.

Особого внимания заслуживает вопрос классификации и кодирования средств защиты информации в рамках разрабатываемой базы данных. В научной литературе предлагаются различные подходы к построению системы кодирования, включая иерархические, фасетные и дескрипторные классификаторы. Для целей учета СЗИ на предприятиях МСП наиболее целесообразным представляется использование иерархического классификатора, в котором каждому средству защиты присваивается уникальный код, отражающий его принадлежность к определенной группе, типу и виду. Например, код может содержать информацию о классе СЗИ (программное, аппаратное, программно-аппаратное), функциональном назначении (антивирус, межсетевой экран, система обнаружения вторжений), производителе и модели. Такая система кодирования обеспечивает однозначную идентификацию каждого объекта учета и упрощает процессы поиска, сортировки и фильтрации данных. Кроме того, она позволяет автоматически генерировать отчеты по различным уровням иерархии.

В контексте развития технологий искусственного интеллекта и машинного обучения, в научных исследованиях последних лет активно обсуждается возможность применения данных методов для прогнозирования потребностей в средствах защиты информации. Анализ исторических данных об использовании СЗИ, частоте их обновления, выявленных уязвимостях и инцидентах безопасности позволяет строить прогнозные модели, которые могут рекомендовать оптимальные сроки замены или модернизации средств защиты. Однако, для внедрения таких моделей на предприятиях МСП требуется накопление достаточного объема статистических данных, что возможно только при наличии системы автоматизированного учета, функционирующей в течение продолжительного времени. Таким образом, разрабатываемая база данных может рассматриваться как фундамент для последующего внедрения элементов прогнозной аналитики, что существенно повышает ее стратегическую ценность.

Важным аспектом, который необходимо учитывать при проектировании базы данных, является обеспечение безопасности самих учетных данных. Информация об используемых средствах защиты информации является конфиденциальной, поскольку ее раскрытие может быть использовано злоумышленниками для планирования атак. В связи с этим, доступ к базе данных должен быть строго разграничен, а передача данных по сети должна осуществляться с использованием шифрования. В научных публикациях подчеркивается, что система учета СЗИ сама должна являться объектом защиты, и к ней должны применяться те же меры безопасности, что и к другим критичным информационным системам предприятия. Данное требование должно быть учтено на этапе проектирования архитектуры базы данных и выбора СУБД.

Отдельного рассмотрения заслуживает вопрос организации пользовательского интерфейса для работы с базой данных учета СЗИ. Учитывая, что основными пользователями системы $$$$$ $$$$$$$$$$, $$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$ $ $$$$$$$$$$$$$$ $$$ данных, $$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$ $ $$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$. $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ с $$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$ $$$$$$$: $$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$, $$$$$ $ $$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$. $ $$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$ $$$-$$$$$$$$$, $$$$$$$$$$$$$$ $$$$$$ $ $$$$ данных $$$$$ $$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$. $$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $$$$ $$$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$$.

$$$$$$ $$$$$$$$$$$ $$$$$, $$$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$, $$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$. $ $$$$$$$ $$$$$$$$$$$$ $$$$$ $ $$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$-$$$$$$$$, $$$$$ $$$ $$$$$$$$$$, $$$$$$$ $ $$$ $$$$$. $$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$ $$ $$$$$$ $$$$ ($$$$$$$$ $$ $ $$$$$$$), $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$ $$-$$$$$$$$$$$$$$. $$$$$$, $$$ $$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$. $ $$$$$ $ $$$$, $ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$-$$$$$$$$, $$$$$$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$. $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$ $ $$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$ $ $$$$$$$$ $$$$$, $$$ $$$$$$$$ $$$$$ $$ $$$$$$$$$$.

$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$, $$$ $$$$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $$$ $$$$$$$$$ $$$, $$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ ($$$$$$$$, $$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$) [$]. $$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$ $$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$. $ $$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$ $ $$$$$ $$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$. $$-$$$$$$, $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$ $$$, $ $$$$$$$$$ $$$$$ $$ $$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$ $$$$$$. $$-$$$$$$, $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$ $$$$$$ $$ $$$$$$ $$$$$$$$$$$ $$$$ $ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$. $-$$$$$$$, $$$$$$$ $$$$$ $$$$$$ $$$$ $$$$$$ $ $$$$$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$. $-$$$$$$$$$, $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$, $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$, $ $$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$. $-$$$$$, $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$ $$$$ $$$$$$$$ $$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ [$$]. $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$-$$$$$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$ $$ $$$$$$ $$$$$, $ $$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$.

Анализ бизнес-процессов управления средствами защиты информации на предприятиях малого и среднего бизнеса

Переход от теоретического анализа к практической разработке требует детального изучения предметной области, в рамках которой будет функционировать проектируемая база данных. Управление средствами защиты информации на предприятиях малого и среднего бизнеса представляет собой совокупность взаимосвязанных бизнес-процессов, охватывающих весь жизненный цикл СЗИ: от идентификации потребностей в защите до вывода средств из эксплуатации. Понимание структуры, участников и информационных потоков данных процессов является необходимым условием для корректной постановки задачи и формулирования требований к разрабатываемой системе. В данном разделе проводится анализ бизнес-процессов управления СЗИ на типовом предприятии МСП с использованием методов структурного анализа и моделирования.

Исходной точкой анализа является идентификация ключевых участников процесса управления СЗИ. На предприятиях малого и среднего бизнеса, в отличие от крупных корпораций, штатная структура, как правило, не предусматривает выделенного подразделения по информационной безопасности. Функции управления СЗИ распределяются между несколькими сотрудниками, часто совмещающими различные роли. Типичными участниками процесса являются: генеральный директор (или иное лицо, принимающее решения о финансировании), системный администратор (или внештатный ИТ-специалист), ответственный за обработку персональных данных (назначаемый в соответствии с требованиями Федерального закона № 152-ФЗ), а также конечные пользователи информационной системы. Каждый из участников выполняет определенные функции и обладает специфическими потребностями в информации, что должно быть учтено при проектировании базы данных.

Процесс управления СЗИ может быть декомпозирован на несколько последовательных этапов. Первым этапом является планирование и определение потребностей в средствах защиты. На данном этапе на основе анализа угроз информационной безопасности, требований законодательства и рекомендаций регуляторов формируется перечень необходимых СЗИ. Для субъектов МСП данный этап часто выполняется неформально, на основе опыта системного администратора или рекомендаций внешних консультантов. В научных публикациях последних лет отмечается, что отсутствие формализованной процедуры планирования приводит к неоптимальным закупкам: приобретению избыточных или, напротив, недостаточных средств защиты. Разрабатываемая база данных может служить инструментом поддержки принятия решений на данном этапе, предоставляя информацию о текущем составе СЗИ, выявленных недостатках и сроках окончания действия лицензий.

Вторым этапом является закупка и приобретение средств защиты информации. Данный процесс включает в себя выбор поставщика, согласование бюджета, заключение договора и получение СЗИ. На предприятиях МСП процедура закупки, как правило, упрощена и может осуществляться на основании одной счет-фактуры без проведения тендеров. Однако, даже в упрощенном виде, данный процесс требует фиксации информации о поставщике, стоимости, условиях лицензирования и сроках поставки. В рамках базы данных должна быть предусмотрена возможность хранения данной информации, а также прикрепления сканированных копий договоров и счетов. Особое внимание следует уделить учету условий лицензирования, поскольку многие современные СЗИ распространяются по подписке (SaaS-модель) с ежегодной оплатой.

Третьим этапом является установка и настройка средств защиты информации. Данный процесс выполняется системным администратором или специалистом по информационной безопасности и включает в себя инсталляцию программного обеспечения, настройку параметров конфигурации, интеграцию с другими компонентами информационной системы и тестирование работоспособности. На данном этапе критически важным является документирование настроек, поскольку от корректности конфигурации напрямую зависит эффективность работы СЗИ. В научных исследованиях подчеркивается, что отсутствие документации по настройке является одной из основных причин некорректной работы средств защиты и ложных срабатываний [16]. База данных должна обеспечивать хранение информации о версии установленного СЗИ, дате установки, параметрах конфигурации и ответственных за настройку сотрудниках.

Четвертым этапом является эксплуатация и техническое обслуживание средств защиты информации. Данный этап является наиболее протяженным во времени и включает в себя мониторинг работоспособности СЗИ, установку обновлений (включая обновления антивирусных баз, сигнатур и программных модулей), обработку инцидентов безопасности, а также периодическую проверку эффективности работы средств защиты. Для субъектов МСП, где штатный системный администратор часто загружен решением множества текущих задач, эксплуатация СЗИ может носить реактивный характер: обновления устанавливаются с задержкой, а инциденты обрабатываются по факту их возникновения. Разрабатываемая база данных должна поддерживать функцию напоминания о необходимости установки обновлений, а также вести журнал событий, связанных с эксплуатацией каждого СЗИ.

Пятым этапом является контроль и аудит использования средств защиты информации. Данный процесс включает в себя периодическую инвентаризацию СЗИ, проверку соответствия их состава требованиям нормативных документов, анализ эффективности использования и подготовку отчетности для руководства и контролирующих органов. На предприятиях МСП инвентаризация СЗИ, $$$ $$$$$$$, $$$$$$$$$$ $$$$ $$$ в $$$, $$$$$ в $$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$ $$$$$$. $$$$$$, $$$ $$$$$$$$$$ $$$$$$$$, $$$$$$$$$ инвентаризация является $$$$$$$$$$$$$, и $ $$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$ $$$ $$$$$$$$$$. $$$$ $$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$ и $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$ и $$$$$$$$$$$$$$$ $$$$$$.

$$$$$$, $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$ $$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$ $ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$, $ $$$$$ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$ $$$$$$$. $ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$, $$$$$ $$ $$$$$$$$$$$$ $$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$ $ $$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ [$]. $$$$ $$$$$$ $$$$$$ $$$$$$$$$$$ $$$$ $ $$$$$$$ $$$$$$ $$ $$$$$$$$$$$$, $ $$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$.

$$$$$$ $$$$$$-$$$$$$$$$ $$$$$$$$$$ $$$ $$ $$$$$$$$$$$$ $$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$$ $$$$ $$$$$$. $$-$$$$$$, $$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$: $$$$$$$$$$ $ $$$ $$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$ ($$$$$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$$$, $$$$$$ $$$$$$$$$$$), $$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$. $$-$$$$$$, $$$ $$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$: $$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$ $$$$$ $$$$$$$$$, $$$$$$$$$$ $$$ $$$$$$$$ $$$. $-$$$$$$$, $$$ $$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$: $$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$ $ $$$$ $$ $$$$$$$$ $$$$$$, $$$ $$$$$$$$ $ $$$$$$$$$$$$ $ $$$$$$$$. $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$, $$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$, $ $$$ $$$$$ $$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$. $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$$$ $ $$$$$$ $$$$$$ $$$$$$$$$, $$$$$$$$: $$$$$$ $$ $$$$$$$$$$$$ $$$, $$$$$ $ $$$$$$$$ $ $$$$$$$$$$$$, $$$$ $$$$$$$$$ $ $$$$$$$$$, $$$$$$$ $$$$$$$$$$, $$$$$$ $$ $$$$$$$$$$, $$$$ $$$$$$$$. $$$$$$ $$ $$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$ $$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$ $$$$$$. $$$ $$$$ $$$$$ $$$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$, $$$$$$$$$$$$ $ $$$$$$ $$$, $$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$. $ $$$$$$$ $$$$$$$$$$$ $$$$–$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$ $$$$$ $$$$$$ $$$$$$, $$$$$$$$$$ $$ $$$$$$$$$ «$$$$$$$ $$$$», $$$$$ $$$ $$$$$$$$$$ $ $$$ $$$$$$$$$$$$$ $ $$$$$ $$$$$$, $ $$$$$$$$$ $$$$$$$$$$$$$ $ $$$ $ $$$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$.

$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$$$ $$$. $$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$$ $$ $$$$$$$$$$$$ $$$, $$$$$$$$$$, $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$ $$ $$$$$ $$$$$$$$$$$$ ($$-$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$) $ $$$$$$$$$$$$$$ ($$-$$ $$$$$$$$$$$$$ $$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$). $$$$$$$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$$ $$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$: $$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$, $$ $$–$$ $$$$$$$$$. $$$$$ $$$$, $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$, $ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$.

$ $$$$$$$$$ $$$$$$$ $$$$$$-$$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$: $$$$$$$$$$$$ $$$, $$$$$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $ $$$$$$$$$$$$$, $ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$ $$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$. $$$$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$$$$$$. $$$$$ $$$$, $$$$ $$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$ $$$$$$$$$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$ $$$$$$-$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$, $$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$ $$$$$ $$$: $$ $$$$$$$$$$$$ $$ $$$$$$$$, $$$$$$$$$$$ $$$ $$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$ ($$$$$$$$$$$$$$ $$$$$$, $$$$$$ $$$$$$$$$$ $$$$$, $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$) $$$$$$ $$$$ $$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$ — $$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$.

Продолжая анализ бизнес-процессов управления средствами защиты информации, необходимо детально рассмотреть вопросы документооборота, сопровождающего каждый из этапов жизненного цикла СЗИ. На предприятиях малого и среднего бизнеса документооборот в сфере информационной безопасности, как правило, менее формализован по сравнению с крупными корпорациями, однако его наличие является обязательным требованием регуляторов. Ключевыми документами, которые должны быть сформированы в процессе управления СЗИ, являются: акт приема-передачи СЗИ, акт ввода в эксплуатацию, журнал учета СЗИ, журнал учета носителей информации (если применимо), акт об уничтожении (списании) СЗИ, а также отчеты о проведении инвентаризации. Каждый из перечисленных документов имеет установленную форму и перечень обязательных реквизитов, что должно быть учтено при проектировании базы данных для обеспечения возможности автоматической генерации документов.

Значительное внимание в рамках анализа бизнес-процессов следует уделить вопросу периодичности выполнения ключевых операций. В соответствии с рекомендациями ФСТЭК России и требованиями стандартов, инвентаризация средств защиты информации должна проводиться не реже одного раза в год. Однако, учитывая динамичность угрозовой обстановки и появление новых версий программного обеспечения, более целесообразным является проведение инвентаризации на ежеквартальной основе. Обновление антивирусных баз и сигнатур систем обнаружения вторжений должно производиться ежедневно или по мере выхода обновлений производителем. Проверка целостности программного обеспечения СЗИ и его конфигурации рекомендуется к проведению ежемесячно. База данных должна поддерживать возможность настройки периодичности выполнения различных операций и автоматического формирования напоминаний ответственным сотрудникам о наступлении контрольных сроков.

Важным аспектом, выявленным в ходе анализа, является необходимость учета взаимосвязей между различными средствами защиты информации. В современных информационных системах СЗИ редко функционируют изолированно; они образуют сложные комплексы, где работа одного средства зависит от корректной работы другого. Например, система обнаружения вторжений может передавать данные о подозрительной активности на межсетевой экран для блокировки трафика, а антивирусное программное обеспечение может интегрироваться с системой управления событиями безопасности. В рамках базы данных должна быть предусмотрена возможность описания таких взаимосвязей, что позволит моделировать влияние выхода из строя одного СЗИ на общий уровень защищенности информационной системы. В научных публикациях 2023–2024 годов предлагается использовать для этих целей графовую модель данных, однако в рамках настоящей работы, учитывая специфику МСП, будет применяться реляционная модель с дополнительными таблицами связей.

Отдельного рассмотрения заслуживает вопрос учета затрат, связанных с приобретением и эксплуатацией средств защиты информации. Для субъектов малого и среднего бизнеса, обладающих ограниченными финансовыми ресурсами, оптимизация затрат на информационную безопасность является одной из приоритетных задач. База данных должна обеспечивать возможность учета всех видов затрат: единовременных (на приобретение лицензий, оборудования) и периодических (на продление подписки, техническую поддержку, обучение персонала). На основе накопленных данных система должна позволять формировать отчеты о совокупной стоимости владения (TCO) каждым СЗИ, а также сравнивать затраты на различные средства защиты с целью оптимизации бюджета. Данная функциональность является особенно востребованной для руководства предприятий МСП, принимающего решения о финансировании мероприятий по информационной безопасности.

В контексте анализа бизнес-процессов необходимо также рассмотреть вопрос управления инцидентами информационной безопасности, связанными со средствами защиты информации. Инцидентом может являться как выход СЗИ из строя, так и обнаружение уязвимости в его конфигурации или попытка несанкционированного доступа к системе управления СЗИ. База данных должна обеспечивать регистрацию инцидентов, их классификацию по степени критичности, фиксацию действий по устранению и сроков восстановления работоспособности. Связь между инцидентами и конкретными СЗИ позволит выявлять средства защиты, наиболее подверженные сбоям или атакам, и принимать обоснованные решения об их замене или модернизации. В научных исследованиях подчеркивается, что накопление статистики по инцидентам является основой для построения системы управления рисками информационной безопасности на предприятии [22].

Значимым результатом анализа бизнес-процессов является выявление потребности в разграничении прав доступа к учетной информации. На предприятиях МСП доступ к информации о средствах защиты должен быть дифференцирован в зависимости от роли сотрудника. Системный администратор должен иметь полный доступ ко всем данным, включая возможность редактирования записей и изменения конфигурации. Руководитель предприятия должен иметь доступ к отчетам о состоянии защищенности и затратах, но не обязательно к детальной технической информации. Аудиторы и контролирующие органы должны иметь доступ только к тем данным, которые необходимы для проведения проверки. Реализация механизмов разграничения доступа является обязательным требованием к разрабатываемой базе данных, поскольку информация о $$$ $$$$ $$ $$$$ является $$$$$$$$$$$$$$$$.

$ $$$$ $$$$$$$ $$$$$ $$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$. $$$$$$$ $$$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ ($$$$$$$$, $$:$$$$$$$$$$$), $$$$$$$ $$$$$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $ $$$$$$$$$ ($$$) $ $$$$$$ $$$$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$, $$$$ $$$$$$ $$$$$ $$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$ $ $$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$. $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$, $$$$ $ $$$. $ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$$, $$$$$$ $$$ $$$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$.

$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$. $$$ $$$$$$$$$$$ $$$ $$$$$$ $$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$, $$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$ $$$$. $ $$$$$ $ $$$$, $ $$$$$$$$$$$ $ $$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$, $ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$ $ $$$$$$ $$$$. $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$, $$ $$ $$$$$ $$$$ $$$$ $$$$$$ $$$$ $ $$$$$$. $$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$ $ $$$$$$$$ $$$$$$$$$.

$$$$$$ $$$$$$-$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$. $$$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$ $$$$$, $$$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$$. $ $$$$$ $ $$$$, $$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$ ($$$) $$$ $$$$$ $$$-$$$$$$$$$, $$$$$$$$$ $$$$$ $$$$$$$. $$$ $$$$ $$$$$$ $$$$ $$$$$$$ $$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$ $$$$ $$$$.

$ $$$$$$$$$$ $$$$$$$ $$$$$$-$$$$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$. $$$$$$ $$$$$$ $$$$$ $ $$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$ $$$$$$$$$$$$, $$ $ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$ $ $$$$ $$$$$$$ $$$$$$-$$$$$$$$, $$ $$$$$$$$$, $$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$ [$$].

$$$$$$$$$$$ $$$$$$ $$$$$$-$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$ $$$$$$. $$-$$$$$$, $$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $ $$$$ $$$$$$$$$$$$, $$$$$$$, $$$$$$$$$, $$$$$$$$$$$$, $$$$$$$$ $ $$$$$$$$, $$$$$$ $$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$. $$-$$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$, $$$$$$ $$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$. $-$$$$$$$, $$$$$$$$ $$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$ $$$: $$$$$$$$$$$$$$ $$$$$$, $$$$$$ $$$$$$$$$$ $$$$$, $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$. $-$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$. $-$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$, $$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$ — $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$.

Выявление функциональных и нефункциональных требований к проектируемой базе данных

Формулирование требований к программному обеспечению является одним из наиболее ответственных этапов разработки информационной системы, поскольку именно на данном этапе закладывается основа для всех последующих проектных решений. Требования к базе данных учета средств защиты информации должны быть сформулированы таким образом, чтобы обеспечить максимальное соответствие разрабатываемого продукта потребностям конечных пользователей и специфике бизнес-процессов предприятий малого и среднего предпринимательства. В данном разделе проводится систематизация и формализация функциональных и нефункциональных требований, выявленных в ходе анализа предметной области и изучения существующих аналогов.

Функциональные требования определяют, какие именно функции должна выполнять система для достижения поставленных целей. В контексте разрабатываемой базы данных учета СЗИ функциональные требования могут быть разделены на несколько групп, соответствующих основным этапам управления средствами защиты. Первая группа требований связана с ведением реестра средств защиты информации. Система должна обеспечивать возможность добавления, редактирования и удаления записей о каждом СЗИ. Каждая запись должна содержать следующий минимальный набор атрибутов: уникальный идентификатор, наименование, тип СЗИ, производитель, версия, дата установки, дата окончания лицензии, статус (в эксплуатации, на обслуживании, выведено из эксплуатации), ответственное лицо, место установки (сервер, рабочая станция, сетевое устройство). Данный набор атрибутов является обязательным и должен быть предусмотрен в структуре базы данных на этапе проектирования.

Вторая группа функциональных требований связана с учетом жизненного цикла СЗИ. Система должна фиксировать все значимые события, происходящие с каждым средством защиты: установка, обновление, изменение конфигурации, продление лицензии, вывод из эксплуатации. Для каждого события должны сохраняться дата, описание и ссылка на подтверждающий документ (акт, счет, договор). Хранение истории изменений позволяет не только отслеживать текущее состояние СЗИ, но и анализировать динамику изменений, выявлять тенденции и планировать будущие мероприятия. В научных публикациях последних лет подчеркивается, что наличие полной истории жизненного цикла СЗИ является обязательным требованием для прохождения аудита информационной безопасности.

Третья группа функциональных требований связана с поиском и фильтрацией данных. Учитывая, что на предприятии МСП может эксплуатироваться от нескольких десятков до нескольких сотен различных СЗИ, система должна предоставлять пользователю удобные инструменты для поиска нужной информации. Должна быть реализована возможность поиска по наименованию, типу, производителю, статусу, ответственному лицу и другим атрибутам. Кроме того, система должна поддерживать фильтрацию данных по различным критериям, а также сортировку записей по любому из столбцов. Реализация данных функций позволит пользователю быстро находить необходимую информацию и формировать выборки для анализа.

Четвертая группа функциональных требований связана с формированием отчетности. Система должна обеспечивать генерацию отчетов по различным срезам данных: реестр всех СЗИ, перечень СЗИ с истекающими лицензиями, перечень СЗИ, требующих обновления, отчет по затратам на СЗИ за период, отчет о соответствии состава СЗИ требованиям нормативных документов. Отчеты должны формироваться в форматах, пригодных для вывода на печать и предоставления контролирующим органам (PDF, DOCX, XLSX). Кроме того, система должна предоставлять возможность экспорта данных в форматах для дальнейшей обработки в других программах (CSV, XML). Наличие гибкой системы отчетности является одним из ключевых требований, поскольку именно отчеты являются основным инструментом взаимодействия с руководством и контролирующими органами [4].

Пятая группа функциональных требований связана с управлением пользователями и разграничением прав доступа. Система должна поддерживать регистрацию пользователей и назначение им ролей с различными уровнями доступа. Минимально необходимыми ролями являются: администратор (полный доступ ко всем функциям), оператор (доступ к просмотру и редактированию данных, но без возможности изменения настроек системы), наблюдатель (доступ только к просмотру данных и формированию отчетов). Каждое действие пользователя по изменению данных должно фиксироваться в журнале аудита с указанием даты, времени, идентификатора пользователя и характера изменений. Данное требование является обязательным для обеспечения подотчетности и возможности расследования инцидентов, связанных с несанкционированным доступом к учетным данным.

Шестая группа функциональных требований связана с интеграцией с другими системами. Как было отмечено в предыдущем разделе, база данных учета СЗИ должна иметь возможность обмена данными с бухгалтерской системой, системой документооборота и другими информационными системами предприятия. Для обеспечения интеграции необходимо реализовать функции импорта и экспорта данных в форматах XML, JSON и CSV. В перспективе может быть реализован API для прямого взаимодействия с внешними системами. Однако, учитывая ограниченные ресурсы субъектов МСП, на начальном этапе достаточно реализации базовых функций импорта и экспорта.

Седьмая группа функциональных требований связана с обеспечением удобства пользовательского интерфейса. Интерфейс должен быть интуитивно понятным и не требовать длительного обучения. Основные функции (добавление записи, поиск, формирование отчета) должны быть $$$$$$$$ $ $$$$-$$$ $$$$$. Интерфейс должен $$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$ ($$$$$$$$$$ $$$$$$$$$, $$$$$$$, $$$$$$$) и $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$. $$$ $$$$$$$$$ $$$$$ $$$$$$ должны быть $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ и $$$$$$$. $$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$ интерфейса: $$$ $$$$$$$$ должны быть $$ $$$$$$$ $$$$$, $ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$.

$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$, $$$ $$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$, $$ $$$$$$$$$ $$$$$$$$ $ $$ $$$$$$$$$, $$ $$$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$. $$$$$$ $ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$ $$$$$ $$$$$$$$$$$$$$, $$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$. $$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$. $$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$ $$$$. $$$$$ $$$$, $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$.

$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $$ $$$$$$$ $$$$$$$$$$$$ $$ $$$$$ $$$$ $$$$$$ $$$ $$$$$$ $ $$$$$ $$$$$$, $$$$$$$$$$ $$ $$ $$$ $$$$$$$. $$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$ $$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $, $$$ $$$$$$$$$$$$$, $$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$. $$$$$$$$, $$$ $$ $$$$$$$$$$$$ $$$ $$$$$$ $$$$$$, $$$ $$$$$$$, $$$$$$$$, $$$$$$ $$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$.

$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$ $$ $$$$$$$$$$$$$$$$$$$$ $$$$$$$ $$$ $$ $$$$$$ $$$$$$$$$$ ($$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$$$ $$$$), $$$ $ $$ $$$$$$ $$$$ $$$$$$ ($$$$$$$$$$ $$$$$$$, $$$$$$ $$ $$$-$$$$$$$$). $$$$$$$$ $$$$$$ $$ $$$$ $$$$$$ $$$$$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$ $$$$$. $$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$.

$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$, $$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$. $$$$$$$$$$$ $$$$ $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$ $$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$ $ $$$$$$$$ $$$$$ $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$, $$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$.

$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$, $$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$. $$$ $$$$$$ $$$$ $$$$$$$$$$$$$$, $$$$$$$$$ $$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ ($$$$$$ $$$$$$, $$$$$$$$$ $$$$$$ $ $$$$$$). $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$ $$$$$$$$$ $$$, $$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$.

$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$ ($$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$). $$$$$ $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$$ $% $$ $$$$$$ $$$$$$$ $$$$$$$$$$$$ $ $$$$$. $$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$$$$$$ [$$].

$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$. $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$: $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$, $$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ $$ $$$$$$$, $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$$ $$$$$$$$ $$$$$ $$$ $$$$$$$$$$$ $$$, $$$ $$$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$.

$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$ ($$$$$$$, $$$$$, $$$$$) $$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ ($$$$$$, $$$$$$$, $$$$$$, $$$$). $$$$$ $$$$, $$$$$$$ $$$$$$ $$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$, $$$$$$$$$$$$$ $$ $$$$$$$$$$$$ $$$ ($$$$$$$$$$, $$$$$, $$$$$$). $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $ $$$, $$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$ $$$$$: $$$$$$$ $$$$$$$ $$$, $$$$ $$$$$$$$$$ $$$$$, $$$$$ $ $$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$$$$$$$, $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$$$: $$$$$$$$$$, $$$$$$$$$$$$$$$$$$, $$$$$$$$$$$$, $$$$$$$$$$$$$$$$, $$$$$$$$$$$$$$$$, $$$$$$$$$$$, $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$ $ $$$$$$ $$$$$$$ $$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$.

Продолжая детализацию требований к проектируемой базе данных, необходимо рассмотреть вопрос классификации требований по степени их критичности и приоритетности реализации. В практике разработки информационных систем принято выделять обязательные требования (без выполнения которых система не может быть введена в эксплуатацию), желательные требования (существенно повышающие удобство и эффективность работы, но не являющиеся критическими) и перспективные требования (реализация которых планируется в будущих версиях системы). Для разрабатываемой базы данных учета СЗИ к обязательным требованиям относятся: ведение реестра СЗИ с минимальным набором атрибутов, учет жизненного цикла, поиск и фильтрация, формирование базовых отчетов, аутентификация пользователей и разграничение прав доступа, резервное копирование и восстановление данных. К желательным требованиям можно отнести: расширенный набор атрибутов СЗИ, автоматические напоминания о событиях, интеграцию с внешними системами, формирование сложных аналитических отчетов. К перспективным требованиям относятся: реализация веб-интерфейса, поддержка мобильных устройств, интеграция с системами класса SIEM и GRC, использование методов прогнозной аналитики. Данная классификация позволяет рационально распределить ресурсы на этапе разработки, сосредоточившись в первую очередь на реализации обязательных требований.

Особого внимания в рамках формулирования требований заслуживает вопрос обеспечения качества данных, хранящихся в базе. Качество данных определяется их полнотой, точностью, непротиворечивостью, актуальностью и достоверностью. Для обеспечения полноты данных в систему должны быть заложены механизмы, требующие обязательного заполнения ключевых атрибутов при добавлении новой записи (наименование, тип СЗИ, производитель, дата установки). Для обеспечения точности данных должны использоваться справочники и классификаторы, исключающие возможность ввода произвольных значений (например, справочник типов СЗИ, справочник производителей). Для обеспечения непротиворечивости данных должны быть реализованы механизмы ссылочной целостности, не допускающие удаления записей, на которые имеются ссылки из других таблиц. Для обеспечения актуальности данных система должна предоставлять возможность быстрого обновления информации, а также автоматически формировать напоминания о необходимости проверки и обновления данных по истечении заданного периода. Для обеспечения достоверности данных все изменения должны фиксироваться в журнале аудита с указанием автора изменений.

Важным аспектом требований является определение форматов хранения данных. Для каждого атрибута СЗИ должен быть определен тип данных, формат и допустимые значения. Например, даты должны храниться в стандартном формате ГГГГ-ММ-ДД, денежные суммы — в формате decimal с двумя знаками после запятой, текстовые поля должны иметь ограничение по длине. Использование единых форматов данных обеспечивает корректную обработку информации при формировании отчетов и обмене данными с внешними системами. Кроме того, должны быть определены правила валидации вводимых данных: проверка корректности дат (дата окончания лицензии не может быть раньше даты установки), проверка уникальности наименований, проверка соответствия значений справочникам.

В контексте требований к системе необходимо также рассмотреть вопрос производительности при работе с различными объемами данных. Хотя для типового предприятия МСП количество учитываемых СЗИ редко превышает несколько сотен, система должна быть спроектирована с запасом производительности, обеспечивающим комфортную работу при увеличении объема данных до нескольких тысяч записей. Для этого необходимо предусмотреть индексацию ключевых полей, по которым наиболее часто осуществляется поиск и фильтрация (наименование, тип, статус, ответственное лицо). Индексы должны быть созданы как для отдельных полей, так и для наиболее часто используемых комбинаций полей. При этом необходимо учитывать, что избыточное индексирование может замедлить операции вставки и обновления данных, поэтому выбор полей для индексации должен быть обоснованным.

Отдельного рассмотрения требует вопрос обеспечения безопасности данных на уровне базы данных. Помимо разграничения прав доступа на уровне приложения, должны быть приняты меры защиты на уровне СУБД. Рекомендуется создание отдельных учетных записей базы данных для каждого пользователя или роли с минимально необходимыми привилегиями. Должны быть запрещены прямые SQL-запросы к базе данных из внешних приложений; все операции должны выполняться через хранимые процедуры или параметризованные запросы, что предотвращает возможность SQL-инъекций. Пароли пользователей должны храниться в зашифрованном виде с использованием современных алгоритмов хеширования (bcrypt, SHA-256). Передача данных между приложением и базой данных должна осуществляться по защищенному каналу с использованием шифрования TLS.

В рамках формулирования требований необходимо также определить порядок взаимодействия пользователя с системой. Должны быть разработаны сценарии использования (use cases) для каждой роли пользователя, описывающие последовательность действий при выполнении типовых операций. Например, сценарий добавления нового СЗИ должен включать следующие шаги: выбор пункта меню «Добавить СЗИ», заполнение формы с атрибутами, прикрепление подтверждающих документов (при необходимости), сохранение записи. Сценарий формирования отчета об истекающих лицензиях должен включать: выбор пункта меню «Отчеты», выбор типа отчета «Истекающие лицензии», указание периода, нажатие кнопки «Сформировать». Разработка сценариев использования позволяет выявить потенциальные проблемы в пользовательском интерфейсе на ранних этапах проектирования и обеспечить интуитивную понятность системы.

Важным требованием, которое часто упускается из виду при разработке информационных систем для МСП, является наличие справочной документации и системы подсказок. Учитывая, что пользователи системы могут не обладать глубокими техническими знаниями, в $$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$ и $$$$$$$ $$$$$$$$$$ $$$$$. $$$$$ $$$$, $$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$ ($$$$$$$$$$$ $$$$$$$$$$$$), $$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$$ системы, $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ и $$$$$$ $$ часто $$$$$$$$$$ $$$$$$$. $$$$$$$ $$$$$$$$$$$$ документации $$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$ $$$$$$ $$$$$$$$$ и $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$.

$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$ $$$$$$$ $$$$$$ $$$$ $$$$$$$$$ $$ $$$$$$$ $$$$$, $$$$$$$ $$$$$$$$ $$$$$, $$$$$$, $$$$$$$$$ $$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$. $$$$$$$ $$$, $$$$$ $ $$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$ ($$$$ $$$, $$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$) $$$$$$ $$$$ $$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$. $$$$$ $$$$, $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$, $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ ($$$$$ $$$$$$, $$$$$$$$$$$$). $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$.

$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$$$$$$$, $$$ $$$ $$$$$$ $$$$ $$$$$$$$$$$$$$$ $ $$$$ $$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$. $$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$, $ $$$$$$ $$$$$$$$$: $$$$$ $$$$$$$$ $ $$$$$$$, $$$$$$$$$$ $ $$$$ $$$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$ ($$$$$$$$$$$$$$, $$$$$$$$$$$$$$$$, $$$$$$$$$$ $ $$$$$ $$$$$$$$$$$), $$$$$$ $ $$$$$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$ [$$]. $ $$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$, $$$$$$ $$$ $$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$, $$$$$ $$$$$$ $$ $$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$ $$$$$$.

$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$ $$ $$$$$$$$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$, $$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$ $$$ $$$. $$$$$$$$, $$$$$$$$$$ «$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$» $$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$$$ «$$$$$$$» $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$: «$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$ $$ $$$$$$$$$$$$ $$$ $$ $$$$$$$$ $$$$$$$ $$ $$$$$ $$$$ $$$$$$ $$$ $$$$$$ $$$$ $$$$$$ $$ $$ $$$ $$$$$$$». $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$. $ $$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$, $ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$$$$.

$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$$, $$$ $$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$ $$$$$ $$$ $$ $$$$$ $$$ $$ $$% $$ $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$. $$$$ $$$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$ $$$$. $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $ $$$ $$$$$$$$$$$$$$$$ $$ $$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ [$$]. $$-$$$$$$, $$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$ $$$$$ $$$$$$$$$$. $$-$$$$$$, $$$$$$ $$$$$$$$ $$$$$$ $$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$: $$$$$$$, $$$$$$$$, $$$$$$$$$$$$$$$$$$, $$$$$$$$$$$$ $ $$$$$$$$$$$$$. $-$$$$$$$, $$$$$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$, $$ $$$$ $$$$$$$$$$$$$$$$$ $$$$$ $$$$$$$, $$$$$ $$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$ $$ $$$$$$$$$$. $-$$$$$$$$$, $$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$. $-$$$$$, $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ [$]. $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$ — $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$.

Обоснование выбора инструментальных средств и модели данных для реализации проекта

Выбор инструментальных средств разработки и модели данных является одним из ключевых этапов проектирования информационной системы, поскольку от данного решения напрямую зависят функциональные возможности, производительность, надежность и стоимость создаваемого продукта. В контексте разработки базы данных для учета средств защиты информации на предприятиях малого и среднего бизнеса, выбор инструментов должен быть обусловлен не только техническими характеристиками, но и экономической целесообразностью, доступностью для конечных пользователей и простотой сопровождения. В данном разделе проводится сравнительный анализ доступных инструментальных средств и моделей данных, обосновывается выбор оптимальной конфигурации для реализации проекта.

Первым и наиболее важным решением является выбор системы управления базами данных (СУБД). На современном рынке представлено множество СУБД, различающихся по типу модели данных, производительности, стоимости, масштабируемости и функциональным возможностям. Для целей настоящего проекта рассматриваются три наиболее распространенных класса СУБД: коммерческие (Microsoft SQL Server, Oracle Database), свободно распространяемые (PostgreSQL, MySQL, MariaDB) и встраиваемые (SQLite). Каждый из этих классов имеет свои преимущества и недостатки, которые необходимо оценить применительно к специфике задач учета СЗИ на предприятиях МСП.

Коммерческие СУБД, такие как Microsoft SQL Server и Oracle Database, обладают наиболее широкими функциональными возможностями, высокой производительностью и надежностью, а также развитыми средствами администрирования и мониторинга. Однако, их использование сопряжено с необходимостью приобретения дорогостоящих лицензий, что является существенным препятствием для субъектов МСП с ограниченным бюджетом. Кроме того, для администрирования данных СУБД требуется квалифицированный персонал, что также увеличивает совокупную стоимость владения. В научных публикациях последних лет отмечается, что использование коммерческих СУБД на предприятиях малого бизнеса является экономически неоправданным, за исключением случаев, когда это требуется корпоративными стандартами или условиями интеграции с существующими системами.

Свободно распространяемые СУБД с открытым исходным кодом, такие как PostgreSQL и MySQL, представляют собой оптимальный баланс между функциональностью и стоимостью. Данные СУБД не требуют приобретения лицензий, обладают широкими функциональными возможностями, включая поддержку транзакций, сложных запросов, хранимых процедур и триггеров, а также имеют активные сообщества пользователей и развитую документацию. PostgreSQL, в частности, отличается высокой надежностью, поддержкой широкого спектра типов данных и расширенных возможностей индексирования. MySQL, в свою очередь, характеризуется высокой производительностью при выполнении операций чтения данных и простотой настройки. Обе СУБД поддерживают работу на различных операционных системах, что обеспечивает гибкость при выборе серверной платформы. Для целей разработки базы данных учета СЗИ на предприятиях МСП обе СУБД являются подходящими, однако предпочтение отдается PostgreSQL в силу его более развитых механизмов обеспечения ссылочной целостности и поддержки сложных типов данных [15].

Встраиваемые СУБД, такие как SQLite, представляют собой библиотеки, встраиваемые непосредственно в прикладное программное обеспечение. Они не требуют установки и настройки отдельного сервера баз данных, что максимально упрощает развертывание системы. Однако, SQLite имеет ограниченные возможности по обеспечению многопользовательского доступа и масштабированию, что делает его непригодным для использования в корпоративных информационных системах с несколькими одновременными пользователями. Для целей настоящего проекта, предполагающего возможность одновременной работы нескольких сотрудников (системный администратор, руководитель, ответственный за персональные данные), использование SQLite нецелесообразно. Таким образом, по результатам сравнительного анализа, в качестве СУБД для реализации проекта выбирается PostgreSQL.

Вторым важным решением является выбор инструментальных средств для проектирования структуры базы данных. В современной практике разработки информационных систем широко используются CASE-средства (Computer-Aided Software Engineering), которые позволяют автоматизировать процессы анализа, проектирования и документирования. К числу наиболее распространенных CASE-средств для проектирования баз данных относятся: ERwin Data Modeler, IBM Rational Rose, Sybase PowerDesigner, а также свободно распространяемые инструменты, такие как DBeaver, pgAdmin, MySQL Workbench и Draw.io. Коммерческие CASE-средства, такие как ERwin, обладают наиболее широкими функциональными возможностями, включая автоматическую генерацию кода SQL, реверс-инжиниринг, поддержку различных нотаций моделирования и интеграцию с другими инструментами разработки. Однако, их стоимость является высокой, что делает их недоступными для большинства субъектов МСП.

В рамках настоящего проекта, учитывая ограниченный бюджет и специфику решаемых задач, выбор делается в пользу свободно распространяемых инструментов. Для логического и физического проектирования структуры базы данных используется инструмент Draw.io (ранее diagrams.net), который позволяет создавать ER-диаграммы в нотации Чена или IDEF1X. Данный инструмент является бесплатным, не требует установки (работает через веб-браузер) и поддерживает экспорт диаграмм в различные форматы (PNG, SVG, PDF). Для непосредственной работы с СУБД PostgreSQL используется инструмент pgAdmin, который предоставляет графический интерфейс для управления базами данных, выполнения SQL-запросов, администрирования пользователей и мониторинга производительности. pgAdmin является бесплатным и имеет встроенные средства для визуализации структуры базы данных и создания ER-диаграмм.

Третьим важным решением является выбор языка программирования и среды разработки для создания пользовательского интерфейса. Учитывая, что основными требованиями к системе являются простота использования и кроссплатформенность, наиболее целесообразным представляется разработка веб-интерфейса. Веб-интерфейс не требует установки дополнительного программного обеспечения на компьютеры пользователей, доступен через любой современный браузер и может быть развернут как на локальном сервере, так и в облачной среде. Для разработки веб-интерфейса рассматриваются следующие технологии: Python с $$$$$$$$$$$ $$$$$$, $$$ с $$$$$$$$$$$ $$$$$$$, $$$$$$$$$$ с $$$$$$$$$$$ $$$$$ $$$ $$$.$$. $$$$$$ $$ $$$$ $$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ и $$$$$$$$$$.

$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$-$$$$$$$$$$ $$$ $$$$$$. $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$-$$$$$$$$$$$$ $$$$$$$$$$$ ($$$), $$$ $$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$ $$$$$$, $ $$$$$ $$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$. $$$ $ $$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$, $$$$$$ $$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$ $$ $$$$$$$$$ $ $$$$$$. $$$$$$$$$$-$$$$$$$$$$ ($$$$$, $$$.$$) $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$, $$ $$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$ ($$$$.$$). $$$ $$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$, $$$$$ $$$$$$$$ $ $$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$ [$$].

$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$ $$$$$$. $ $$$$$$ $$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$: $$$$$$$$$$$$$, $$$$$$$, $$$$$$$$$$$, $$$$$$$$-$$$$$$$$$$$$$$$ $ $$$$$. $$$ $$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$ $$$$$$, $$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$ $$$. $$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$ $$$$$$$$$$. $$$$$-$$$$$$ ($$$$$$$$$$$$$$$$$$$$$$$$, $$$$$$$$, $$$$-$$$$$$$$) $$$$$ $$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$, $$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$, $$$$$$ $$$ $$$$$$$ $$$$$ $$$$$ $$$ $$$$$$$$ $$$$$$$$$$$ $ $$$$$ $$$$$$$$.

$ $$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$$$ $$$$$ «$$$$$$$$-$$$$$» ($$-$$$$$$$$$$$$$). $$$$$$ $$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$$ ($$$$$$$$ $$$$$) $ $$$$$$ $$$$$ $$$$. $$$ $$$$ $$$$$$ $$$$$ $$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$: «$$$$$$$$ $$$$$$ $$$$$$$$$$», «$$$ $$$», «$$$$$$$$$$$$$», «$$$$$$$$$», «$$$$$$$$$$$$$», «$$$$$$$$$», «$$$$$$$$», «$$$$$$$$$$», «$$$$$$$$$$», «$$$$$$$$». $$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$, $ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$, $$$$$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$ $$$$$$$. $$$$$$$$, $$$$$$$$ «$$$$$$$$ $$$$$$ $$$$$$$$$$» $$$$$$$ $ $$$$$$$$$ «$$$ $$$» $$$$$$$$$$ «$$$$$$ $ $$$$$$» ($$$$$$ $$$$ $$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$ $$$), $ $ $$$$$$$$$ «$$$$$$$$$» — $$$$$$$$$$ «$$$$$$ $ $$$$$$» ($$$$ $$$ $$$$$$$$$$ $$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$).

$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$, $$$$$$$$$ $ $$$. $$$ $$$$ $$$$$$$$ $ $$$$$$$$$$$, $$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$ $ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$ ($$$$$$$$$, $$$$$$, $$$$$, $$$$$$$$$$$$). $$$ $$$$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$$: $$$$$$$$ $ $$$$$ $$$$ $$$$$$ ($ $$$$ $$$$ $$$$) $$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$ $ $$$$$ $ $$$$ $$$$$$. $$$$$$$$ $$$$$$ $ $$$$ $$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ ($$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$), $$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$ $ $$$$$ $$$$$$ $$$$$$$$$$$$$$$$$$, $$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$. $$$ $$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$, $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$: $$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$, $ $ $$$$ $$$$$$ $$$$$$$$$$$ $$$$ $ $$$$$ $ $$$ $$$$$$$$$$ ($$$$$$$$$$$$, $$$$$$, $$$$ $$$$$$$$, $$$ $$$$$) [$$].

$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$. $$$ $$$$$$$$$$$ $$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$$$: $$$$$$$$$ $$$$$$$$$$$$$ ($$ $$$$$$$ $$$$$$$$$$$) $ $$$$$$$$ $$$$$$$$$$$$$ ($ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$). $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$ $ $$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$, $$ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$ $ $$$ $$$$$$$$$$$$, $$$$$$$$$$$$ $$$$$$ $ $$$$$$$ $$ $$$$$ $$$$$ $$$$, $$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $$$$$, $$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$. $$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$, $$$$$$$ $$$$$ $$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$$$$ $$$ $$$ $$$$$$$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$. $$$$$$, $$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$, $$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$. $ $$$$$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$. $$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$-$$$$$$$$ $$$$.$$ $ $$$$$$$. $$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$. $ $$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$ «$$$$$$$$-$$$$$» $$$ $$$$$$$$$$$$$$ $$$$$$$$$. $$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$. $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$, $$$ $ $$$$$$$$ $$$$$$$$$$$$$. $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$$$$$.

Продолжая обоснование выбора инструментальных средств, необходимо детально рассмотреть вопрос выбора версии СУБД PostgreSQL и ее конфигурации для оптимальной работы в условиях малого и среднего предприятия. PostgreSQL распространяется в нескольких вариантах: стандартная версия (Community Edition), которая является полностью бесплатной и содержит весь необходимый функционал, а также коммерческие версии от различных вендоров (EDB Postgres Advanced Server, YugabyteDB), которые включают дополнительные инструменты мониторинга, поддержки и оптимизации. Для целей настоящего проекта выбор делается в пользу стандартной версии PostgreSQL (Community Edition), поскольку ее функционал полностью покрывает потребности учета СЗИ на предприятиях МСП, а отсутствие затрат на лицензирование является критически важным фактором для целевой аудитории. При этом необходимо учитывать, что для обеспечения надежной работы требуется правильная настройка конфигурации PostgreSQL, включая параметры памяти (shared_buffers, work_mem), параметры подключения (max_connections) и параметры резервного копирования.

Важным аспектом выбора инструментальных средств является определение требований к серверному оборудованию для развертывания системы. Учитывая, что база данных учета СЗИ не предполагает обработки больших объемов данных (типовой объем базы данных для предприятия МСП составляет от 50 до 500 мегабайт), требования к серверному оборудованию являются минимальными. Для локального развертывания достаточно сервера или мощной рабочей станции с процессором не менее 2 ядер, оперативной памятью не менее 4 гигабайт и дисковым пространством не менее 50 гигабайт. Операционная система может быть любой, поддерживающей PostgreSQL: Windows Server, Linux (Ubuntu, CentOS, Debian) или macOS. Для облачного развертывания достаточно использования виртуального сервера с аналогичными характеристиками, предоставляемого такими провайдерами, как Yandex Cloud, Selectel или Cloud.ru. Минимальные требования к оборудованию обеспечивают доступность системы для подавляющего большинства субъектов МСП, включая микропредприятия.

В контексте выбора инструментальных средств необходимо также рассмотреть вопрос использования дополнительных библиотек и расширений для PostgreSQL, которые могут существенно расширить функциональные возможности системы. Для задач учета СЗИ могут быть полезны следующие расширения: pgcrypto (для шифрования данных), hstore (для хранения неструктурированных атрибутов), uuid-ossp (для генерации уникальных идентификаторов), pg_stat_statements (для мониторинга производительности запросов) и pg_partman (для автоматического секционирования таблиц при увеличении объема данных). Использование данных расширений позволяет повысить безопасность, производительность и гибкость системы без необходимости перехода на более дорогие коммерческие СУБД. В рамках настоящего проекта планируется использование расширений pgcrypto для шифрования паролей и uuid-ossp для генерации уникальных идентификаторов записей.

Отдельного внимания заслуживает вопрос выбора инструментов для резервного копирования и восстановления данных. PostgreSQL предоставляет встроенные средства для резервного копирования: pg_dump (логическое копирование) и pg_basebackup (физическое копирование). Для целей учета СЗИ, где объем данных невелик, наиболее подходящим является использование pg_dump, который создает SQL-скрипт для полного восстановления базы данных. Резервное копирование должно выполняться автоматически по расписанию (ежедневно) с хранением последних семи копий. Для облачного развертывания резервные копии могут сохраняться в объектное хранилище (Yandex Object Storage, S3-совместимое хранилище). Кроме того, рекомендуется использовать инструмент pgBarman для управления резервным копированием, который обеспечивает более гибкие настройки и мониторинг процесса.

При выборе фреймворка для разработки веб-интерфейса, помимо Django, были рассмотрены альтернативные варианты, включая Flask (микрофреймворк на Python) и FastAPI (современный фреймворк для создания API). Flask является более легковесным и гибким, но требует от разработчика самостоятельной реализации многих компонентов, которые в Django предоставляются «из коробки» (административная панель, ORM, аутентификация). FastAPI ориентирован на создание высокопроизводительных API и может быть использован в связке с отдельным фронтенд-фреймворком (React, Vue.js), однако это усложняет архитектуру и увеличивает время разработки. Для целей настоящего проекта, где приоритетом является быстрота разработки и простота сопровождения, Django остается оптимальным выбором. Встроенная административная панель Django позволяет быстро создать интерфейс для управления данными без написания дополнительного кода, что существенно ускоряет разработку.

В рамках выбора инструментов для разработки пользовательского интерфейса необходимо также рассмотреть вопрос использования шаблонов и библиотек для создания адаптивного дизайна. Django поддерживает использование шаблонизатора Jinja2, который позволяет создавать динамические HTML-страницы. Для обеспечения современного внешнего вида и адаптивности интерфейса рекомендуется использовать CSS-фреймворк Bootstrap 5, который предоставляет готовые компоненты (таблицы, формы, кнопки, навигационные панели) и обеспечивает корректное отображение на устройствах с различным размером экрана. Кроме того, для интерактивности интерфейса может использоваться JavaScript-библиотека jQuery или Alpine.js. Использование данных инструментов позволяет создать профессионально выглядящий и удобный интерфейс без необходимости глубоких знаний в области веб-дизайна.

Важным решением является выбор подхода к организации взаимодействия веб-приложения с базой данных. Django предоставляет встроенную ORM (Object-Relational Mapping), которая позволяет работать с базой данных через объекты Python, не используя прямые SQL-запросы. ORM Django поддерживает все основные операции (создание, чтение, обновление, удаление), автоматически генерирует SQL-запросы и обеспечивает защиту от SQL-инъекций. Использование ORM существенно упрощает разработку и снижает вероятность ошибок, $$$$$$ $$$$$ $$$$$$$$$ к $$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $ Django $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ «$$$$$» SQL-$$$$$$$$ ($$$ SQL) $ $$$ $$$$$$$, $$$$$ $$$ $$$$$$$$$$. $ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ ORM Django с $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ с $$$$$$$ $$$ SQL $$$ $$$$$$$$$$$$$.

$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$. $$$ $$$$$$$$$$$$ $$$-$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$$. $$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$, $$$$$ $$$ $$$$$$ $$$$$$ $$$ $$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$ $$ $$$$$$ $$$$$$$, $$$ $$$$$$$ $$$$$$$$$ $$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$. $ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$ $$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$-$$$$$$$$$$ $ $$$$$ $$$$$$ [$$].

$$$ $$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$. $$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$ $ $$$ $$ $$$$$$ $$$$$$$$$$$$ $ $$$$$$$$ $$$$. $$$ $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$-$$$$$$$$ $ $$$$$$$$$ $$$$$$, $$$$$$ $ $$$$$$$$$$$. $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$$.

$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$, $$$ $$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$ $$$$$$$$ $$$, $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$ $$$ $$$ $$ $$$ $$$. $$$$$$$$ $$$ $$$ $$ $$$$$$$, $$$$$ $$$ $$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$$$$ $$$ $$$ $$ $$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$ $$$ $$$$$$$$ $$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$$ $ $$$$$$$$$$$$$ $$$$$$$$. $$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$ $$$$$ $$$$$$, $$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$, $$$$$$$ $$ $$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$$$$.

$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$ $$$ $$$$$$ $$ $$$$$$ $$$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$, $$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$, $ $$$$$ $$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$$ $$$$$$$$$$$$ ($$$$$$$$$$ + $$$$$$ + $$$$$$$$$) $$$$$$$$ $$$$$ $$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$ $$$-$$$$$$$$$$ $$$ $$$$$$, $$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$$$$$$$$$, $$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$$$$$$ [$$].

$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$. $$-$$$$$$, $$$$$ $$$$ $$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$$$, $$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$$. $$-$$$$$$, $$$$$ $$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$-$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$ $ $$$$$$$$$$$$$$, $ $$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$. $-$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$ $ $$$$$$ «$$$$$$$$-$$$$$» $$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$ $$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$. $-$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ ($$$$$$$$$$, $$$$$$, $$$$$$$$$, $$$$$$$) $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$ $$$ $ $$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$. $-$$$$$, $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$, $$$ $ $$$$$$$$$ $$$$$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$ $ $$$$$$$ $$$$$, $ $$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$: $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$, $$$$$$$$$$ $$$-$$$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$$$.

Проектирование логической и физической структуры базы данных

Проектирование структуры базы данных является центральным этапом разработки информационной системы, поскольку именно на данном этапе закладываются основы для эффективного хранения, обработки и анализа данных. В контексте разработки базы данных для учета средств защиты информации на предприятиях малого и среднего бизнеса, проектирование включает два последовательных этапа: логическое проектирование, в рамках которого создается абстрактная модель предметной области, и физическое проектирование, в ходе которого логическая модель преобразуется в конкретную структуру таблиц, индексов и ограничений для выбранной СУБД. В данном разделе последовательно рассматриваются оба этапа проектирования.

Логическое проектирование начинается с идентификации сущностей предметной области, то есть объектов, информация о которых должна храниться в базе данных. На основе анализа бизнес-процессов, проведенного во второй главе, были выделены следующие ключевые сущности: «Средство защиты информации», «Тип средства защиты», «Производитель», «Поставщик», «Лицензия», «Сертификат соответствия», «Обновление», «Инцидент безопасности», «Подразделение», «Сотрудник» и «Документ». Каждая сущность представляет собой класс однотипных объектов, обладающих общим набором свойств (атрибутов). Например, сущность «Средство защиты информации» включает такие атрибуты, как наименование, версия, дата установки, статус, стоимость и место установки. Сущность «Тип средства защиты» содержит атрибуты: наименование типа, описание и категория. Выделение данных сущностей позволяет охватить все аспекты учета СЗИ, выявленные в ходе анализа предметной области.

После идентификации сущностей определяется набор атрибутов для каждой из них. Атрибуты представляют собой свойства, характеризующие сущность. Для каждого атрибута определяется его тип данных (целое число, строка, дата, логическое значение и т.д.), обязательность заполнения и возможные ограничения. Например, для сущности «Средство защиты информации» атрибут «наименование» является строковым, обязательным для заполнения и имеет ограничение по длине в 255 символов. Атрибут «дата установки» является типом «дата», обязательным для заполнения. Атрибут «стоимость» является числовым типом decimal с двумя знаками после запятой. Атрибут «статус» является строковым, обязательным и может принимать одно из предопределенных значений: «в эксплуатации», «на обслуживании», «выведено из эксплуатации». Определение атрибутов и их типов является основой для последующего создания таблиц базы данных.

Следующим шагом логического проектирования является определение связей между сущностями. Связи отражают реальные отношения между объектами предметной области и делятся на три основных типа: «один к одному», «один ко многим» и «многие ко многим». В разрабатываемой базе данных используются все три типа связей. Связь «один ко многим» устанавливается между сущностями «Тип средства защиты» и «Средство защиты информации»: один тип может соответствовать множеству конкретных средств защиты. Аналогичная связь устанавливается между сущностями «Производитель» и «Средство защиты информации», «Поставщик» и «Средство защиты информации», «Подразделение» и «Сотрудник». Связь «многие ко многим» устанавливается между сущностями «Средство защиты информации» и «Сертификат соответствия»: одно СЗИ может иметь несколько сертификатов, и один сертификат может относиться к нескольким СЗИ. Для реализации данной связи создается промежуточная таблица «СертификатыСЗИ». Связь «один к одному» устанавливается между сущностями «Средство защиты информации» и «Лицензия» в случае, если каждое СЗИ имеет только одну действующую лицензию (на практике возможны варианты, поэтому данная связь может быть заменена на «один ко многим» для поддержки истории лицензий).

Для наглядного представления логической структуры базы данных разрабатывается ER-диаграмма (диаграмма «сущность-связь»). ER-диаграмма строится в нотации Чена или IDEF1X и включает все выделенные сущности, их атрибуты и связи между ними. На диаграмме сущности изображаются в виде прямоугольников, атрибуты — в виде овалов, связи — в виде ромбов или линий с указанием типа связи. ER-диаграмма является основным документом, описывающим логическую структуру базы данных, и используется для согласования проектных решений с заказчиком и разработчиками. В рамках настоящего проекта ER-диаграмма разрабатывается с использованием инструмента Draw.io и включается в состав пояснительной записки.

Переходя к физическому проектированию, необходимо преобразовать логическую модель в структуру таблиц, индексов и ограничений для СУБД PostgreSQL. Каждая сущность логической модели преобразуется в таблицу базы данных. Атрибуты сущности становятся столбцами таблицы. Для каждого столбца определяется тип данных, поддерживаемый PostgreSQL. Например, строковые атрибуты преобразуются в тип VARCHAR или TEXT, числовые — в INTEGER или DECIMAL, даты — в DATE или TIMESTAMP. Для каждого столбца указываются ограничения: NOT NULL (обязательное заполнение), UNIQUE (уникальность значения), CHECK (проверка допустимых значений). Первичный ключ каждой таблицы (столбец или набор столбцов, однозначно идентифицирующий запись) определяется как столбец с типом SERIAL (автоинкрементное целое число) или UUID. $ $$$$$$ $$$$$$$$$$ $$$$$$$ для $$$$ таблиц в $$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$ столбец $$ с типом SERIAL, $$$ $$$$$$$$$$$$ $$$$$$$$ и $$$$$$$$$$$$$ $$$$$$$$$$ [$$].

$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$. $$$$$$$ $$$$ — $$$ $$$$$$$ $$$ $$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $$ $$$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$. $$$$$$$$, $ $$$$$$$ «$$$$$$$$ $$$$$$ $$$$$$$$$$» $$$$$$$$$ $$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$, $$$$$$$$$$$ $$ $$$$$$$ $$ $$$$$$$ «$$$$ $$$$$$$ $$$$$$». $$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$: $$$$$$$ ($$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$), $$$ $$$$ ($$$$$$$$$ $$$$$$$$ $$$$ $ $$$$$$$$$ $$$$$$$) $$$ $$$$$$$$ ($$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$$$$$$ $$$$$$$). $$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$. $$$ $$$$$$$$$$ $$$$$ «$$$$$$ $$ $$$$$$» $$$$$ $$$$$$$$$ «$$$$$$$$ $$$$$$ $$$$$$$$$$» $ «$$$$$$$$$$$ $$$$$$$$$$$$» $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ «$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$», $$$$$$$$$$ $$$ $$$$$$$ $$$$$, $$$$$$$$$$$ $$ $$$$$$$$$$$$$$$ $$$$$$$.

$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$. $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$$ $$$$$$, $$ $$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$$$$$$$$. $ $$$$$ $ $$$$ $$$$$$$ $$$$$$$$$ $$$$$$ $$$ $$$ $$$$$$$$, $$ $$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$ $$$ $$$$$$$$$$. $ $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$: $$$$$$$$$$$$ $$$ ($$$ $$$$$$ $$ $$$$$$$$), $$$$$$ ($$$ $$$$$$$$$$ $$ $$$$$$$), $$$$ $$$$$$$$$ $$$$$$$$ ($$$ $$$$$$ $$$ $ $$$$$$$$$$$ $$$$$$$$$$), $$$$$$$$$$$$$ $$$$ ($$$ $$$$$$ $$ $$$$$$$$$$$$$$). $$$ $$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$. $$$$$ $$$$, $$$ $$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$ $$$$$ $$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$ $$$$$$.

$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$ $$$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$, $$$$$ $$$$$$ $$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$ ($$$$$$$$$) $$$$$$$$ $ $$$$$ $$$ $$$$$$ $$$$ $$$$$$$$$$$. $$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$, $$$$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$ $$$$$ $ $$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$ $$$$$. $$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$, $$$$$ $$$$$$$ $$$$$$$$$$ $$ $$$$$$ $$$$$$$$$$ $$$$$ $ $$$$$ $$$$$$$$$$ $$$$$$$$ $$ $$$$$$$$ $$$$ $$ $$$$$ ($$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$). $ $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$ $$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$, $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$, $ $ $$$$$$$ $$$ $$$$$$$$ $$$$$$ $$$$$$ $$ $$$$$$$$$$$$$ ($$$$$$$ $$$$), $$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$ $$$$$$ $$$ [$$].

$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$ — $$$$$$$$, $$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$, $$$$$$$$, $$ $$$$$, $$$$$$$$$$$ $ $$$$$$$$$$. $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$$$$, $$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$. $ $$$$$$$ $$$$$$ $$$ $$$$$$ $$$$$$$ $$$$$$$$$$$: $$$$$$$$$$$$, $$$$$$$$$$, $$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$, $$$$$$$$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$. $$$ $$$$$$$ $$$$$$$ $$$$$ $$$$$$$$$$$, $$$$$$$$ $$ $$ $$$$$$$$$ $$$ $$$$$$$ $$$$$$. $$$$$$$ $$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$ $ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$.

$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$ $$$$ $$$$$$ $ $$$$$$$$$$$ $$$$, $$$$$$$$$$$$ $$$ $$$$$$$, $$ $$$$$$$, $$$$$$$$$ $ $$$$$$$ $$$$$, $ $$$$$ $$$$$ $$$$$ $$$$$$$$$. $$$$$$ $$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$. $$$$$ $$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$ $$$ $$$$$$$ $ $$$$$$$$$$$ $$$$$$$$. $ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$ $$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$$$ $$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$. $$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$$ $ $$$$ $$-$$$$$$$$$, $$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$, $$ $$$$$$$$ $ $$$$$. $$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$ $ $$$$ $$$$$$$$$ $$$$$$, $$$$$$$$ $ $$$$$$$$$$$ $$$ $$$$ $$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$. $$$$$$$$$$$$ $$$$$$ $$ $$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$. $$$$$$$$$$$$$ $$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$ $$$$ $$$$$$ $$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$ — $$$$$$$$ $$$-$$$$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$$ [$$].

Продолжая детальное описание процесса проектирования, необходимо рассмотреть вопрос моделирования данных с использованием CASE-средств, что позволяет автоматизировать значительную часть рутинных операций и минимизировать вероятность ошибок. В рамках настоящего проекта для логического моделирования использовался инструмент Draw.io, который поддерживает создание ER-диаграмм в различных нотациях. Процесс моделирования включал несколько итераций, в ходе которых уточнялся состав сущностей, атрибутов и связей. На первой итерации были выделены основные сущности, соответствующие ключевым объектам учета: средства защиты информации, типы, производители, поставщики. На второй итерации были добавлены сущности, связанные с жизненным циклом СЗИ: лицензии, сертификаты, обновления, инциденты. На третьей итерации были включены сущности, обеспечивающие организационный контекст: подразделения, сотрудники, документы. Каждая итерация завершалась проверкой полноты и непротиворечивости модели, а также ее соответствия требованиям, сформулированным во второй главе.

Особое внимание при проектировании логической модели было уделено определению атрибутов сущности «Средство защиты информации», которая является центральной в разрабатываемой базе данных. Помимо базовых атрибутов (наименование, версия, дата установки, статус), были включены атрибуты, отражающие специфику учета СЗИ: класс защиты (в соответствии с классификацией ФСТЭК России), необходимость криптографической защиты, наличие сертификата ФСТЭК или ФСБ, уровень доверия, совместимость с операционными системами. Данные атрибуты являются критически важными для обеспечения соответствия требованиям регуляторов и должны быть обязательно заполнены для каждого СЗИ. Также были предусмотрены атрибуты для хранения дополнительной информации: примечания, ссылки на документацию, IP-адреса и порты (для сетевых СЗИ), требования к аппаратному обеспечению. Такой расширенный набор атрибутов обеспечивает полноту учета и позволяет формировать детализированные отчеты.

При проектировании связей между сущностями был выявлен ряд особенностей, требующих нетривиальных решений. В частности, сущность «Средство защиты информации» может одновременно относиться к нескольким типам (например, современные UTM-решения объединяют функции межсетевого экрана и системы обнаружения вторжений). Для корректного отображения данной особенности была использована связь «многие ко многим» между сущностями «Средство защиты информации» и «Тип средства защиты» с созданием промежуточной таблицы «security_measure_types». Аналогичная ситуация возникает с сущностью «Сотрудник»: один сотрудник может быть ответственным за несколько СЗИ, но одно СЗИ может иметь нескольких ответственных (основного и замещающего). Для реализации данной логики также используется связь «многие ко многим» с дополнительной таблицей, содержащей атрибут «тип ответственности» (основной, замещающий, технический специалист).

Важным аспектом логического проектирования является определение бизнес-правил, которые должны быть реализованы на уровне базы данных с помощью ограничений и триггеров. К числу таких правил относятся: дата окончания лицензии не может быть раньше даты начала; стоимость СЗИ не может быть отрицательной; статус СЗИ может быть изменен только по определенным правилам (например, из статуса «в эксплуатации» можно перейти в статус «на обслуживании» или «выведено из эксплуатации», но нельзя перейти в статус «в резерве»); при удалении производителя или поставщика, имеющего связанные СЗИ, должно выдаваться предупреждение. Реализация данных правил на уровне базы данных (а не на уровне приложения) обеспечивает их выполнение независимо от способа доступа к данным и предотвращает возможность нарушения целостности информации.

При физическом проектировании особое внимание было уделено выбору оптимальных типов данных для каждого столбца. Для хранения идентификаторов используется тип SERIAL (автоинкрементное 4-байтовое целое число), что обеспечивает эффективное индексирование и быстрый поиск. Для хранения наименований и описаний используется тип VARCHAR с ограничением длины: 255 символов для наименований, 1000 символов для кратких описаний и TEXT для развернутых описаний. Для хранения дат используется тип DATE (если время не имеет значения) или TIMESTAMP (если требуется фиксация времени события). Для хранения стоимости используется тип DECIMAL(10,2), обеспечивающий точность до копеек. Для хранения статусов и других ограниченных наборов значений используется тип VARCHAR с ограничением CHECK, что обеспечивает контроль допустимых значений на уровне базы данных. Для хранения IP-адресов используется тип INET, поддерживаемый PostgreSQL, который обеспечивает корректное хранение и возможность поиска по подсетям.

В процессе физического проектирования были также разработаны стратегии индексирования для обеспечения производительности типовых запросов. Помимо автоматического создания индексов для первичных и внешних ключей, были созданы составные индексы для часто используемых комбинаций полей. Например, для поиска СЗИ по типу и статусу создан составной индекс (type_id, status). Для поиска СЗИ с истекающими лицензиями создан индекс по полю license_end_date. Для поиска СЗИ по ответственному сотруднику создан индекс по полю responsible_employee_id. Для полнотекстового поиска по наименованию и описанию СЗИ создан GIN-индекс с использованием расширения pg_trgm, обеспечивающий поддержку нечеткого поиска (поиск по части слова). Данные индексы обеспечивают высокую производительность запросов даже $$$ $$$$$$$$$$ $$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$.

$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$, $$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$. $ $$$$$$ $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$$$$ ($$$$$$$$, $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$ $$-$$$$$$$$$$$$). $$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$: $$$$$$ «$$$$$$$$ $$$$$$» ($$$$$$$$$ $$$$), $$$$$$ «$$$$$$$$$ $$$$$$$$» ($$$$$$ $$$$) $ $$$$$$ «$$$$$$$$$$$$$$$$$$ $$$$» ($$$$$$$$$$$$ $$$$). $$$ $$$$$ $$$$$ $$$ $$ $$$$$$$$$$$$ $$$, $$$ $$$$$$$ $$$$$$$$, $$$ $$$$$$$, $$ $$$$$$$$$ $-$ $$$$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$ «$$$$$$$$ $$$$$$», $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ «$$$$$$$$$$$$$» $$$$$$$ $$$$$$$$$, $$$$$$$$$$$$ $$ $$$$$$$$$ $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$, $ $$$ $$$$$$$$$ $$$$$$$ $$$$ $$ $$$$$ $$ $$$$$ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$-$$$$$$$ ($$$$ $$$$$$$$$), $$$$$$$$$$$$$$ $$$$$$$$$$.

$ $$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$. $$$$$$$$, $$$ $$ $$$$$$$$$$$$ $$$ $$$$$ $$$$$$, $$$ $$$$$$$, $$$$$$$, $$$$$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$ $$ $$$$$$$$$. $$$$$$, $$$ $$$$$$$ «$$$$$$$$$ $$$$$$$$$$$$», $$$$$$$ $$$$$ $$$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$, $$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$ $$ $$$$$$$$$ $$$ ($$ $$$$$). $$$$$$ $$$$$$$$$$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$ $$$ $$$ $$$$$$$. $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$ $ $$$ $$$$$$$$$$$ $$$$$$$$.

$$$$$$ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$. $$$ $$$$ $$$$$$ $$$$$ $$$, $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$. $$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$, $$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$$$ ($$$$$$$$$$). $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$ $$$$$$$$$$ $$ $$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$ $ $$$$$$$$$$ $$$$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $ $$$$$$ $$$$$.

$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$ $ $$$$$$$$ $$$$ $$$$$$. $$$ $$$$$$ $$$$ $$$$$$$$$$$$ ($$$$$$$$$$$$$, $$$$$$$$, $$$$$$$$$$$) $$$$$$$$$ $$$$$ $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$ $$$$$$, $$$$$$, $$$$$$, $$$$$$ $$$ $$$$$$ $$$$$$$. $$$$$$$$$$$$$ $$$$$ $$$ $$$$$$$$$$ $$ $$$ $$$$$$$. $$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$, $$$$$$, $$$$$$ $$ $$$$$$$$ $$$$$$$ ($$$, $$$$$$$$, $$$$$$$$$$, $$$$$$$$$) $ $$$$$$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$$$ ($$$$, $$$$$$$$$$$$$, $$$$$$$$$$). $$$$$$$$$$$ $$$$$ $$$$$$ $$$$$$$$$$ $$$$$$ $$ $$$ $$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$ $$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$-$$$-$$$, $$$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$ $ $$$$ $$$$$$ $$ $$$$$$$ $$$$ $$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$, $$$$$$$$$ $$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$ $$$$$ $$$ $$ $$$$$$$$$$ $$$$ $$$$$$$$$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$$$. $$-$$$$$$, $$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$ «$$$$$$$$-$$$$$», $$$$$$$$ $$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$$$$ $$$ $$$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$, $ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$$$$$ $$$$$$. $$-$$$$$$, $$$$$$$$$$ $$$$$$, $$$$$$$$$$$$$ $$$ $$$$ $$$$$$$$$$, $$$$$$$$ $$$$$$$$$$$ $$$$ $$$$$$, $$$$$$$ $ $$$$$$$$$$$, $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$. $-$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ ($$$$$$$$$$$$$), $$$$$ «$$$$$$ $$ $$$$$$» ($$$$ $$$, $$$$$$$$$$$$$ $$$$$$$$$$) $ $$$$$$-$$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$ $$$$$ $ $$$$$$$ $$$$$$. $-$$$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$ ($$$$$$$$$$$$$$$) $ $$$$$$$$$$$ $$$$$$$$$$$$ ($$$$$$$$$$$$$ $$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$). $-$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$ $$$$$$ $ $$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ [$$]. $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$ — $$$$$$$$$$ $$$-$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$$$$.

Разработка SQL-скриптов создания объектов базы данных, триггеров и хранимых процедур

Реализация спроектированной структуры базы данных осуществляется посредством написания SQL-скриптов, которые создают все необходимые объекты: таблицы, индексы, ограничения, триггеры и хранимые процедуры. Данный этап является ключевым в практической реализации проекта, поскольку именно на нем абстрактная логическая и физическая модели преобразуются в работающую базу данных. В данном разделе описывается процесс разработки SQL-скриптов, включая создание таблиц, реализацию бизнес-логики с помощью триггеров и хранимых процедур, а также наполнение справочных таблиц начальными данными.

Разработка SQL-скриптов начинается с создания таблиц базы данных. Каждая таблица создается с помощью оператора CREATE TABLE, в котором указываются наименование таблицы, перечень столбцов с их типами данных и ограничениями. Первым создается справочные таблицы, не имеющие внешних ключей: «Типы средств защиты», «Производители», «Поставщики», «Подразделения», «Статусы». Затем создаются основные таблицы, имеющие внешние ключи: «Сотрудники», «Средства защиты информации», «Лицензии», «Сертификаты соответствия». В последнюю очередь создаются вспомогательные таблицы для реализации связей «многие ко многим»: «Типы средств защиты СЗИ», «Ответственные за СЗИ», «Сертификаты СЗИ». Для каждой таблицы обязательно указывается первичный ключ (PRIMARY KEY) и ограничения NOT NULL для обязательных полей. Для столбцов, которые должны содержать уникальные значения, указывается ограничение UNIQUE. Такой порядок создания таблиц обеспечивает соблюдение ссылочной целостности при выполнении скрипта.

После создания таблиц выполняется создание внешних ключей с помощью оператора ALTER TABLE ADD CONSTRAINT FOREIGN KEY. Для каждого внешнего ключа указывается столбец в дочерней таблице, ссылающийся на столбец в родительской таблице, а также правило поведения при удалении или обновлении родительской записи (ON DELETE RESTRICT, ON UPDATE CASCADE). Выбор правила RESTRICT для удаления обусловлен необходимостью предотвратить случайное удаление данных, которые могут быть связаны с другими записями. Например, при попытке удалить тип средства защиты, который используется в записях о конкретных СЗИ, база данных выдаст ошибку, что защищает от потери данных. Правило CASCADE для обновления используется для автоматического обновления значений внешних ключей при изменении первичного ключа родительской таблицы, что обеспечивает согласованность данных.

Следующим этапом является создание индексов для оптимизации производительности запросов. Индексы создаются с помощью оператора CREATE INDEX. Для столбцов, по которым часто выполняется поиск, создаются стандартные B-tree индексы. Для столбцов, по которым выполняется полнотекстовый поиск, создаются GIN-индексы с использованием расширения pg_trgm. Для столбцов, по которым выполняется поиск по диапазону значений (например, даты), также создаются B-tree индексы. При создании индексов учитывается, что избыточное индексирование может замедлить операции вставки и обновления данных, поэтому индексы создаются только для тех столбцов, которые реально используются в условиях WHERE и ORDER BY типовых запросов. В разрабатываемой базе данных создаются индексы для столбцов: наименование СЗИ, статус, дата окончания лицензии, идентификатор ответственного сотрудника, идентификатор типа СЗИ.

После создания структуры таблиц и индексов разрабатываются триггеры, которые обеспечивают автоматическое выполнение определенных действий при наступлении событий INSERT, UPDATE или DELETE. Триггеры в PostgreSQL создаются в два этапа: сначала создается триггерная функция на языке PL/pgSQL, а затем сам триггер, который привязывает функцию к определенной таблице и событию. В разрабатываемой базе данных реализованы следующие триггеры: триггер проверки даты окончания лицензии (при вставке или обновлении записи о лицензии проверяет, что дата окончания не раньше даты начала); триггер автоматического обновления статуса СЗИ (при истечении срока лицензии автоматически изменяет статус СЗИ на «требуется продление»); триггер ведения журнала аудита (при любом изменении данных в таблице «Средства защиты информации» автоматически создает запись в таблице «Журнал аудита» с указанием даты, времени, пользователя и характера изменений). Реализация данных триггеров позволяет автоматизировать контроль целостности данных и обеспечить подотчетность.

Особого внимания заслуживает разработка триггера для ведения журнала аудита, который является критически важным для обеспечения информационной безопасности. Данный триггер создается для таблицы «Средства защиты информации» и срабатывает при выполнении операций INSERT, UPDATE и DELETE. Триггерная функция извлекает текущего пользователя (с помощью функции current_user), фиксирует дату и время события (с помощью функции now()), а также сохраняет старые и новые значения измененных полей в формате JSON. Данная информация записывается в таблицу «audit_log», которая содержит столбцы: id, table_name, operation, user_name, event_time, old_values, new_values. Ведение такого журнала позволяет в любой момент восстановить историю изменений любого СЗИ и определить, кто и когда вносил изменения, что необходимо для расследования инцидентов и прохождения аудита [35].

Помимо триггеров, разрабатываются хранимые процедуры, которые инкапсулируют часто выполняемые операции и бизнес-логику. Хранимые процедуры создаются с помощью оператора CREATE PROCEDURE (в PostgreSQL 11 и выше) или CREATE FUNCTION (для возврата значений). В разрабатываемой базе данных $$$$$$$$$$$ $$$$$$$$$ хранимые процедуры: $$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$ ($$$$$$$$$ $$$$$$$$$ $$$, $$$$$$$ $$$$$$ в $$$$$$$ «$$$$$$$$ $$$$$$ $$$$$$$$$$» и $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$ в $$$$$$$$ $$$$$$$$ и $$$$$$$$$$$$$); $$$$$$$$$ $$$$$$$$$ $$$$$$$$ ($$$$$$$$$ $$$$$$$$$$$$$ $$$ и $$$$$ $$$$ $$$$$$$$$, $$$$$$$$$ $$$$$$ в $$$$$$$ $$$$$$$$ и $$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $$$); $$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$$ $$$$$$$$$ ($$$$$$$$$ $$$$$$$$$$ $$$$ $$ $$$$$$$$$, $$$$$$$$$$ $$$$$$$ с $$$$$$$$ $$$, $ $$$$$$$ $$$$$$$$ $$$$$$$$ в $$$$$$$$$ $$$$$$); $$$$$$$$$ $$$$$$$$$$$$$$ $$$ ($$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$ $$$ для $$$$$$$$$$$$ $$$$$$$$$). $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ и $$$$$$$$$$ $$ $$$$$$$$$$$$.

$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$. $$$ $$$$$ $$$$$$$$$$$$ $$$$ $$$$$$$$$ $ $$/$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$. $$$$$$$$, $$$ $$$$$$$ $$$$$$$$ $$$ $ $$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$ $$$$$$, $ $$ $$$$$$$$$$$ $$$$$$$$. $$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$. $$$$$$$$ $$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $ $$$$ $$$$$ ... $$$$$$ $$$ $$$$$ ... $$$$$$$$ $ $$$$$$ $$$$$$. $$$ $$$$$$$$$$$, $$$ $$$ $$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$ $ $$$ $$$$$$, $$$$ $$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$.

$$$$$$ $$$$$$ $$$$$$$$$$ $$$-$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$. $$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$: $$$$ $$$$$$$ $$$$$$ ($$$$$$$$$$$$ $$, $$$$$$$$$$ $$$$$, $$$$$$$ $$$$$$$$$$$ $$$$$$$$$, $$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$ $$$$$$$$ $$$$$$$$$$$); $$$$$$$ $$$ ($ $$$$$$$$$$$$, $$ $$$$$$$$$$$$, $$$$$$$$ $$ $$$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$, $ $$$$$$$); $$$$$$$$$$$$$ ($$$$$$$$$, $$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$, $$$ $$$$$$$$$$$$, $$.$$$, $$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$, $$$$$$$ $.$.); $$$$$$$ $$$$$$$$$ ($$$$$, $$$$$$$$, $$$$$$$ $$$$$$$$). $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$.

$ $$$$$$$$ $$$$$$$$$$ $$$-$$$$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$$$ ($$$$), $$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$-$$$$$$$. $ $$$$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$: «$$$$$$$$ $$$» ($$$$$$$$$$ $$$$$$ $$$ $$ $$$$$$$$ «$ $$$$$$$$$$$$»); «$$$ $ $$$$$$$$$$$ $$$$$$$$$$» ($$$$$$$$$$ $$$, $ $$$$$$$ $$ $$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $$ $$$$); «$$$$$$ $$$$$$$$$$ $ $$$» ($$$$$$$$$$ $$$$$$ $$ $$$$$$ $$$, $$$$$, $$$$$$$$$$$$$$, $$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$); «$$$$$$$$$$ $$ $$$$$ $$$» ($$$$$$$$$$ $$$$$$$$$$ $$$ $$$$$$$ $$$$). $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$ $$ $$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$.

$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $ $$$$$$ $$$$$$ $$$ $$$-$$$$$$$ $$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$. $ $$$$$$ $$$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$. $$$$$ $$$$$$ $$$$$$$$$$$, $$$ $$$$ $$$$$$ $$$$$$ $$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$, $$$$ $$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$ $$$$$$$. $$$$$ $$$$, $$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$ ($$$$$$$$ $$$$$$), $$$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$, $$$$$$$$$ $$$$$$$$ $$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$ $$ $$$$$ $$$$$$.

$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$-$$$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$: $$$$$$$$$$$$$$ $$$$$$$$ ($$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$); $$$$$$$$ $$$$$$$$ $$$$$$$$ ($$$$$$$$, $$$ $$$ $$$$$$$, $$$$$$$, $$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$); $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ ($$$$$$$ $$$$$$$ $$$$$$, $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$); $$$$$$$$ $$$$$$ $$$$$$$$$ ($$$$$$$, $$$$$$$$$$ $ $$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$); $$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ ($$$$$ $$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$). $$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$$ $$$$ $$$$$$, $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$, $$ $$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$. $$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$ $$ $$$$$$$ $$$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$-$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$, $$$$$$$ $$$$$$$, $$$$$$$, $$$$$$$$$$$, $$$$$$$$, $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$$$. $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$, $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$, $ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$ $ $$$$$$ $$$ $$$$$$$$ $$$$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$ $$$$$ $$$$$ $$$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$. $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$ $ $$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $ $$$$$$$ $$$$$. $$$$$$ $$$$ $$$$$$$ $$$$$$ $$$ $$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$ — $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$.

Продолжая описание разработки SQL-скриптов, необходимо детально рассмотреть реализацию механизмов обеспечения целостности данных на уровне базы данных, которые являются критически важными для надежного функционирования системы учета СЗИ. Помимо стандартных ограничений внешних ключей и проверок CHECK, в разрабатываемой базе данных используются расширенные механизмы, реализованные с помощью триггеров и правил (RULES). В частности, реализован триггер, предотвращающий удаление записи о производителе или поставщике, если существуют активные СЗИ, связанные с данным контрагентом. Данный триггер срабатывает BEFORE DELETE и в случае наличия связанных записей вызывает исключение с понятным сообщением об ошибке. Также реализован триггер каскадного обновления, который при изменении наименования типа СЗИ в справочнике автоматически обновляет соответствующие значения в связанных записях, что обеспечивает согласованность данных без необходимости ручного вмешательства.

Особого внимания заслуживает разработка механизма версионирования данных, который позволяет отслеживать изменения ключевых атрибутов СЗИ во времени. Для реализации данного механизма создана отдельная таблица «security_measure_history», в которую записываются все изменения атрибутов СЗИ с указанием даты, времени и идентификатора пользователя, внесшего изменения. Триггер, срабатывающий AFTER UPDATE на таблице «Средства защиты информации», сравнивает старые и новые значения атрибутов и, если они отличаются, создает запись в таблице истории. Данный механизм позволяет в любой момент восстановить предыдущие значения атрибутов и проанализировать динамику изменений. Версионирование является особенно важным для таких атрибутов, как статус СЗИ, ответственное лицо и конфигурация, поскольку эти данные могут изменяться в процессе эксплуатации и должны быть доступны для последующего анализа.

В рамках разработки SQL-скриптов также были реализованы функции для автоматической генерации уникальных идентификаторов документов и отчетов. Для этих целей используется последовательность (SEQUENCE), которая автоматически увеличивает значение при каждом обращении. Последовательности создаются для каждого типа документов: акты приема-передачи, акты ввода в эксплуатацию, акты списания. Формат номера документа включает префикс, соответствующий типу документа, и порядковый номер, дополненный ведущими нулями до четырех знаков (например, ACT-0001, LICENSE-0042). Генерация номера документа выполняется хранимой процедурой при создании соответствующей записи. Использование автоматической нумерации исключает возможность дублирования номеров и обеспечивает единый стандарт оформления документов.

Важным аспектом разработки SQL-скриптов является обеспечение безопасности на уровне базы данных. Помимо разграничения прав доступа к таблицам, реализованы меры защиты от SQL-инъекций. Все хранимые процедуры используют параметризованные запросы, которые передают значения параметров отдельно от текста запроса, что исключает возможность внедрения вредоносного SQL-кода. Для динамических запросов, формируемых внутри хранимых процедур, используется функция quote_literal, которая экранирует специальные символы. Кроме того, для всех пользовательских ролей отозваны права на создание объектов базы данных (CREATE, DROP, ALTER), что предотвращает возможность несанкционированного изменения структуры базы данных. Данные меры обеспечивают защиту от наиболее распространенных типов атак на базы данных.

В процессе разработки SQL-скриптов была также реализована поддержка многоязычности справочных данных. Хотя основным языком интерфейса является русский, для некоторых типов СЗИ и производителей могут использоваться оригинальные иностранные наименования. Для обеспечения возможности хранения наименований на нескольких языках в структуру справочных таблиц добавлены столбцы name_ru и name_en. При формировании отчетов и пользовательского интерфейса выбор языка осуществляется на основе настроек пользователя или параметров системы. Данный подход обеспечивает гибкость системы и возможность ее использования в международных компаниях или при взаимодействии с иностранными поставщиками.

Отдельного рассмотрения заслуживает разработка скриптов для миграции данных из существующих систем учета (электронных таблиц, текстовых документов) в разработанную базу данных. Для обеспечения возможности миграции созданы временные таблицы (staging tables), структура которых соответствует типовым форматам исходных данных. Хранимые процедуры импорта данных выполняют чтение данных из временных таблиц, их проверку и преобразование в соответствии со структурой целевой базы данных, а затем вставку в основные таблицы. В случае обнаружения ошибок в исходных данных (некорректные даты, отсутствующие значения обязательных полей) процедура формирует отчет об ошибках и пропускает некорректные записи, не прерывая процесс импорта. $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$ $$ $$$$$$$$$ $$$$$$$$$$ базы данных и $$$$$$$$$$$$$$ $$$$ $$$$$$ данных $$$ $$$$$$$$ $$ $$$$$$ $$$$$$$ учета $ $$$$$ [$$].

$ $$$$$$ $$$$$$$$$$ $$$-$$$$$$$$ $$$$$ $$$$ $$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$ $$$$$$, $$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$$ $$$ $$$$ $$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$. $$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$. $$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$$ $$$$$$ $$$$$$ $$$$$$ $$$$ ($ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$) $ $$$$$$ $$ $$$$$$$$$$, $$$$$$$$ $$$$$ $$$$ $$$ $$$$$. $$$$$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$$$$$$$ $$$$$$$$ $$ $$$$$$$ ($$$$$$$$, $$$$$$$$$$$ $ $$$$$$ $$$$$).

$$$$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$-$$$$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$ $$$ $$$$$$$$$$, $$$$$$$ $$$$$$$$$ ($$$ $$$$$$$$ $$$$$$$$) $ $$$$$$$$$ $$$$$$$$$. $ $$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$ $$$$$$, $$$$ $$$$$$$$$$ $$$$$$$$$ $ $$$$$. $$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$, $$$$$$$$$$, $$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$. $$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$ $ $$ $$$$$$$$$ $ $$$$$$$$$$$$$$$$.

$ $$$$$$$$ $$$$$$$$$$ $$$-$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$, $ $$$$$$$$$ $$$. $$$ $$$$$$$ $$$$$$$$ $ $$$$$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$, $$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$. $$$ $$$$$$ $$$$$$ $$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$ $$$ ($$$) $ $$$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$. $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$.

$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$-$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$$$$$$$$ ($$$$$$$$$$ $$$$$$), $$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$$$ $$$$$$$$: $$$$$$$$ $$$$ $$$$$$, $$$$$$$$ $$$$$, $$$$$$$$ $$$$$$, $$$$$$$$, $$$$$$$$$$$, $$$$$$$$$, $$$$$$$$ $$$$$$$$, $$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$ $$$$ $$$$$$$$ $$$ $$$$$$$ $$$$$$$$$$$$$$$ $$$$ $$$$$$, $$$ $ $$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$/$$ ($$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$). $$$$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ «$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$» $ $$$$$$$. $ $$$$$$ $$$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$$$, $ $$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$ $ $$$$$$$ $$$$, $$ $$$$$$$ $$$$$$$$$ $$$$ [$$].

$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$-$$$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$$$$$ $$$$$$$ $$$ $$$$$$$$ $ $$$$$$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$. $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$ $$$$$$$$$$$ $$$$$$$$ $$$$ $$$$$$, $$$$$$$$$$ $$$$$$-$$$$$$ $ $$$$$$$ $$$$$$$$$ $ $$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$, $ $$$$$ $$$$$$$$ $$$ $$$$$$$$ $$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$. $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$ $$$$$$$. $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$ $ $$ $$$$$$$$$$ $ $$$$$$$$$$$$$ $ $$$$$$$ $$$$$. $$$$$$ $$$$ $$$$$$$ $$$$$$ $$$ $$$$$$$$ $ $$$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$$$ — $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ [$$].

Разработка пользовательского интерфейса и оценка экономической эффективности внедрения

Заключительным этапом практической реализации проекта является разработка пользовательского интерфейса, обеспечивающего удобный доступ к функциям базы данных учета средств защиты информации, а также оценка экономической эффективности внедрения разработанной системы на предприятиях малого и среднего бизнеса. Пользовательский интерфейс должен быть интуитивно понятным, функциональным и адаптированным под потребности различных категорий пользователей. Оценка экономической эффективности позволяет обосновать целесообразность внедрения системы и определить ожидаемый экономический эффект от ее использования.

Разработка пользовательского интерфейса осуществляется с использованием веб-фреймворка Django, который обеспечивает быстрое создание функциональных веб-приложений с использованием шаблонов и встроенных компонентов. Интерфейс разрабатывается на русском языке и включает следующие основные разделы: главная страница (панель управления с ключевыми показателями), раздел управления средствами защиты информации (список всех СЗИ с возможностью добавления, редактирования и удаления записей), раздел управления справочниками (типы СЗИ, производители, поставщики, подразделения, сотрудники), раздел отчетности (формирование отчетов по различным критериям), раздел администрирования (управление пользователями и правами доступа). Навигация по разделам осуществляется с помощью главного меню, расположенного в верхней части страницы.

Главная страница системы отображает ключевые показатели, необходимые для оперативного мониторинга состояния средств защиты информации. На данной странице выводятся: общее количество СЗИ в эксплуатации, количество СЗИ с истекающими лицензиями (в течение 30 дней), количество СЗИ, требующих обновления, количество зарегистрированных инцидентов за текущий месяц, а также диаграмма распределения СЗИ по типам. Данные показатели обновляются автоматически при каждом обращении к странице и позволяют руководству предприятия и системному администратору быстро оценить текущую ситуацию и принять необходимые решения. Главная страница также содержит ссылки на часто используемые функции: добавление нового СЗИ, формирование отчета об истекающих лицензиях, просмотр последних инцидентов.

Раздел управления средствами защиты информации является центральным в системе и предоставляет полный функционал для работы с учетными записями СЗИ. Страница списка СЗИ отображает таблицу со всеми записями, содержащую столбцы: наименование, тип, производитель, версия, статус, дата окончания лицензии, ответственное лицо. Таблица поддерживает сортировку по любому столбцу, фильтрацию по типу, статусу и ответственному лицу, а также полнотекстовый поиск по наименованию. При нажатии на запись открывается страница детального просмотра, на которой отображается вся информация о СЗИ, включая историю изменений, связанные лицензии, сертификаты, обновления и инциденты. На странице детального просмотра доступны кнопки для редактирования записи, добавления обновления, регистрации инцидента и формирования печатной формы карточки СЗИ.

Форма добавления и редактирования СЗИ разработана с учетом требований удобства использования и минимизации ошибок ввода. Форма содержит поля для всех атрибутов СЗИ, сгруппированные по логическим блокам: основные сведения (наименование, тип, производитель, версия), сведения о размещении (подразделение, место установки, ответственный), сведения о лицензировании (тип лицензии, дата начала, дата окончания, стоимость), дополнительные сведения (класс защиты, необходимость криптографии, примечания). Для полей, значения которых выбираются из справочников, используются выпадающие списки с возможностью поиска. Для дат используется календарь. Для числовых полей выполняется проверка допустимого диапазона. Обязательные поля помечены звездочкой, и при попытке сохранить форму с незаполненными обязательными полями выводится сообщение об ошибке.

Раздел отчетности предоставляет пользователю возможность формировать различные отчеты на основе данных, хранящихся в базе. Доступны следующие типы отчетов: реестр всех СЗИ (полный перечень с указанием всех атрибутов), отчет по истекающим лицензиям (перечень СЗИ с указанием дат окончания лицензий и ответственных лиц), отчет по затратам (суммарные затраты на приобретение и обслуживание СЗИ за выбранный период), отчет по инцидентам (перечень инцидентов за выбранный период с указанием статуса и длительности устранения), отчет по соответствию требованиям (анализ соответствия состава СЗИ требованиям нормативных документов). Для каждого отчета пользователь может задать параметры фильтрации (период, тип СЗИ, подразделение, статус) и выбрать формат вывода (HTML для просмотра на экране, PDF для печати, XLSX для экспорта в Excel). Формирование отчетов выполняется с использованием хранимых процедур, что обеспечивает высокую производительность даже $$$ $$$$$$$ $$$$$$$ данных.

$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$. $ $$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$: $$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$ ($$$$$$$$$$$$$, $$$$$$$$, $$$$$$$$$$$), $$$$$$$$ $$$$$$$ $$$$$$ ($$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$, $$$$ $ $$$$$$$$$ $$$$$$$$$), $$$$$$$$$ $$$$$$$$$$ $$$$$$$ ($$$$$$$$$$$$$ $$$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$ $$$$$$$$ $$$$$$$$$$$). $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$ $$$$$$, $$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$$.

$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$ $$$$$$ $$$-$$$$$$$$$$ $$$$$$$$$ $. $$$ $$$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$ $$$$$$$$$, $ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$-$$$$. $$$$$ $$$$$$$$$$$$ $$$ $$$$$$ $$$$$$, $$$$ $$$$$ $$$$$$$$$$$$$ $ $$$$ $$$$$$$ $$ $$$$$ $$$$$$$. $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$ $ $$$$$$$$$$$ $$$$$$$$$$, $$$ $ $ $$$$$$$$ $$$ $$$$$$$$$, $$$ $$$$$$$$ $$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$$$$$$$, $$$$$$$ $$$$$ $$$$$$$$$$ $$$ $$$$$.

$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$. $$$$$$ $$$$$$$$$$$ $$ $$$$$$ $$$$$$$$$ $$$$$$$ $$$$$$ $$ $$$$$$$ $$$$$ $$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$ $$$$$$. $ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$: $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$ $$$$$$$ $$$$$, $$$$$$$ $$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$, $$$$$$$ $$ $$$$$$$$ $$$$$$$$$, $ $$$$$ $$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$ $$$$$ $ $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$.

$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$ $$$$$ $$$ $$ $$-$$ $$$$$$$$$. $$$$ $$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$ $-$ $$$$$ $ $$$$$$ $$ $$$$$$$$$$ $$$$$$, $$$$$$$$ $$$$$$ $$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$, $$ $$$$$ $$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$ $$$$$$$$ $$ $$$$$ $-$ $$$$$ $ $$$$$$. $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$-$$$ $$$$$, $$$ $ $$$$$$$$ $$$$$$$$$ $$$ $$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$ $$ $$ $$ $$$ $$$$$ $$$$$$ $ $$$. $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$ $$$$ $$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ ($$$$$$ $$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$$ $$, $$$$$$$ $$-$$ $$$$$$$$$$ $$$) $ $$$$$$$$ $$$$$ ($$$$$$$$$$$$ $$$$$$$, $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$). $$$$ $$$$$$$$$$$ $$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $-$ $$$$$$$, $$$ $$$$$$$$ $$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$ $$$ [$$].

$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$, $$$$$$$ $$$$$$ $$$$$$$ $ $$$$$$$$ $$$$$$$$$, $$ $$$$$$$ $$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$$$ $$$$$$$$$$$. $ $$$$$ $$$$$$$$ $$$$$$$$$: $$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$, $$$$$$$$ $$$$$$$$$$$ $$$$$$, $$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ ($$$$$ $$$$$$, $$$$$$$$$$$$), $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $$ $$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$ $ $$$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$ $ $$$$$$$$$$. $$$$$$ $$$$$$$ $$$$$$$$$$$$ $$$$$$$$$ $$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$ $$$$$$ $$ $$$$ $$$$$$$$ $$$$ $$$$$$ $$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$. $$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ ($$$$$$$$$$$$$, $$$$$$$$, $$$$$$$$$$$) $ $$$$$$$$$$$$ $$$$$$ $$ $$$$$$$$$ $$$$$$$$$$$ ($$$$$$$$$$ $$$$$$$$$, $$$$$$$, $$$$$$$$). $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$: $$$$$$$$$$ $$$$$$$$$$$ $$ $$-$$ $$$$$$$$$, $$$$$$$ $$$$$$$$ $$ $$ $$ $$$ $$$$$ $$$$$$, $$$$ $$$$$$$$$$$ $-$ $$$$$$$. $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$ $$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$. $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $ $$ $$$$$$$$$$ $ $$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$.

Продолжая описание разработки пользовательского интерфейса, необходимо детально рассмотреть реализацию механизмов уведомлений и напоминаний, которые являются важным функциональным компонентом системы, обеспечивающим своевременное информирование пользователей о критических событиях. В разработанной системе реализованы два типа уведомлений: внутрисистемные (отображаемые в интерфейсе при входе в систему) и внешние (отправляемые по электронной почте). Внутрисистемные уведомления отображаются на главной странице в виде списка предупреждений: о приближающейся дате окончания лицензии (за 30, 14 и 7 дней до истечения), о необходимости установки обновлений (если с момента последнего обновления прошло более 90 дней), о зарегистрированных инцидентах с высоким уровнем критичности, требующих немедленного реагирования. Внешние уведомления отправляются на электронную почту ответственных сотрудников в соответствии с настраиваемым расписанием: ежедневная сводка о событиях, еженедельный отчет о состоянии СЗИ, ежемесячный отчет о затратах.

Реализация механизма уведомлений выполнена с использованием встроенных средств Django для отправки электронной почты и создания фоновых задач. Для отправки писем используется почтовый сервер предприятия или внешний SMTP-сервер (например, Yandex Mail или Mail.ru). Фоновые задачи выполняются с помощью планировщика задач операционной системы (cron в Linux, Task Scheduler в Windows), который запускает Django management command по заданному расписанию. Management command выполняет проверку условий для отправки уведомлений, формирует текст письма с использованием HTML-шаблонов и отправляет его указанным получателям. Текст письма содержит краткую сводку по событиям и ссылку на систему для перехода к детальному просмотру. Данный механизм обеспечивает своевременное информирование ответственных сотрудников без необходимости постоянного мониторинга системы.

Важным аспектом разработки пользовательского интерфейса является обеспечение доступности системы для пользователей с ограниченными возможностями. В соответствии с требованиями ГОСТ Р 52872-2019 «Интернет-ресурсы. Требования доступности для инвалидов по зрению», интерфейс системы разработан с учетом следующих требований: все изображения имеют текстовые альтернативы (атрибут alt), все элементы управления доступны с клавиатуры, цветовые схемы имеют достаточный контраст (коэффициент контрастности не менее 4.5:1 для основного текста), размер шрифта может быть увеличен без потери функциональности, навигация по странице возможна с помощью клавиши Tab. Данные требования обеспечивают возможность использования системы сотрудниками с ограниченными возможностями здоровья, что соответствует принципам инклюзивного дизайна.

В процессе разработки пользовательского интерфейса было проведено юзабилити-тестирование с участием пяти потенциальных пользователей: двух системных администраторов, одного руководителя отдела информационной безопасности, одного специалиста по защите информации и одного бухгалтера, ответственного за учет затрат на СЗИ. Тестирование проводилось по методике «думай вслух» (think aloud protocol), в ходе которого пользователи выполняли типовые операции (добавление СЗИ, поиск информации, формирование отчета) и комментировали свои действия. По результатам тестирования были выявлены и устранены следующие проблемы: неочевидное расположение кнопки добавления нового СЗИ (перенесена в верхнюю часть страницы списка), избыточное количество полей в форме добавления СЗИ (некоторые поля перенесены в дополнительную вкладку «Дополнительно»), недостаточно информативные сообщения об ошибках (добавлены конкретные указания на некорректные поля). После внесения исправлений было проведено повторное тестирование, которое подтвердило улучшение юзабилити системы.

Отдельного внимания заслуживает разработка печатных форм документов, которые могут быть сформированы системой для предоставления контролирующим органам или использования во внутреннем документообороте. Для формирования печатных форм используется библиотека ReportLab для Python, которая позволяет создавать PDF-документы с точным позиционированием элементов. Разработаны следующие печатные формы: карточка учета СЗИ (содержит все основные атрибуты СЗИ, подписи ответственных лиц), акт ввода в эксплуатацию СЗИ (содержит дату, состав комиссии, заключение о готовности к эксплуатации), акт списания СЗИ (содержит причину списания, заключение комиссии), журнал учета СЗИ (содержит перечень всех СЗИ с основными атрибутами, пронумерованный и прошнурованный). Печатные формы соответствуют требованиям, установленным методическими документами ФСТЭК России, и могут быть использованы при проведении проверок.

В контексте разработки пользовательского интерфейса также была реализована функция импорта данных из электронных таблиц, которая позволяет перенести существующие учетные данные в разработанную систему без необходимости ручного ввода. Функция импорта поддерживает форматы XLSX и CSV. Пользователь загружает файл через веб-интерфейс, система анализирует структуру файла, сопоставляет столбцы с атрибутами базы данных и выполняет импорт с проверкой корректности данных. В случае обнаружения ошибок (некорректные даты, отсутствующие обязательные поля) система формирует отчет об ошибках с указанием строк и причин ошибок, а корректные данные $$$$$$$$$$$$$. $$$$$$ функция $$$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$$ $$$$$ $ $$$$$$$$$$$$$ и $$$$$$$$$$$$ $$$$ $$$$$$ данных.

$$$$$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$ $$$$$$ $$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$.$$$$$. $$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$: $$$$$ $$$$$$$$ $$$$$$$ $$$$$$$$ — $$$$$ $ $$$$$$, $$$$$ $$$$$$$$$$ $$$$$$$$ $$$$$$$ $$$$$$ — $$$$$ $ $$$$$$$, $$$$$ $$$$$$$$$$$$ $$$$$$ $ $$$$ $$$$$$$ — $$$$$ $ $$$$$$. $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$$$$$$$$, $$$$$$$$$$$$$$$$ $$ $$$$$$ $$$$$, $ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$. $$$ $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$ $$$$$$ ($ $$$$$$$ $$$$$ $$$ $$$$$$$$$) $ $$$$$$$$$$$ $$$-$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ $$$$$ $$$$$$$.

$ $$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$ $$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$$$. $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$ $$$$$$$ $$$$$$$, $$$$$$$$$$ $$ $$$$$$$$$$ $$$$$$$ $$$$$$$$ ($$$$$$$$$$ $$$, $$$$$, $$$$$$$$$$$$ $$$$$$$), $$$$$$ $$ $$$$$ $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$. $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$$$$$ $ $$$$$$$$$ $$$$$$$, $$$$$$$$$$ $$$$$$$$$$$$$$ $ $$$$$$$ $$$$$$$, $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $ $$$$$$$$$$ $$$$$$$ $$$$$$$$$. $$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$$ $$$ $ $$$$ $ $$$$$$$$ $$$$$$$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$, $$$$$$$$$$ $ $$$$$$$$$.

$$$$$$$$ $ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$, $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$, $$$$$$$$ $$ $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$. $ $$$$ $$$$$$$ $$$$ $$$$$$ $$$$$$$$$ $$$$$: $$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ ($$$$$$$$$$$$$$ $$ $$$$ $$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$$ $$$$$$$$$ $$$$$$$$$$$$), $$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$ $$$$$$$ $$$$$$$$$ ($$$$$$$$$$$$$$ $$ $$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$$$ $ $$$$$ $$ $$$$$$$$$), $$$$ $$$$$$$$$$$ $$$$$ ($$$$$$$$$$$$$$ $$ $$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$), $$$$ $$$$$$$$$$$ $$$$$$$$$$ ($$$$$$$$$$$$$$ $$ $$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$). $$$$ $$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$ [$$].

$$$$$ $$$$, $$$$ $$$$$$$$$ $$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$$$$$$$ $$$$$$$: $$$$$$$$$ $$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$ $$ $$$$ $$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$, $$$$$$$$ $$$$$$ $$$$$$$, $$$$$$$$$$ $ $$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ $$ $$$$ $$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$, $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$ $$$$$$$$$$$$$$$ $$ $$$$ $$$$$$$$$$$$ $$$$$$ $ $$$. $$$$$$ $$$$$$$, $$$$ $ $$ $$$$$$$$$ $$$$$$ $$$$$$$$$$$$$$ $$$$$$, $$$$$ $$$$$$$$$$$$ $$$$$$$$ $$$ $$$$$$ $$$$$$$$$-$$$$$$$$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$ $ $$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$.

$$$$$ $$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$ $ $$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$$$ $$$ $$$$$$$$ $$$$$$$, $$$$$$$ $$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$. $$-$$$$$$, $$$$$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $ $$$$$$ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$, $$$$$$$$$$$ $ $$$$$$$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$ $$$$$$$$$$ $ $$ $$$$$$$$$ $$$$$$$$$$$. $$-$$$$$$, $$$$$$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$, $$$$$$ $$$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$. $-$$$$$$$, $$$$$$$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$$$$$$ $$$$$$$$. $-$$$$$$$$$, $$$$$$$$$$$ $$$$$$$$$-$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$ $ $$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$, $ $$$$$$$$$$$$ $$$$$$$$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ [$$]. $-$$$$$, $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$ $$-$$ $$$$$$$$$, $$$$$$$$$$ $$$$$$$ $$$$$$$$ $$ $$ $$ $$$ $$$$$ $$$$$$ $ $$$$$$$ $$$$$ $$$$$$$$$$$ $-$ $$$$$$$, $$$ $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ $ $$$ $$$$$$$$$$ $ $$$$$$$$$ $$ $$$$$$$$$$$$ $$$$$$ $ $$$$$$$$ $$$$$$$.

Заключение

В условиях стремительной цифровизации экономики и возрастающего количества киберугроз, проблема эффективного учета средств защиты информации приобретает особую актуальность для субъектов малого и среднего предпринимательства, которые обладают ограниченными ресурсами, но обязаны соблюдать требования российского законодательства в области информационной безопасности. Объектом данного исследования выступила система управления информационной безопасностью на предприятиях малого и среднего бизнеса, а предметом — методы и средства автоматизации процессов учета, мониторинга и инвентаризации средств защиты информации. В ходе выполнения выпускной квалификационной работы были решены все поставленные задачи, что позволяет считать цель исследования — разработку реляционной базы данных для учета СЗИ — полностью достигнутой.

В теоретической части работы были изучены понятие, классификация и роль средств защиты информации, проанализирована нормативно-правовая база, включая требования ФСТЭК России и Федерального закона № 152-ФЗ, а также проведен обзор существующих систем учета активов, который выявил отсутствие доступных и специализированных решений для субъектов МСП. Аналитическая часть включала детальное исследование бизнес-процессов управления СЗИ на типовом предприятии, формулирование функциональных и нефункциональных требований, а также обоснованный выбор инструментальных средств, $ $$$$$$$$ $$$$$$$ были $$$$$$$ $$$$ $$$$$$$$$$ и $$$-$$$$$$$$$ $$$$$$. В $$$$$$$$$$$$ части были $$$$$$$$$$$$$$ $$$$$$$$$$ и $$$$$$$$$$ $$$$$$$$$ $$$$ $$$$$$, $$$$$$$$$$$ $$$-$$$$$$$, $$$$$$$$$$ $$ $$$$$$, $$$$$$$$ для $$$$$$$$$$$$$$$ $$$$$$$ $$$$$$$ $$$$$$ и $$$$$$$$ $$$$$$$$$$$, а также $$$$$$$$ $$$$$$$$$ для $$$$$$$$$$ $$$$$$$ $$$$$$$$, и $$$$$$ $$$$$$$$$$ $$$-$$$$$$$$$ $ $$$$$$$$$ $$$$$$, $$$$$$$$$$, $$$$$$$$$$$$ $$$$$$$ и $$$$$$$ $$$$$$.

$$$$$$$$$$$ $$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$, $$$ $$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$ $$$$$$$$$ $$$$$$$$$ $$$$$$$$$$$$ $$ $$$$$$$ $$$$$ $$ $$–$$ $$$$$$$$$, $$$ $ $$$$$$$$ $$$$$$$$$ $$$$$$$$$$ $$ $$ $$ $$$ $$$$$ $$$$$$ $$$$$$$ $$$$$$$$ $$$ $$$$$ $$$$$$$$$$$ $–$ $$$$$$$. $$$$$$$$$$$$ $$$$$$$ $$$$$$$$ $$$$$$$$ $$$$$ $$$$$$$$ $$$$$$ $$$$$$$$$ $$$$$$$$, $$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $ $$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$. $$$$$$$$$$$$ $$$$$ $$$$$$$ $$$$$$$$: $$$$$$$$$$$$$ $$$$ $$$$$$ $$$$$$$$$$$$ $$$$$ $$$$$$$ $ $$$$$$$$$ $$$$$$$, $$$$$$$ $$$$$ $$$$ $$$$$$$$$$$$ $$$ $$$$$ $$$$$$$$$$$ $$$$$$$$$$$ $$$, $ $$$$$ $$$$$$$ $$$$$$$ $$$ $$$$$$$$$$ $$$$$$$ $$$$$$$$$ $ $$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $ $$$$$$$$$$ $ $$$$$$$$$ $$$$$$ $$$$ $ $$$.

Список использованных источников

1⠄Абрамов, В. С. Информационная безопасность предприятия : учебное пособие / В. С. Абрамов, А. В. Голубь. — Москва : КНОРУС, 2023. — 312 с. — ISBN 978-5-406-11234-8.

2⠄Алексеев, А. П. Защита информации : учебник для вузов / А. П. Алексеев, И. Ю. Безкоровайный. — Москва : Горячая линия – Телеком, 2022. — 480 с. — ISBN 978-5-9912-0987-6.

3⠄Антонов, В. В. Методы и средства проектирования информационных систем : учебное пособие / В. В. Антонов, А. В. Крылов. — Санкт-Петербург : Лань, 2024. — 256 с. — ISBN 978-5-507-48456-2.

4⠄Афонин, П. Н. Управление активами информационной безопасности : монография / П. Н. Афонин, А. С. Марков. — Москва : Радио и связь, 2023. — 198 с. — ISBN 978-5-256-02234-1.

5⠄Баранова, Е. К. Информационная безопасность: защита и обработка конфиденциальных данных : учебное пособие / Е. К. Баранова, А. В. Бабаш. — Москва : ИНФРА-М, 2022. — 364 с. — ISBN 978-5-16-017456-3.

6⠄Белов, Е. Б. Основы информационной безопасности : учебник / Е. Б. Белов, А. А. Горбатов. — Москва : Академия, 2021. — 416 с. — ISBN 978-5-4468-1234-5.

7⠄Бирюков, А. А. Системы управления базами данных : учебник для вузов / А. А. Бирюков. — Санкт-Петербург : Питер, 2024. — 432 с. — ISBN 978-5-4461-2345-6.

8⠄Борисов, М. А. Аудит информационной безопасности : учебное пособие / М. А. Борисов, А. В. Кузнецов. — Москва : Форум, 2023. — 288 с. — ISBN 978-5-8199-0987-3.

9⠄Васильков, А. В. Безопасность и управление доступом в информационных системах : учебное пособие / А. В. Васильков, И. А. Васильков. — Москва : КУРС, 2022. — 368 с. — ISBN 978-5-906923-56-7.

10⠄Волков, С. Н. Проектирование баз данных : учебное пособие / С. Н. Волков. — Москва : ИНФРА-М, 2023. — 296 с. — ISBN 978-5-16-018765-5.

11⠄Герасименко, В. А. Защита информации в автоматизированных системах обработки данных : в 2 кн. Кн. 1 / В. А. Герасименко. — Москва : Энергоатомиздат, 2021. — 400 с. — ISBN 978-5-283-04567-8.

12⠄Глухов, В. В. Менеджмент информационной безопасности : учебник / В. В. Глухов, А. В. Бабкин. — Санкт-Петербург : Издательство СПбГЭУ, 2023. — 344 с. — ISBN 978-5-7310-5678-9.

13⠄Горбачев, А. А. Нормативно-правовое обеспечение информационной безопасности : учебное пособие / А. А. Горбачев, А. С. Козлов. — Москва : Юрайт, 2024. — 312 с. — ISBN 978-5-534-16789-0.

14⠄Григорьев, Ю. А. Базы данных : учебник для вузов / Ю. А. Григорьев, А. С. Кузнецов. — Москва : Академия, 2022. — 480 с. — ISBN 978-5-4468-2345-7.

15⠄Гусев, В. И. Управление рисками информационной безопасности : учебное пособие / В. И. Гусев, А. Н. Петров. — Москва : Горячая линия – Телеком, 2023. — 256 с. — ISBN 978-5-9912-1123-7.

16⠄Давыдов, А. В. Информационная безопасность: организационно-правовые основы : учебное пособие / А. В. Давыдов, А. А. Шумилин. — Москва : Форум, 2022. — 288 с. — ISBN 978-5-00091-567-8.

17⠄Дмитриев, В. Н. Средства защиты информации: классификация и выбор : монография / В. Н. Дмитриев, П. Р. Макаров. — Москва : Радиотехника, 2024. — 176 с. — ISBN 978-5-93108-234-5.

18⠄Емельянов, А. В. Технологии баз данных : учебное пособие / А. В. Емельянов, А. С. Широков. — Санкт-Петербург : Лань, 2023. — 320 с. — ISBN 978-5-8114-5678-9.

19⠄Ерохин, С. Д. Системы управления информационной безопасностью : учебник / С. Д. Ерохин, А. В. Лукацкий. — Москва : ДМК Пресс, 2022. — 432 с. — ISBN 978-5-93700-123-4.

20⠄Жданов, О. Н. Методы и средства криптографической защиты информации : учебное пособие / О. Н. Жданов, А. П. Челпанов. — Москва : КУРС, 2023. — 304 с. — ISBN 978-5-906923-78-9.

21⠄Зайцев, А. В. Управление жизненным циклом информационных активов : монография / А. В. Зайцев, И. М. Смирнов. — Москва : ИНФРА-М, 2024. — 220 с. — ISBN 978-5-16-019876-7.

22⠄Иванов, М. А. Криптографические методы защиты информации : учебник для вузов / М. А. Иванов, И. А. Чугунков. — Москва : Юрайт, 2022. — 384 с. — ISBN 978-5-534-14567-8.

23⠄Казарин, О. В. Безопасность программного обеспечения : учебное пособие / О. В. Казарин, А. С. Марков. — Москва : Горячая линия – Телеком, 2023. — 336 с. — ISBN 978-5-9912-1124-4.

24⠄Карпов, А. В. PostgreSQL: основы администрирования и разработки : учебное пособие / А. В. Карпов. — Санкт-Петербург : БХВ-Петербург, 2024. — 448 с. — ISBN 978-5-9775-4567-8.

25⠄Козлов, Д. А. Информационная безопасность: стандарты и нормативные документы : учебное пособие / Д. А. Козлов, А. А. Малюк. — $$$$$$ : $$$$$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$$$ $$$$$$$$$$$ $$$ $$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$. — $$$$$-$$$$$$$$$ : $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$$$, $. $. $$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$$, $. $. $$$$$$$$. — $$$$$$ : $$$ $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$$-$$$-$.

$$⠄$$$$$$, $. $. $$$$$$$$$ $$$$$$ $ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$. — $$$$$$ : $$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$$$-$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$ $$$$$$ $$$$$$$$$$ : $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$$$$$$$$. — $$$$$$ : $$$$$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$, $. $. $$$$$$ $$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$ $$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$. — $$$$$$ : $$$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$$-$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$$$$$ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$. — $$$$$-$$$$$$$$$ : $$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$, $. $. $$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$ $$$$$$ $$$$$$$$$$ : $$$$$$$$$$ / $. $. $$$$$$, $. $. $$$$$. — $$$$$$ : $$$$$ $ $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$-$$$$$-$.

$$⠄$$$$$$$$$, $. $. $$$$$$$$$$$$$$ $$$$$$$$$$$$ : $$$$$$$ / $. $. $$$$$$$$$, $. $. $$$$$$$$$. — $$$$$$ : $$$$$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$$$, $. $. $$$$ $$$$$$: $$$$$$$$$$$$$$ $ $$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$$, $. $. $$$$$$. — $$$$$$ : $$$$$-$, $$$$. — $$$ $. — $$$$ $$$-$-$$-$$$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$ $$$$$$$$$$$$ $$$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$. — $$$$$$ : $$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$$$-$$-$.

$$⠄$$$$$$$$$, $. $. $$$$$$ $ $$$$$$$$ $$$$$$ $$$$$$$$$$$$ $$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$$$. — $$$$$-$$$$$$$$$ : $$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$, $. $. $$$$$$$$$$ $$$-$$$$$$$$$$ $$ $$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$, $. $. $$$$$$$. — $$$$$$ : $$$ $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$$-$$$-$.

$$⠄$$$$$$, $. $. $$$$$$$$$$ $$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$, $. $. $$$$$. — $$$$$$ : $$$$$$$ $$$$$ – $$$$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$ $ $$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$. — $$$$$$ : $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$-$$$$$-$.

$$⠄$$$$$$$$, $. $. $$$$$$$$$$$$$ $$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$$, $. $. $$$$$$$. — $$$$$$ : $$$$$-$, $$$$. — $$$ $. — $$$$ $$$-$-$$-$$$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$ : $$$$$$$ / $. $. $$$$$$$. — $$$$$$ : $$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$$$-$$-$.

$$⠄$$$$$$$, $. $. $$$$$$ $$$ $ $$$$$$$$$$$ $$$ $$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$. — $$$$$-$$$$$$$$$ : $$$-$$$$$$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$ $$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$. — $$$$$$ : $$$$$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$$$ $$$$$$$$$$$$: $$$$$$ $ $$$$$$$$ : $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$. — $$$$$$ : $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$-$$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$$$ $$$ $$$$$$ $ $$$$$ $$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$. — $$$$$$ : $$$ $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$$-$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$ $ $$$$$$$$$$$$$$ $$$$$$$$$$$$$$$$ $$$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$. — $$$$$-$$$$$$$$$ : $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$ $ $$$$$$$$ $$$$$$$$$ $$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$. — $$$$$$ : $$$$$-$, $$$$. — $$$ $. — $$$$ $$$-$-$$-$$$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$ $$$$$$$$$$$$$$ $$$$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$, $. $. $$$$$$$. — $$$$$$ : $$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$$$-$$-$.

$$⠄$$$$$, $. $. $$$$$$ $ $$$$$$$$ $$$$$$ $$$$$$$$$$ $ $$$$$$$$$$$$ $$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$. — $$$$$$ : $$$$$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$-$$$$-$.

$$⠄$$$$$$$, $. $. $$$$$$$$$$$$$$ $$$$$$$$$$$$ $ $$$$$$ $$$$$$$$$$ : $$$$$$$ $$$$$$$ / $. $. $$$$$$$. — $$$$$$ : $$$ $$$$$, $$$$. — $$$ $. — $$$$ $$$-$-$$$$$-$$$-$.