Совершенствование системы защиты конфиденциальной информации на примере АО

Актуальность выполненной работы в условиях угроз информационной безопасности высока.
Новизна выполненной работы заключается в проведении исследовательской деятельности в области обеспечения безопасности информации и разработке способов совершенствования защитных мер безопасности информации на примере коммерческой организации

Обозначения и сокращения 2
Введение 3
1 Анализ структуры информационной системы АО 5
1.1 Особенности построения локально вычислительной сети компании 5
1.2 Анализ, информационных потоков, обрабатываемых с использованием рабочих станций в компании 7
1.3 Анализ источников угроз безопасности защищаемой информации при подключении рабочих станций к сети Интернет 11
2 Анализ систем защиты информации компании 22
2.1 Определение показателей и критериев эффективности функционирования системы защиты информации 22
2.2 Разработка модели угроз и нарушителей информационной безопасности в информационной системе компании 23
2.3 Анализ эффективности системы информационной безопасности 27
3 Предложения по совершенствованию мер защиты информации 32
3.1 Разработка системы защиты информации 32
3.2 Выбор целесообразных технических средств и организационных мероприятий 34
3.3 Функциональная оценка эффективности подсистемы технической защиты информации 48
3.4 Расчет затрат на модернизацию системы защиты информации 50
3.4.1 Основная заработная плата исполнителей 52
3.4.2 Дополнительная заработная плата 52
3.4.3 Расчёт отчислений на социальное страхование 53
3.4.4 Расчёт расходов на оборудование 53
3.4.5 Расчёт расходов на программное обеспечение 54
3.4.6 Накладные расходы 55
3.4.7 Расчёт стоимости машинного времени 56
3.4.8 Расчет годовых текущих затрат 57
3.4.9 Расчет показателей экономической эффективности 59
Заключение 61
Список использованных источников 63
Приложения 68

Введение

Создать идеальную систему защиты информации невозможно, но возможно отдалить во времени негативное событие, а также подготовиться к нему. Для предотвращения инцидента в ближайшей перспективе, либо подготовки к устранению его последствий нужны не только специалисты, но и ресурсы.
Быстрое развитие информационных технологий способствует появлению новых угроз и уязвимостей. В то же время уже зарекомендовавшие себя векторы атак используются более активно злоумышленниками. Проблемы и задачи в сфере информационной безопасности настолько глубоки и разнообразны, что требуют непрерывной подготовки специалистов высокого уровня.
Да и имеющиеся ресурсы для обеспечения информационной безопасности, либо ликвидации последствий далеко не безграничны. Желательно, чтобы руководство в сфере информационной безопасности уже с первого раза принимало верное решение, так как последствия от ошибочного или недальновидного решения могут быть критическими для организации, вплоть до её закрытия.
...

1.1 Особенности построения локально вычислительной сети компании АО «Металлоизделия»

Акционерное общество «Металлоизделия» является одним из старейших предприятий г. Павловский Посад Московской области. Свою историю компания ведет с 30-х годов прошлого века, когда на территории располагался «Завод облицовочных плиток». Продукция того времени использовалась при строительстве Московского Метро для облицовки некоторых станций. Во время Великой Отечественной Войны предприятие относилось к Управлению Металлообрабатывающей промышленности и выпускало продукцию, необходимую для повседневного обеспечения деятельности фронта и тыла.
В настоящее время предприятие осуществляет 3 основных вида деятельности. Это изготовление изделий из металла, цинкование и нанесение порошкового покрытия на металлические конструкции. Также на предприятии выпускаются эфирные телевизионные антенны, известные под маркой «LOCUS».
...

1.2 Анализ, информационных потоков, обрабатываемых с использованием рабочих станций в компании АО «Металлоизделия»

«Оценка организации основывается на двух видах источников информации, таких как внутренние которые представлены в виде официальных каналов распространения информации, представления информации руководителю организации, ее структурным подразделениям, филиалам и представительствам и внешние, к которым относится любая иная информация, полученная из любых других источников: партнеров, конкурентов, клиентов, органов власти и т.д.» Баранова Е.К. [3]
«Источники конфиденциальной информации предоставляют полную информацию о составе, описании и виде деятельности организации. Поэтому хорошая система защиты информации, созданная с учетом всех нюансов, поможет избежать различных проблем.» Баранова Е.К. [3]
Источники информации в АО «Металлоизделия» представлены на рисунке 1.
...

1.3 Анализ источников угроз безопасности защищаемой информации при подключении рабочих станций к сети Интернет

Для создания защищенных автоматизированных информационных систем требуется наличие соответствующих знаний и опыта.
«Заказчик автоматизированных систем может не понимать детали проекта, но он должен отслеживать каждый этап на предмет соответствия техническим спецификациям и требованиям необходимых нормативных документов. В свою очередь, процесс проектирования требует использования необходимых документов в этой области для получения максимально эффективного результата.
Таким образом, процесс проектирования защищенных автоматизированных информационных систем должен основываться на знаниях и строгом соблюдении требований действующих нормативных документов, как со стороны его создателей, так и пользователей» Гафнер В.В.
...

2.1 Определение показателей и критериев эффективности функционирования системы защиты информации

Для проведения анализа систем защиты информации выбрана модель оценки Домарева, позволяющая оценить эффективность функционирования системы информационной безопасности и защищённость подсистемы технической защиты.
В.В. Домарев разработал свою модель оценки систем защиты информации, основанную на системном подходе. Понятие системности по Домареву заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла информационной системы. При этом все средства, методы и мероприятия, используемые для защиты информации, объединяются в единый целостный механизм – систему защиты.
Создавая данную модель, Домарев исходил из того, что многообразие вариантов построения информационных систем порождает необходимость создания различных систем защиты, учитывающих индивидуальные особенности каждой из них.
...

2.2 Разработка модели угроз и нарушителей информационной безопасности в информационной системе компании АО «Металлоизделия»

Для составления модели угроз и модели нарушителя необходимо определить наиболее важную информацию, проходящую в сети организации, а также хранимую на бумажных носителях.
В организации циркулируют:
– персональные данные сотрудников организации;
– персональные данные клиентов;
– коммерческая тайна организации;
– открытая информация. [8]
Под угрозой имеется в виду высокая существующая вероятность специального или непреднамеренного действия, в результате которого могут быть нарушены основные свойства информации и систем ее обработки: доступность, целостность и конфиденциальность. [15]
Модель угроз информационной безопасности представлена в Приложении 2.
Следует иметь в виду, что финальная цель нарушения может быть разной, она варьируется от категории объекта и облика возможного нарушителя.
...

2.3 Анализ эффективности системы информационной безопасности

На всех этапах жизненного цикла системе защиты информации присущи неопределенность ее свойств в условиях реального воздействия случайных факторов из внешней и внутренней среды. Оценка эффективности деятельности является составной частью процедуры управления эффективностью деятельности организации. Оценка эффективности системы защиты информации выполняется с учетом определенных потенциальных угроз и моделей нарушителей.
Проектируемая система информационной безопасности АО «Металлоизделия» представлена на рисунке 9.

Рисунок 9 – Проектируемая система информационной безопасности АО «Металлоизделия»

Из рисунка 9 видно, что проектируемая система информационной безопасности состоит из 5 ключевых подсистем.
...

3.1 Разработка системы защиты информации

Проектирование системы защиты, обеспечивающей достижение поставленных перед технической защитой информации целей и решение задач, проводится путем системного анализа существующей и разработки вариантов требуемой системы защиты.
Последовательность проектирования системы технической защиты включает три основных этапа:
1. моделирование объектов защиты;
2. моделирование угроз информации;
3. выбор мер защиты.
В общем случае подсистему технической защиты АО «Металлоизделия» целесообразно разделить на комплексы, каждый из которых объединяет силы и средства предотвращения одной из угроз утечки информации (рисунок 11).
Рисунок 11 – Структурно-функциональная схема разрабатываемой подсистемы технической защиты АО «Металлоизделия»

Из анализа рисунка 11 видно, какими способами и средствами реализуется защита основных объектов помещения.
В общем случае комплекс защиты информации от наблюдения должен обеспечивать:

3.2 Выбор целесообразных технических средств и организационных мероприятий

Для предотвращения хищения и утраты информации из рассматриваемого помещения используется ряд мер по обеспечению информационной безопасности.
К этим мерам относятся: пожарно-охранная сигнализация, СКУД (1 этаж), система разграничения доступа, двери, окна.
За организацию и ведение пропускного режима и охранной деятельности отвечает служба охраны.
Дверь в защищаемое помещение не является взломостойкой, запирается на обычный ключ, не имеет тепло- и шумоизоляцию.
Техническое мероприятие – это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений. Технические мероприятия направлены на закрытие каналов утечки информации.
К техническим мероприятиям с использованием пассивных средств относятся:

3.3 Функциональная оценка эффективности подсистемы технической защиты информации

Ниже представлен результат оценки защищённости подсистемы технической защиты информации (таблица 11).
Таблица 11 – Итоговая оценка эффективности подсистемы технической защиты информации
№ этапа
Перечень показателей
№ элемента матрицы
Требуемый профиль безопасности
Достигнутый профиль безопасности
Степень выполнения групп требований
Количественная оценка

m
№
Qтр
Qд
Qгруп
Q
1
2
3
4
5
6
7
1. Определение объектов ИС, подлежащих защите
1
151
0,87
0,91
0,9
0,88

2
152
0,87
0,89

3
153
0,87
0,88

4
154
0,87
0,9

2. Выявление потенциальных угроз
5
251
0,87
0,91
0,89

6
252
0,87
0,89

7
253
0,87
0,87

8
254
0,87
0,88

3. Проведение оценки угроз и рисков
9
351
0,87
0,9
0,88

4.
10
352
0,87
0,88

11
353
0,87
0,87

12
354
0,87
0,87

4. Определение требований к СЗИ
13
451
0,87
0,9
0,88


3.4 Расчет затрат на модернизацию системы защиты информации

Сметная стоимость модернизации включает в себя затраты, определяемые по формуле (1) [18]:
Смодерн = Спр + Со + Сосн + Ссоц + Сн , (1)

где Спр – стоимость программных средств;
Со – затраты на оборудование;
Сосн – основная заработная плата исполнителей;
Ссоц – взносы во внебюджетные фонды обязательного социального страхования (пенсионный фонд, фонд обязательного медицинского страхования, фонд социального страхования). Рассчитывается в соответствии с установленным тарифом как 30% от основной и дополнительной заработной платы;
Сн – накладные расходы включают затраты на управление, уборку, ремонт, электроэнергию, отопление и др. (принимаются в размере 60% от основной и дополнительной заработной платы).
...

3.4.1 Основная заработная плата исполнителей
К основной заработной плате относят заработную плату научных, инженерно-технических и других работников, непосредственно участвующих в модернизации. Расчёт ведётся по формуле (2) [18]:
Зисп = Зср ∙ 𝑇, (2)

где Зисп – заработная плата исполнителей (руб.);
Зср – средняя дневная тарифная ставка работника организации (руб./чел.дни);
Т – трудоёмкость модернизации (чел.дни).

Зср определяется по формуле (3):

Зср = С/Фмес , (3)

где С – месячная зарплата работника (руб./мес.);
Фмес – среднее количество рабочих дней в месяце (20дн.).

Расчёт затрат на основную заработную плату сотрудников приведен в таблице 13.
Таблица 13 — Затраты на заработную плату
№
Исполнитель
Оклад, руб./мес.
Оклад, руб./день
Трудоемкость, чел. дней
Сумма, руб.
1
2
3
4
5
6
1
Инженер
60000
3000
27,8
83 400

Итог Сосн

83 400
3.4.
...

3.4.4 Расчёт расходов на оборудование
К расходам на оборудование относят затраты на его приобретение. Затраты по ним определяются по экспертным оценкам. Расчёт расходов на материалы приведён в таблице 14.
Таблица 14 – Расчет затрат на оборудование для модернизации
Наименование
Характеристики
Кол-во
Сумма, руб.
1
2
3
4
Маршрутизатор Cisco RV325 Dual Gigabit WAN VPN Router
Маршрутизатор, поддерживающий до 17 сегментов локально-вычислительной сети VLAN стандарта 802.3 / 802.3u, имеет Гигабитный порт
2
19 573 руб.
Коммутатор Cisco SG350-28P-K9-EU
Управляемый коммутатор 2 уровня, 24x RJ-45 1Гбит/с PoE (бюджет 195Вт), 2x combo RJ-45/SFP 1Гбит/с, RAM 512МБ, Flash 256МБ, коммутационная матрица: 56Гбит/с, 16K MAC-адресов, SNMP, Web-интерфейс, 440x44x257мм
2
40 970 руб.

Продолжение таблицы 14
1
2
3
4
Комплекс ТСЗИ «Соната»
«Соната-ИП4.
...

3.4.5 Расчёт расходов на программное обеспечение
Расчёт расходов на покупку программного обеспечения приведён в таблице 15.

Таблица 15 – Расчет затрат на программное обеспечение для модернизации
Наименование
Характеристики
Кол-во
Сумма, руб.
1
2
3
4
Microsoft Windows Professional 10 32-bit/64-bit All Languages
Операционная система для персонального использования.
Разрядность ОС 32/64.
Минимальная частота процессора 1 ГГц, оперативная память 1 Гб, требуемое место на диске 20 Гб
15
(12 670 руб. × 15 ) = 190 050 руб.
Kaspersky Endpoint Security 11
Комплексное антивирусное средство, включающее в себя:
Анализ поведения;
Защиту от эксплойтов;
Откат вредоносных действий;
Предотвращение вторжений;
Защиту от файловых угроз;
Защиту от почтовых угроз;
Защиту от веб-угроз;
Защиту от сетевых угроз;
Сетевой экран;
Защиту от атак BadUSB;
Веб-контроль;
Контроль программ;
Контроль устройств;
Шифрование файлов;
Полнодисковое шифрование;
Управление Bitlocker;
Endpoint Sensor.
15
36 218 руб.
...

3.4.7 Расчёт стоимости машинного времени
Включают затраты на машинное время, необходимое для модернизации, расходы на приобретение и подготовку материалов научно-технической информации, расходы на использование средств связи. Расчет затрат на машинное время осуществляется по формуле (6) [18]:

Смаш.врем. = Кмаш.врем ∙ Змаш.врем., (6)
где Кмаш.врем – средняя стоимость одного часа машинного времени
(Кмаш.врем = 50 руб./час);
Змаш.врем. – машинное время, используемое на проведение исследования.

Необходимое количество машинного времени для реализации проекта по модернизации рассчитывается по формуле (7):

Змаш.врем. = 𝑡𝑖 ∙ Тсм ∙ Тср.маш. , (7)
где 𝑡𝑖 – трудоёмкость работ, человек-дней;
Тсм – продолжительность рабочей смены (при пятидневной рабочей неделе Тсм = 8 часов);
Тср.маш – средний коэффициент использования машинного времени
(Тср.маш = 0,7).

Тогда: Змаш.врем .= 27,8 × 8 × 0,7 = 155,7 маш. час
Стоимость машинного времени составит:
Смаш.врем. = 50 × 155,7 = 7 785 руб.
...

3.4.8 Расчет годовых текущих затрат
Производится по формуле (8):

С𝑖 = Cм + Сосн + Сдоп + Ссоц + Сн + Саморт, (8)

где См – затраты на используемые материалы (руб.);
Сосн – основная заработная плата исполнителей за год (руб.);
Сдоп – дополнительная заработная плата работников, учитывающая потери времени на отпуска и болезни (принимается в среднем 10% от основной зарплаты работников) (руб.);
Ссоц – отчисления во внебюджетные фонды обязательного социального страхования (пенсионный фонд, фонд обязательного медицинского страхования, фонд социального страхования), рассчитываются как 30,2% от основной и дополнительной заработной платы (руб.);
Сн – накладные расходы включают затраты на управление, уборку, ремонт, электроэнергию, отопление и др. (принимаются в размере 60% от основной и дополнительной заработной платы) (руб.
...

1. Альтерман, А.Д. Современное программное и аппаратное обеспечение / А.Д. Альтерман // Международный научный журнал «Инновационное развитие». - Пермь, 2017. - № 12. - 19 с.
2. Астахов А.М. Искусство управления информационными рисками. М.: ДМК Пресс, 2015 - 312 с.
3. Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2018. - 400 c.
4. Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. - М.: ДМК Пресс, 2013. - 474 c.
5. Воронов А.А. Обеспечение системы управления рисками при возникновении угроз информационной безопасности / А.А. Воронов, И.Я. Львович, Ю.П. Преображенский, В.А. Воронов // Информация и безопасность. 2016. – 234 с.
6. Гафнер, В. В. Информационная безопасность / В.В. Гафнер. - М.: Феникс, 2010. - 336 c.
7. ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Мето¬ды и средства обеспечения безопасности. Менеджмент риска информационной безопасности». М.: Стандартинформ, 2011
8. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения». М.: Стандартинформ, 2008
9. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России;
10. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России;
11. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования;
12. ГОСТ Р 52069-2003. Защита информации. Система стандартов. Основные положения;
13. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью;
14. ГОСТ Р ИСО/МЭК 18028-1-2008. Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности;
15. ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем;
16. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий;
17. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ от 5 декабря 2016 г. №646).
18. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 г. №149 - ФЗ // «Российская газета» от 29 июля 2006 г.
19. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
20. Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
21. Постановление Правительства Российской Федерации от 15.09. 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
22. Постановление Правительства РФ от 8 февраля 2018 г. N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
23. Гришина, Н.В. Информационная безопасность предприятия: Учебное пособие / Н.В. Гришина. - М.: Форум, 2018. - 118 c.
24. Денисов Ю. Экономьте время и деньги. Часть 1. Построение локальной сети. // «Системный администратор», №7-8, 2011 г. - 74 с.
25. Дибров, М.В. Компьютерные сети и телекоммуникации. Маршрутизация в IP-сетях в 2-х частях. Часть 1. Учебник и практикум для СПО / М.В. Дибров. - М.: Юрайт, 2015. - 174 c.
26. Дибров, М.В. Компьютерные сети и телекоммуникации. Маршрутизация в IP-сетях в 2-х частях. Часть 2. Учебник и практикум для СПО / М.В. Дибров. - М.: Юрайт, 2017. - 229 c.
27. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - К.: ТИД Диа Софт, 2012;
28. Завгородний, И.В. Комплексная защита информации // Логос, 2011г. - 370с.
29. Исакова, А.И. Основы информационных технологий: учебное пособие /А.И. Исакова. – Томск: ТУСУР, 2016 – 206 с.
30. Кучинская Е., Рыжко А., Лобанова Н., Рыжко Н. Экономика информационных систем // 2-е изд., испр. и доп. Учебное пособие для бакалавриата и магистратуры, 2018г. - 168 с.
31. Лушников, Н.Д. Комплексная установка элементов системы безопасности предприятий / Н.Д. Лушников, А.Д. Альтерман // Международный научный журнал «Инновационное развитие». - Пермь, 2017. - № 12. - 74 с.
32. Лушников, Н.Д. Современные технические средства борьбы с хакерскими атаками / Н.Д. Лушников, А.Д. Альтерман // Международный научный журнал «Инновационное развитие». - Пермь, 2017. - № 12. - 80 с.
33. Львович И.Я. Применение методологического анализа в исследовании безопасности / И.Я. Львович, А.А. Воронов // Информация и безопасность. 2011. – 470с.
34. Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации // М.: Горячая линия - Телеком, 2013г.
35. Мищенко, Е.С. Организационные структуры управления (современное состояние и эволюция): учебное пособие / Е.С. Мищенко. – Тамбов: Изд-во ГОУ ВПО ТГТУ, 2018. – 104 с. – 450 экз.
36. Нойкин, С.А. Анализ и оценка внешней среды организации /С.А. Нойкин // Вестник Пензенского государственного университета. - 2017. - №3(11). - С. 44-49.
37. Семенов, Ю. А. Алгоритмы телекоммуникационных сетей. В 3 частях. Часть 2. Протоколы и алгоритмы маршрутизации в Internet / Ю.А. Семенов. - М.: Бином. Лаборатория знаний, Интернет-университет информационных технологий, 2019. - 832 c.
38. Степанов, Е.А. Информационная безопасность и защита информации. Учебное пособие / Е.А. Степанов, И.К. Корнеев. - М.: ИНФРА-М, 2016. - 304 c.
39. Солдатов М.А., Анализ угроз информационной безопасности. Теория и практика экономики и предпринимательства / Солдатов М. А., Бойко Е. В. – М., 2016 – 272с.
40. Торокин А.А. Инженерно-техническая защита информации // М.: Гелиос АРВ, 2015г. - 958 с.
41. Труфанов А. И. Политика информационной безопасности как предмет исследования // Проблемы Земной цивилизации. - Вып. 9. - Иркутск: ИрГТУ, 2014 / library.istu.edu/civ/default.htm
42. Трофимова, Н.О. Анализ угроз информационной безопасности. Экономика и социум / Трофимова, Н. О., Фахрутдинова, И. Р // М., 2016 – 556с.
43. Хорев, А.А. Защита информации от утечки по техническим каналам. Технические каналы утечки информации: учеб. пособие //А. А. Хорев; Гостехкомиссия России, 2008г.- 320 с.
44. Хорев А. А. Способы и средства защиты информации: учеб. пособие // М.: МО РФ, 2010г.
45. Шаньгин, В. Ф. Информационная безопасность компьютерных систем и сетей / В.Ф. Шаньгин. - М.: Форум, Инфра-М, 2011. - 416 c.
46. Черников С.Ю. Использование системного анализа при управлении организациями / С.Ю. Черников, Р.В. Корольков // Моделирование, оптимизация и информационные технологии. 2014. – 350с.
47. Эпельфельд И.И., Сухотерин А.И. Рекомендации по внедрению защищенного документооборота на предприятии // Ресурсам области - эффективное использование / Сборник материалов XV Ежегодной научной конференции студентов Финансово-технологической академии. Часть 1. - Королёв: Финансово, 2017. - С. 175-183.
48. Ярочкин В.И. Информационная безопасность. Учебник для вузов. М: Академический Проект, Парадигма, 2015. 544 с
49. Электронный ресурс. Научная электронная библиотека. http://www.elibrary.ru
50. Электронный ресурс. Национальный открытый Универсистет НОУ «ИНТУИТ». http://www.intuit.ru/