Проектирование комплексной системы защиты информации на предприятии

- Об утверждении инструкции о порядке работы с документвсм ограниченного распространения, не содержащих государственную тайну;

- Об утверждении инструкции по опечатыванию кабинетов;

- Об утверждении инструкции о внутреобъектовом порядке режимных помещений;

- Об утверждении инструкции о внутреобъектовом порядке режимных помещений;

- Об утверждении инструкции по резервному копированию (восстановлению) информации;

- Об утверждении инструкции о средствах антивирусной защиты ИСПДн;

- Об утверждении инструкции ответственного за организацию обработки ПДн;

- Об утверждении Положения об осуществлении внутреннего контроля соответствия обработки ПДн Федеральному закону Российской Федерации от 27 июня 2006 года №152-ФЗ и принятыми в соответствии с ними нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки ПДн, локальным актам оператора;

- Об утверждении Положения о комиссии по вопросам информационной безопасности;

- Об утверждении политики обработки ПДн;

- Об утверждении Положения о рассотрении запросов субъектов ПДн или их представителей;

- Об утверждении инструкции пользователя при обработке ПДн без средств автоматизации;

- Об утверждении Положения об обработке ПДн;

- Об утверждении Положения об оценке вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27 июня 2006 года №152-ФЗ “О персональных данных”;

- Об утверждении перечня мест хранения материальных носителей ПДн;

- Об утверждении инструкции работника Учреждения по эксплуатации автоматизированного рабочего места и пользования ведомственной сетью передачи данных;

- Об утверждении схемы передачи ПДн по каналам связи Учреждения;

- Об утверждении инструкции по эксплуатации машинных носителей информации;

- О создании комиссии по вопросам информационной безопасности;

- Об утверждении модели угроз безопасности ПДн при обработке в инфомарционных системах ПДн;

- О назначении пользователей и правил работы со средствами криптографической защиты информации;

2.Журнал

- Журнал учета обращении субъектов ПДн или их представителей;

- Журнал учета лиц о факте обработки ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации;

- Журнал ознакомления работников, непосредственно ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику “Учреждения” в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;

- Журнал учета фактов несанкцианированого доступа к ПДн и принятых мер;

- Журнал поэкземплярного учета криптосредств;

- Журнал учета

Для организации Службы защиты информации (СлЗИ) такие документы:

- Положение о СлЗИ;

- Должностные инструкция начальник службы безопасности;

- Должностные инструкция инженер по защите информации;

- Должностные инструкция начальник отдела конфиденциального делопроизводства;

- Инструкция по защите конфиденциальной информации;

К уже существующему уставу мед. учреждения необходимо внести в устав следующие дополнения:

-- мед. учреждение имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну; требовать от своих сотрудников обеспечения ее сохранности;

-- обязано обеспечить сохранность коммерческой тайны;

-- состав и объем информации, являющейся конфиденциальной и составляющей коммерческую тайну, а также порядок защиты определяются руководителем мед. учреждения;

-- имеет право не предоставлять информацию, содержащую коммерческую тайну;

-- руководителю предоставляется право возлагать обязанности, связанные с защитой информации, на сотрудников.

Внесение этих дополнений дает право администрации:

-- создавать организационные структуры по защите коммерческой тайны;

-- издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

-- включать требования по защите коммерческой тайны в договора по всем видам деятельности;

-- требовать защиты интересов учреждения перед государственными и судебными органами;

-- распоряжаться информацией, являющейся собтвенностью, в целях извлечения выгоды и недопущени экономического ущерба коллективу учреждения и собственнику средств производства.

Раздел «Конфиденциальная информация»:

Общество организует защиту своей конфиденциальной информации. Состав и объем сведений конфиденциального характера, и порядок их защиты определяются генеральным директором.

Внесение этих дополнений дает право администрации:

- создавать организационные структуры по защите коммерческой тайны или возлагать эти функции на соответствующих должностных лиц;

- издавать нормативные и распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и механизмы их защиты;

- включать требования по защите коммерческой тайны в договоры по всем видам хозяйственной деятельности (коллективный и совместные со смежниками);

- требовать защиты интересов учреждения перед государственными и судебными органами;

- распоряжаться информацией, являющейся собственностью фирмы, в целях извлечения выгоды и недопущения экономического ущерба коллективу и собственнику средств производства.

А также необходимо проставить грифы конфиденциальности:

- Самый низкий гриф конфиденциальности «ДСП» проставить на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах; журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).

- Гриф “КОНФИДЕНЦИАЛЬНО” проставить на информации об отдельных аспектах сделок за короткий промежуток времени; развернутые сведения о персонале компании (персональные данные работников); текущие документы, отражающие финансовую деятельность; документы, содержащие данные о пациентах, не предоставляемые третьим лицам, неопубликованная информация, обладающая экономической ценностью для учреждения и его персонала.

- Гриф “СТРОГО КОНФИДЕНЦИАЛЬНО” присвоить документам, содержащим данные о сделках с партнерами или пациентами фирмы, об итогах деятельности за продолжительный период времени; документам, содержащим важнейшие аспекты коммерческой деятельности, документам, содержащих медицинскую тайну.

Коллективный договор должен содержать следующие требования:

Раздел «Предмет договора»

· Администрация обязуется в целях недопущения нанесения экономического ущерба коллективу обеспечить разработку и осуществление мероприятий по экономической безопасности и защите конфиденциальной информации.

· Трудовой коллектив принимает на себя обязательства по соблюдению установленных на фирме требований по экономической безопасности и защите конфиденциальной информации.

· Администрации учесть требования экономической безопасности и защиты конфиденциальной информации в правилах внутреннего трудового распорядка, в функциональных обязанностях сотрудников и положениях о структурных подразделениях.

Раздел «Кадры. Обеспечение дисциплины труда»

Администрация обязуется нарушителей требований по экономической безопасности и защите конфиденциальной информации привлекать к ответственности в соответствии с законодательством РФ.

Правила внутреннего трудового распорядка для рабочих и служащих учреждения целесообразно дополнить следующими требованиями:

Раздел «Порядок приема и увольнения рабочих и служащих»

При приеме сотрудника на работу или при переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией, а также при увольнении администрация обязана:

· проинструктировать сотрудника о правилах экономической безопасности и сохранения конфиденциальной информации;

· оформить письменное обязательство о неразглашении конфиденциальной информации. Администрация вправе:

· принимать решения об отстранении от работы лиц, нарушающих требования по защите конфиденциальной информации;

· осуществлять контроль за соблюдением мер по защите и неразглашении конфиденциальной информации в пределах предприятия.

· при решении об увольнении или отстранении от обязанностей заранее ограничить его доступ к системе.

Раздел «Основные обязанности рабочих и служащих»

Рабочие и служащие обязаны:

· знать и строго соблюдать требования экономической безопасности и защиты конфиденциальной информации;

· дать добровольное письменное обязательство о неразглашении сведений конфиденциального характера;

· бережно относиться к хранению личных и служебных документов и продукции, содержащих сведения конфиденциального характера. В случае их утраты немедленно сообщить об этом администрации.

Раздел «Основные обязанности администрации»

Администрация и руководители подразделений обязаны:

· обеспечить строгое соблюдение требований экономической безопасности и защиты конфиденциальной информации;

· последовательно вести организаторскую, экономическую и воспитательную работу, направленную на защиту экономических интересов и конфиденциальной информации;

· включать в положения о подразделениях и должностные инструкции конкретные требования по экономической безопасности и защите конфиденциальной информации;

· неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других хозяйственных и организационных документов в части обеспечения экономической безопасности и защиты конфиденциальной информации.

Администрация и руководители подразделений несут прямую ответственность за организацию и соблюдение мер по экономической безопасности и защите конфиденциальной информации.

3.2 Организационная защита

3.2.1 Организационные меры по системе допуска сотрудников к конфиденциальной информации

Защита информации в компьютерах должна осуществляться в соответствии с требования РД ГостехКомиссии, и СТР-к.

Сотрудники больницы, допускаемые по роду своей работы или функциональным обязанностям к сведениям, составляющим конфиденциальную информацию, должны под расписку ознакомится с этим приказом и приложением к нему.

Перечень дифференцированно должен доводиться не реже 1 раза в год до всех сотрудников организации, которые используют в своей работе частично или в полном объёме сведения, информацию, данные или работают с документами ДСП и их носителями. Все лица принимаемы на работу в поликлинику, должны пройти инструктаж и ознакомиться с памяткой о сохранении конфиденциальной информации и врачебной тайны.

Сотрудник, получивший доступ к конфиденциальной информации и документам, должен подписать индивидуальное письменное договорное обязательство об их неразглашении. Обязательство составляется в одном экземпляре и хранится в личном деле сотрудника не менее 5 лет после его увольнения. При его увольнении из организации ему даётся подписка о неразглашении конфиденциальной информации организации.

3.3 Инженерно-техническая защита

3.3.1.1 Структура существующей системы

В нашем БУЗОО существует ИСПДн, отвечающая за его работу и содержащая всю информацию о пациентах, а так же информацию страховых реестров, подразделений, штата, работников, расписания и т.д. Система реализована через программу ТМ МИС, полностью отсутствует система разграничения доступа, что неприемлемо. Халатное отношение к ЗИ со стороны персонала и руководства, ставит учреждение в положение, когда система есть и она работает, но польза от нее уменьшается до нуля. Следует предпринять организационные, а так же инженерно-технические меры по устранению недостатков и понижению уровней риска.

3.3.1.2 Серверная

Серверная комната находится в помещении 3 кабинета, сразу возле главного входа, что организует большую проходимость у дверей. Так же в помещении серверной выдаются полиса “Росгосстрах”, а это значит что в нем оборудовано место с ПЭВМ, оператором, ответственным за выдачу и самый главный недостаток, пациенты. Так же в серверной находится шкаф сетевого оборудования, который включает в себя несколько программируемых маршрутизаторов в т.ч. для связи с другими БУЗОО и органами управления. Свитчи, концентратор VipNet, необходимый для передачи информации по зашифрованному каналу связи, миниАТС отвечающую за работу всех IP-телефонов, для данной организации, USP для гарантии сохранности оборудования, подключенным посредством него оборудования в т.ч. сам сервер.

Сервер работает на базе ОС Windows Server 2003, оборудован антивирусной защитой Dr.Web 6.0, Системой резервного копирования Cobian, настроенной таким образом, что каждый день в нерабочее время, создается резервная копия БД. Жесткий диск на 500Gb, имеет зеркало, так что в случае краха оборудования, базу данных можно будет восстановить с небольшим откатом. Серверный ПК несет в себе обязанности

1. Сервера БД (ТМ МИС)

2. Интернет Сервера, Сервера почты

3. Сервера Терминалов

4. Сервера печати

5. ISS сервера (связь с сайтом БУЗОО)

6. Зеркалирования информации

При такой нагрузке и количестве выполняемых задач создаются огромные проблемы. Не смотря на архитектуру процессора (intel core i5), и 4Gb RAM, сервер изрядно подтормаживает, а иногда и вовсе зависает, не выдерживая нагрузки выполняемых задач. Ко всему прочему ПО, используемое в БУЗОО, не очень хорошо оптимизировано, но постоянно дорабатывается, выпускаются обновления, заплатки, улучшения.

Ко всему прочему очень сложно администрировать сервер, выполняющий такое количество функций очень проблематично. При администрировании возникают проблемы связанных служб, к тому же перезагрузка сервера ведет к полной остановке работы всего БУЗОО с перерывом примерно 10 минут.



3.3.1.3 АРМ

В нашем мед. Учреждении вся работа с БД осуществляется посредством использования терминального доступа, через встроенную утилиту RemoteDesktop. То есть наличие пароля, дает возможность доступа к БД с абсолютно любого АРМ, подключенного к сети. Все АРМ распределены по больнице в зависимости от надобности и потребности, получить к ним доступ не составляет труда, некоторые кабинеты находятся на “отшибе” и вероятность обнаружения поимки злоумышленника остается ничтожной. К тому же, нет никакого разграничения доступа для всех пользователей АРМ, вне зависимости от выполняемых обязанностей, что приводит нас к ситуации, когда любые ползователи обладают равными правами.

Так же на АРМ функционируют все USB порты, что дает возможность использования любых доступных накопителей с интерфейсом USB 2.0.

АРМ организованы на базе тонких пациентов, все изменения операционной системы хранятся в оперативной памяти и устраняются после перезагрузки. Функция отключается программно, посредством ввода пароля Возможность установки стороннего ПО, требующих права Администратора отсутствует. Так же все АРМ оборудованы АнтиВирусной защитой Dr.Web 6.0. Все АРМ имеют статический IP-адрес, отсутствует привязка по MAC.

Из огромных брешей в системе можно выделить одинаковые пароли для терминала, для всех пользователей АРМ, за исключением пароля администратора. Все АРМ типовые, закуплены и установлены во всех больницах города, комплектация дополняется лишь переферийными устройствами.

АРМ комплектация	Тонкие клиенты TONK Монитор Viewsonic 22 Клавиатура, мышь. Допускается использования сканера, принтера или МФУ.



3.3.1.4 ЛВС и внутренняя связь

Локальная сеть раскинута, посредством которой работают АРМ в учреждении, раскинута на все здание, включая стационар, поликлинику. Пролегает через коридор в кабель канале, разветвляется свитчами, находящимися в специальных шкафчиках. Вся ЛВС приходит на центральный свитч в серверную комнату, где посредством программируемого маршрутизатора она соединяется с другими БУЗОО. Диапазон IP адресов ограничен 10.30.131.1-10.30.131.255. Никакой привязки по MAC-адресу, кроме доступа в интернет не существует.

Посредством ЛВС так же работают IP-телефоны, которые находятся в той же подсети что и ПК, т.к. выделенный диапазон для нашего БУЗОО. Предусматривает адреса типа 10.30.131.*

3.3.1.5 Персонал и пациенты

БУЗОО находится в микрорайоне. Малое количество населения, высокий уровень безработицы, частный сектор, огромное количество знакомств при тесном общении создают следующую картину. Почти все люди одного возраста знакомы с большой вероятностью, что способствует панибратскому, доверительному отношению с пациентами и не лучшим образом сказывается на обстановке с точки зрения защиты информации. Так же следует отметить невысокую осведомленность населения и практически полное неумение обращаться с оборудованием в частности ПК. Однако, существуют специалисты, но их в населенном пункте всего несколько человек, можно отслеживать их посещение БУЗОО.

Низкая заработная плата везде и повсеместно сопровождает персонал медицинского учреждения. Начиная от техничек и плотников, заканчивая врачами. Приемлемая заработная плата наблюдается лишь у руководства и бухгалтерии, уровень остального персонала едва превышает МРОТ, к тому же людей обязуют выполнять обязанности, не оговоренные в трудовом договоре и никак не оплачивающиеся, что не мотивирует персонал добросовестно работать и может стать толчком для совершения НСД с целью наживы или разглашение персональных даных, если представится такой случай.

Личные знакомства так же могут стать причиной случайного разглащения конфеденциальной информации, просто при разговоре.

3.3.1.6 Вывод

Из приведенной выше информации можно сделать следующие заключения. Правовая защита: находится на приемлемом уровне, т.к. все пакеты необходимой документации разработаны специалистами в рамках государственной программы модернизации БУЗОО г.Омска. Доработок не требуется

· Аппаратная часть: доступ к сети извне полностью ограничен, за исключением организации, выполняющую обслуживание системы всех БУЗОО г.Омска, посредством программируемого коммутатора Juniper SRX100. Передача конфиденциальных данных осуществляется по закрытому каналу, обеспечиваемому посредством программно-аппаратного комплекса VipNet. Концентратор вмонтирован в шкаф в серверной, вместе с клиентом ПК. Во внутренней сети у любого ПК есть доступ ко всем компьютерам сети, более того, нет никаких препятствий для подключения нового клиента к сети, что открывает возможность для третьих лиц. К сожалению имеющиеся средства Неуправляемый коммутатор DES-1100-24V/A1A не могут помочь в решении этой проблемы. На экстренный случай, выделен специальный канал реализуемый через GSM модем. Так же в БУЗОО установлена система охранной сигнализации “Иртыш-3”. Главный пульт находится в регистратуре, каждый кабинет оборудован датчиками разбиения стекол, системой пожаротушения в соответствии с СП 5.131130.2009.

· Программная часть: Все ПК находятся в доменной системе, сервером которой является тот же ПК, который выполняет роль сервера БД. Программная часть практически отсутствует, за исключением интернет-шлюза UserGate на серверной машине и система CobianBackup, выполняющая резервное копирование всей базы в нерабочее время. Никаких средств разграничения доступа на данный момент не существует. База хранится на ПК в открытом доступе. Никаких блокирующих копирование утилит на клиентских ПК не установлено. Доступ клиентов осуществляется через службу терминалов RemoteDesktoP.

Дополнительные физически средства защиты информации.

Информация находится как на бумажных носителях так и в электроном варианте. Чтобы защитить и предотвратить посигательства со стороны злоумышлеников на информацию хранящуюся на бумажных носителях необходимо хранить в специальных сейфах для документов.

В качестве хранилища для документов содержащих конфиденциальную информацию используем SteelOff US8 12.L22, так остальные сейфы уступают ему по качеству надежности и приемлемой цене. Производитель дает на них 5 лет гарантии. Отличительные особенности:

За частую двери в БУЗОО бывают открыты из-за невнимательности либо не желании вообще закрывать любую дверь. В результате чего любой посторонний человек может либо подсмотреть или подслушать любую информацию а так же проникнуть в помещение для непосредственного взаимодействия с АРМ. Для того чтобы это избежать оснастим каждую дверь доводчиком для двери. Необходимо 60 штук.

3.3.2 Выбор средств защиты

В нашем БУЗОО уже существует система обработки и передачи информации между всеми ПК. Однако, ее следует улучшить, используя управляемый маршрутизатор и привязку по MAC адресам. Для этого подойдет сходный по параметрам коммутатор (DES-1100-24V/A1A ).

Выбор аппаратных средств основан на ряде факторов:

-Цена

-Эффективность (относительно других схожих аппаратных средств)

- Простота использования

Для решения поставленной задачи выбраны следующие технические решения.

Защита телефонной линии

В данном БУЗОО установлена мини АТС Yeastar PBX U100. Данный вид связи надежно защищен от прослушивания и манипуляции путем шифрования и криптографической аутентификации VoIP. Данный способ обеспечения защиты информации на данный момент является самым надежным, однако, если злоумышленник получит доступ к сети, он сможет добраться и до консоли АТС, тогда все переговоры станут доступными для манипуляции и прослушивания. Для предотвращения такой ситуации выделим отдельную VPN для IP-телефонии, поскольку физически отсоединить ее не представляется возможным. Все это легко реализуется после установки нового программируемого коммутатора DES-1100-24V/A1A

Так же при установке этого устройства мы полностью физически обезопасим нашу ЛВС от несанкционированного подключения других пользователей, поскольку на коммутаторе установлены программируемые порты, с привязкой по МАС-адресу.

Защита от ПЭМиН

По этой проблеме, если не вдаваться в технические тонкости, можно сказать, что в соответствии с существующими методическими документами в ИСПДн 1 класса необходимо применять средства защиты, снижающие вероятность реализации угрозы утечки за счёт ПЭМиН.

Устройство - Канал обмена.	Тактовая частота	Разрядность, число параллельных линий передачи	Мощность ПЭМИ
Блок питания	50 Гц и гармоники 80-150КГц	1 до 30	250-500 Вт 2-50 Вт
Процессор цепи питания	До 3,2 ГГц	4	1 - 20 Вт
Процессор - шина данных	до 400 МГц	16, 32, 64	10-3 - 10-2 Вт
Память	до 667 МГц	16, 32, 64	до 5 Вт/Гбайт
Чипсет	до 533 МГц	16, 32, 64	до 1 Вт
Шина PCI	33-66 МГц	32, 64	10-3 - 10-4 Вт
Шина IDE(ATA)	66, 100, 133 МГц	16	10-2 - 10-3 Вт
VGA	до 85 МГц	5 (R, G, B, 2-синхронизация)	10-4 - 10-5 Вт
Шина AGP1, 2, 4, 8	66МГц	32	10-2 - 10-3 Вт
Шина PCI-E	2500МГц	1-32	10-4 - 10-5 Вт
Порт LTP (IEEE 1384)	5- 2000 Кбайт/сек	8	10-3 Вт
SATA-150, -300, -600	1500 МГц 3000 МГц 6000 МГц	1+1	10-3 Вт
Порт USB1.1-2.0 (IEEE1394)	0,18-60	1+1	10-3 Вт
COM	До 920 Кбайт/сек	1+1	до 10-3 Вт

Рассчитываем радус ближней и дальной зоны как, и для основных устройств и каналов связи.

Возьмем упрощеную модель ПК для рассчета. В нее будут входить USB порты, процессор, ОЗУ, VGA карта и дисковые накопители.

r1= л/2p; r2=3*л;

Устройство, Канал связи, Интерфейс	Тактовая частота, МГц	Длинна волны, м	Ближняя зона, м	Дальняя зона, м
CPU Intel Core i5	3200	0,0937	0,015	0,2811
VGA GMA 4500	400	0,75	0,12	2,25
USB 2.0	480	0,625	0,1	1,875
PCI-E	2 500	0,12	0,0192	0,36
RAM DDR3	1333	0,225	0,036	0,775
Fast Ethernet	100	3	0,48	9

На основании расчётов можем сделать вывод, что радиус ближней зоны r1 = 0,48м. Дальняя зона имеет границы в радиусе 9м.

Из расчётов видно, что канал актуален, т.к. зона распространения сигнала выходит за границу контролируемой зоны. Для этого рекомендуется использовать устройство SEL SP-113 “Блокада”. Имеет сертификат ФСТЭК и применяется для ИСПДн К1.



3.3.3 Выбор программных средств защиты

В БУЗОО уже есть программные средства защиты, которые защищают доступность и целостность.

Утилита Cobian Backup сохраняет целостность информации, путем ежедневного резервного копирования БД. Так же целостность обеспечивается зеркалированным жестким диском. На жестком диске сервера содержатся БД за последние 7 дней, так что в любой момент существует возможность отката на любую БД по выбору. Другими словами возможен контролируемый откат.

3.3.3 Разграничение доступа

Для этих целей воспользуемся СЗИ SecretNet 5.0 сетевая версия. Всем АРМ будут назначены привилегии в соответствии с выполняемыми задачами. Будут ограничены использование флеш накопителей и доступ к сетевым ресурсам, а так же прочие возможности, необходимые для работы системы.

По причине большого количества компьютеров (более 25 машин), администрируется по сети. Устанавливается на Сервер Домена, что очень удобно в следствии его существования.

Возможности СЗИ:

· Идентификация и аутентификация пользователей

· Система генерации отчетов

· Шифрование информации

· Гарантированное затирание удалённой информации

· Контроль аппаратной конфигурации

· Регистрация событий

· Контроль целостности программ и данных

· Избирательное и полномочное управление доступом

· Разграничение доступа к устройствам

· Замкнутая программная среда

· Защита от загрузки с внешних носителей

Так же Secret Net позволяет оперативно среагировать на НСД и устранить канал утечки и ведет аудит всех событий.

3.4 Анализ эффективности комплексной системы безопасности информации и надежности ее функционирования

Для решения задачи по анализу эффективности комплексной системы безопасности информации разработанной для мед. учреждении, воспользуемся известным методом CRAMM.

Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.

Для оценки угроз выбраны следующие косвенные факторы:

· Статистика по зарегистрированным инцидентам.

· Тенденции в статистке по подобным нарушениям.

· Наличие в системе информации, представляющей интерес для потенциальных внутренних или внешних нарушителей.

· Моральные качества персонала.

· Возможность извлечь выгоду из изменения обрабатываемой в системе информации.

· Наличие альтернативных способов доступа к информации.

· Статистика по подобным нарушениям в других информационных системах организации.

Для оценки уязвимостей выбраны следующие косвенные факторы:

· Количество рабочих мест (пользователей) в системе.

· Размер рабочих групп.

· Осведомленность руководства о действиях сотрудников (разные аспекты).

· Характер используемого на рабочих местах оборудования и ПО.

· Полномочия пользователей.

· По косвенным факторам предложены вопросы и несколько фиксированных вариантов ответов, которые «стоят» определенное количество баллов.

Итоговая оценка угрозы и уязвимости определяется путем суммирования баллов.

Несомненным достоинством данного подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки.

Таблица 4

Оценка уязвимостей

1.Сколько людей имеют право пользоваться информационной системой?
Варианты ответа	Количество баллов
a	От 1 до 10	0
b	От 11 до 50	4
c	От 51 до 200	10
d	От 200 до 1000	14
e	Свыше 1000	20
2. Будет ли руководство осведомлено о том, что люди, работающие под их началом, ведут себя необычным образом?
a	Да	0
b	Нет	10
3. Какие устройства и программы доступны пользователям?
a	Только терминалы или сетевые контроллеры, ответственные за предоставление и маршрутизацию информации, но не за передачу данных	5
b	Только стандартное офисные устройства и программы и управляемые с помощью меню подчиненные прикладные программы	0
c	Пользователи могут получить доступ к операционной системе, но не к компиляторам	5
d	Пользователи могут получить доступ к компиляторам	10
4. Возможны ли ситуации, когда сотрудникам, предупрежденным о предстоящем сокращении или увольнении, разрешается логический доступ к информационной системе?
a	Да	10
b	Нет	0
5. Каковы в среднем размеры рабочих групп сотрудников пользовательских подразделений, имеющих доступ к информационной системе?
a	Менее 10 человек	0
b	От 11 до 20 человек	5
c	Свыше 20 человек	10
6. Станет ли факт изменения хранящихся в информационной системе данных очевидным сразу для нескольких человек (в результате чего его будет очень трудно скрыть)?
a	Да	0
b	Нет	10
7. Насколько велики официально предоставленные пользователям возможности по просмотру всех хранящихся в системе данных?
a	Официальное право предоставлено всем пользователям	2
b	Официальное право предоставлено только некоторым пользователям	0
8.Насколько необходимо пользователям знать всю информацию, хранящуюся в системе?
a	Всем пользователям необходимо знать всю информацию	4
b	Отдельным пользователям необходимо знать лишь относящуюся к ним информацию	0

Таблица 5

Степень уязвимости при количестве полученных баллов

Степень уязвимости при количестве баллов:
До 9	Низкая
От 10 до 19	Средняя
20 и более	Высокая



Таблица 6

Полученные результаты (до разработки КСЗИ)

Варианты Ответов до разработки КСЗИ:
Номер вопроса	Вариант ответа	Кол-во Баллов
1	b	4
2	b	10
3	a	5
4	a	10
5	c	10
6	a	0
7	b	0
8	b	0
Сумма баллов		39

Таблица 7

Полученные результаты (до разработки КСЗИ)

Варианты Ответов до разработки КСЗИ
Номер вопроса	Вариант ответа	Кол-во Баллов
1	b	4
2	b	0
3	a	5
4	a	0
5	c	0
6	a	0
7	b	0
8	b	0
Сумма баллов		9

Благодаря разработаному ПО, мы повысили эффективность системы. А все описаные выше улучшения.



4. Экономическая часть

В данной главе произведен расчет себестоимости работ по внедрению КСЗИ на предприятии. Будет найдена стоимость работ по проектированию, заработная плата, рассчитана стоимость материалов и комплектующих, составлены сметы затрат[1].

Стоимость технического проектирования рассчитывается по поэлементной классификации затрат, представляя собой приблизительную смету произведенных или планируемых затрат.

Для расчетов затрат на проектирование можно использовать следующую формулу:

С_п = ЗП_осн + ЗП_доп +СВ +А + РМ + Э + НР,

где	Сп	- стоимость технического проектирования;
	ЗПосн	- основная заработная плата проектировщика;
	ЗПдоп	- дополнительная заработная плата проектировщика;
	СВ	- страховые взносы;
	А	- амортизация основных фондов: помещения и оборудования (ТС);
	РМ	- расходные материалы;
	Э	- стоимость электроэнергии;
	НР	- накладные расходы.

5.1 Заработная плата

Для определения оплаты труда нужно рассчитать трудоемкость работ или длительность проектирования, от которой будут рассчитываться еще некоторые группы расходов, в частности, амортизация.



5.1.1 Расчет трудоемкости

Трудоёмкость показывает, сколько времени требуется на проектирование, интеграцию и тестирование.

Трудоемкость выполнения отдельных видов работ определяется двумя видами оценок: а_i - минимальные затраты времени на выполнение отдельного вида работ при наиболее благоприятных условиях; b_i - максимальное время выполнения при наименее благоприятных условиях. По этим величинам оценивается ожидаемое значение трудоемкости t_i и стандартное отклонение D_i:

t_i = (3a_i+2b_i)/5;

D_i = (b_i - a_i)/5.

В таблице 8 показана оценка трудоемкости отдельных видов работ.

Таблица 8

Оценка трудоемкости отдельных видов работ(Начальник службы безопасности)

Вид работ (Начальник службы безопасности)	Оценка трудоемкости, чел.-час.	Расчетные величины, чел.-час.
	ai	bi	ti	Di
Подготовка проекта приказа руководства предприятия о разработке проекта комплексной системы защиты информации (КСЗИ). Назначение ответственных за проект. Определение примерных сроков проекта.	6	10	7,6	0,8
Формирование команды разработчиков КСЗИ.	4	8	5,6	0,8
Знакомство с информационной системой и информационными ресурсами предприятия. Составление первого отчета о полученных результатах.	24	48	33,6	1,6
Составление отчета по результатам проверки технических средств, по результатам проведения осмотра периметра. Анализ достаточности уже существующих на предприятии мер защиты.	16	24	19,2	1,6
Разделение персонала организации по уровням доступа к конфиденциальной информации	8	12	9,6	0,8
Анализ достаточности используемых мер защиты. Выявление угроз безопасности, расчет рисков и их ранжирование. Вторичная оценка стоимости проекта.	24	32	27,2	1,6
Заключение договора на поставку необходимых технических средств, ПО. Установка сроков поставки, монтажа и настройки нового оборудования.	16	24	19,2	1,6
Обучение персонала предприятия работе с новым оборудованием.	24	32	27,2	1,6
Составление полного отчета по проделанной работе.	12	16	13,6	0,8
Предоставление проекта директору предприятия.	2	4	2,8	0,4
ИТОГО	136	210	166

Таблица 9

Оценка трудоемкости отдельных видов работ (Инженер по защите информации)

Вид работ (Инженер по защите информации)	Оценка трудоемкости, чел.-час.	Расчетные величины, чел.-час.
	ai	bi	ti	Di
Знакомство с информационной системой и информационными ресурсами предприятия. Составление первого отчета о полученных результатах.	8	24	9,6	3,2
Выделение объектов защиты и их категорирование. Составление отчета.	16	24	19,2	1,6
Изучение имеющихся технических средств защиты информации (в том числе на наличие антивирусного ПО)	16	24	19,2	1,6
Проверка технических средств обработки, хранения и передачи информации на наличие средств несанкционированного съема информации и вирусов.	24	32	27,2	1,6
Изучение имеющейся системы охраны периметра организации, системы пожарной безопасности, охранной сигнализации. Изучение прилегающей территории. Выявление пустот в физической защите периметра.	32	40	30,4	1,6
Составление перечня технических средств защиты, необходимых для дополнения и усовершенствования используемых мер.	24	32	27,2	1,6
Проверка новой систем защиты от несанкционированного проникновения в защищаемое помещение. Искусственная реализация возможных угроз с целью выявления слабых мест в системе защиты.	24	40	30,45	3,2
ИТОГО	144	216	163,2

Таблица 10

Оценка трудоемкости отдельных видов работ (Начальник отдела конфиденциального делопроизводства)

Вид работ (Начальник отдела конфиденциального делопроизводства)	Оценка трудоемкости, чел.-час.	Расчетные величины, чел.-час.
	ai	bi	ti	Di
Составление перечня конфиденциальной информации (КИ) предприятия (изучение уже существующего перечня, дополнение, преобразования).	48	72	57,6	4,8
Изучение нормативной документации предприятия.	20	32	24,8	2,4
Изучение журналов регистрации конфиденциальных документов, имеющихся в организации.	24	32	27,2	1,6
Составление новых должностных инструкций, согласование с руководством организации, обоснование.	48	72	57,6	4,8
ИТОГО	140	208	167,2

По результатам оценки ожидаемое значение трудоемкости составляет:

Начальник службы безопасности - 166 чел.-час. или 1 мес.

Инженер по защите информации - 163,2 чел.-час. или 1 мес.

Начальник отдела конфиденциального делопроизводства - 167,2 чел.-час. или 1 мес.(продолжительность рабочего дня 8 часов, количество рабочих дней в месяце - 21).



5.1.2 Расчет основной заработной платы

Основная заработная плата начисляется за явочное на предприятие время, когда работник присутствовал на предприятии. Поэтому к основной относится оплата проработанного времени по тарифным ставкам, должностным окладам, сдельным расценкам, доплаты за сверхурочные и ночные часы, простои не по вине рабочих, премии по постоянно действующим системам премирования и т.д.

В данном случае определить основную заработную плату можно по формуле:

ЗПосн = О * Т * РК,

где,	О	– оклад администратора, руб.;
	T	– затраченное время, мес.;
	РК	– районный коэффициент.

Так как в разработке КСЗИ участвуют 3 человека, то рассчитаем заработную плату отдельно для каждого.

Команда разработчиков КСЗИ:

1. Начальник службы безопасности

2. Инженер по защите информации

3. Начальник отдела конфиденциального делопроизводства

Оклад начальника службы безопасности в 2011 г. составляет 30000 руб. Районный коэффициент равен 0,15.

Следовательно, основная заработная плата будет равна:

ЗПосн = 30000 * 1 * 1,15 = 34500 руб.

Оклад инженер по защите информации в 2011 г. составляет 17000 руб. Районный коэффициент равен 0,15.

Следовательно, основная заработная плата будет равна:

ЗПосн = 17000 * 1 * 1,15 = 19550 руб.

Оклад начальника отдела конфиденциального делопроизводства в 2011 г. составляет 25000 руб. Районный коэффициент равен 0,15.

Следовательно, основная заработная плата будет равна:

ЗПосн = 25000 * 1 * 1,15 = 28750 руб.

В сумме получается заработная плата за 1 месяц 82 тысяч 800 рублей.

4.1.3 Расчет дополнительной заработной платы

К дополнительной заработной плате относится оплата труда за время, не проработанное на предприятии, когда работник на предприятие не являлся, но в установленных законом случаях получит заработную плату за это время (отпуск, отсутствие по болезни и прочее).

Дополнительная заработная плата считается через соответствующий коэффициент:

где	Тпв	– количество праздников и выходных в году;
	Тотп	– количество дней в отпуске;
	Тбольн	– количество дней по болезни оплачиваемых;
	Тго	– выполнение гос. обязанностей, за которые предоставляется оплачиваемый отгул

В 2011 году количество праздников и выходных составляет 117 дней. Количество дней потраченных на выполнение гос. обязанностей равно 1. Больничных и отпускных дней нет.

Дополнительная заработная плата начальника службы безопасности, исходя из вышеприведенного, будет равна:

.

Дополнительная заработная плата инженер по защите информации, исходя из вышеприведенного, будет равна:

Дополнительная заработная плата начальника отдела конфиденциального делопроизводства, исходя из вышеприведенного, будет равна:

В сумме дополнительная заработная плата составит 11835 руб

К выдаче будет представлена сумма с учетом налога на доходы физических лиц (НДФЛ) равный 13%.

ЗПкв(нсб) = 34500 + 5068 - (34500 + 5068) * 0,13 ? 34424 руб.

ЗПкв(инж) = 19550 + 2542 - (19550 + 2542) * 0,13 ? 19220 руб.

ЗПкв(кд) = 28750 + 4225 - (28750 + 4225) * 0,13 ? 28686руб.



4.2 Страховые взносы

Налоговые отчисления состоят из обязательного социального страхования.

Далее приведены все налоги, которыми облагается работник:

- отчисления в пенсионный фонд РФ (ПФР), которые составляют 26%;

- отчисления в фонд социального страхования РФ (ФСС), составляющие 2,9%;

- отчисления в федеральный фонд обязательного медицинского страхования (ФФОМС), составляющие 2,1%;

- отчисления в территориальный фонд обязательного медицинского страхования (ТФОМС), составляющие 3%.

Таким образом, в сумме работодатель должен отчислить 34% от фонда на страховые отчисления.

Страховые взносы будут равны:

руб.

руб.

руб.

Итого: 30151 руб

4.3 Амортизация основных фондов

Амортизация - процесс постепенного переноса стоимости основных средств на производимую продукцию (работы, услуги). Сумма амортизации определяется ежемесячно, отдельно по каждому объекту амортизируемого имущества, т.е. по тем основным средствам, которые подлежат амортизации.

При разработке КСЗИ были использованы следующие средства: рабочие помещения, физические средства защиты, программное обеспечение, аппаратные средства.

В данной работе применяется линейный способ начисления амортизации: сумма начисления амортизационных отчислений определяется по балансовой (первоначальной) стоимости объекта основных средств и норме амортизации, исчисленной исходя из срока полезного использования объекта.

4.3.1 Расчет амортизации рабочего помещения за срок проектирования

Норма амортизации за год вычисляется по следующей формуле:

где, n - срок эксплуатации рабочего помещения, лет.

Здание страховой компании "Уникум" кирпичное, следовательно, норма амортизации за год будет равна:

.

Зная балансовую стоимость всего здания (Б_ст=4 000 000 руб.), площадь здания (S_зд=90 м²) и суммарную площадь помещений (S_пом=89 м²) можно рассчитать амортизацию рабочего помещения за срок проектирования в нем (М):

Подставив значения в формулу (8) получим:

4.3.2 Расчет амортизации ПО

Амортизация ПО (Secret Net 6.5), суммарная стоимость которого 6400 руб/год будет составлять:

Найдем амортизацию основных фондов:

А = А_пом + А_ПО = 6400 + 533 = 6933 руб.

5.3.3 Расчет расходных материалов

Рассчитаем балансовую стоимость расходных материалов, все материалы представлены в таблице 11:

Таблица 11

Расходные материалы

Расходные материалы	Цена за 1 штуку(руб)	Кол-во	Цена, руб
Датчик оконный ИО329-4 «Стекло-3	564	6	3384
Датчик дверей ИО409-8 «Фотон-9»	502	12	6024
Видеокамеры QX-580SA - Черно-	3427	4	13708
Звуковой оповещатель	3441	3	10323
Световых оповещателей табло «Блик-С-12»	194	2	388
Датчик объема «Рапид-3»	276	9	2484
Считыватель карт EM-Reader-ME	6000	9	54000
Центральный процессорный блок «Рубеж-08»	35200	1	35200
Пульт управления объектовый ПУО-02	4600	8	36800
Блок Индикации БИС-01	7500	1	7500
Видеосервер Axis 2401+	19000	1	19000
Доводчики для дверей	560	12	6720
Сейфы, металлические шкафы + монтаж	6519	7	45633
Генератор шума ГШ-К-1000М	6400	1	6400
Генератор шума ГШ-1000М	9300	1	9300
Устройство защиты цепей SEL SP 44	15000	1	15000
Многофункциональный модуль защиты телефоной линии "SEL SP-17/D"	10500	1	10500
Виброакустический генераторСоната АВ 1М	16290	1	16290
ИТОГО	298584

Цена всех расходных материалов 298584 руб.

4.4 Расходы на электроэнергию

Потребляемая мощность технических средств защиты информации (Р) составляет 600Вт. Коэффициент использования (ТС) технических средств при проектировании равен 1. Стоимость электроэнергии 2,16 р/кВт*ч.

Затраты на электроэнергию можно определить по формуле:

Сээ = Тк * ТС * Р *2,16

ТК - Трудоемкость проектирования (рассчитана в п. 1.1.1 и равна нсб=166, инж=163,2, кд= 167,2, в сумме=496,4)

Следовательно, затраты на электроэнергию будут составлять:

Сээ = 496,4 * 1 * 0,6 *2,16 = 643,3 руб.



4.5 Расходы на материалы

В таблице 12 указаны материалы, потраченные на проектирование.

Таблица 12

Перечень материалов

Расходный материал	Количество	Цена за единицу	Стоимость материалов
Ватман формата А1	6 листов	7 руб.	42 руб.
Бумага формата А4	1 пачка	130 руб.	130 руб.
Степлер	1 шт.	100 руб.	100 руб.
Скобы для степлера	1 пачка	15 руб.	15 руб.
Ручка шариковая	1 шт.	7 руб.	7 руб.
Итого:			296 руб.

По данным из таблицы общий расход на материалы составляет:

РМ=42 + 130 + 100 + 15 + 7 = 296 руб.

4.6 Стоимость технического проектирования

В таблице 13 представлена смета затрат на проектирование.

Таблица 13

Смета затрат на проектирования

Группы затрат	Затраты, руб.
Основная заработная плата (ЗПкв)	82332
Налоговые отчисления (НО)	30151
Амортизационные отчисления (А)	6933
Расходные материалы(РМ)	298584
Расход на материалы проектирование(РМП)	296
Стоимость электроэнергии (Сээ)	643,3

Стоимость технического проектирования составит:

С_п = 82332+ 30151+6933+ 298584+ 296 + 643,3 = 418939 руб.

В результате расчетов затрат на техническое проектирование была определена примерная стоимость данной работы. Она составила 418939 руб.

4.7 Годовая экономия при использовании КСЗИ

Итоговая сумма на создание комплексной системы защиты информации получилась равной 418 939рублей.

Ценность информации, обрабатываемой в организации, исчисляется несколькими миллионами рублей. Помимо прямого финансового ущерба потеря конфиденциальности или утрата данной информации может нанести и косвенный ущерб, связанный с ущербом репутации компании. Данный ущерб выражается в ещё большей сумме - порядка 20 миллионов рублей.

При данных расчетах учитывалось ежемесячное число подключаемых клиентов компании, стоимость реализации рекламной кампании, а также ущерб от блокирования работы информационной системы компании.

Размещено на Allbest.ru