- планы непрерывности бизнеса для каждой ИС предприятия;

- перечень первоочередных мероприятий по обеспечению непрерывности бизнеса;

- должностные инструкции сотрудников компании по обеспечению непрерывностью бизнеса с определением роли, обязанностей и степени ответственности каждого сотрудника;

- оценки стоимости возможных решений по обеспечению непрерывности бизнеса

Этап 3: Поддержка планов непрерывности бизнеса

- обучить сотрудников компании вопросам обеспечения непрерывности и управления бизнеса;

- запустить необходимые программные и технические средства обеспечения информационной безопасности предприятия;

- разработать регламенты сопровождения и поддержки планов непрерывности бизнеса;

- разработать систему аудита информационной безопасности предприятия;

- выработать формальные критерии оценивания аудита

- сертификаты сотрудников о прохождении курса обучения по вопросам обеспечения непрерывности и управления бизнеса;

- методики и руководства по установке, настройке и сервисному обслуживанию программных и технических средств обеспечения информационной безопасности;

- регламенты сопровождения и поддержки планов непрерывности бизнеса;

- формальные критерии оценивания аудита

Таблица 2.2. Общие и конкретные обязанности по управлению ИБ

Обязанность	Исполнитель
Организует выполнение работ по комплексной защите информации в "ГУП ОЦ "Московский Дом Книги", обеспечивая эффективное применение всех имеющихся организационных и инженерно-технических мер в целях защиты информации ограниченного распространения или конфиденциальной информации	Руководитель отдела ИТ
Участвует в разработке политики информационной безопасности и определении перспектив развития технических средств контроля, организует разработку и внедрение новых программно-аппаратных средств защиты от несанкционированного доступа к сведениям ограниченного распространения или конфиденциальной информации	Руководитель отдела ИТ
Разрабатывает и реализует мероприятия по обеспечению защиты информации в ИС предприятия, осуществляет аудит безопасности	Руководитель отдела ИТ, инженер отдела ИТ
Обеспечивает безопасность персональных данных при их обработке в ИС предприятия	Инженер отдела ИТ, системный администратор предприятия
Участвует в расследовании нарушений установленной политики информационной безопасности "ГУП ОЦ "Московский Дом Книги" в пределах своей компетенции, разрабатывает предложения по устранению недостатков и предупреждению подобного рода нарушений	Руководитель отдела ИТ
Осуществляет организационно-методическое руководство и контроль за работой уполномоченных работников по режиму и защите информации, участвует в организации их учебы и обеспечивает соответствующими методическими пособиями	Руководитель отдела ИТ
Проводит анализ условий эксплуатации основных и вспомогательных технических средств и готовит предложения по устранению выявленных недостатков и принятию дополнительных мер защиты	Инженер отдела ИТ
Организует работу по созданию и развитию комплексной системы обеспечения информационной безопасности	Руководитель отдела ИТ
Вносит руководству предприятия предложения об оборудовании вычислительной техники сертифицированными средствами защиты информации	Руководитель отдела ИТ
Обеспечивает информационную безопасность посредством выявления и автоматического блокирования атак на информационные ресурсы, блокирования работы приложений, нарушивших политику безопасности, блокирования рабочих станций работников с целью прекращения доступа к сетевым, информационным ресурсам на серверах и рабочих станциях пользователей в случаях нарушения ими требований политики безопасности, а также при их увольнении	Системный администратор предприятия
Разрабатывает технические задания и технические требования на технические средства и системы защиты информации	Инженер отдела ИТ, системный администратор предприятия

Документация по информационной безопасности "ГУП ОЦ "Московский Дом Книги" сводится к следующим основным документам:

1. Стратегия информационной безопасности;

2. Roadmap;

3. Архитектура информационной безопасности;

4. Программа информационной безопасности;

5. Политика информационной безопасности;

6. Стандарты информационной безопасности;

7. Процедуры информационной безопасности;

8. Руководства по информационной безопасности;

9. Политика управления информационными рисками;

10. Политика классификации информационных активов;

11. Реестр информационных активов;

12. Оценка ущерба для бизнеса (BIA);

13. Реестр рисков;

14. План снижения рисков;

15. Аудиторские отчеты;

16. Процедура управления изменениями и форма запроса на изменение;

17. План реагирования на инциденты и восстановления после катастроф;

18. Процедуры реакции на инциденты.

2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия

2.2.1 Общие положения

1. Защита от внутренних угроз информационной безопасности "ГУП ОЦ "Московский Дом Книги".

Под внутренними угрозами информационной безопасности понимаются угрозы со стороны сотрудников компании как умышленные (мошенничество, кража, искажение или уничтожение конфиденциальной информации, промышленный шпионаж и т.п.), так и неумышленные (изменение или уничтожение информации из-за низкой квалификации сотрудников или невнимательности), а также сбои программных или аппаратных средств обработки и хранения информации.

Защита от внутренних угроз информационной безопасности "ГУП ОЦ "Московский Дом Книги" должная включать в себя следующие основные моменты:

- защита от утечек конфиденциальной информации (программное средство DeviceLock);

- обеспечение конфиденциальности информации при хранении и передаче:

· шифрование каналов связи (организация VPN, SSL, ЭЦП, PKI);

· шифрование носителей информации (создание защищенных контйнеров, построение корпоративной системы шифрования и хранения данных) при помощи шифра RSA;

- система управления уязвимостями (программно-аппаратная реализация средства оценки защищенности сетей масштаба предприятия Enterprise Scanner).

Возможности Enterprise Scanner:

1) Инвентаризация ресурсов:

- идентифицируются болел 1800 типов ресурсов, включая рабочие станции, сервера, маршрутизаторы, коммутаторы, приложения и операционные системы;

- предусмотрено обнаружение новых подключенных устройств;

- процесс обнаружения новых ресурсов проходит с использованием различных методов и источников: процесс активного сканирования, Active Directory, Proventia Network ADS, импортирование базы данных ресурсов, внесение в базу данных ресурсов "вручную";

- используются различные техники идентификации: Ping sweep, UDP probe, asset fingerprinting, rapid discovery, NetBIOS-based discovery, TCP discovery, UDP port discovery, OS fingerprinting, Integrated NMAP 4.0 database;

- ресурсы группируются по иерархическому принципу на основе организационной структуры (AD).

2) Оценка защищенности:

- оценка защищенности обнаруженных ресурсов;

- оценка защищенности с использованием различных проверок:

· подключение новых проверок "на лету";

· обновления проверок на основе выхода обновлений технологии Virtual Patch™;

· небольшой объем обновлений (XPU) < 5 Мб;

- эмуляция атак:

· тесты без какого-либо воздействия на сетевую инфраструктуру;

· анализ возможного эффекта воздействия реальной атаки;

· непревзойденная по полноте база данных уязвимостей и программных ошибок, подготовленная X-Force®;

- сканирование по приоритету критичности ресурсов.

3) Анализ результатов сканирования:

- группирование уязвимостей по приоритету;

- собственная система реакции на инциденты;

- интеграция с системой реакции на инциденты Remedy;

- открытый программный интерфейс (API) для подключения других систем реакции на инциденты;

- распределение уязвимостей по категориям и ресурсам;

- традиционные рекомендации по устранению уязвимостей (рекомендация определенного патча);

- интеграция с технологией Virtual Patch™ и системами Proventia IPS.

4) Генерация отчетов:

- генерация отчетов согласно организационной структуре организации;

- группирование ресурсов в отчетах по уровню рисков, по географическому, территориальному, сетевому и другим признакам;

- более 1800 видов отчетов;

- представление в виде PDF, CSV, HTML;

- планировщик создания отчетов.

Защита от внутренних угроз безопасности включает в себя также разграничение прав доступа к информации разрабатываемой системы (таблица 2.3).

Таблица 2.3. Разграничение прав доступа

Группы пользователей	Модуль "Программные, информационные и технические средства предприятия"	Модуль "Информация о пользователях ИС предприятия"	Модуль "База нарушений конфиденциальности, целостности или доступности ИС предприятия"	Требования к паролям	Требования к частоте смены пароля
Руководство компании	Чтение	Чтение/удаление	Чтение	Не менее 6-и символов	Один раз в месяц
Системный администратор	Полный	Чтение/создание/удаление	Чтение/создание/удаление	Не менее 8-и символов	Один раз в 2 недели
Инженер отдела ИТ	Полный	Чтение/создание/удаление	Чтение/создание/удаление	Не менее 8-и символов	Один раз в 2 недели
Оператор баз данных	Чтение	Чтение/редактирование	Чтение	Не менее 6-и символов	Один раз в месяц
Сотрудники иных отделов компании	Чтение	Чтение	Чтение	Нет	Нет

2. Защита от внешних угроз (безопасность каналов, протоколы, аутентификация, шифрование, безопасная пересылку ключей и т.д.).

Состав проектируемых программных и аппаратных средств оформим в виде таблицы (таблица 2.4).

Таблица 2.4. Состав проектируемых программных и аппаратных средств "ГУП ОЦ "Московский Дом Книги"

Нормативные правовые акты, нормативные правовые документы, стандарты (международные и отечественные)	Антивирусные и антишпионские средства	Проактивная защита от внешних угроз и защита внешнего периметра	Защита от сетевых угроз	Защита от инсайдерских угроз и защита информационных ресурсов
"Кодекс Российской Федерации об административных правонарушениях" от 30.12.01, №195-ФЗ ст. 13.12, 13.13, 13.14	Antiviral Toolkit Pro	Корпоративные продукты Safe'n'Sec	Outpost Security Suite/Firewall 7.0.4 (3403.520.1244)	Online Security Audit
Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р 50922-2006)	Doctor WEB	Программное средство DeviceLock	BestCrypt
Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК 17799--2005)	Aidstest
Национальный стандарт РФ "Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 -- 2006)	Integrity Anti-Spyware
Государственный стандарт РФ "Аспекты безопасности. Правила включения в стандарты" (ГОСТ Р 51898-2002)
ISO/IEC 27001:2005 -- "Информационные технологии -- Методы обеспечения безопасности -- Системы управления информационной безопасностью -- Требования". Международный стандарт, базирующийся на BS 7799-2:2005
Федеральный Закон Российской Федерации "Об информации, информационных технологиях и о защите информации" от 27.07.2006г. № 149-ФЗ
Постановление Правительства РФ от 15.08.06. №504 "О лицензировании деятельности по технической защите конфиденциальной информации"
Гражданский кодекс РФ и Закон "Об информации, информационных технологиях и о защите информации"

Выбор политики безопасности, а также тех или иных программных и аппаратных средств обоснован проблемами "ГУП ОЦ "Московский Дом Книги" в сфере безопасности информационных систем.

2.2.2 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия

Рис. 2.1. Структура программно-аппаратного комплекса сетевой защиты

2.2.3 Контрольный пример реализации проекта и его описание

1. Цель создания системы: обеспечение безопасности информационных систем предприятия от внешних и внутренних угроз.

2. Программно-аппаратная реализация: система охватывает всю информационную сеть "ГУП ОЦ "Московский Дом Книги" и включает в себя:

- физическую защиту оборудования и элементов локальной сети от несанкционированных действий;

- защиту средствами локальной сети;

- криптозащиту;

- защиту средствами операционной системы;

- защиту на уровне протокола передачи данных.

Таким образом, система предполагает защиту от:

- утечки защищаемой информации (несанкционированный доступ к защищаемой информации);

- несанкционированного воздействия на защищаемую информацию (изменение, уничтожение, копирование, блокирование доступа к информации; утрата, уничтожение носителя информации, сбой функционирования носителя информации);

- непреднамеренного воздействия на защищаемую информацию (ошибки пользователя, сбой технических и/или программныхсредств, природные и иные воздействия и т.д.);

- проявлений недекларированных возможностей и специальных программно-технических воздействий, и программных вирусных воздействий, непреднамеренных дефектов в программном обеспечении, сбоев и отказов технических средств и т.д.

3. Средства программно-аппаратной реализации:

- Antiviral Toolkit Pro;

- Doctor WEB;

- Aidstest;

- Integrity Anti-Spyware;

- корпоративные продукты Safe'n'Sec;

- программное средство DeviceLock;

- Outpost Security Suite/Firewall 7.0.4 (3403.520.1244);

- BestCrypt для криптографической защиты информации;

- Online Security Audit.

Реализация проекта осуществляется в течение года и проходит в соответствии с нормативными правовыми актами, нормативными правовыми документами, стандартами (международными и отечественными).

2.3 Комплекс проектируемых инженерно-технических средств обеспечения информационной безопасности и защиты информации предприятия

2.3.1 Общие положения

Инженерно-техническое обеспечение безопасности информации путем осуществления необходимых технических и организационных мероприятий должно исключать:

- неправомочный доступ к аппаратуре обработки информации путем контроля доступа в производственные помещения;

- неправомочный вынос носителей информации персоналом, занимающимся обработкой данных, посредством выходного контроля в соответствующих производственных помещениях;

- несанкционированное введение данных в память, изменение или стирание информации, хранящейся в памяти;

- неправомочное пользование системами обработки информации и незаконное получение в результате этого данных;

- доступ в системы обработки информации посредством самодельных устройств и незаконное получение данных;

- возможность неправомочной передачи данных через компьютерную сеть;

- бесконтрольный ввод данных в систему;

- обработку данных заказчика без соответствующего указания последнего;

- неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

Таким образом, при разработке комплекса инженерно-технических средств решались следующие задачи:

- предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения;

- защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении;

- предотвращение утечки информации по различным техническим каналам.

Комплекс оформим в виде таблицы (таблица 2.5).

Таблица 2.5. Комплекс инженерно-технических средств защиты информации "ГУП ОЦ "Московский Дом Книги"

Задача	Средства
предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения	- охранная сигнализация и охранное телевидение; - заборы вокруг здания главного офиса "ГУП ОЦ "Московский Дом Книги"; - усиленные двери, стены, потолки, решетки на окнах; - охрана
защита носителей информации от уничтоже-ния в результате воздействия стихийных сил и прежде всего, пожара и воды при его тушении	- пожарная сигнализация; - резервное копирование данных
предотвращение утечки информации по различным техническим каналам	- устройство для защиты линий электропитания и заземления от утечки информации "Соната-РС1"; - выжигатель устройств съема информации в проводных линиях связи и в обесточенной электросети "Молния"

2.3.2 Структура инженерно-технического комплекса информационной безопасности и защиты информации предприятия

Рис. 2.2. Инженерно-технические средства, включенные в систему физической защиты "ГУП ОЦ "Московский Дом Книги"

2.3.3 Контрольный пример реализации проекта и его описание

1. Цель создания системы: обеспечение физической безопасности информационных систем предприятия.

2. Инженерно-техническая реализация: система охватывает всю информационную сеть "ГУП ОЦ "Московский Дом Книги" и включает в себя: информационный безопасность защита технический

- защиту информации, направленную на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;

- защита информации, направленную на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации заинтересованными субъектами;

- защиту информации, направленная на предотвращение воздействия на защищаемую информацию природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;

- защиту информации, направленную на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

Таким образом, система предполагает защиту от:

- проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения;

- уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении;

- утечки информации по различным техническим каналам.

3. Средства инженерно-технической реализации:

- охранная сигнализация и охранное телевидение;

- заборы вокруг здания главного офиса "ГУП ОЦ "Московский Дом Книги";

- усиленные двери, стены, потолки, решетки на окнах;

- охрана;

- пожарная сигнализация;

- резервное копирование данных;

- устройство для защиты линий электропитания и заземления от утечки информации "Соната-РС1";

- выжигатель устройств съема информации в проводных линиях связи и в обесточенной электросети "Молния".

Реализация проекта осуществляется в течение года и проходит в соответствии с нормативными правовыми актами, нормативными правовыми документами, стандартами (международными и отечественными).

3. Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

Основой определения эффективности защиты информации - это сопоставление отношения доходов и расходов.

Экономический эффект - конкретный результат экономической деятельности вне зависимости от затрат.

Экономическая эффективность - результативность деятельности, соотношение доходов и расходов, а также сопоставление результатов и затрат на их достижение.

Эффективность определяется с помощью различных показателей, при этом сопоставляются данные, выражающие эффект (прибыль, объем производства, экономия от снижения издержек) с затратами обеспечивающими этот эффект (капитальные вложения, текущие издержки). При решении экономических задач определяется результативность каждого предприятия и производится сопоставление различных результатов.

Различают два вида экономической эффективности:

- абсолютную - соотношение результатов экономической деятельности и затрат для достижения этих результатов.

- сравнительную - показывает изменение результатов экономической деятельности по отношению к уже достигнутым результатам.

Важное значение в расчете эффективности, в том числе и эффективности защиты информации является приведение расчетных величин к сопоставимым значениям, которое производится до расчетов. Приведение обеспечивает точность экономических расчетов и их обоснованность.

Расчеты производятся в одинаковых единицах измерения, за одинаковые отрезки времени, на одинаковое количество объектов расчета.

Расчет экономического эффекта и эффективности защиты информации основывается на выявлении ущерба, нанесенного владельцу информации противоправным ее использованием и позволяет оценить результативность защиты информации. Проведя анализ результатов расчетов, возможно внести изменения в систему защиты информации для более эффективной ее защиты, недопущения разглашения охраняемой информации в дальнейшем, т.к. разглашение данной информации влечет за собой огромные убытки (ущерб) от контрафактного ее использования злоумышленником.

Таблица 3.1. Характеристика затрат на обработку информации

3.2 Расчёт показателей экономической эффективности проекта

Экономическая эффективность -- результативность экономической системы, выражающаяся в отношении полезных конечных результатов ее функционирования к затраченным ресурсам. Складывается как интегральный показатель эффективности на разных уровнях экономической системы, является итоговой характеристикой функционирования национальной экономики. Главным критерием социально-экономической эффективности является степень удовлетворения конечных потребностей общества и прежде всего, потребностей, связанных с развитием человеческой личности. Социально-экономической эффективностью обладает та экономическая система, которая в наибольшей степени обеспечивает удовлетворение многообразных потребностей людей: материальных, социальных, духовных, гарантирует высокий уровень и качество жизни. Основой такой эффективности служит оптимальное распределение имеющихся у общества ресурсов между отраслями, секторами и сферами национальной экономики.

Эффективность экономической системы зависит от эффективности производства, социальной сферы (систем образования, здравоохранения, культуры), эффективности государственного управления. Эффективность каждой из этих сфер определяется отношением полученных результатов к затратам и измеряется совокупностью количественных показателей. Для измерения эффективности производства используются показатели производительности труда, фондоотдачи, рентабельности, окупаемости и др. С их помощью сопоставляются различные варианты развития производства, решения его структурных проблем. Измерение эффективности социальной сферы требует использования особых качественных показателей развития каждой из отраслей этой сферы. Для государственной сферы необходимы специальные критерии соответствия затрат и результатов деятельности государства требованиям общества.

Экономически эффективным принято считать такой способ производства, при котором фирма не может увеличить выпуск продукции без увеличения расходов на ресурсы и одновременно не может обеспечить тот же объем выпуска, используя меньшее количество ресурсов одного типа и не увеличивая при этом затраты на другие ресурсы. Эффективность производства складывается из эффективности всех действующих предприятий. Эффективность предприятия характеризуется производством товара или услуги с наименьшими издержками. Она выражается в его способности производить максимальный объем продукции приемлемого качества с минимальными затратами и продавать эту продукцию с наименьшими издержками. Экономическая эффективность предприятия в отличие от его технической эффективности зависит от того, насколько его продукция соответствует требованиям рынка, запросам потребителей.

Таблица 3.2. Виды эффекта в зависимости от учитываемых результатов и затрат

Вид эффекта	Факторы, показатели
1. Экономический	Показатели учитывают в стоимостном выражении все виды результатов и затрат, обусловленных реализацией инноваций
2. Научно-технический	Новизна, простота, полезность, эстетичность, компактность
3. Финансовый	Расчет показателей базируется на финансовых показателях
4. Ресурсный	Показатели отражают влияние инновации на объем производства и потребления того или иного вида ресурса
5. Социальный	Показатели учитывают социальные результаты реализации инноваций
6. Экологический	Шум, электромагнитное поле, освещенность (зрительный комфорт), вибрация. Показатели учитывают влияние инноваций на окружающую среду

Таблица 3.3. Калькуляции себестоимости 1-го машино-часа работы ПЭВМ

№ п/п	Наименование статей затрат	1 машино-час работы ПЭВМ (сумм, руб.)
1	Основные и вспомогательные материалы	22
2	Комплектующие	161
3	Содержание и эксплуатация оборудования	385
	Себестоимость содержания	568
4	Общехозяйственные расходы	552
	Производственная себестоимость	1120
5	Коммерческие расходы (10% от производственной себестоимости)	112
	Полная себестоимость 1-го машино-часа работы	1232

Первоначальная сумма инвестиций в проект 16046442 рублей за год. Приток наличности составит 19255730,4 рублей в год от экономии в результате исключения угроз безопасности ИС и отсутствия простоев оборудования. Процентная ставка 8 % (i).

Р_т- стоимостная оценка результатов осуществления инновационного проекта за расчетный период.

Р_т = 16046442 • 1,2 = 35176,8 руб.

Определим коэффициент дисконтирования по формуле:

,

где

t - расчетный период (лет).

Следовательно, чистая текущая стоимость за время реализации проекта равна: 19255730,4 • 0,93 = 17907829,3 руб.

Для принятия решения о целесообразности инвестиций в проект нужно найти разность между чистой текущей стоимостью и первоначальной суммой инвестиций.

Рассматриваемый нами проект выгоден, так как доход больше, чем первоначальные инвестиции в проект:

17907829,3 - 16046442 = 1861387,3 руб.

Чистую текущую стоимость называют также "чистым приведенным доходом", чистым современным значением (NPV).

Заключение

Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:

- необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;

- необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);

- необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).

В ходе дипломного проектирования была разработана информационная система анализа безопасности информационных систем предприятия, включающая в себя следующие основные модули:

- модуль "Программные, информационные и технические средства предприятия";

- модуль "Информация о пользователях ИС предприятия";

- модуль "База нарушений конфиденциальности, целостности или доступности ИС предприятия".

Разработанная система упростит работу системного администратора в "ГУП ОЦ "Московский Дом Книги" и позволит вовремя устранять возникающие угрозы.

Также в ходе дипломного проектирования была предложена программно-аппаратная и инженерно-техническая реализация обеспечения безопасности информационных систем на предприятии.

Средства программно-аппаратной реализации:

- Antiviral Toolkit Pro;

- Doctor WEB;

- Aidstest;

- Integrity Anti-Spyware;

- корпоративные продукты Safe'n'Sec;

- программное средство DeviceLock;

- Outpost Security Suite/Firewall 7.0.4 (3403.520.1244);

- BestCrypt для криптографической защиты информации;

- Online Security Audit.

Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях. Инженерно-техническая защита -- это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.

Инженерно-техническая защита использует следующие средства:

- физические средства;

- аппаратные средства;

- программные средства;

- криптографические средства.

Физические средства включают в себя различные инженерные средства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и защищающие персонал (личные средства безопасности), материальные средства и финансы, информацию от противоправных действий.

Средства инженерно-технической реализации:

- охранная сигнализация и охранное телевидение;

- заборы вокруг здания главного офиса "ГУП ОЦ "Московский Дом Книги";

- усиленные двери, стены, потолки, решетки на окнах;

- охрана;

- пожарная сигнализация;

- резервное копирование данных;

- устройство для защиты линий электропитания и заземления от утечки информации "Соната-РС1";

- выжигатель устройств съема информации в проводных линиях связи и в обесточенной электросети "Молния".

Расчет экономической эффективности внедрения системы информационной безопасности в "ГУП ОЦ "Московский Дом Книги" обосновал необходимость внедрения. По итогам расчета чистая прибыль после внедрения проекта в деятельность компании составит 1861387,3 в первый год после внедрения.

Список нормативных актов и литературы

1. Государственный стандарт РФ "Аспекты безопасности. Правила включения в стандарты" (ГОСТ Р 51898-2002).

2. Информационная безопасность (2-я книга социально-политического проекта "Актуальные проблемы безопасности социума"). М.: "Оружие и технологии", 2009.

3. Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р 50922-2006).

4. Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК 17799--2005).

5. Национальный стандарт РФ "Методы и средства обеспечения безопасности. Часть Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 -- 2006).

6. Рекомендации по стандартизации "Информационные технологии. Основные термины и определения в области технической защиты информации" (Р 50.1.053-2005).

7. Рекомендации по стандартизации "Техническая защита информации. Основные термины и определения" (Р 50.1.056-2005).

8. Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи

9. Бачило И.Л. Информационное право: основы практической информатики. Учебное пособие. М.: 2001.

10. Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. -- М.: ПЕР СЭ-Пресс, 2005.

11. Доктрина информационной безопасности Российской Федерации / Чернов А.А. Становление глобального информационного общества: проблемы и перспективы. Приложение 2. М.: "Дашков и К", 2003.

12. Домарев В. В. Безопасность информационных технологий. Системный подход -- К.: ООО ТИД Диа Софт, 2004. -- 992 с.

13. Ильюшенко В.Н. Информационная безопасность общества. Учебное пособие. - Томск, 1998.

14. Кулаков В.Г. Региональная система информационной безопасности: угрозы, управление, обеспечение. - Автореф. дисс. … д-ра техн. наук. - Воронеж, 2005.

15. Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА, Закон и право, 2004.

16. Уткин А.И. Глобализация: процесс осмысления. М.: "Логос", 2001.

17. Фролов Д.Б. Государственная информационная политика в условиях информационно-психологической войны. - М.: Горячая линия - Телеком, 2003.

Приложение 1

Листинг информационной системы анализа безопасности информационных систем предприятия

unit Unit1;

interface

uses

Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

Dialogs, StdCtrls;

type

TForm1 = class(TForm)

Button1: TButton;

Button2: TButton;

Button3: TButton;

Button5: TButton;

procedure Show(Sender: TObject);

procedure Button5Click(Sender: TObject);

procedure Button1Click(Sender: TObject);

procedure Button2Click(Sender: TObject);

procedure Button3Click(Sender: TObject);

private

{ Private declarations }

public

{ Public declarations }

end;

var

Form1: TForm1;

add: boolean;

implementation

uses Unit2, Unit3, Unit4, Unit5;

{$R *.dfm}

procedure TForm1.Show(Sender: TObject);

begin

PasswordDlg.Caption := 'Запрос пароля';

add:=true;

PasswordDlg.ShowModal;

end;

procedure TForm1.Button5Click(Sender: TObject);

begin

Close;

end;

procedure TForm1.Button1Click(Sender: TObject);

begin

Form3.Caption := 'Программные, информационные и технические средства предприятия';

add:=true;

Form3.ShowModal;

end;

procedure TForm1.Button2Click(Sender: TObject);

begin

Form4.Caption := 'Информация о пользователях ИС';

add:=true;

Form4.ShowModal;

end;

procedure TForm1.Button3Click(Sender: TObject);

begin

Form5.Caption := 'Информация о пользователях ИС';

add:=true;

Form5.ShowModal;

end;

end.

unit Unit2;

interface

uses Windows, SysUtils, Classes, Graphics, Forms, Controls, StdCtrls,

Buttons;

type

TPasswordDlg = class(TForm)

Label1: TLabel;

Password: TEdit;

OKBtn: TButton;

CancelBtn: TButton;

procedure OKBtnClick(Sender: TObject);

procedure CancelBtnClick(Sender: TObject);

private

{ Private declarations }

public

{ Public declarations }

end;

var

PasswordDlg: TPasswordDlg;

implementation

uses Unit1;

{$R *.dfm}

procedure TPasswordDlg.OKBtnClick(Sender: TObject);

const pass='111';

begin

if Password.Text = pass then

begin

PasswordDlg.Close;

end

else Application.Terminate;

end;

procedure TPasswordDlg.CancelBtnClick(Sender: TObject);

begin

Application.Terminate;

end;

end.

unit Unit3;

interface

uses

Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

Dialogs, DB, ADODB, Grids, DBGrids, StdCtrls, RpCon, RpConDS, RpDefine,

RpRave;

type

TForm3 = class(TForm)

DBGrid1: TDBGrid;

ADOConnection1: TADOConnection;

ADOTable1: TADOTable;

DataSource1: TDataSource;

Button1: TButton;

Label1: TLabel;

Edit1: TEdit;

Button2: TButton;

RvProject1: TRvProject;

RvDataSetConnection1: TRvDataSetConnection;

procedure Button1Click(Sender: TObject);

procedure Edit1Change(Sender: TObject);

procedure Button2Click(Sender: TObject);

private

{ Private declarations }

public

{ Public declarations }

end;

var

Form3: TForm3;

implementation

{$R *.dfm}

procedure TForm3.Button1Click(Sender: TObject);

begin

Close;

end;

procedure TForm3.Edit1Change(Sender: TObject);

begin

if Not ADOTable1.Active then Exit;

if Not ADOTable1.Locate('Наименование средства', Edit1.Text, [loPartialKey, loCaseInsensitive])

then Application.MessageBox('Заданная строка не найдена', 'Поиск', MB_OK);

end;

procedure TForm3.Button2Click(Sender: TObject);

begin

rvProject1.Execute;

end;

end.

unit Unit4;

interface

uses

Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

Dialogs, DB, ADODB, Grids, DBGrids, StdCtrls, RpCon, RpConDS, RpDefine,

RpRave;

type

TForm4 = class(TForm)

DataSource1: TDataSource;

DBGrid1: TDBGrid;

ADOConnection1: TADOConnection;

ADOTable1: TADOTable;

Button1: TButton;

Button2: TButton;

RvProject1: TRvProject;

RvDataSetConnection1: TRvDataSetConnection;

Label1: TLabel;

Edit1: TEdit;

procedure Button1Click(Sender: TObject);

procedure Button2Click(Sender: TObject);

procedure Edit1Change(Sender: TObject);

private

{ Private declarations }

public

{ Public declarations }

end;

var

Form4: TForm4;

implementation

{$R *.dfm}

procedure TForm4.Button1Click(Sender: TObject);

begin

rvProject1.Execute;

end;

procedure TForm4.Button2Click(Sender: TObject);

begin

Close;

end;

procedure TForm4.Edit1Change(Sender: TObject);

begin

if Not ADOTable1.Active then Exit;

if Not ADOTable1.Locate('ФИО сотрудника', Edit1.Text, [loPartialKey, loCaseInsensitive])

then Application.MessageBox('Заданная строка не найдена', 'Поиск', MB_OK);

end;

end.

unit Unit5;

interface

uses

Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

Dialogs, StdCtrls, Grids;

type

Zap = Record

ID: Cardinal;

Chisl: String[10];

Ug: String[60];

Otm: String[6];

Prim: String[30];

end;

TForm5 = class(TForm)

StringGrid1: TStringGrid;

Button1: TButton;

Button2: TButton;

Button3: TButton;

Button4: TButton;

Button5: TButton;

OpenDialog1: TOpenDialog;

SaveDialog1: TSaveDialog;

Button6: TButton;

procedure FormCreate(Sender: TObject);

procedure Button1Click(Sender: TObject);

procedure Button2Click(Sender: TObject);

procedure Button3Click(Sender: TObject);

procedure Button4Click(Sender: TObject);

procedure Button5Click(Sender: TObject);

procedure Button6Click(Sender: TObject);

private

{ Private declarations }

public

{ Public declarations }

end;

var

Form5: TForm5;

F: File of Zap;

Rec: Zap;

Nomer: Integer;

Kol: integer;

i: integer;

add: boolean;

sum: integer;

implementation

uses Unit6;

{$R *.dfm}

procedure TForm5.FormCreate(Sender: TObject);

begin

StringGrid1.Cells[0,0]:='№ п/п';

StringGrid1.Cells[1,0]:='Дата';

StringGrid1.Cells[2,0]:='Возникшая угроза';

StringGrid1.Cells[3,0]:='Отметка об устранении';

StringGrid1.Cells[4,0]:='Примечание';

Kol:=0;

Nomer:=1;

end;

procedure TForm5.Button1Click(Sender: TObject);

begin

if Kol<>0 then

BEGIN

for i:=Nomer to StringGrid1.RowCount-1 do

with StringGrid1 do begin

cells[0,i]:= cells[0,i+1];

cells[1,i]:= cells[1,i+1];

cells[2,i]:= cells[2,i+1];

cells[3,i]:= cells[3,i+1];

cells[4,i]:= cells[4,i+1];

end;

Kol:=Kol-1;

if Kol<>0 then StringGrid1.RowCount:= Kol+1 else

begin

Button1.Enabled:=False;

end;

end;

end;

procedure TForm5.Button2Click(Sender: TObject);

begin

Form6.Caption:='Добавление записи';

add:=true;

Form6.ShowModal

end;

procedure TForm5.Button3Click(Sender: TObject);

begin

Form6.Caption:='Изменение записи';

add:=true;

Form6.ShowModal;

end;

procedure TForm5.Button4Click(Sender: TObject);

begin

if SaveDialog1.Execute then

begin

assignfile(f,savedialog1.FileName);

if FileExists(SaveDialog1.FileName) then

begin

if MessageDlg('Файл с таким именем уже существует. Перезаписать?', mtConfirmation,[mbYes,mbNo],0)=mrNo then exit;

end;

rewrite(f,savedialog1.FileName);

i:=0;

while i<>StringGrid1.rowCount-1 do begin

inc(i);

Rec.ID := StrToInt(stringgrid1.cells[0,i]);

Rec.Chisl:=stringgrid1.cells[1,i];

Rec.Ug:=stringgrid1.cells[2,i];

Rec.Otm:=stringgrid1.cells[3,i];

Rec.Prim:=stringgrid1.cells[4,i];

write(f,Rec); //запись данных в файл

end;

closefile(f);

end;

end;

procedure TForm5.Button5Click(Sender: TObject);

begin

if Opendialog1.Execute

and FileExists(OpenDialog1.FileName) then

begin

AssignFile(f,OpenDialog1.FileName);

Reset(f);

i:=0;

while not eof(f) do begin

read(f,Rec); //чтение данных из файла

inc(i);

stringgrid1.cells[0,i]:=IntToStr(Rec.ID);

stringgrid1.cells[1,i]:=Rec.Chisl;

stringgrid1.cells[2,i]:=Rec.Ug;

stringgrid1.cells[3,i]:=Rec.Otm;

stringgrid1.cells[4,i]:=Rec.Prim;

stringgrid1.RowCount:=i+1;

end;

kol:=i;

closefile(f);

end else ShowMessage('Файл не существует!')

end;

procedure TForm5.Button6Click(Sender: TObject);

begin

Close;

end;

end.

unit Unit6;

interface

uses

Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,

Dialogs, StdCtrls;

type

TForm6 = class(TForm)

Label1: TLabel;

Label2: TLabel;

Label3: TLabel;

Label4: TLabel;

Label5: TLabel;

Edit1: TEdit;

Edit2: TEdit;

Edit3: TEdit;

ComboBox1: TComboBox;

Edit4: TEdit;

Button1: TButton;

Button2: TButton;

procedure Button1Click(Sender: TObject);

procedure FormCreate(Sender: TObject);

private

{ Private declarations }

public

{ Public declarations }

end;

var

Form6: TForm6;

implementation

uses Unit5, Unit3;

{$R *.dfm}

procedure TForm6.FormCreate(Sender: TObject);

begin

ComboBox1.Items.Add('true');

ComboBox1.Items.Add('false');

if Unit5.add=true then

begin

Form6.Edit1.Text:='';

Form6.Edit2.Text:='';

Form6.Edit3.Text:='';

Form6.Edit3.Text:='';

Form6.ComboBox1.SelText := Form5.StringGrid1.Cells[3, Nomer];

end else

begin

Form6.Edit1.Text:=Form5.StringGrid1.Cells[0,Nomer];

Form6.Edit2.Text:=Form5.StringGrid1.Cells[1,Nomer];

Form6.Edit3.Text:=Form5.StringGrid1.Cells[2,Nomer];

Form6.Edit4.Text:=Form5.StringGrid1.Cells[4,Nomer];

Form6.ComboBox1.Text:=Form5.StringGrid1.Cells[3,Nomer];

end;

end;

procedure TForm6.Button1Click(Sender: TObject);

var d:integer;

begin

if Unit5.add then

begin

Unit5.Kol:=Unit5.Kol+1;

Form5.StringGrid1.RowCount:= Unit5.Kol+1;

d:=Unit5.Kol;

if Unit5.kol>0 then begin

Form5.Button1.Enabled:=True;

end;

end else d:=Unit5.Nomer;

Form5.StringGrid1.Cells[0,d]:=Edit1.Text;

Form5.StringGrid1.Cells[1,d]:=Edit2.Text;

Form5.StringGrid1.Cells[2,d]:=Edit3.Text;

Form5.StringGrid1.Cells[4,d]:=Edit4.Text;

Form5.StringGrid1.Cells[3,d]:=Form6.ComboBox1.Text;

Close;

end;

end.

Размещено на Allbest.ru