Комплексная система защиты информации на предприятии

10/100/1000Mbps PCI Adapter, 32 bit, WOL, Jumbo, Retail

256,23

1

256,23

Итого

21465,79

Дополнительное оборудование

Таблица 30. Дополнительное оборудование

Технические характеристики клиентских ПК

Таблица 31. Характеристики ПК

Таблица выбора программного обеспечения

Таблица 31. Программное обеспечение

Рисунок 15. Схема корпоративной сети

Смета затрат на ввод в действие

Таблица 32. Затраты на ввод системы в действие

Смета на обслуживание корпоративной сети

Таблица 33. Обслуживание системы

Перечень резервируемой информации

Таблица 34. Резервируемая информация

Перечень лиц, ответственных за резервное копирование

Таблица 35. Ответственные за копирование

3.6 Расчёт экономической эффективности КСЗИ

Экономическая эффективность вода в действия системы определяет надобность создания такой системы, и варианты обработки рисков. Например, если система не эффективно, руководство может принять решение на уклонение от рисков вместо их снижения. Для КСЗИ ООО «Кредит Коллектор» расчёт экономической эффективности будет производится на основе следующих входных данных:

1. Экспертные оценки меры риска (см. приложение 5);

2. Чистая прибыль организации за годовалый период;

3. Сметы расходов на ввод в действие КСЗИ по каждой подсистеме;

4. Сметы расходов на обслуживание системы.

Расчёт эффективности производится путём распределения стоимости КСЗИ на определённый период времени, который должен быть выбран в соответствии с особенностями организации. Организация ООО «Кредит Коллектор» небольших размеров, но чистая прибыль предприятия в годовалый период в среднем составляет 1 миллион рублей, что позволяет создавать сложные обеспечивающие подсистемы.

Эквивалентный ущерб, определённый экспертами, рассчитывается по каждой угрозе на промежуток равный одному году.

Затраты на ввод в действие рассчитываются единовременным образом, и распределяются на себестоимость услуг, на срок равный сроку амортизации, т.е. 10 лет.

Затраты на обслуживание рассчитываются на годовалый период.

Сумма эквивалентного ущерба угроз безопасности определяется исходя из частной модели угроз, и равна - 6 710 000 рублей.

Затраты на ввод в действие:

· СКУД - 346 254 рубля;

· Видеонаблюдение - 73 776 рублей;

· Охранно-пожарная сигнализация - 23 924рубля;

· Защита от утечки по техническим каналам - 84 740 рублей;

· Защита корпоративной сети - 100 192 рубля;

· Итого - 700 000 рублей.

Затраты на обслуживание систем:

· СКУД - 50 000 рублей;

· Видеонаблюдение - 20 000 рублей;

· Охранно-пожарная сигнализация - 5 000 рублей;

· Защита от утечки по техническим каналам - 15 000 рублей;

· Защита корпоративной сети - 55 800 рублей;

· Итого - 146 000 рублей в год.

Затраты на КСЗИ в годовалый период можно рассчитать как сумму затрат на ввод в действие в расчёте на год и затрат на обслуживание:

Общие затраты в расчёте на год - 146 000 + 70 000 = 216 000 рублей при расчёте на год.

Таким образом, для ввода КСЗИ в действие организации необходимо включить в себестоимость продукции затраты на сумму 216 000 рублей, т.е. около 20% от чистой прибыли организации, и около 3% от эквивалентной меры ущерба.

Система признана эффективной по трём критериям:

· суммарный годовалый ущерб системе при отсутствии защитных мер равен 6 710 000, неприемлем для организации таких размеров;

· затраты на ввод в действие и обслуживание КСЗИ составляют 3% от эквивалентной меры ущерба;

· затраты на ввод в действие и эксплуатацию системы составляют около 20% от чистой прибыли организации.

ЗАКЛЮЧЕНИЕ

В курсовом проекте была разработана комплексная система защиты информации на предприятии ООО «Кредит Коллектор». При разработке КСЗИ были учтены особенности организации, такие как её небольшой размер, но большое количество обрабатываемой конфиденциальной информации. С учётом этих особенностей были приняты следующие решения:

· использовать требования стандарта ГОСТ Р 27001-2006, а также сертифицировать СМИБ по требованиям этого стандарта;

· использовать рекомендательные стандарты серии ISO 27 000 для разработки организационной документации и системы обработки рисков;

· совместить политику безопасности с политикой информационной безопасности и политикой менеджмента безопасности предприятия;

· совместить инструкцию по охране и инструкцию по пропускному режиму, и использование их в качестве основополагающих документов в этом направлении (без частных политик в этой области);

· сделать положение о коммерческой тайне основополагающим документом стратегического уровня по режиму коммерческой тайны;

· включить в частную модель угроз безопасности методику оценки рисков, и неформальную модель нарушителя;

· использовать в качестве пропусков смарт-карты;

· использовать базовые постоянные пропуска сотрудников для доступа в некоторые особо охраняемые отделы;

· делегировать силовую охрану объекта группе быстрого реагирования;

· использовать встроенные системы windows для организации защиты от НСД к информации;

· совместить автоматизированную систему обработки КТ и ИСПДн, и принять меры по защите общей системы, а также, множество других организационных и конструкторских решений.

По результатам работы можно сделать выводы об эффективности разработанной системы по трём критериям:

· суммарный годовой ущерб, рассчитанный методом эквивалентного ущерба, на порядок выше стоимости предложенной системы защиты и её обслуживания в годовалом периоде;

· величина суммарного годового ущерба неприемлема для организации таких размеров, тем самым ввод в эксплуатацию КСЗИ является неотлагательной мерой по обеспечению стабильности деятельности предприятия;

· затраты на ввод в действие и эксплуатацию составляют пятую часть чистой прибыли организации, что считается приемлемым.

По результату работы, с учётом выводов о эффективности системы, можно рекомендовать СКЗИ на внедрение во вспомогательные процессы производства с частными доработками.

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

1. Игнатьев В.А. «Информационная безопасность современного коммерческого предприятия»; ТНТ, 2005; ISBN 5-94178070-2;

2. Ярочкин В.И. «Информационная безопасность»; Гаудеамус, 2004; ISBN 5-98426-008-5;

3. ГОСТ Р ИСО/МЭК 27000-2011 «Системы менеджмента информационной безопасности. Общий обзор и терминология», проект;

4. ГОСТ Р ИСО/МЭК 27001-2006 «Системы менеджмента информационной безопасности. Требования»;

5. ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью»;

6. ГОСТ Р ИСО/МЭК 27003-2011 «Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности», проект;

7. ISO/IEC 27005-2008 «Информационные технологии. Менеджмент рисков информационной безопасности»;

8. ГОСТ Р ИСО/МЭК 13335-1-2006 «Концепции и модели менеджмента безопасности информационных и телекоммуникационных технологий»;

9. ГОСТ Р ИСО/МЭК 13335-3-2007 «Методы менеджмента безопасности информационных технологий»;

10. ГОСТ Р ИСО/МЭК 15408-1-2008 «Критерии и методы оценки безопасности информационных технологий. Введение и общая модель»;

11. РС БС ИББС 2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности по требованиям СТО БР ИББС 1.0»;

12. ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищённом исполнении»;

13. Руководящий документ Гостехкомиссии «Межсетевые экраны. Показатели защищённости от несанкционированного доступа к информации»;

14. Руководящий документ Гостехкомиссии «Средства вычислительной техники. Показатели защищённости от несанкционированного доступа к информации»;

15. Руководящий документ Гостехкомиссии «Классификация автоматизированных систем и требования по защите информации»;

16. Руководящий документ ФСТЭК «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;

17. Руководящий документ ФСТЭК «Методика оценки уровня исходной защищённости информационных систем персональных данных».

Размещено на Allbest.ru