Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Оглавление

Введение

1. Аналитическая часть

1.1 Технико-экономическая характеристика предметной области и предприятия

1.1.1 Общая характеристика предметной области

1.1.2 Организационно-функциональная структура предприятия

1.2 Анализ рисков информационной безопасности

1.2.1 Идентификация и оценка информационных активов

1.2.2 Оценка уязвимостей активов

1.2.3 Оценка угроз активам

1.2.4 Оценка существующих и планируемых средств защиты

1.2.5 Оценка рисков

1.3 Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

1.3.1 Выбор комплекса задач обеспечения информационной безопасности.

1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

1.4 Выбор защитных мер

1.4.1 Выбор организационных мер

1.4.2 Выбор инженерно-технических мер

2. Разработка комплекса мер по обеспечению защиты информации

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1 Нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия

2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия

2.2 Контрольный пример реализации проекта и его описание

3. Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

3.2 Предварительный расчет экономической эффективности и окупаемости

Заключение

Список литературы

Приложения



Введение

С каждым днем повышается роль информации в современном обществе. Информация становится стратегическим ресурсом, товаром, владение которым приносит немалую прибыль. Информация обладает некоторыми стоимостными характеристиками и потребительскими свойствами. В связи с этим особо актуальной становится проблема защиты информации.

С любым информационным объектом могут быть связаны определенные угрозы. При этом угрозы могут быть как случайными, так и преднамеренными. Так, служащий организации может случайно удалить важную информацию в базе, испортить носитель данных, допустить ошибки при вводе или передаче информации. Однако, случайные угрозы возникают не так уж часто, и современные программные и технические средства защищают информацию от случайных сбоев и ошибок.

Более опасными являются преднамеренные угрозы информационной безопасности, в ходе которых нарушается целостность, достоверность или конфиденциальность информации. Перечень таких угроз с каждым днем растет, поэтому для их предотвращения необходимо совершенствовать средства обнаружения угроз и защиты информации.

Арсенал и изощренность таких угроз неуклонно расширяются, поэтому для их нейтрализации необходимо предугадать не только возможные цели злоумышленника, но и его квалификацию и техническую оснащенность.

Однако, при организации системы защиты информации важно не ждать, когда угрозы проявятся, а уметь спрогнозировать их и провести профилактику. Для этого в организации должна быть разработана политика информационной безопасности, которая предусматривает возникновение угроз различным носителям и каналам информации, а также предлагает меры для их предотвращения и устранения.

Для реализации политики информационной безопасности используются различные средства, методы и мероприятия. К их числу относятся, в частности, правовые нормы, организационные мероприятия, инженерно-технические и программно-аппаратные средства, методы криптографии.

На информационную безопасность организации влияет множество факторов. В связи с этим эффективное решение проблемы информационной безопасности в организации будет возможным только благодаря комплексным и систематическим мерам.

В настоящее время, вопросам информационной безопасности уделяется достаточно много внимания. В связи с этим ведутся многочисленные исследования, разрабатываются алгоритмы защиты информации, появляются новые технические и программные средства защиты информации.

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее, она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.

Целью дипломной работы является разработка проекта комплексной системы защиты информации на предприятии ООО «Рапидо». Для достижения поставленной цели сформулированы следующие задачи:

- изучение предметной области и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации, определяющих необходимость разработки проекта;

- разработка постановки задачи проектирования;

- обоснование выбора основных проектных решений;

- разработка всех видов обеспечивающих подсистем;

- обоснование экономической эффективности проекта.

Предметом нашей дипломной работы является комплексная система защиты информации, а объектом - информационная система ООО «Рапидо».

При написании работы применялись такие методы, как анализ литературных источников, методы системного анализа, методы функционального моделирования, экономические и математические методы.

Предложенная в дипломной работе политика защиты информационных ресурсов может быть внедрена в ООО «Рапидо», что определяет практическую значимость работы.



1. Аналитическая часть

1.1 Технико-экономическая характеристика предметной области и предприятия

1.1.1 Общая характеристика предметной области

Основная деятельность предприятия ООО «Рапидо» заключается в оказании профессиональных услуг в области дизайна, верстки и полиграфии. Отдельный и наиболее быстро развивающийся сектор полиграфического рынка - печать рекламной продукции (различных буклетов, этикеток, плакатов, афиш).

Виды выпускаемой продукции:

- этикетно-упаковочная продукция (этикетки, ярлыки, ценники, наклейки, упаковки, коробки, пакеты и т.д.);

- различная представительская продукция (годовые отчеты, корпоративные газеты, настенные и настольные календари, брошюры, проспекты, визитки, бланки, блокноты, папки, конверты, приглашения и т.д.);

- книжная, газетная, журнальная продукция (книги в переплете и обложке, журналы, проспекты);

- рекламная и сувенирная продукция (плакаты, афиши, проспекты, полноцветные буклеты, сувениры, открытки, каталоги, флаеры, объявления, вымпелы и т.д.).

Развитие полиграфической отрасли в России сдерживается по определенным причинам, и в том числе - в связи с высокой стоимостью используемого типографского оборудования. Чтобы получить прибыль, надо использовать дорогостоящее оборудование для высококачественной печати, при этом цена современных печатных станков или комплекса оборудования составляет не менее 1 млн. долларов.

Минимальный объем вложений для создания конкурентоспособного предприятия в секторе производства полиграфической продукции сегодня составляет не менее 30 млн. долларов. Время выхода на рынок - не менее полутора лет, срок возврата вложений составляет не менее трех-пяти лет. Вместе с тем в России достаточно развит рынок подержанного оборудования для производства полиграфической продукции, часто применяется лизинг. Все это позволяет начать дело по производству полиграфической продукции с меньшими затратами.

Быстрее всего и с меньшими затратами получается начать дело в секторе оперативной полиграфии.

В целом же, для развития полиграфической отрасли в настоящее время существует несколько ключевых препятствий:

1. Серьезная зависимость от импорта: отсутствие отечественного полиграфического оборудования, отвечающего всем современным требованиям; отсутствие качественной отечественной бумаги (мелованная).

Именно мелованная бумага требуется издателям для большинства полиграфической продукции. А она не производится в России. Для создания экономических предпосылок к созданию производства мелованных бумаг необходимо решать проблемы стимулирования рынка производства и распространения печатной продукции.

2. Несовершенное таможенное законодательство: высокие пошлины на ввоз бумаги, расходных материалов, оборудования; льготная ставка НДС (10%) на ввоз полиграфической продукции не рекламного характера.

Стоит отметить, что в настоящее время иностранные поставщики, которые работают на рынке полиграфических услуг, имеют большие конкурентные преимущества перед отечественными производителями, поскольку могут их цены существенно ниже российских. И основная причина этого - несовершенная налоговая система России.

3. Износ оборудования, нехватка мощностей в целом по стране.

Износ полиграфического оборудования по всей отрасли составляет порядка 75%. Технический уровень полиграфии в различных регионах страны достиг крайне низкого уровня. Повысить конкурентоспособность отрасли возможно привлечением дополнительных инвестиций. Эксперты уверены, что единственный возможный путь решения проблемы - создание совместных предприятий для оснащения полиграфического оборудования основными узлами от импортных производителей.

4. Нехватка кадров, отсутствие необходимого количества квалифицированного персонала.

В настоящее время в отрасли отсутствует необходимое количество профессионалов, полиграфические вузы и факультеты появились не так давно, и не готовят специалистов в достаточном количестве.

В связи с этим можно отметить, что на рынке производства полиграфической продукции существует конкуренция, полиграфические компании пытаются выжить не только за счет качества своего товара, но и за счет уничтожения конкурентов. В связи с этим в полиграфическом бизнесе практикуется кража информации, ее подмена, фальсификация или попросту уничтожение или вывод из строя компьютерной техники и сети предприятия.

Таким образом, конкуренция на рынке полиграфической продукции очень высока, что приводит к попыткам перехвата и взлома информации, а также попыткам сбоя работы компьютерных систем. В связи с этим особое внимание должно уделяться информационной безопасности компании.

Для того, чтобы спроектировать систему информационной безопасности предприятия необходимо тщательно проанализировать функции предприятия, а также входящую и исходящую информацию. Для анализа проблемы подготовим функциональную модель на основе методологии IDEF0. Эта методология позволяет создавать совокупность функциональных диаграмм, описывающих предметную область. Функциональная модель отображает функциональную структуру объекта, т.е. производимые им действия и связи между этими действиями. Функциональная модель состоит из диаграмм, фрагментов текстов и глоссария, имеющих ссылки друг на друга [2, c. 15].

Для анализа существующей технологии обработки информации на предприятии нужно разобрать структурно-функциональную диаграмму. Для этого воспользуемся программой «AllFusion Process Modeler».

«All Fusion Process Modeler» - инструмент для моделирования, анализа, документирования и оптимизации бизнес-процессов. «All Fusion Process Modeler» можно использовать для графического представления бизнес-процессов.

На рисунке 1.12. представлена контекстная диаграмма деятельности компании «Рапидо».

Рис. 1.1. Контекстная диаграмма

Как видно на рисунке 1.2, основной функцией, которую мы анализируем, является деятельность компании. Для выполнения этой функции необходимо получение таких первоначальных данных или документов:

? заказы клиентов (заполняется на бланке установленного образца);

? цены на товары и услуги;

? информация об услугах (полный перечень услуг с указанием примерных сроков и стоимости);

? скидки клиентам;

Эти данные (и документы) являются входами функционального блока. В результате выполнения функции будут получены следующие результаты:

? выполненная работа;

? бухгалтерская и управленческая отчетность.

Эти данные (и документы) являются выходами функционального блока. В качестве управления используются такие механизмы:

? должностная инструкция работника (в работе сотрудник руководствуется положениями своей должностной инструкции);

? НПА РФ (знание и применение норм законодательства особенно важно при заключении договора).

Механизмом реализации данной функции являются персонал компании, компьютерные средства и программное обеспечение. Однако контекстная диаграмма отражает лишь общую функцию, поэтому для понимания того, как функционирует компания необходимо выполнить декомпозицию контекстной диаграммы.

Декомпозиция контекстной диаграммы предполагает выделение основных функций, которые должны быть выполнены для реализации основной функции. При выполнении декомпозиции стоит обратить внимание, что все входы, выходы, стрелки управления и механизма, присутствующие на контекстной диаграмме, должны быть отражены и на диаграмме, полученной в результате декомпозиции (функциональной диаграмме первого уровня). Эта диаграмма представлена на рисунке 1.2.



Рис. 1.2. Функциональная диаграмма первого уровня

Стоит отметить, что в результате декомпозиции основного процесса было выделено пять подпроцессов:

1. Оформление заказов клиентов. Если клиент принимает решение о заключении договора на оказание услуг (по изготовлению полиграфической продукции), то все его данные вносятся в общую клиентскую базу. Если заказчик обращается в фирму повторно, то его данные уже имеются в базе, что облегчает процесс работы. После того, как клиент определился с видом услуг, происходит заполнение данных о заказе: данные клиента, тип услуг, объем работ, сроки. На основании этого выполняется расчет стоимости и подготовка договора с клиентом.

2. Выполнение работ. Этот этап подразумевает выполнение работ на основании наряда на выполнение работ.

3. Закупка расходных материалов. Если есть необходимость, то для выполнения работ выполняется закупка материалов.

4. Бухгалтерская и налоговая отчетность.

Кроме разработки функциональной модели, полезно бывает выполнение поведенческого моделирования отдельных процессов. Такое моделирование необходимо, когда нужно понять, каким именно образом происходит взаимодействие в системе.

В основе поведенческого моделирования лежат модели и методы имитационного моделирования систем массового обслуживания, сети Петри, возможно применение конечно-автоматных моделей, описывающих поведение системы, как последовательности смены состояний.

Поведенческие аспекты приложений отражает методика IDEF3. Если методика IDEF0 связана с функциональными аспектами, то в IDEF3 детализируются и конкретизируются IDEF0-функции В IDEF3 входят два типа описаний:

? процесс-ориентированные в виде последовательности операций (Process Flow Description Diagrams, PFDD);

? объект-ориентированные, выражаемые диаграммами перехода состояний, характерными для конечно-автоматных моделей (Object State Transition Network, OSTN).

Процесс оформления заявки пользователя представлен на рисунке 1.3. Здесь функции (операции) показаны прямоугольниками с горизонтальной чертой, отделяющей верхнюю секцию с названием функции от нижней секции, содержащей номер функции. Связи, отражающие последовательность выполнения функций, изображаются сплошными линиями-стрелками.

Рис. 1.3. Модель IDEF 3



Таким образом, нами были разработаны функциональная и поведенческая модели предметной области. Эти модели позволяют выявить основные информационные потоки и документы, которые являются активами предприятия и подлежат защите. Кроме того, на основе этих моделей можно выявить процессы, которые выполняют обработку конфиденциальной информации. В работу этих проессо необходимо внедрять технологии защиты информации.

И еще один важный аспект, который можно выявить с использованием разработанных моделей - специалисты, принимающие участие в обработке информации. Для этих специалистов необходимо определить алгоритмы работы с информацией, разработать инструкции, провести инструктаж. Также в обработке информации используются компьютерные средства, для которых также необходимо продумать механизмы защиты: организационные, программно-технические или даже физические.

Таким образом, разработанне модели предметной области являются основой для анализа информаионных активов и проектирования системы информационной безопасности.

На основе моделирования предметной области были выявлены основные документы и данные, которые подлежат защите. Однако, для того, чтобы правильно оценивать необходимые затраты на разработку системы защиты информации, нужно правильно оценивать количество этих документов и общий объем данных.

Приведённые основные характеристики будут являться дальнейшей основой для обоснования необходимости решения задачи защиты информации, а также для расчёта общей экономической эффективности проекта (таблица 1.1).



Таблица 1.1

Показатели компании в период с марта 2013 по апрель 2013

№	Наименование характеристики (показателя)	Значение
1	Количество заказов (заказов/мес.)	320
2	Количество поставок материалов (поставок/мес.)	2
3	Количество обработанных документов (документов/мес.)	642
4	Трудоемкость на регистрацию заказов (часов/мес.)	80
5	Трудоемкость на регистрацию поставок материалов (часов/мес.)	1
6	Трудоемкость формирования сопроводительной документации (часов/мес.)	160
7	Количество результатных отчетов (документов/мес.)	5
8	Трудоемкость на формирование ежемесячной отчетности (часов/мес.)	7,5
9	Общее количество сотрудников (чел.)	52
10	Общее количество магазинов (шт.)	6
11	Количество отделов компании (шт.)	5

На основе характеристик, представленных в таблице, будет выполняться оценка уровня угроз, которые могут нанести вред тому или иному потоку информации, вероятность возникновения той или иной угрозы, а также необходимость применения средств защиты.

Кроме того, при планировании методов защиты станет понятно, какой объем информации будет проходить через то или иное программное или техническое средство, что поможет правильно выбрать технику и программное обеспечение.

1.1.2 Организационно-функциональная структура предприятия

К настоящему моменту компания «Рапидо» имеет все необходимые ресурсы для интенсивного роста, развития и достижения поставленных целей.

Структура управления описывает основные подразделения, а также должности. Кроме того, в ней указываются вертикальные и горизонтальные связи. Вертикальные связи отражают иерархию подчинения, т.е. связывают непосредственного руководителя и подчиненного. Горизонтальные связи показывают, какие сотрудники или подразделения находятся на одной ступени иерархической лестницы, т.е. подчиняются руководителям одинакового уровня (или одному руководителю). Схема общей организационной структуры управления компанией «Рапидо», отражающая содержание аппарата управления и объекта управления на предприятии, представлена на рисунке 1.4.

Рис. 1.4. Схема общей организационной структуры управления

На сегодняшний день в компании «Рапидо» работает около 60 человек. Общее руководство магазинами компании осуществляется администраторами магазинов.

Непосредственное взаимодействие с клиентами компании «Рапидо» выполняется менеджерами по продажам. Менеджер по продажам назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке приказом директора компании по предоставлению администратора магазина. К основным функциям и задачам менеджера по продажам относятся:

- Оказание консультаций клиентам по вопросам ассортимента, наличия и количества товара;

- Оказание помощи покупателю при поиске подходящего ему товара;

- Осуществление представления товара покупателям, согласно их потребностям;

- Проверка заказов на качество, комплектация товаров;

- Информирование покупателя о предоставляемых компанией услугах;

- Информирование покупателя о скидках, действующих в компании и правилах (порядке) оплаты и получения товара;

- Реализация мебельной продукции покупателям.

Менеджеры по продажам прикладывают все усилия для выполнения плана продаж, установленного руководством компании «Рапидо».

Общее руководство бухгалтерией компании «Рапидо» осуществляется главным бухгалтером. К основным функциям и задачам бухгалтерии относятся:

- Осуществление денежных расчётов с покупателями за приобретённый ими товар;

- Ведение бухгалтерской и налоговой отчетности;

- Начисление заработной платы персоналу магазинов компании.

К основным функциям и задачам IT-отдела компании «Рапидо», в котором проходилась практика на должности специалиста технической поддержки, относятся:

- Диагностика и ремонт компьютерной техники;

- Установка программного обеспечения;

- Установка антивирусных программ;

- Установка драйверов устройств;

- Проведение плановых профилактических работ для поддержки техники в рабочем состоянии;

- Внедрение и сопровождение программного обеспечения;

- Разработка и внедрение корпоративной политики безопасности;

- Поддержка пользователей и офисных приложений.

К основным функциям и задачам отдела безопасности относятся обеспечение безопасности и охраны помещений магазинов компании. К основным функциям и задачам производства относятся разработка дизайна заказов и непосредственное изготовление. Общее руководство производственно-хозяйственной и финансово-экономической деятельностью компании «Рапидо» осуществляется директором.

1.2 Анализ рисков информационной безопасности

1.2.1 Идентификация и оценка информационных активов

Активы (ресурсы) - это все, что имеет ценность или находит полезное применение для организации, ее деловых операций и обеспечения их непрерывности. Надлежащее управление и учет активов должны являться одной из основных обязанностей руководителей всех уровней [1]. К основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. На основе функциональной модели были ыявлены следующие потоки информации:

? заказы клиентов (заполняется на бланке установленного образца);

? цены на товары и услуги;

? информация об услугах (полный перечень услуг с указанием примерных сроков и стоимости);

? скидки клиентам;

? бухгалтерская и управленческая отчетность.

Оценка информационных активов компании представлена в таблице 1.2.

Таблица 1.2

Оценка информационных активов компании

Вид деятельности	Наименование актива	Форма представления	Владелец актива	Критерии определения стоимости	Размерность оценки
					Количественная оценка (ед. изм.)	Качественная
Информационные активы
Реализация услуг	Заказы клиентов	Устная информация	Менеджер	Утрата доступности	6	средняя
Реализация услуг	Переписка внутри компании	Текстовая информация	Менеджер, специалист	Потери в результате перехвата данных	9	критическое значение
Реализация услуг	Скидки клиентов	Документ	Менеджер	Утрата доступности	0,5	очень малая
Реализация услуг	Цены на товары и материалы	Прайс-лист	Менеджер	Утрата доступности	7	высокая
Реализация услуг	Расходные накладные	Документ	Менеджер	Утрата доступности	6	средняя
Реализация услуг	Наряд на выполнение работ	Документ	Менеджер	Утрата доступности	6	средняя
Реализация услуг	Инвентаризационная ведомость	Документ	Администратор	Утрата доступности	9	критическое значение
Закупка расходных материалов	Приходные накладные	Документ	Заведующий складом	Утрата доступности	8	высокая
Бухгалтерский и налоговый учет	Бухгалтерская и налоговая отчетность	Документ	Бухгалтер	Утрата доступности	1,5	малая
Активы программного обеспечения
Реализация услуг	Программное обеспечение	Информация на электронном носителе	Специалист тех. поддержки	Первоначальная стоимость актива	32	средняя
Физические активы
Реализация услуг	Персонал компании	Материальный объект	Специалист тех. поддержки	Первоначальная стоимость	17	малая
Реализация услуг	Компьютерные средства	Материальный объект	Специалист тех. поддержки	Первоначальная стоимость	23	средняя
Услуги
Реализация услуг	Информационные услуги	Устная информация	Менеджер	Утрата доступности	6	средняя

Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, сведены в таблицу 1.3.

Таблица 1.3

Перечень сведений конфиденциального характера

№ п\п	Наименование сведений	Гриф конфиденциальности	Нормативный документ, реквизиты, №№ статей
1	Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа.	Коммерческая тайна	Устав компании « Рапидо»
2	Требования по обеспечению сохранения служебной тайны сотрудниками предприятия.	Коммерческая тайна	Гражданский кодекс РФ ст. 1465
3	Персональные данные сотрудников	Коммерческая тайна	Федеральный закон 152-ФЗ
4	Персональные данные клиентов	Коммерческая тайна	Федеральный закон 152-ФЗ

Результат ранжирования активов представляет собой интегрированную оценку степени важности актива для предприятия, взятую по пятибалльной шкале и представленную в таблице 1.4.

Таблица 1.4

Результаты ранжирования активов

Наименование актива	Ценность актива (ранг)
Заказы клиентов	4
Скидки клиентов	1
Цены на товары и материалы	5
Расходные накладные	4
Наряд н выполнение работ	4
Инвентаризационная ведомость	5
Приходные накладные	5
Бухгалтерская и налоговая отчетность	4
Программное обеспечение	3
Персонал компании	1
Компьютерные средства	2
Информационные услуги	4
Текстовые сообщения	6

Таким образом, были выделены активы, имеющие наибольшую ценность: внутренняя переписка, цены на товары и материалы, инвентаризационная ведомость, приходные накладные, заказы клиентов, расходные накладные, наряд на выполнение работ, бухгалтерская и налоговая отчетность, информационные услуги, программное обеспечение.

1.2.2 Оценка уязвимостей активов

Оценка уязвимости активов проведена на основании требований стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 [4].

Уязвимость - это событие, которое возникает как результат некоторого стечения обстоятельств, когда в силу каких-то причин используемые в системах обработки данных средства защиты информации не в состоянии оказать достаточного сопротивления различным дестабилизирующим факторам и нежелательного их воздействия на информацию, подлежащую защите.

В информационной безопасности, термин уязвимость используется для обозначения такого недостатка в информационной системе, используя который, можно нарушить её целостность и обусловить неправильную работу. Уязвимость может стать результатом ошибок разработки программного обеспечения, недостатков, допущенных при проектировании информационной системы, ненадежных паролей, вредоносных программ. Можно сказать - уязвимость - это возможное место проявления угрозы безопасности информационного ресурса.

Уязвимости информационной системы организации можно выявить несколькими способами. Их может описать сотрудник компании (инженер, системный администратор или специалист службы информационной безопасности) на основании собственного опыта. Кроме того, могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Чаще всего именно приглашенные специалисты могут независимым взглядом «посмотреть» на существующую систему защиты информации и выявить все (или большинство) существующие уязвимости.

Показателем уязвимости некоторого актива является степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).

Перечень уязвимостей, с указанием оценки степени вероятности возможной реализации отмеченных уязвимостей, сведены в таблицу 1.5.

Таблица 1.5

Оценка уязвимости активов

Группа уязвимостей	внутр. переписка	Цены на товары	Инвентари-зационная ведомость	Приходные накладные	Заказы клиентов	Расходные накладные	Наряд на выполнение работ	Бух. и налоговая отчетность	Инф-я о продукции	ПО
1. Среда и инфраструктура
Нестабильная работа электросети										низкая
2. Аппаратное обеспечение
Недостаточное обслуживание/неправильная инсталляция	высокая	средняя	средняя	средняя	средняя	средняя	средняя	средняя	низкая	средняя
Отсутствие контроля изменения конфигурации	высокая	высокая	высокая	высокая	высокая	высокая	высокая	низкая	низкая	высокая
3. Программное обеспечение
Отсутствие механизмов идентификации и аутентификации	высокая	высокая	высокая	высокая	высокая	высокая	высокая	низкая	низкая	высокая
Незащищенные таблицы паролей	высокая	высокая	высокая	высокая	низкая	высокая	низкая	низкая	низкая	высокая
Плохое управление паролями	высокая	высокая	высокая	высокая	высокая	высокая	низкая	низкая	низкая	высокая
Неправильное присвоение прав доступа	высокая	высокая	средняя	средняя	низкая	средняя	низкая	низкая	низкая	средняя
Отсутствие регистрации конца сеанса при выходе	высокая	высокая	высокая	высокая	низкая	высокая	низкая	низкая	низкая	средняя
Отсутствие эффективного контроля внесения изменений	высокая	высокая	средняя	средняя	средняя	средняя	низкая	низкая	низкая	высокая
Отсутствие резервных копий	высокая	высокая	средняя	средняя	высокая	средняя	средняя	низкая	низкая	средняя
4. Коммуникации
Неадекватное управление сетью	высокая	низкая	низкая	низкая	низкая	низкая	низкая	низкая	низкая	низкая
Незащищенные подключения к сетям	высокая	средняя	средняя	средняя	средняя	средняя	средняя	средняя	средняя	средняя
5. Документы (документооборот)
Хранение в незащищенных местах	низкая	высокая	высокая	высокая	высокая	высокая	средняя	низкая	низкая
Недостаточная внимательность при уничтожении	низкая	высокая	высокая	высокая	высокая	высокая	средняя	низкая	низкая
Бесконтрольное копирование	низкая	высокая	высокая	высокая	высокая	высокая	средняя	низкая	низкая
6.Персонал
Неправильное использование программно-аппаратного обеспечения	высокая	средняя	средняя	средняя	средняя	средняя	средняя	низкая	средняя	средняя
7. Общие уязвимые места
Неадекватные результаты проведения тех. обслуживания	высокая	низкая	низкая	низкая	низкая	низкая	низкая	низкая	низкая	низкая

1.2.3 Оценка угроз активам

Угроза - это потенциальная причина инцидента, который может нанести ущерб системе или организации. Инцидент информационной безопасности - это любое непредвиденное или нежелательное событие, которое может нарушить деятельность организации или информационную безопасность.

Существуют пассивные и активные угрозы. Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов информационной системы, не оказывая при этом влияния на саму информацию, не вызывая искажений и нарушений информации. К пассивной угрозе можно, например, отнести прослушивание каналов связи, просмотр данных из базы данных..

Цель активных угроз - нарушение нормальной работы информационной системы путем целенаправленного воздействия на ее составляющие. Активные угрозы портят информацию, воздействуют на саму информационную систему. Так, к активным угрозам можно отнести искажение информации, вывод из строя компьютерной техники, воздействие вирусов.

Умышленные угрозы бывают также двух видов: внутренние (возникающие внутри управляемой организации) и внешние (вызванные воздействием внешней среды). Внутренние угрозы чаще всего определяются недовольством сотрудников, неблагоприятным климатом внутри коллектива. Также внутренние угрозы могут быть вызваны непрофессионализмом работником или экономией на средствах защиты информации. Внешние угрозы часто осуществляются конкурентами, зависят от экономических условий и других причин.

По данным зарубежных источников, получил широкое распространение промышленный шпионаж -- это наносящие ущерб владельцу коммерческой тайны незаконные сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.

Оценка угроз активам проведена на основании требований стандарта ГОСТ Р ИСО/МЭК ТО 13335-3-2007 [4]. Перечень угроз, с указанием оценки, сведены в таблицу 1.6.

Таблица 1.6

Оценка угроз активам

Группа уязвимостей	внутр. переписка	Цены на товары и материалы	Инвентари-зационная ведомость	Приходные накладные	Заказы клиентов	Расходные накладные	Наряд на выполнение работ	Бухгалтерская и налоговая отчетность	Информация о продукции	ПО
1. Угрозы, обусловленные преднамеренными действиями
Вредоносное программное обеспечение	высокая	низкая	низкая	низкая	низкая	низкая	низкая	низкая	низкая	низкая
Доступ несанкционированных пользователей к сети	высокая	средняя	средняя	средняя	средняя	средняя	средняя	средняя	средняя	средняя
Использование ПО несанкционированными пользователями	высокая	высокая	высокая	высокая	высокая	высокая	высокая	низкая	высокая	высокая
2. Угрозы, обусловленные случайными действиями
Ошибка операторов	высокая	высокая	высокая	высокая	высокая	высокая	высокая	средняя	средняя	низкая
Ненадлежащее использование ресурсов	средняя	высокая	высокая	высокая	средняя	высокая	средняя	низкая	средняя	высокая
Ошибка при обслуживании	высокая	средняя	средняя	средняя	низкая	средняя	средняя	средняя	средняя	средняя
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Ухудшение состояния носителей данных	низкая	высокая	высокая	высокая	средняя	высокая	высокая	средняя	средняя	высокая
Колебания напряжения	низкая	высокая	высокая	высокая	высокая	высокая	низкая	средняя	средняя	высокая

1.2.4 Оценка существующих и планируемых средств защиты

Задачи по защите информации возложены на сотрудников IT-отдела компании, а также на руководителей подразделений.

Компания оснащена необходимыми техническими средствами, характеристики которых отражены на схеме технической архитектуры ИС компании на рисунке 1.5.

Рис. 1.5. Техническая архитектура ИС компании « Рапидо»

Сервер 1С установлен на персональном компьютере, который имеет следующие параметры: Intel Сore i3 2100 3.1GHz/3MB/NoTurbo Макс. объем памяти: 32 ГБ. Типы памяти: DDR3-1066/1333. Количество каналов памяти: 2. Макс. пропускная способность памяти: 21 Гб/с.

Все отделы компании оснащены рабочими станциями со следующими параметрами: Intel Atom D525 (1.8 ГГц) / RAM 2 ГБ / HDD 1000 ГБ / nVidia ION 2, 512 МБ / DVD+/-RW Slim.

Для печати документов в отделах компании установлены принтеры, со следующими параметрами: SamsungSCX-4600+USB cable/360 МГц/256Мб/ Технология печати: Лазерная печать (ч/б) / Скорость печати составляет 22 стр./мин. при разрешении до 1200x600 тчк./дюйм.

Офисы компании оснащены многофункциональными устройствами со следующими параметрами: SamsungCLX-6220FX+USB cable/360 МГц/256Мб / Технология печати: Лазерная печать (цветная) / Встроенный факс / Сетевые интерфейсы: Ethernet / Скорость печати составляет 20 стр./мин.

Директор компании для работы использует ноутбук, который имеет следующие параметры: IntelAtomD525 (1.8 ГГц) / RAM 2 ГБ / HDD 250 ГБ / NVIDIA ION 2 / без ОДД / LAN / Wi-Fi / Bluetooth / веб-камера.

Все рабочие станции офиса соединены в локальную сеть каналами связи, с помощью технологии передачи данных Ethernetc использованием маршрутизаторов большой мощности - AirLive A.Duo. Данный маршрутизатор поддерживает одновременно два диапазона частот - 5 ГГц и 2,4 ГГц и обеспечивает высокую скорость передачи данных до 108 Мбит/с в режиме Turbo.

На сегодняшний день бухгалтерский и налоговый учет в компании осуществляется бухгалтерией с помощью программного продукта «1C: Бухгалтерия 8.0», который обеспечивает высокий уровень автоматизации ведения бухгалтерского и налогового учета и подготовки обязательной (регламентированной) отчетности в хозрасчетных организациях. Программная архитектура ИС компании представлена схемой на рисунке 1.4.

Сервер 1С - это программа и компьютер, на котором установлена и работает данная программа. Сервер 1С не является одной программой, а состоит из несколько процессов [5]:

- Агент сервера (ragent.exe) - собственно и является сервером 1С. Он ничего не делает кроме хранения и идентификации одного или группы кластеров 1С.

- Кластер 1С (rmngr.exe) - группа рабочих процессов 1С, которые осуществляют собственно обработку данных. Сам по себе кластер ничего не обрабатывает, а осуществляет менеджмент рабочих процессов.

- Рабочий процесс 1С (rphost.exe) - программа, которая обрабатывает сеанс работы пользователя.

Система 1С: Бухгалтерия 8.0 обеспечивает решение всех задач стоящих перед бухгалтерской службой.

Рис. 1.6. Программная архитектура ИС компании « Рапидо»

Подготовка внутренней и внешней отчетности менеджерами по продажам и администраторами, а также необходимой сопроводительной документации в компании производится с помощью программных продуктов пакета прикладных программ Microsoft Office 2007:

- Microsoft Office Word позволяет создавать и редактировать профессионально оформленные отчеты, а так же документы строгой отчетности.

- Microsoft Office Excel позволяет выполнять вычисления, а также анализировать и визуализировать данные в электронных таблицах.

- Microsoft Office Outlook позволяет получать и отправлять почту, работать с расписаниями, контактами и задачами, а так же вести запись своих действий.

- Microsoft Office InfoPath позволяет разрабатывать и заполнять динамические формы для сбора и повторного использования данных в организации.

- Microsoft Office PowerPoint позволяет готовить презентации для демонстрации, собраний и веб-страниц.

Веб-браузер Google Chrome используется всеми отделами компании для работы в интернете (поиска, работа с электронной почтой, банковских операций и чтение новостей).

Также в компании используются различные графические пакеты, такие как Adobe Photoshp, Adobe Indesign.

Для защиты от внешних угроз операционная система предприятия «Рапидо» защищена лицензионным программным продуктом «Kaspersky Internet Security 2010».Данное программное обеспечение функционирует в рамках операционной системы Microsoft Windows 7 (Корпоративная версия), установленной на всех компьютерах, имеющихся в компании.

На данный момент каждый пользователь информационной системы «1С: Бухгалтерия 8.0» имеет свой логин и пароль для входа в систему. Благодаря, чему в любой момент времени можно проследить за действиями пользователей в системе, определить, кто и когда производил те или иные операции над накладными.

Результаты оценки действующей системы безопасности информации, отражают, насколько полно выполняются однотипные объективные функции при решении задач обеспечения защиты информации (таблица 1.7).

Таблица 1.7

Анализ выполнения задач по обеспечению информационной безопасности

№ п/п	Основные задачи по обеспечению информационной безопасности	Степень выполнения
1.	обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной;	средняя
2.	организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;	средняя
3.	организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;	низкая
4.	предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну;	средняя
5.	выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях;	средняя
6.	обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне;	высокая
7.	обеспечение охраны территории, зданий помещений, с защищаемой информацией.	высокая

1.2.5 Оценка рисков

Активы, имеющие ценность и характеризующиеся определенной степенью уязвимости, всякий раз подвергаются риску в присутствии угроз. Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информационных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспечения безопасности. Для оценки рисков выбран метод, который предлагает использование таблицы «штрафных баллов» для каждой комбинации ценности активов, уровня угроз и уязвимостей (таблица 1.8).



Таблица 1.8

Таблица «штрафных баллов»

Ценность актива	Уровень угрозы
	Низкий	Средний	Высокий
	Уровень уязвимости	Уровень уязвимости	Уровень уязвимости
	Н	С	В	Н	С	В	Н	С	В
0	0	1	2	1	2	3	2	3	4
1	1	2	3	2	3	4	3	4	5
2	2	3	4	3	4	5	4	5	6
3	3	4	5	4	5	6	5	6	7
4	4	5	6	5	6	7	6	7	8
Обозначение: Н - низкий, С - средний, В - высокий.

Ценности активов, а также уровни угроз и уязвимости, соответствующие каждому типу воздействия вводят в матрицу для определения каждого сочетания соответствующих мер риска по шкале от 1 до 8. Значения величин размещают в матрице в структурированной форме в соответствии с таблицей 1.8.

Для каждого актива рассматривают уязвимые места и соответствующие им угрозы. Если имеются уязвимые места без соответствующей угрозы или угрозы без соответствующего уязвимого места, то считают, что в данное время риск отсутствует. Затем идентифицируют соответствующий ряд матрицы по ценности актива, а соответствующую колонку - по степени угрозы и уязвимости. Ценность настоящего метода состоит в ранжировании соответствующих рисков (таблица 1.9).

Таблица 1.9

Результаты оценки рисков информационным активам организации

Риск	Актив	Ранг риска
Утрата доступности	Цены на товары и материалы	64
Утрата доступности	Информационные услуги	59
Утрата конфиденциальности	Внутренняя переписка	56
Утрата конфиденциальности	Приходные накладные	53
Утрата конфиденциальности	Расходные накладные	48
Утрата конфиденциальности	Инвентаризационная ведомость	35
Утрата конфиденциальности	Заказы клиентов	27
Утрата доступности	Скидки клиентов	22
Нарушение целостности	Программное обеспечение	22
Утрата доступности	Наряд на выполнение работ	21
Утрата доступности	Бухгалтерская и налоговая отчетность	6

Данная таблица содержит содержать риски наиболее ценным информационным активам, ранжированные в порядке убывания. Результаты оценки рисков являются основанием для выбора и формулировки задач по обеспечению информационной безопасности предприятия, и выбора защитных мер.

Еще одним методом оценки угроз информационной безопасности является оценка защищенности отдельных объектов защиты. К ним на предприятии относятся:

- АРМ сотрудников;

- сервер локальной сети;

- конфиденциальная информация (документы);

- кабельные линии;

- кабинеты с конфиденциальной документацией;

- базы данных предприятия.

Для каждого объекта необходимо рассчитать информационные риски. При расчетах используются следующие понятия.

Критичность ресурса (D) - степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы. Определяется на основе экспертных оценок специалистов предприятия.

Критичность реализации угрозы (ER) - степень влияния реализации угрозы на ресурс, задается в %. Определяется на основе статистических данных, доступных на порталах фирм - интеграторов.

Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) - степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %.

1. Объект защиты - автоматизированное рабочее место (АРМ) сотрудника.

В организации имеется 170 автоматизированных рабочих мест сотрудников. Доступ в помещение посторонним лицам запрещен (система именных пластиковых карт), на каждом компьютере имеется свой пароль, однако пользователи могут оставить свой компьютер включенным, если им необходимо отойти от рабочего места, и информация будет доступна другим сотрудникам. Пароли практически никогда не меняются, случаются ситуации, что пользователи записывают их на листочках и оставляют у компьютера. Антивирус установлен только на сервере, т.к. вся информация проходит через него, однако usb-порты не отключены, и у пользователей есть возможность подключать флеш-устройства. Кроме того, у пользователей имеется выход в Интернет. Запрещен выход на сайты социальных сетей, однако другие пути почти не контролируются и размер трафика не ограничивается, что является причиной заражения вирусами.

Отправка и получение электронной почты производится через сервер, где отслеживаются все входящие и исходящие письма, поэтому отправка писем по личным вопросам или на неразрешенные адреса невозможна. Все бланки документов хранятся на сервере, а сами документы - на рабочих компьютерах пользователя. Критерий критичности (D) равен 48 337 рублей.

Проведем анализ основных угроз, характерныых для выбранного объекта и уязвимостей, через которые эти угрозы могут быть реализованы (таблица 1.10).

Таблица 1.10.

Таблица угроз и уязвимостей.

Угроза	Уязвимости
1.Физический доступ нарушителя к АРМ	1. Отсутствие системы контроля доступа служащих к чужим АРМам (пользователи могут оставить свой компьютер без присмотра с введенным паролем)
	2.Отсутствие системы видеонаблюдения в кабинетах (имеются только в производственных цехах)
	3.Отсутствие политики паролей
2.Сбои в работе АРМ	1. Отсутствие антивирусного ПО на самих АРМ
	2.Человеческий фактор
3.Разрушение конф. информации при помощи специальных программ и вирусов	1.Отсутствие антивирусного ПО на самих АРМ
	2.Отсутствие ограничения доступа пользователей к внешней сети

Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V)) и критичности реализации угрозы (ER).

Таблица 1.11.

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	10	50
1/2	10	50
1/3	20	90
2/1	40	80
2/2	10	20
3/1	50	80
3/2	20	60

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

Таблица 1.12.

Таблица уровня угрозы

Угроза/уязвимость	Th	CTh
1/1	0,05	0,260
1/2	0,05
	0,18
2/1	0,32	0,334
2/2	0,02
3/1	0,4	0,472
3/2	0,12

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)=0,740

Рассчитаем риск по ресурсу:

R= CThR*D=0,740*48 337 = 35 750, 36 (руб.),

с одного автоматизированного рабочего места => 170*35 750, 36 = 6 077 561 91

Таким образом, уровень риска, связанного с использованием АРМ служащего, достаточно велик - 74% и потери в денежном эквиваленте составляют 35 750, 36 руб. Причем основными проблемами являются:

- отсутствие антивируса на локальных компьютерах

- отсутствие политики паролей

- халатность пользователей

2. Объект защиты - сервер локальной сети.

Критерий критичности (D) равен 1 030 400 рублей.

Выделенный сервер находится в специальном помещении, доступ к которому запрещен посторонним лицам. На сервере хранятся общие ресурсы, которые доступны работникам с их пользовательских мест. Это всевозможные бланки документов, которые периодически обновляются, чтобы все пользователи работали с утвержденными формами документов. Доступ организован так, что все документы доступны всем пользователям сети. Это и определяет наличие таких угроз, как угрозы разглашения и изменения конфиденциальной информации, однако вероятность возникновения таких угроз достаточно мала, т.к. все сотрудники заинтересованы в нормальном функционировании предприятия. В своем большинстве, это непреднамеренные угрозы (по невнимательности или незнанию). Также возникают сбои в работе сервера, но достаточно редко.

На сервере установлен сервер электронной почты, который осуществляет прием и отправку всех почтовых сообщений, что позволяет отслеживать адресатов и отправителей сообщений. Также установлен прокси-сервер, контролирующий выход в Интернет. Политика работы в Интернете такова - запрещен выход на определенные сайты, однако размер трафика практически не контролируется, что вызывает иногда перегрузку сети и выход сервера из строя.

Кроме того, для некоторых категорий работников имеется удаленный доступ к документам, что дает возможность утечки и порчи информации на сервере.

Проведем анализ основных угроз, характерныых для выбранного объекта и уязвимостей, через которые эти угрозы могут быть реализованы (таблица 1.13).

Таблица 1.13.

Таблица угроз и уязвимостей.

Угроза	Уязвимости
1.Разглашение, уничтожение или разглашение КИ, хранящейся на сервере	1. Доступ к информации с АРМ
	2. Наличие удаленного доступа
2.Выход сервера из строя	1.Большое количество подключений
	2.Сбои электричества

Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V) и критичности реализации угрозы (ER).



Таблица 1.14

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	10	60
1/2	10	20
2/1	20	20
2/2	10	40

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

Таблица 1.15

Таблица уровня угрозы по определённой уязвимости

Угроза/уязвимость	Th	CTh
1/1	0,06	0,079
1/2	0,02
2/1	0,04	0,078
2/2	0,04

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)= 0,151

Рассчитаем риск по ресурсу:

R=CTh*D=0,151*1 030 400=155 613, 15 (руб.).

Можно сделать вывод, что риск по этому ресурсу достаточно невелик по сравнению с АРМ - всего 15,1 % и потери - 155 613,15 руб. Однако следует обратить внимание на такие угрозы, как наличие удаленного доступа, отсутствие разграничений действий пользователя.

3. Объект защиты - Конфиденциальная документация.

Конфиденциальная документация хранится, как в электронном, так и в бумажном виде. Большая часть конфиденциальных документов хранится в сейфах, хотя часть информации хранится прямо на рабочих столах компьютера. Из-за того, что сотрудникам приходится работать с большим количеством бумаг, иногда возникают ситуации потери отдельных документов.

Сами сотрудники предупреждены об ответственности за разглашение конфиденциальной информации, однако из-за нечеткой организации конфиденциального документооборота и большого объема работы, имеется возможность кражи документов другими сотрудниками.

Таблица 1.16

Таблица угроз и уязвимостей.

Угроза	Уязвимости
1.Физический доступ нарушителя к документам	1.Беспорядок на рабочем месте
	2.Отсутствие видеонаблюдения
2.Несанкционированное копирование, печать и размножение КД	1. Нечеткая организация конфиденциального документооборота
	2. Неконтролируемый доступ сотрудников к копировальной и множительной технике

Конфиденциальная информация предприятия оценена службой безопасности 300 000 р., эта сумма не точная и может колебаться в большую и меньшую стороны.

Критерий критичности (D) равен 300 000 рублей.

Таблица вероятности реализации данной угрозы через уязвимость в течение года(P(V) и критичности реализации угрозы (ER).



Таблица 1.17

Таблица вероятности реализации угрозы

Угроза/уязвимость	P(V), %	ER,%
1/1	20	10
1/2	20	10
2/1	20	30
2/2	10	20

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

Таблица 1.18

Таблица уровня угрозы по определённой уязвимости