Социальная инженерия

· Блокирование спама. В большинстве случаев фишинг-сообщения распространяются с помощью массированных спам-атак через каналы электронной почты и средства диалогового обмена сообщениями (интернетпейджеры). При этом применяются различные технологии определения спама.

· Проверка содержимого писем на наличие признаков фишинг-сообщений.

· Проверка наличия адреса сайта в списках «фальшивых» веб-ресурсов. Данные списки составляются компаниями-производителями средств контентной фильтрации и антивирусов и распространяются по подписке наряду с другими базами данных.

· Применение технологии анти-спуфинга (anti-spoofing), то есть создание системы аутентификации интернет-адресов для проверки соответствия введенного пользователем адреса настоящему серверу. Данная технология позволяет бороться с подменой DNS на целевой сайт или другими способами перенаправления сетевого трафика.

· Эвристический анализ. Позволяет выявить в поступившем пользователю сообщении признаки, совокупность которых дает возможность установить принадлежность к фишинг-атаке. (Например, установить факт того, что сайт является незаконным, возможно по расположению сервера с сайтом, на который указывает ссылка в письме, за пределами зоны Рунета, хотя пользователь и организация, куда он обращается, являются российскими).

Антивирусная фильтрация и проверка на наличие шпионских программ позволяют значительно снизить уровень воздействие фишинг-атак на сеть. Целью многих подобных атак является установка на компьютере пользователя троянцев или программ-шпионов, дающая возможность злоумышленнику в последующем получить доступ к персональным данным пользователя. Поэтому средства, которые способны выявлять вредоносный код, являются неотъемлемой частью системы безопасности, предназначенной для защиты от фишинга.

Существует еще несколько решений актуальны для людей, которые часто осуществляют электронные платежи с использованием своих банковских карт:

· Генераторы одноразовых паролей.

· Использование USB-устройств.

· Мобильное подтверждение оплат.

· Хеширование паролей конкретного WEB-сайта.

3.3.3.2 Фарминг

При пользовании браузером надо принимать дополнительные меры безопасности для защиты от фарминг-атак. Они должны включать подтверждение всех интернет-адресов, набранных в строке браузера. Необходимы протоколы аутентификации, согласно которым каждый веб-сайт будет публиковать свой IP-адрес для проверки его браузером. Усложнение процедуры идентификации пользователя при работе с онлайновыми формами регистрации дает дополнительную гарантию защищенности.

Наиболее эффективными средствами борьбы с фармингом можно назвать антивирусные системы, а также межсетевые экраны, средства контроля содержимого электронной почты и анти-спамерские программы. Антивирусные системы выполняют главную задачу - осуществляют поиск троянских программ, межсетевые экраны детектируют подозрительную активность, происходящую на компьютерах, средства контроля электронной почты обеспечивают мониторинг подозрительных писем, анти-спамерские программы предотвращают поступление пользователям спама, в котором содержится вредоносный мобильный код.

3.3.3.3 Вредоносные программы

Наиболее эффективными средствами борьбы с червями являются антивирусные программы, которые активно используют технологию контентной фильтрации. В частности, благодаря детектированию червей в запакованных и архивных файлах (в том числе закрытых паролями), а также применению различных способов предварительного анализа сообщений с исполняемыми файлами, удается перехватывать зараженные письма на самых ранних стадиях распространения. Сегодня для борьбы с червями широко применяются различные методики борьбы со спамом (или spim), поскольку все последние массовые атаки производились при помощи спам-рассылок.

Борьба с «троянскими конями» также эффективно ведется с помощью антивирусного программного обеспечения, работающего как на сетевом, так и на пользовательском уровнях. Эти средства обнаруживают большинство троянцев и пресекают их распространение. Основными методами их обнаружения являются: проверка сигнатуры кода, эвристический анализ и блокировка подозрительного поведения программ. Но 100% антивирусные средства не решают свою задачу, т.к. для сокрытия своего присутствия в системе некоторые троянские программы применяют специальные stealth-технологии, благодаря которым их действия практически незаметны для антивирусных средств. Примером является так называемая rootkit-технология Термин rootkit, который сейчас часто используется для обозначения stealth-технологий, применяемых авторами троянских программ под Windows, пришел из мира UNIX. Изначально он обозначал набор программ, позволяющих хакеру закрепиться на взломанной машине и предотвратить свое обнаружение. Для этого подменяются системные исполняемые файлы (login, ps, ls, netstat и т.п.) или системные библиотеки (libproc.a), либо устанавливается модуль ядра - все с той же целью: перехватить попытки пользователя получить истинную информацию о том, что происходит на его компьютере. В последнее время использование rootkit-технологий для сокрытия присутствия вредоносного ПО становится все более популярным, что подтверждается стабильным ростом количества обнаруживаемых новых rootkit-программ.. Также, существуют троянские программы, для которых практически невозможно создать эвристические методы детектирования, а разовость их применения дает им шанс никогда не попасть в антивирусные базы - в отличие от червей, расходящихся по миру миллионами копий.

3.3.3.4 Потенциально опасные программы

Достаточно новый вид угроз, к которому специалисты в области ИБ начинают относиться с пристальным вниманием.

Борьба с программами-шпионами должна вестись постоянно. Вне зависимости от того, установлена в системе anti-spyware или нет, необходимо регулярно проверять жесткие диски корпоративных пользователей на наличие потенциально опасных программ. Если они есть на компьютере, то администратору придется в каждом отдельном случае принимать решение о том, является ли данная программа вредоносной. Есть несколько параметров, влияющих на такое решение: устанавливал ли пользователь ее самостоятельно, или она поставляется в составе операционной системы, существовала ли какая-нибудь подозрительная активность данной программы и т.п. После проведения такой инспекции необходимо поставить под контроль установку всех новых программ и на постоянной основе осуществлять мониторинг активности утилит данного класса.

Пути защиты от программ-шпионов:

1. Блокировка доступа к инфицированным сайтам. Многие специализированные средства борьбы с программами-шпионами и антивирусные программы имеют в своем составе базы данных соответствующих ресурсов в сети.

2. Контроль за действиями пользователей, обеспечивающий инсталляцию и применение только авторизованного программного обеспечения.

3. Фильтрация HTTP, FTP, SMTP трафиков, мониторинг использования IM и Р2Р-приложений с целью блокировки загрузки потенциально опасных программ в момент передачи данных по каналам Интернета.

4. Анализ и блокировка подозрительной активности программ.

Необходимо разворачивать системы инвентаризации ПО на пользовательских станциях, вести базу данных с реестром установленного ПО как на пользовательских станциях, так и на серверах. Регулярно запускать сетевой сканер и сопоставлять полученные результаты с имеющимся уже реестром.

Spyware - это совокупность нескольких угроз, поэтому требуется многоуровневая защита, которая должна предусматривать введение в компании политики безопасности, обучение пользователей, постоянный мониторинг всех процессов, происходящих в корпоративной сети, внедрение как по периметру корпоративной сети, так и на отдельных рабочих станциях средств защиты от программ-шпионов. К таким средствам относятся: межсетевые экраны, входящие, как правило, в их состав системы предотвращения вторжений (Intrusion prevention systems), антивирусные программы, а также специализированные программы-детекторы (например, изменения или попытки записи в реестр).

3.3.3.4.1 Рекламные коды или adware

В большинстве случаев помогает применение программ-чистильщиков. Антивирусные же средства не помогают, поскольку adware - не вирусы, они не распространяются самостоятельно. Единственно эффективное противодействие состоит в соблюдении правил личной компьютерной гигиены. О наличии spyware на своей машине пользователь может и не догадываться, но adware не заметить невозможно. Данный софт, распространяющийся точно так же, как и программы-шпионы, подвергает пользователя принудительной демонстрации рекламы. После появления такой рекламы необходимо постоянно запускать программы-чистильщики, которые локализуют adware-программу. Помощь в детектировании рекламных кодов могут оказать межсетевые экраны, способные установить отправку третьим лицам информации о посещаемых сайтах и вводимых владельцем компьютера данных.

3.3.3.5 Спам

«Спам - непобедим!» К сожалению, это актуальный лозунг. Все решения по началу эффективны, через некоторое время они становятся малопригодны. Маркетинговые заявления компаний-производителей специализированных решений, что их средства способны блокировать 99% спама, остаются только заявлениями. Со спамом необходимо бороться только используя множество разных подходов.

Выделяя две основные особенности спамерских рассылок, можно подстраивать различные специализированные антиспам-фильтры и системы контроля электронной почты. При этом последние, как правило, имеют в своем составе отдельные модули, позволяющие рассматривать спам как одну из категорий писем, которые необходимо определить и отфильтровать.

Обнаружить спам помогают следующие моменты:

· Спам-сообщение содержит информацию (рекламу) от заказчика рассылки, то есть произвольного текста в нем быть не может, там будет описан рекламируемый продукт или услуга.

· Спам-сообщение должно легко читаться. Оно не может быть зашифровано, основной объем содержится в составе сообщения. Количество случайных последовательностей («мусора»), видимых пользователем, должно быть небольшим. При нарушении этих правил снижается читаемость, а следовательно, и отклик на рекламу.

3.3.3.6 On-line игры

Необходимо внедрить в компании специализированные средства контроля обеспечивающие выполнением положения политики ИБ. К ним относятся межсетевые экраны с возможностью контентной фильтрации и специализированные системы контроля веб-трафика, обеспечивающие фильтрацию http-трафика.

3.3.3.7 Приложения класса peer-to-peer

В качестве средств, препятствующих загрузке и исполнению Р2Р-приложений, могут служить установленные системы предотвращения вторжений (Intrusion prevention Systems), которые осуществляют мониторинг трафика внутри корпоративной сети. Они проводят мониторинг Р2Р-трафика и блокировку портов соединения. Межсетевые экраны способны обеспечить мониторинг загрузки определенных типов файлов, характерных для Р2Р-трафика (*.mp3, *.wma, *.avi, *.mpg, *.mpeg, *.jpg, *.gif, *.zip, *.torrent, а также *.exe). С помощью антивирусного ПО сканируется Р2Р-трафик на наличие вредоносных программ и червей. Значительно помогает мониторинг свободного дискового пространства корпоративных файловых систем и рабочих станций пользователей. Резкое сокращение объемов хранения данных является одним из признаков работы Р2Рприложений.

Для обработки p2p-трафика существуют следующие решения:

· SurfControl Instant Messaging Filter, который обрабатывает p2p наравне с обработкой мгновенных сообщений;

· пакет Websense Enterprise также предоставляет пользователям средства для контроля p2p-трафика;

· Webwasher Instant Message Filter позволяет контролировать доступ к различным p2p-сетям.

Использование этих или других продуктов резко сокращает риски, связанные с доступом пользователей к p2p-сетям.

3.3.3.8 Фильтрация мгновенных сообщений

Обычно продукты для контроля IM-трафика реализуются как прикладной шлюз, выполняющий разбор передаваемых данных и блокирующий передачу запрещенных данных. Однако есть и реализации в виде специализированных серверов IM, которые осуществляют необходимые проверки на уровне сервера.

Наиболее востребованные функции продуктов для контроля IM_трафика:

* управление доступом по отдельным протоколам;

* контроль используемых клиентов и т.п.;

* контроль доступа отдельных пользователей:

*разрешение пользователю общения только в пределах компании;

*разрешение пользователю общения только с определенными пользователями вне компании;

* контроль передаваемых текстов;

* контроль передачи файлов. Объектами контроля являются:

*размер файла;

*тип и/или расширение файла;

* направление передачи данных;

* контроль наличия вредоносного содержимого;

* определение SPIM;

* сохранение передаваемых данных для последующего анализа.

В настоящее время контроль за передачей мгновенных сообщений позволяют выполнять следующие продукты:

· CipherTrust IronIM компании Secure Computing. Данный продукт имеет поддержку протоколов AIM, MSN, Yahoo! Chat, Microsoft LCS и IBM SameTime. Сейчас это одно из самых полных решений;

· IM Manager компании Symantec (разработан компанией IMLogic, которая была поглощена Symantec). Этот продукт имеет поддержку следующих протоколов - Microsoft LCS, AIM, MSN, IBM SameTime, ICQ и Yahoo! Chat;

· Antigen for Instant Messaging компании Microsoft также позволяет работать практически со всеми популярными протоколами для передачи мгновенных сообщений;

· Webwasher Instant Message Filter, компании Secure Computing.

Продукты других компаний (ScanSafe, ContentKeeper) обладают меньшими возможностями по сравнению с перечисленными выше. Стоит отметить, что две российские компании - «Гран При» (продукт «SL-ICQ») и «Мера.ру» (продукт «Сормович») - предоставляют продукты для контроля за передачей сообщений с использованием протокола ICQ.

3.3.3.9 Фильтрация VoIP

Большинство имеющихся на данный момент продуктов можно разделить на две категории:

· продукты, которые позволяют определить и блокировать VoIP-трафик;

· продукты, которые могут определить, захватить и проанализировать VoIP_трафик.

К первой категории можно отнести следующие продукты:

· продукты компании «Dolphian», позволяющие определить и разрешить или запретить VoIP_трафик (SIP и Skype), который инкапсулирован в стандартный HTTP_трафик;

· продукты компании Verso Technologies;

· разные виды межсетевых экранов, обладающие такой возможностью.

Ко второй категории продуктов относятся:

· продукт российской компании «Сормович» поддерживает захват, анализ и сохранение голосовой информации, которая передается по протоколам H.323 и SIP;

· библиотека с открытым кодом Oreka (http://oreka.sourceforge.net/) позволяет определить сигнальную составляющую звукового трафика и выполнить захват передаваемых данных, которые затем можно проанализировать другими средствами;

· недавно стало известно, что разработанный фирмой ERA IT Solutions AG продукт позволяет перехватывать VoIP-трафик, передаваемый при помощи программы Skype. Но для выполнения такого контроля необходимо установить специализированный клиент на компьютер, на котором работает Skype.

3.3.4 Unified Threat Management

Решения, соответствующие концепции Unified Threat Management, предлагаются многими производителями средств защиты. Как правило, они построены на базе межсетевых экранов, которые кроме основных функций выполняют еще и функции контентной фильтрации данных. Как правило, эти функции сосредоточены на предотвращении вторжений, проникновения вредоносного кода и нежелательных сообщений.

Многие из таких продуктов реализуются в виде аппаратно-программных решений, которые не могут полностью заменить решения для фильтрации почтового и интернет-трафика, поскольку работают лишь с ограниченным числом возможностей, предоставляемых конкретными протоколами. Обычно их используют для того, чтобы избежать дублирования функций в разных продуктах, и для обеспечения гарантий, что все прикладные протоколы будут обрабатываться в соответствии с одной базой известных угроз.

Наиболее популярными решениями концепции Unified Threat Management являются следующие продукты:

· SonicWall Gateway Anti-Virus, Anti-Spyware and Intrusion Prevention Service обеспечивает антивирусную и другую защиту данных, передаваемых по протоколам SMTP, POP3, IMAP, HTTP, FTP, NetBIOS, протоколам Instant Messaging и многим потоковым протоколам, применяемым для передачи аудиои видеоинформации;

· серия устройств ISS Proventia Network Multi-Function Security, выполненных в виде программно-аппаратных комплексов, обеспечивает блокировку вредоносного кода, нежелательных сообщений и вторжений. В поставку включено большое число проверок (в том числе и для VoIP), которые могут быть расширены пользователем;

· аппаратная платформа Network Gateway Security компании Secure Computing, кроме защиты от вредоносного кода и нежелательных сообщений, также имеет поддержку VPN. В составе этой платформы объединены практически все решения Secure Computing.

3.3.5 Перехват данных

Перехват данных (Lawful interception) практически всегда использовался спецслужбами для сбора и анализа передаваемой информации. Однако в последнее время вопрос перехвата данных (не только Интернет-трафика, но и телефонии, и других видов) стал очень актуальным в свете борьбы с терроризмом. Даже те государства, которые всегда были против таких систем, стали использовать их для контроля за передачей информации.

Поскольку перехватываются различные виды данных, часто передаваемые по высокоскоростным каналам, то для реализации таких систем необходимо специализированное программное обеспечение для захвата и разбора данных и отдельное программное обеспечение для анализа собранных данных. В качестве такового может использоваться ПО для контентной фильтрации того или иного протокола.

Пожалуй, самой известной из таких систем является англо-американская система Echelon, которая долго использовалась для перехвата данных в интересах различных ведомств США и Англии.

Среди российских продуктов можно упомянуть решения от компании «Сормович», позволяющее захватывать и анализировать почтовый, звуковой и Интернет-трафик.

3.3.6 Ограничения хищения баз данных

Для уменьшения воровства клиентских баз, рекомендуется вводить в корпоративные информационные системы CRM системы. При этом ответственность за внесение данных, ведение клиентских списков в базе CRM должен отвечать только один человек, у остальных нет на это просто прав. Также, запрещается действия экспорта данных из БД CRM в любом виде и формате, как и выделение списков клиентов и копирование их в буфер, для последующего сохранения в допустимом на для оператора ПК формате. Такими правами наделяется только администратор CRM. При необходимости осуществления выгрузок, должны подаваться в письменном виде служебные записки с разъяснением для каких целей это нужно куда передается и кто несет последующую ответственность за подписью генерального директора или куратора по безопасности и коммерческого директора.

3.3.7 Сводная таблица угроз и защиты от них



4. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ

Настоящая работа не включает конкретного задания на проектирование и разработку той или иной системы, как и не включает задание на проведение информационного и управленческого аудита компании. Последнее, наиболее трудоемкая задача. Как и любая задача по написанию пакета руководящих документов, включающих систематизацию управления предприятием, отражающих бизнес-процессинг предприятия, вырабатывающих целевую стратегию предприятия в целом и в частных случаях. Часто, это связано с недостаточной компетентностью руководителей высшего и среднего звена в вопросах информационных рисков, так и в вопросах управления в целом. Усложняет ситуацию нежелание руководства компаний тратить финансы на обучения персонала предприятий начиная от рядовых сотрудников до руководителей всех звеньев. Описание собственных рабочих процессов подразделений, вверенных в подчинение руководителей, за работу которых они отвечают, редко бывает задокументировано и описано. Например, те же должностные инструкции сотрудников и устав подразделений, носит больше условный характер, нежели определяет порядок работы как самого сотрудника в подразделении, так и его связь с другими подразделениями предприятия. Трудовые договора имеют множество недочетов и допускают множество рисков. О чем узнается в последствие, и принимаются соответствующие действия, либо соответствующие выводы не делаются и все пускается на самотек. Ответственности сотрудников на предприятии за использование служебной информации и иные средства производства, и активы компании, не описана, либо описана недопустимо обзорно.

В предыдущих частях, было показано, насколько данный информационный риск опасен. В виду своей сложности, его часто не учитывают. Данную работу можно использовать полностью или частично, т.к. она носит универсальный характер при проведении информационного аудита для выявления и анализа социотехнических рисков. Будим предполагать, что в компании существует политика информационной безопасности. Очень часто, она не учитывает риски, в основе которых лежат социотехнические методы. В настоящее время Российский рынок испытывает дефицит квалифицированных кадров, и учет подобных рисков накладывает дополнительные требования на работодателя, при подборе персонала. В связи с чем, квалификация подбираемого персонала в среднем, на большинство представленных компаниями вакансий, отвечает требованиям только на 40%-60%. Более того, не каждая компания, способна задавать четкие требования для соискателей. Такой подход создает дополнительные риски.

Попытаемся определить примерные затраты, на осуществление доработок документационной, управленческой и технической базы, учитывающих риски связанные с применением социальной инженерии. Будит предложенная достаточно емкая процедура, результаты которой могут быть использованы для управленческого аудита, который сегодня является одним из самых дорогих. В последствии, затраты на данный вид работ можно сопоставить со статистикой потерь компаний (представленной Российским аналитическо-информационным центром Info Watch по итогам 2007 года), вызванных угрозами информационных рисков. Очевидно, что оценка рисков в каждой компании будит собственная. Это связанно со множеством условий которые не входят в рассмотрение нашего проекта в виду значительной сложности такой работы. Данные расчета могут быть учтены в расчете годового бюджета IT-подразделения или подразделении службы информационной безопасности, в обязанности которых входит курировать данный вопрос полностью или частично. Причем, многие пункты в дальнейшем могут быть убраны или учитываться при долгосрочном планировании бюджета на 3-5 года. В проекте не учитывается направленность атаки (т.е. атака может производиться на конкретного сотрудника предприятия, или может осуществляться на предприятие и его ресурсы целиком).

Если в компании отсутствует концепция и политика информационной безопасности, следует в её разработке учесть полученные нами данные. Здесь мы опускаем описание и расчет всего цикла работ, связанного с разработкой и введением в действие данных документов.

В качестве вспомогательного материала, будим использовать подход компании Microsoft, описанный в их документе «Как защитить внутреннюю сеть и сотрудников компании от атак, основанных на использовании социотехники» [26]. Сама структура организационно-экономической части, будет соответствовать пособию в соавторстве М.Ф. Меняев, Б.Д. Бышовец, И.Ф. Пряников «Организационно-экономическая часть дипломных проектов, направленных на разработку программного обеспечения».

4.1 Основные этапы проекта

Предположим сто у Заказчика небольшая компания, имеющая 300-350 единиц автоматизированных рабочих мест, имеется собственное IT-подразделение и служба безопасности. Компания имеет действующую Политику информационной безопасности, пакет внутренних документов по организации работы структурных подразделений, коммуникациям между ними, режимным мероприятиями, корпоративной этикой и т.д.

Планирование содержания работ, формирование последовательности и характеристик этапов выбранных стадий разработки, методик оценок будем структурно описывать в соответствии с ЕСПД ГОСТ 19.102-77 применительно к данному проекту. Структура является общей и может быть в дальнейшем дополнена или сокращена. Здесь приведена универсальная структура, которая может быть использована любой компанией.

Перечень работ по стадиям и этапам приведен в таблице 4.1.

Таблица 4.1. Стадии и этапы проекта для стоимостной оценки

Стадии разработки	№ этапа	Этапы работ	Содержание работ
1. Техническое задание	1	Обоснование необходимости проектирования системы защиты от социотехнических угроз	Предварительный сбор данных о возможности использования внешних и внутренних социотехнических каналов.
			Предварительная оценка рисков, анализ и подготовка предварительного решения.
	2	Разработка стратегии управления обеспечения безопасности и создание рабочей группы	Ознакомление с предварительным решением, разработка стратегии управления обеспечения безопасности.
			Создание рабочей группы, определение и утверждение системы коммуникаций между участниками проекта.
			Решение организационно-технических вопросов.
			Разработка системы контроля и отчетности за выполнением хода работы.
	3	Научно-исследовательские работы, создание модели «как есть»	Сбор исходных данных, учитывающих выявленные ранние уязвимости корпоративной среды и включающие всевозможные направления проведения атаки.
			Изучение корпоративной документации (ПИБ, структуры взаимодействия подразделений, нормы поведения, режимные, коммуникационная между подразделениями, должностные инструкции, уставы подразделений, трудовые договора и т.д.).
			Проведение информационно-технологического анализа (анализ системы документооборота и схем потоков данных, анализ структуры данных, анализ аппаратной составляющей, анализ используемых офисных технологий).
			Проведение кадрового и социально-психологического анализа (анализ кадрового потенциала, диагностика социально-психологического состояния коллектива, анализ информационной структуры и организационной культуры).
			Исследование потребностей компании в тех или иных сервисах.
			Исследование возможностей существующего серверного, сетевого оборудования и программного обеспечения, анализ их настроек.
			Разработка и реализация ряда тестов, имитирующие атаки по социотехническим каналам.
			Анализ, систематизация и классификация полученных данных, создание модели «как есть».
	4	Создание модели «как должно быть»	Оценка информационных рисков и создание модели «как должно быть», презентация полученных моделей и результатов исследований.
	5	Разработка и утверждение технического задания	Создание технико-экономического обоснования, а также пакетов рекомендаций и календарного плана для каждого пакета.
			Согласование и утверждение ТЗ вместе с календарным планом работ, и предварительным бюджетом
2. Технический проект	6	Разработка портфеля документов, планов и процедур его внедрения	Написание политик учитывающие социотехнические угрозы, доработка/разработка других корпоративных документов.
			Работа с менеджером по персоналу и юристом по внесению пункта о необходимости соблюдения политик в контракты с сотрудниками и подрядчиками, выработка рекомендаций для разработки профессиограмм и партнерских договоров.
			Работа с директором по безопасности, внесение ряда дополнений в режимные документы, изменение ряда процедур и создание новых.
			Разработка плана мероприятий по проведению обучения подразделений компаний, ознакомлением их с различными процедурами и выработки у сотрудников практических навыков.
			Рекомендации по приобретению технических и программных средств.
	7	Утверждение портфеля документов и плана его внедрения	Внесение изменений в структуру работы различных подразделений компании: службы поддержки, секретариата, коммерческих и финансовых отделов, отделов по работе с клиентами и др.
			Рекомендации по настройке оборудования и ПО.
	8	Разработка вспомогательных инструментов и средств	Разработка методик тестирования политик и набора различных тестов для всевозможных социотехнических каналов.
			Создание наглядных пособий, роликов и набора практических заданий, для проведения обучения персонала современным и потенциально-возможным социотехническим атакам.
3. Рабочий проект	9	Технические работы по настройке ПО и оборудования	Настройка средств внутреннего и внешнего периметра безопасности корпоративной сети, документирование настроек.
	10	Информирование и обучение сотрудников	Проведение обучения сотрудников, ознакомление под роспись с нововведенными и измененными документами.
			Тестирование политик.
			Анализ результатов, внесение дополнений в документацию и разработка оптимальных способов информирования сотрудников.
			Создание внутренней группы инструкторов, в обязанности которых будит входить регулярные занятия с сотрудниками компании. Обучение их и обеспечение соответствующим материалом.
	11	Создание механизмов и процедуры управления инцидентами	Разработка процедуры реагирования на инциденты.
			Проведение аудита и в зависимости от угрозы корректировка/создание политик и процедур.
			Информирование сотрудников компании об изменениях в процедурах и политиках, при необходимости проведение обучения.
4. Внедрение	12	Подготовка модели «как сделано», передача портфеля документов и вспомогательных инструментов	Проведение информационного аудита, интервирование персонала, документирование текущего состояния введенной структуры, подготовка модели «как сделано».
			Передача пакета документов Заказчику, вместе с пакетом рекомендации по поддержанию разработанной структуры и рекомендаций для новых проектов и внесению дополнений, а также наборов типовых форм и шаблонов документов.
	13	Сопровождение	Обучение администратора безопасности.
			Заключение договора на сопровождение и проведение периодического информационного аудита и обучение сотрудников.

4.2 Расчет трудоемкости проекта

Общие затраты труда на разработку и внедрение проекта определяются следующим образом:

(1)

где - затраты труда на выполнение i-го этапа проекта.

При оценке продолжительности работ используется варианта экспертной оценки. В качестве экспертов выступает сотрудники со стороны компании Исполнителя проекта, которая специализируется по вопросам проведения информационного аудита, оценкой информационных рисков и комплексной защите информации. Дополнительно, в качестве экспертов на отдельных этапах работы, могут выступать сотрудники IT подразделения и топ-менеджмент самой компании Заказчика, в которой требуется проводить аудит. К сожалению, редкие проекты завершаются в те сроки, которые закладываются на начальных этапах. Это обусловлено очень многими причинами. Чаще всего организационными, организационно-структурными и управленческими, отсутствием ряда стратегий и политик в компании, жестким ограничением бюджета на проект и другими. Для гарантированного получения результата проекта, отмечу, что со стороны руководителя проекта как Заказчика, так и Исполнителя, важны выраженные качества лидера имеющего должное уважение и полномочия в коллективе. Нацеленность на получение конечного результата, слаженность и четкость работы команды с распределенными обязанностями, оперативность и коммуникативность при координации работ, профессионализм в подходе к выполнению работы, умение ощутить критические точки на любом временном участке жизни проекта - все это влияет на продолжительность работ.

При экспертной оценке ожидаемая продолжительность работ вычисляется по следующей формуле:

(2)

где и - минимальная и максимальная оценки продолжительности работы.

В таблице 4.2 представлено содержание всех этапов разработки с указанием значений продолжительности их выполнения.

Таблица 4.2. Продолжительность этапов проекта.

Этап	№ работы	Содержание работы	Продолжительность, чел/дни
1	1	Предварительный сбор данных о возможности использования внешних и внутренних социотехнических каналов.	10	16	12	16
	2	Предварительная оценка рисков, анализ и подготовка предварительного решения.	3	5	4
2	3	Ознакомление с предварительным решением, разработка стратегии управления обеспечения безопасности.	4	6	5	10
	4	Создание рабочей группы, определение и утверждение системы коммуникаций между участниками проекта.	2	3	3
	5	Решение организационно-технических вопросов.	1	2	1
	6	Разработка системы контроля и отчетности за выполнением хода работы.	1	1	1
3	7	Сбор исходных данных, учитывающих выявленные ранние уязвимости корпоративной среды и включающие всевозможные направления проведения атаки.	6	8	7	63
	8	Изучение корпоративной документации (ПИБ, структуры взаимодействия подразделений, нормы поведения, режимные, коммуникационная между подразделениями, должностные инструкции, уставы подразделений, трудовые договора и т.д.).	8	10	9
	9	Проведение информационно-технологического анализа (анализ системы документооборота и схем потоков данных, анализ структуры данных, анализ аппаратной составляющей, анализ используемых офисных технологий).	7	10	8
	10	Проведение кадрового и социально-психологического анализа (анализ кадрового потенциала, диагностика социально-психологического состояния коллектива, анализ информационной структуры и организационной культуры).	22	25	23
	11	Исследование потребностей компании в тех или иных сервисах.	1	1	1
	12	Исследование возможностей существующего серверного, сетевого оборудования и программного обеспечения, анализ их настроек.	2	4	3
	13	Разработка и реализация ряда тестов, имитирующие атаки по социотехническим каналам.	6	6	6
	14	Анализ, систематизация и классификация полученных данных, создание модели «как есть».	5	8	6
4	15	Оценка информационных рисков и создание модели «как должно быть», презентация полученных моделей и результатов исследований.	4	4	4	4
5	16	Создание технико-экономического обоснования, а также пакетов рекомендаций и календарного плана для каждого пакета.	5	7	6	11
	17	Согласование и утверждение ТЗ вместе с календарным планом работ, и предварительным бюджетом	5	5	5
6	18	Написание политик учитывающие социотехнические угрозы, доработка/разработка других корпоративных документов.	10	10	10	32
	19	Работа с менеджером по персоналу и юристом по внесению пункта о необходимости соблюдения политик в контракты с сотрудниками и подрядчиками, выработка рекомендаций для разработки профессиограмм и партнерских договоров.	13	15	14
	20	Работа с директором по безопасности, внесение ряда дополнений в режимные документы, изменение ряда процедур и создание новых.	3	3	3
	21	Разработка плана мероприятий по проведению обучения подразделений компаний, ознакомлением их с различными процедурами и выработки у сотрудников практических навыков.	3	3	3
	22	Рекомендации по приобретению технических и программных средств.	2	3	2
7	23	Внесение изменений в структуру работы различных подразделений компании: службы поддержки, секретариата, коммерческих и финансовых отделов, отделов по работе с клиентами и др.	7	10	8	10
	24	Рекомендации по настройке оборудования и ПО.	2	3	2
8	25	Разработка методик тестирования политик и набора различных тестов для всевозможных социотехнических каналов.	7	8	7	15
	26	Создание наглядных пособий, роликов и набора практических заданий, для проведения обучения персонала современным и потенциально-возможным социотехническим атакам.	7	10	8
9	27	Настройка средств внутреннего и внешнего периметра безопасности корпоративной сети, документирование настроек.	3	5	4	4
10	28	Проведение обучения сотрудников, ознакомление под роспись с нововведенными и измененными документами.	13	15	14	28
	29	Тестирование политик.	5	5	5
	30	Анализ результатов, внесение дополнений в документацию и разработка оптимальных способов информирования сотрудников.	5	5	5
	31	Создание внутренней группы инструкторов, в обязанности которых будит входить регулярные занятия с сотрудниками компании. Обучение их и обеспечение соответствующим материалом.	3	5	4
11	32	Разработка процедуры реагирования на инциденты.	2	3	2	7
	33	Проведение аудита и в зависимости от угрозы корректировка/создание политик и процедур.	3	3	3
	34	Информирование сотрудников компании об изменениях в процедурах и политиках, при необходимости проведение обучения.	1	3	2
12	35	Проведение информационного аудита, интервирование персонала, документирование текущего состояния введенной структуры, подготовка модели «как сделано».	10	15	12	17
	36	Передача пакета документов Заказчику, вместе с пакетом рекомендации по поддержанию разработанной структуры и рекомендаций для новых проектов и внесению дополнений, а также наборов типовых форм и шаблонов документов.	4	6	5
13	37	Обучение администратора безопасности.	5	5	5	7
	38	Заключение договора на сопровождение и проведение периодического информационного аудита и обучение сотрудников.	2	2	2

Таким образом, затраты труда при последовательном выполнении всех работ проекта Qp составят 224 человеко-дней. Учитывая, что в месяце 22 рабочих дня, срок выполнения проекта в месячном эквиваленте составит:

224 / 22 = 10,18 месяцев

4.3 Определение численности исполнителей

Экономическая составляющая является если не главным критерием, то одним из основных критериев любого проекта. Численность исполнителей следует определять из временных и экономических рамок Заказчика и заинтересованности Исполнителя в выполнении данного проекта. Очевидно, что любой Исполнитель имеет наибольшую мотивацию выполнения проекта Заказчика, если проект окажется экономически выгодным и сроки его реализации не будут затяжными. Но есть другие аспекты, например интересный (перспективный) заказчик с хорошей репутацией или малоизученная сфера деятельности компании Заказчика и практические наработки в этой сферы для самого Исполнителя будут важны, а также установление партнерских отношений между обеими сторонами и т.д. Все эти аспекты не включены в исследования предпосылок для ведения проекта и оценки его стоимости. Отмечу важный момент. Для достижения взаимовыгодных отношений и получения гарантированного результата по завершению проекта, работа должна проводиться совместно как Исполнителем, так и рабочей группой со стороны Заказчика, которой должен руководить один из управляющих высшего уровня менеджеров Заказчика (заместитель директора, вице-президент, исполнительный директор). Рабочая группа со стороны Заказчика должна включать руководителя IT-подразделения, менеджера по управлению кадрами, руководитель или его заместитель службы безопасности, старшего юристконсультанта и других лиц, в зависимости от сферы деятельности компании и решаемых задач. Такой подход позволит сэкономить затраты на проект, учесть многие нюансы и сама работа аудиторов будит носить прикладной характер, а не теоретический. Результат окажется практичным для Заказчика, а если он сам в дальнейшем будит осуществлять поддержку согласно рекомендациям Исполнителя, последующие затраты на поддержание структуры окажутся на порядок ниже и могут составить в последствии часть бюджета IT-подразделения или дирекции о чем упоминалось выше. Распределение временных затрат со стороны группы Заказчика мы не будим учитывать в расчете. Как правило, со стороны Исполнителя, могут быть даны рекомендации по временным затратам на решение того или иного вопроса в зависимости от квалификации персонала привлеченного к проекту. Далее со стороны Заказчика составляется план-проект с перечнем выполняемых их задач и временными затратами рабочей группы Заказчика указывая конкретных исполнителей и кураторов решаемых вопросов силами самого Заказчика. После этого, два временных плана проектной группы Исполнителя и Заказчика совмещаются и определяются наиболее точные временные рамки всего проекта.

Средняя численность исполнителей при реализации проекта определяется соотношением (3):

( 3)

где Qp - затраты труда на выполнение проекта, F - фонд рабочего времени.

Величина фонда рабочего времени определяется соотношением (4):

( 4)

где Т - время выполнения проекта в месяцах, FM - фонд времени в текущем месяце, который рассчитывается из учета общего числа дней в году, числа выходных и праздничных дней (5):

( 5)

где tp - продолжительность рабочего дня, DK - общее число дней в году, DB - число выходных дней в году, DП - число праздничных дней в году.

Таким образом, месячный фонд рабочего времени имеет следующее значение:

(6).

Заказчик отводит на реализацию проекта не более T = 5 мес. Таким образом, фонда рабочего времени составит

(7),

Исходя из предварительных расчетов, общие затраты труда составят:

(8)

Тогда из отношения (3) средняя численность исполнителей, задействованных в проекте со стороны Заказчика составит:

чел

Продолжительность отдельных работ при одновременном выполнении их несколькими исполнителями (ti) определяется из соотношения (9):

( 9)

где tpp - расчетная продолжительность работы, Wисп - количество исполнителей, КН - коэффициент выполнения нормы.

Зная трудоемкость каждого этапа разработки и требуемые сроки выполнения каждого этапа, можем определить количество исполнителей, занятых в проекте на каждом этапе.

4.4 Сетевая модель проекта

В настоящей работе мы используем для наглядности один из простых секторных методов расчета сетевой модели планирования, это четырехсекторный метод. На его базе разрабатывается информационно-динамическая модель процесса выполнения проекта. Построение сетевой модели включает оценку степени детализации комплекса работ, определение логической связи между отдельными работами и временных характеристик выполнения этапов проекта.

Для построения сетевой модели выделим события и работы. События пронумеруем по порядку от исходного к завершающему. Каждой работе присвоим код, состоящий из номера наступившего события и номера того события, которое достигается в результате выполнения данной работы.

После построения графической модели рассчитываются оставшиеся параметры элементов сети: сроки наступления событий, резервы времени, полный и свободный резервы времени.

Ранний срок совершения события определяет минимальное время, необходимое для выполнения всех работ, предшествующих данному событию и равен продолжительности наибольшего из путей, ведущих от исходного события (0) к рассматриваемому; он рассчитывается с помощью соотношения (10):

(10)

Критический путь - максимальный путь от исходного события (0) до завершения проекта. Его определение выделяет события, совокупность которых имеет нулевой резерв времени.

Все события в сети, не принадлежащие критическому пути, имеют резерв времени Ri, показывающий на какой предельный срок можно задержать наступление этого события, не увеличивая сроки окончания работ (т.е. продолжительности критического пути).

Поздний срок совершения события - максимально допустимое время наступления данного события, при котором сохраняется возможность соблюдения ранних сроков наступления последующих событий. Поздние сроки вычисляются, начиная с последнего события - завершения проекта, по критическому пути (т.е. справа налево по графику). Они равны разности между поздним сроком совершения j-го события и продолжительностью i-j работы. Поздний срок определяется соотношением (11):

(11)

Резерв времени события определяется соотношением (12):

(12)

Полный резерв времени работы следует определить, используя соотношение (13):

(13)

Свободный резерв времени можно определить, применяя соотношение (14):

(14)

Результаты расчетов сведены таблицу 4.3 и отражены на сетевом графике (рис. 4.1.):

Таблица 4.3. Работы с выделенными ресурсами на их выполнение

Код работы	Ожидаемая продо-сть	Содержание работа	Выделенный ресурс
0-1	12	Предварительный сбор данных о возможности использования внешних и внутренних социотехнических каналов.	Администратор безопасности
1-2	4	Предварительная оценка рисков, анализ и подготовка предварительного решения.	Аналитик
2-3	5	Ознакомление с предварительным решением, разработка стратегии управления обеспечения безопасности.	Руководитель проекта
3-4	1	Решение организационно-технических вопросов.	Администратор безопасности
3-5	1	Разработка системы контроля и отчетности за выполнением хода работы.	Консультант по ЗИ
3-6	3	Создание рабочей группы, определение и утверждение системы коммуникаций между участниками проекта.	Руководитель проекта
6-7	7	Сбор исходных данных, учитывающих выявленные ранние уязвимости корпоративной среды и включающие всевозможные направления проведения атаки.	Администратор безопасности
6-8	9	Изучение корпоративной документации (ПИБ, структуры взаимодействия подразделений, нормы поведения, режимные, коммуникационная между подразделениями, должностные инструкции, уставы подразделений, трудовые договора и т.д.).	Аналитик
8-9	8	Проведение информационно-технологического анализа (анализ системы документооборота и схем потоков данных, анализ структуры данных, анализ аппаратной составляющей, анализ используемых офисных технологий).	Администратор безопасности
8-11	23	Проведение кадрового и социально-психологического анализа (анализ кадрового потенциала, диагностика социально-психологического состояния коллектива, анализ информационной структуры и организационной культуры).	Руководитель проекта
9-10	1	Исследование потребностей компании в тех или иных сервисах.	Консультант по ЗИ
10-11	3	Исследование возможностей существующего серверного, сетевого оборудования и программного обеспечения, анализ их настроек.	Администратор безопасности
11-12	6	Разработка и реализация ряда тестов, имитирующие атаки по социотехническим каналам.	Консультант по ЗИ
12-13	6	Анализ, систематизация и классификация полученных данных, создание модели «как есть».	Аналитик
13-14	4	Оценка информационных рисков и создание модели «как должно быть», презентация полученных моделей и результатов исследований.	Аналитик
14-15	5	Создание технико-экономического обоснования, а также пакетов рекомендаций и календарного плана для каждого пакета.	Технический писатель
14-16	6	Согласование и утверждение ТЗ вместе с календарным планом работ, и предварительным бюджетом.	Руководитель проекта
16-17	10	Написание политик учитывающие социотехнические угрозы, доработка/разработка других корпоративных документов.	Технический писатель
17-18	3	Разработка плана мероприятий по проведению обучения подразделений компаний, ознакомлением их с различными процедурами и выработки у сотрудников практических навыков.	Консультант по ЗИ
17-19	3	Работа с директором по безопасности, внесение ряда дополнений в режимные документы, изменение ряда процедур и создание новых.	Аналитик
17-20	14	Работа с менеджером по персоналу и юристом по внесению пункта о необходимости соблюдения политик в контракты с сотрудниками и подрядчиками, выработка рекомендаций для разработки профессиограмм и партнерских договоров.	Руководитель проекта
19-20	2	Рекомендации по приобретению технических и программных средств.	Администратор безопасности
20-21	2	Рекомендации по настройке оборудования и ПО.	Администратор безопасности
20-22	8	Внесение изменений в структуру работы различных подразделений компании: службы поддержки, секретариата, коммерческих и финансовых отделов, отделов по работе с клиентами и др.	Руководитель проекта
22-23	4	Настройка средств внутреннего и внешнего периметра безопасности корпоративной сети, документирование настроек.	Администратор безопасности
22-24	7	Разработка методик тестирования политик и набора различных тестов для всевозможных социотехнических каналов.	Консультант по ЗИ
22-25	8	Создание наглядных пособий, роликов и набора практических заданий, для проведения обучения персонала современным и потенциально-возможным социотехническим атакам.	Технический писатель
25-26	14	Проведение обучения сотрудников, ознакомление под роспись с нововведенными и измененными документами.	Консультант по ЗИ
26-27	5	Тестирование политик.	Администратор безопасности
27-28	4	Создание внутренней группы инструкторов, в обязанности которых будит входить регулярные занятия с сотрудниками компании. Обучение их и обеспечение соответствующим материалом.	Консультант по ЗИ
27-29	5	Анализ результатов, внесение дополнений в документацию и разработка оптимальных способов информирования сотрудников.	Аналитик
29-30	7	Создание процедуры управления рисками	Аналитик
30-31	12	Проведение информационного аудита, интервирование персонала, документирование текущего состояния введенной структуры, подготовка модели «как сделано».	Аналитик
31-32	5	Передача пакета документов Заказчику, вместе с пакетом рекомендации по поддержанию разработанной структуры и рекомендаций для новых проектов и внесению дополнений, а также наборов типовых форм и шаблонов документов.	Руководитель проекта
32-33	2	Заключение договора на сопровождение и проведение периодического информационного аудита и обучение сотрудников.	Руководитель проекта
32-34	5	Обучение администратора безопасности.	Администратор безопасности

По данным таблицы 4.3 построен сетевой график, представленный на рис. 4.1. Сетевой график является уже частично оптимизированным. Те работы, которые возможно проводить параллельно, выделены на графе. Недостатком первого этапа оптимизации временных затрат на выполнение проекта, является предварительный расчет, учитывающий на каждой отдельной работе по одному задействованному исполнителю. Заведомо, квалификация исполнителей при таком подходе должна быть выше, что не всегда оправданно с точки зрения оптимизации затрат. Очень часто, оптимальным является подбор исполнителей, чтобы более дорогой и квалифицированный ресурс был задействован не все 100% времени выполнения отдельной работы, как это отражено в таблице 4.3 и на рис. 4.1, а частично, по необходимости. Остальную работу выполняет менее дорогой ресурс.

Предположим, что для выполнения проекта привлечена группа Заказчика, имеющая в общем составе 5 специалистов для выполнения проекта. На отдельных участках сетевого графика мы можем одновременно задействовать три специалиста из этой группы. В результате был получен критический путь 0-1-2-3-6-8-11-12-13-14-16-17-20-22-25-26-27-29-30-31-32-34 длиной 171 рабочий день. Этот срок на 24% сократил расчетную сумму трудозатрат равную 224 человеко-дня, но не является оптимальным, т.к. Заказчик пожелал отвести на проект срок не более 5 месяцев.

Для того чтобы проект был выполнен в срок, следует осуществить распределение ресурсов рабочей группы Заказчика. Оптимизацию следует провести с учетом разгрузки дорогостоящего ресурса на отдельных работах с учетом привлечения такого ресурса частично, а не на все время выполнения работы. Также, особое внимание должно быть уделено составу рабочей группы Исполнителя на каждой выполняемой работе, чтобы привлечение того или иного специалиста максимально точно и качественно решало конкретную задачу. Причем, следует понимать, что отдельные работы невозможно сократить по сроку исполнения, но возможно уменьшить трудозатраты, что также повлияет на экономию бюджета Заказчика.

Далее в работе будит показано два календарных графика. Один отражает сетевой график таким, как он есть, а второй календарный график будет оптимизирован с учетом привлечения ресурсов, к выполнению отдельно взятым работам. Где возможно, будет сокращена длина критического пути, что в результате приведет к ожидаемому сроку реализации проекта, т.е. пяти месяцам. Последующее сокращение срока выполнения проекта может потребовать значительных затрат со стороны Заказчика и такие меры не рассматриваются в данной работе. Калькуляция обоих календарных графиков по сумме затрат приведена ниже вместе с перераспределенными ресурсами (производная таблица из таблицы 4.3).