Модернизация системы защиты информации локальной сети управления ОАО "Газпром нефтехим Салават"

Концептуальная схема проведения обследования по методу CRAMM показана на рисунке 2.1.

Рисунок 2.1 - Концептуальная схема проведения обследования по методу CRAMM

2.1.2 Программное средство RiskWatch

Программное обеспечение RiskWatch является мощным средством анализа и управления рисками. В семейство RiskWatch входят программные продукты для проведения различных видов аудита безопасности. Оно включает в себя следующие средства аудита и анализа рисков:

1) RiskWatch for Physical Security - для физических методов защиты ИС;

2) RiskWatch for Information Systems - для информационных рисков;

3) HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA (US Healthcare Insurance Portability and Accountability Act);

4) RiskWatch RW17799 for ISO 17799 - для оценки требованиям стандарта ISO 17799.

В методе RiskWatch в качестве критериев для оценки и управления рисками используются предсказание годовых потерь (Annual Loss Expectancy, ALE) и оценка возврата от инвестиций (Return on Investment, ROI).

RiskWatch помогает провести анализ рисков и сделать обоснованный выбор мер и средств защиты. Используемая в программе методика включает в себя 4 фазы.

В отличие от CRAMM, программа RiskWatch более ориентирована на точную количественную оценку соотношения потерь от угроз безопасности и затрат на создание системы защиты. Надо также отметить, что в этом продукте риски в сфере информационной и физической безопасности компьютерной сети предприятия рассматриваются совместно.

Таким образом, рассматриваемое средство позволяет оценить не только те риски, которые сейчас существуют у предприятия, но и ту выгоду, которую может принести внедрение физических, технических, программных и прочих средств и механизмов защиты. Подготовленные отчеты и графики дают материал, достаточный для принятия решений об изменении системы обеспечения безопасности предприятия.

2.2 Обоснование выбора программного пакете «ГРИФ»

«ГРИФ 2006» - комплексная система анализа и управления рисками информационной системы компании. «ГРИФ 2006» дает полную картину защищенности информационных ресурсов в системе и позволяет выбрать оптимальную стратегию защиты информации.

Система «ГРИФ» позволяет:

- анализировать уровень защищенности всех ценных ресурсов;

- оценивать возможный ущерб, который понесет компания в результате реализации угроз информационной безопасности;

- эффективно управлять рисками при помощи выбора контрмер, наиболее оптимальных по соотношению цена/качество.

В сравнении с другими системами анализа и управления рисками «ГРИФ» представляет собой наиболее доступное и достойное решение для расчета риска информационной безопасности системы за счет использования модели информационных потоков - модели информационной системы организации, которая рассматривает средства защиты ресурсов с ценной информацией, взаимосвязь ресурсов между собой, влияние прав доступа групп пользователей, организационные меры, модель исследует защищенность каждого вида информации.

Одним из важнейших преимуществ системы «ГРИФ» является то, что она содержит модуль управления рисками, который позволяет проанализировать все причины того значения риска, получаемый после обработки алгоритмом занесенных данных. Таким образом, зная причины, можно обладать всеми данными, необходимыми для реализации контрмер и, соответственно, снижения уровня риска.

Благодаря расчету эффективности каждой возможной контрмеры, а также определению значения остаточного риска, можно выбрать наиболее оптимальные контрмеры, которые позволят снизить риск до необходимого уровня с наименьшими затратами.

В результате работы алгоритма программа представляет подробный отчет об уровне риска каждого ценного ресурса информационной системы, все причины риска с подробным анализом уязвимостей и оценкой экономической эффективности всех возможных контрмер.

Таким образом, достоинства системы анализа и управления рисками «ГРИФ» позволяют принять данный продукт в качестве решения для оценки рисков нарушения информационной безопасности защищаемой системы.

2.3 Расчет риска нарушения информационной безопасности в системе защиты информации до модернизации

2.3.1 Исходные данные о системе

Анализ рисков информационной безопасности осуществляется с помощью построения модели информационной системы организации. Для этого определяется информация, которая циркулирует в организации, ее уровень критичности и ценность (табл. 2.1).

Таблица 2.1 - Виды информации

№	Вид информации	Уровень критичности	Ценность информации
1	Сведения о состоянии ресурсов и оборудования нефтехимического комплекса	Повышенный	60
2	Сведения о плане ремонта объектов нефтехимического комплекса; сведения о реформировании инженерно-сервисного комплекса	Повышенный	55
3	Организационная информация	Базовый	30
4	Сведения о результатах аудиторских проверок	Повышенный	60
5	Сведения в финансовой сфере деятельности предприятия	Высокий	75
6	Сведения о составе затрат в стоимости продукции	Высокий	80
7	Сведения об инвестиционной политике предприятия	Высокий	100
8	Сведения о стратегиях развития бизнеса	Высокий	90
9	Сведения о бухгалтерской и налоговой отчетности	Повышенный	50
10	Сведения о планируемых объемах выработки и квотах на поставку нефтехимической продукции; сведения о результатах тендеров, закупочной деятельности	Повышенный	45
11	Сведения о топологии и составе оборудования корпоративной сети передачи данных	Повышенный	55
12	Сведения об организации системы обеспечения безопасности на предприятии	Высокий	75
13	Сведения, касающиеся юридических вопросов деятельности предприятия	Повышенный	60

Для анализа рисков также необходимо знать месторасположения ресурсов, на которых находится ценная информация, к каким отделам и сетевым группам они принадлежат (Табл. 2.2).

Таблица 2.2 - Наименование отделов

№	Название отдела	Ресурсы	Сетевые группы
1	Зам. директора	Рабочие станции	Сегмент 4
2	Бухгалтерия	Рабочие станции	Сегмент 4
3	Служба экономического планирования	Рабочие станции	Сегмент 5
4	Служба эксплуатации и ремонта	Рабочие станции	Сегмент 3
5	Служба внутреннего контроля	Рабочие станции	Сегмент 3
6	Служба финансового контроля	Рабочие станции	Сегмент 4
7	Служба стратегического развития	Рабочие станции
8	IT отдел	Рабочие станции, Сервер технологических приложений, Сервер БД, Сервер 1С, Контроллер домена, Почтовый и внутренний WEB сервер	Сегмент 2,
9	Служба экономической безопасности и защиты информации	Рабочие станции	Сегмент 5
10	Серверная	DNS сервер, WEB сервер, PROXY сервер	Сегмент 1

Определение групп пользователей и их класса также необходимо для оценки риска информации (Табл. 2.3).

Таблица 2.3 - Группы пользователей

№	Имена групп пользователей	Класс
1	Зам. директора	Топ-менеджеры
2	Сотрудники бухгалтерия	Пользователи
3	Сотрудники службы экономического планирования	Пользователи
4	Сотрудники службы эксплуатации и ремонта	Пользователи
5	Сотрудники службы внутреннего контроля	Пользователи
6	Сотрудники службы финансового контроля	Пользователи
7	Сотрудники службы стратегического развития	Пользователи
8	IT отдел	Системные администраторы
9	Сотрудники службы экономической безопасности и защиты информации	Пользователи
10	Анонимные пользователи из Интернет	Анонимные пользователи из Интернет

Описание бизнес-процессов и видов информации, которые в них используются, а также групп пользователей, которые имеют доступ к информации, представлено в таблице 2.4.

Таблица 2.4 - Бизнес-процессы

№	Название бизнес-процесса	Вид информации	Группа пользователей
1	Ремонт объектов нефтехимического производства	Сведения о плане ремонта объектов нефтехимического комплекса; сведения о реформировании инженерно-сервисного комплекса	Сотрудники службы эксплуатации и ремонта
2	Модернизация предприятия	Сведения о состоянии ресурсов и оборудования нефтехимического комплекса, Сведения о стратегиях развития бизнеса	Сотрудники службы эксплуатации и ремонта, Зам. директора
3	Формирование налоговой и финансовой отчетности	Сведения о результатах аудиторских проверок, Сведения о бухгалтерской и налоговой отчетности	Сотрудники службы внутреннего контроля,
4	Бюджетирование	Сведения в финансовой сфере деятельности предприятия	Сотрудники бухгалтерии, Зам. директора
5	Инвестирование	Сведения об инвестиционной политике предприятия	Сотрудники службы экономического планирования, Зам. директора
6	Формирование цен и дистрибуция	Сведения в финансовой сфере деятельности предприятия, Сведения о составе затрат в стоимости продукции	Сотрудники службы финансового контроля, Сотрудники бухгалтерии, Сотрудники службы финансового контроля
7	Участие в тендерах	Сведения о планируемых объемах выработки и квотах на поставку нефтехимической продукции; сведения о результатах тендеров, закупочной деятельности	Сотрудники службы экономического планирования
8	Исполнение принятой политики безопасности	Сведения об организации системы обеспечения безопасности на предприятии, Сведения, касающиеся юридических вопросов деятельности предприятия, Организационная информация	Сотрудники службы экономической безопасности и защиты информации

Исходя из предоставленных данных, можно построить модель информационной системы организации (Табл. 2.5), на основе которой будет проведен анализ защищенности каждого вида информации на ресурсе.

Таблица 2.5 - Сводная таблица сведений об информационной системе до модернизации

Бизнес-процессы	Вид информации	Группа пользователей	Сетевые устройства	Средства защиты ресурса	Средства защиты информации
Модернизация предприятия	Сведения о состоянии ресурсов и оборудования нефтехимического комплекса	Сотрудники службы эксплуатации и ремонта, Зам. директора	Коммутатор C3, Коммутатор С4, Коммутатор C2	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС
Ремонт объектов нефтехимического производства	Сведения о плане ремонта объектов нефтехимического комплекса; сведения о реформировании инженер-но-сервис-ного комплекса	Сотрудники службы эксплуатации и ремонта	Коммутатор C3, Коммутатор C2	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС
Формирование налоговой и финансовой отчетности	Сведения о результа-тах ауди-торских проверок	Сотрудники службы внутреннего контроля, Сотрудники бухгалтерии, Зам. директора	Коммутатор C4, Коммутатор C3, Коммутатор С4	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС
Формирование цен и дистрибуция	Сведения в финансовой сфере деятель-ности предприя-тия	Сотрудники службы финансового контроля, Сотрудники бухгалтерии, Сотрудники службы финансового контроля	Коммутатор C4, Коммутатор C3, Коммутатор C2	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС
Формирование цен и дистрибуция	Сведения о составе затрат в стоимости продукции	Сотрудники службы финансового контроля, Сотрудники бухгалтерии	Коммутатор C4, Коммутатор C3, Коммутатор C2	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС
Инвестирование	Сведения об инвестиционной политике предприятия	Сотрудники службы экономического планирования, Зам. директора	Коммутатор C4, Коммутатор C5	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС
Модернизация предприятия	Сведения о стратегиях развития бизнеса	Сотрудники службы эксплуатации и ремонта, Зам. директора	Коммутатор C3, Коммутатор C4	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС
Формирование налоговой и финансовой отчетности	Сведения о бухгалтерской и налоговой отчетности	Сотрудники службы внутреннего контроля, Сотрудники бухгалтерии, Зам. директора	Коммутатор C4, Коммутатор C2	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС
Участие в тендерах	Сведения о планируемых объемах выработки и квотах на поставку нефтехимической продукции; сведения о результатах тендеров, закупочной деятельности	Сотрудники службы экономического планирования	Коммутатор C5	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС
Исполнение принятой политики безопасности	Сведения об организации системы обеспечения безопасности на предприятии	Сотрудники службы экономической безопасности и защиты информации	Коммутатор C5	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС
Исполнение принятой политики безопасности	Сведения, касающиеся юридических вопросов деятельности предприятия	Сотрудники службы экономической безопасности и защиты информации	Коммутатор C5	Дверь с замком Пропускной режим Видеонаблюдение	Антивирус Разграничение доступа ОС

2.3.2 Результаты работы с пакетом «ГРИФ» до модернизации

С помощью «ГРИФ» строится модель информационной системы предприятия, описывается архитектура сети:

* все ресурсы, на которых хранится ценная информация;

* все сетевые группы, в которых находятся ресурсы системы (т.е. физические связи ресурсов друг с другом);

* отделы, к которым относятся ресурсы;

* виды ценной информации;

* ущерб для каждого вида ценной информации по трем видам угроз;

* бизнес-процессы и информация, которая в них участвует;

* группы пользователей, имеющих доступ к ценной информации;

* класс группы пользователей;

* доступ группы пользователей к информации;

* характеристики этого доступа (вид и права);

* средства защиты информации;

* средства защиты рабочего места группы пользователей.

Результат проделанных действий представлен на рисунках 2.2, 2.3, 2.4.

Рисунок 2.2 - Моделирование системы с помощью пакета «ГРИФ»

Рисунок 2.3 - Моделирование системы с помощью пакета «ГРИФ»

Рисунок 2.4 - Установка связей между средствами защиты и ресурсами

Исходя из введенных данных, строиться модель информационной системы предприятия, на основе которой проводиться анализ защищенности каждого вида информации на ресурсе. В результате значение риска до внедрения контрмер составило 32.06 %, что представлено на рисунке 2.5.

Рисунок 2.5 - Отчет по анализу информационной системы

2.3.3 Результаты работы с пакетом «ГРИФ» после модернизации

Для уменьшения уровня риска производиться модернизация существующей СЗИ, устанавливаются дополнительные средства защиты ресурса и информации.

В результате модернизации СЗИ локальной сети управления ОАО «Газпром нефтехим Салават» были установленны дополнительные средства защиты, которые представленны в таблице 2.6.

автоматизация риск защита информация

Таблица 2.6 - Добавочные средства защиты

Средства защиты	Места установки
Система обнаружения вторжений	На периметре
Система антивирусной защиты на периметре	На периметре
Средства антивирусной защиты на хосте	Рабочие станции С2-С5
Система резервного копирования	DNS сервер, WEB сервер, PROXY сервер, Рабочие станции С2, Сервер технологических приложений, Сервер БД, Сервер 1С, Контроллер домена, Почтовый и внутренний WEB сервер
Средства криптографической защиты	DNS сервер, WEB сервер, PROXY сервер, Рабочие станции С3-С5, Сервер технологических приложений, Сервер БД, Сервер 1С, Контроллер домена, Почтовый и внутренний WEB сервер

Исходя из введенных данных в данном случае значение риска после внедрения контрмер составило 4.45%, что представлено на рисунке 2.6.

Рисунок 2.6 - Отчет по анализу информационной системы

Выводы о результатах расчета риска

В результате задания всех необходимых контрмер значение риска снизилось более чем в 7 раз с 32.06% до 4.45%, что является подтверждением эффективности принятых контрмер.

3. Обоснование экономической эффективности модернизации СЗИ в локальной сети управления ОАО «Газпром нефтехим Салават»

3.1 Расчет затрат на модернизацию СЗИ в локальной управления ОАО «Газпром нефтехим Салават»

3.1.1 Расчет затрат времени на модернизацию СЗИ

Расчёт норм времени на модернизацию системы защиты информации проводился на основе фактических данных методом хронометража (таблица 3.1).

Таблица 3.1 - Этапы проектирования СЗИ

Этапы	Содержание этапа	Количество дней
1	2	3
1	Предпроектное исследование объекта	9
2	Сбор информации в сети «Интернет»	7
3	Анализ нормативных документов, действующих на объекте защиты	10
4	Разработка структурной модели объекта защиты	14
5	Выбор средств защиты информации для построения системы ЗИ в ЛВС	6
6	Анализ и сравнение альтернатив средств защиты	20
7	Оценка риска потери конфиденциальности до и после модернизации системы защиты	7
8	Обоснование экономической эффективности модернизации СЗИ	5
Этапы	Содержание этапа	Количество дней
9	Оформление дипломной работы	8
Итого:	86
Из них с использованием ЭВМ:	60

3.1.2 Расчет себестоимости одного машино-часа ЭВМ

Себестоимость одного машинного часа C_маш определяется по формуле:

где З_ЭВМ - суммарные затраты, связанные с эксплуатацией ЭВМ, руб.;

- годовой действительный фонд рабочего времени ЭВМ, д.;

- коэффициент готовности ЭВМ.

Годовые суммарные затраты, связанные с эксплуатацией ЭВМ включают в себя следующие затраты:

З_ЭВМ =А_ЭВМ+И_ПП+З_мат+З_рем+З_эн+П,

где А_ЭВМ - амортизация ЭВМ;

И_ПП - износ программных продуктов;

З_мат - затраты на материалы, руб.;

З_рем - затраты на ремонт, руб.;

З_э/эн - затраты на электроэнергию, руб.;

П - прочие расходы, руб.

Рассмотрим все затраты в отдельности. Амортизация ЭВМ определяется по формуле:

А_ЭВМ =

где Ц_ЭВМ - балансовая (первоначальная) стоимость ЭВМ;

Т_сл - срок службы ЭВМ.

Балансовая стоимость ЭВМ определяется по формуле:

Ц_ЭВМ = Ц_обор+Ц_трансп+Ц_монт,,

где Ц_обор - цена оборудования, руб.;

Ц_трансп - стоимость транспортировки, руб.;

Ц_монт - стоимость монтажа, руб.

Стоимость оборудования ЭВМ Ц_обор = 20000 рублей. Затраты, связанные с транспортированием и монтажом ЭВМ, составляют 10 % от стоимости оборудования ЭВМ.

Подставляя в формулу значение Ц_ЭВМ, получаем:

Ц_ЭВМ =20000+0,1·20000=22000 руб.

Амортизация ЭВМ А_ЭВМ равна

А_ЭВМ = руб.

Износ программных продуктов определяется по формуле:

где Ц_ПП - цена программных продуктов, руб.;

- срок полезного использования программных продуктов, лет.

При разработке СЗИ ЛВС были использованы следующие программные продукты: операционная система Microsoft Windows XP Pro SP3 и Microsoft Office Visio 2007, суммарная стоимость которых составляет 21 500 рублей.

Отсюда:

И_ПП = = 6287 руб.

Затраты на материалы:

,

руб.

Затраты на ремонт:

,

руб.

Затраты на электроэнергию рассчитываются по формуле:

где Ц_квт/ч - стоимость 1 кВт-часа электроэнергии, руб/кВт;

М - паспортная мощность ЭВМ, кВт.

Получаем величину затрат на электроэнергию:

З_эн

Прочие расходы обычно составляют 1% от первоначальной стоимости ЭВМ, т.е:

,

руб.

Получим, что суммарные затраты, связанные с эксплуатацией ЭВМ, равны:

З_ЭВМ

Определяем себестоимость одного машино-часа:

3.1.3 Расчет себестоимости проектирования СЗИ

Себестоимость проектирования системы ЗИ определяется по формуле:

С_пр=М+ЗП+О+С_ЭВМ+С_{интернет},

где М - материальные затраты, руб.;

ЗП - заработная плата проектировщика, руб.;

О - отчисления на социальные нужды, руб.;

С_ЭВМ - стоимость работ, осуществленных с помощью ЭВМ при проектировании, руб.;

С_{интернет} - накладные расходы, руб.

В процессе проектирования были приобретены 3 пачки бумаги для принтера стоимостью 600 рублей и 5 компакт-дисков стоимостью 200 рублей, поэтому М = 800 руб.

Заработная плата проектировщика определяется по формуле.

где Окл - оклад проектировщика, составляет 10000 руб.;

T_пр - время проектирования, месяцев;

k_ур - уральский коэффициент;

- коэффициент, учитывающий доплаты и премии.

Подставляя значения в формулу, получаем:

Отчисления на социальные нужды вычисляются по формуле:

Таким образом, отчисления на социальные нужды составляют

Затраты, связанные с поиском материалов в интернете, определяются по формуле

,

где С_1М.инт - стоимость одного мегабайта информации скопированного из интернет, руб.;

- объем информации скопированной из интернет, Мбайт.

Стоимость С_1М.инт одного мегабайта скопированного из интернет составляет 1,7 рублей, объем информации скопированный из интернет - около 200 Мб, тогда С1М.инт равна:

Стоимость использования ЭВМ вычисляется по формуле:

где С_маш.ч - себестоимость одного часа эксплуптации ЭВМ, руб/ч.;

t_ЭВМ - время эксплуатации ЭВМ, ч.

Стоимость использования ЭВМ:

Таким образом, себестоимость проектирования С_пр равна:

3.1.4 Расчет стоимости модернизации СЗИ

Стоимость модернизации СЗИ () находится по формуле:

где - стоимость проектирования, руб.;

- стоимость оборудования и программного, руб.;

- стоимость установки и настройки, руб.

Список и стоимость оборудования приведены в разделе 1.3.5. Стоимость оборудования составляет 2 612 768 руб.

Стоимость установки составляет:

Таким образом, стоимость модернизации СЗИ составляет:

Текущие затраты определяются заработной платой администратора информационной безопасности и отчислениями

3.2 Расчет экономической эффективности от модернизации СЗИ

Риск системы защиты информации в управлении ОАО «Газпром нефтехим Салават» равен риску от реализации угроз нарушения конфиденциальности информации. В таком случае мы можем рассчитать показатель ожидаемых потерь (ALE) до и после модернизации. Для расчетов используется следующая формула:

где - риск нарушения конфиденциальности информации до/после модернизации системы защиты, в %;

- суммарная стоимость информационных ресурсов.

Риск нарушения конфиденциальности информации до/после модернизации системы защиты вычислен в пункте 2.4 и составляет:

Стоимость информационных ресурсов определена экспертами информационного отдела, которая составляет 25 000 000 руб.

Таким образом, до модернизации системы защиты составит:

после модернизации системы защиты составит:

Таким образом, ежегодные сбережения составляют:

AS=ALE₁-ALE₂,

AS=8015000-1112500=6902500 руб.

Чистая приведенная стоимость затрат на проект внедрения и доходов от проекта внедрения рассчитывается по формуле:

,

где - денежный поток;

- ставка дисконтирования.

Период окупаемости инвестиционных проектов, связанных с внедрением ИТ, не должен превышать трех лет, поэтому период оценки эффективности проекта внедрения СЗИ равен трем годам.

Результаты описанных выше расчетов приведены в таблице 3.2.

Таблица 3.2 - Расчет показателей возврата инвестиций на СЗИ

Показатели	Начальные затраты, руб.	1 год, руб.	2 год, руб.	3 год, руб.	Общее, руб.
Затраты на внедрение		321600	321600	321600	3973773
Накопленные затраты проекта внедрения		321600	321600	321600	3973773
Ставка дисконтирования	14,5%
Чистая приведенная стоимость затрат на проект внедрения ()	3749555
Показатель ожидаемых потерь до модернизации СЗИ ()	0	8015000	8015000	8015000	24045000
Показатель ожидаемых потерь после модерниза-ции СЗИ ()	0	1112500	1112500	1112500	3337500
Ежегодные сбережения ()	0	6902500	6902500	6902500	20707500
Денежный поток ()	-3008973	6580900	6580900	6580900	19742700
Накопленный денежный поток	-3008973	3571927	10152827	16733727	--
Чистая приведенная стоимость доходов от проекта внедрения ()	12139561
Срок окупаемости (), мес.	0,52

Чистая приведенная стоимость затрат на проект внедрения и доходов от проекта внедрения составляет:

Срок окупаемости проекта внедрения СЗИ рассчитывается по формуле:

где Т_ок - срок окупаемости инвестиций;

n - число периодов;

СF_t - приток денежных средств в период t;

I₀ - величина исходных инвестиций в нулевой период.

Определим период, по истечении которого инвестиция окупается.

Если предположить, что приток денежных средств поступает равномерно в течение всего периода, то можно вычислить

Остаток будет равен

Период окупаемости равен 6 месяцев.

Таким образом, проект внедрения можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат на проект внедрения в 2 раза, и срок окупаемости составляет 6 месяцев.

Заключение

В рамках дипломного проекта по модернизирована существующая система защиты информации в сети управления ОАО «Газпром нефтехим Салават» было произведено:

- предпроектное обследование;

- анализ существующих нормативных документов в области информационной безопасности;

- модернизация существующей СЗИ;

- расчет риска нарушения информационной безопасности

- расчет и обоснование экономической эффективности от внедрения СЗИ

После модернизации системы защиты риск нарушения информационной безопасности снизился более чем в 7 раза и составил 4,45%, что удовлетворяет требованию технического задания.

Суммарные затраты на модернизацию системы защиты составляют 3008974 рубля. Проект внедрения можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат на проект внедрения в 4 раза, и срок окупаемости составляет 6 месяцев.

Список использованных источников

1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: руководящий документ. М.: Гостехкомиссия России, 1992.

2. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: руководящий документ. М.: Гостехкомиссия России, 1992.

3. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. - Введ. 01.01.2007. -М.: Госстандарт России : Стандартинформ, 2005. - 103 с.

4. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. - Введ. 27.12.2006. - М.: Госстандарт России : Стандартинформ, 2006. - 31 с.

5. ГОСТ Р ИСО/МЭК 13335-4-2007. Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер. - Введ. 01.09.2007. - М.: Госстандарт России : Стандартинформ, 2007. - 60 с.

6. Решения для офиса ESET NOD32 Busibess Edition //

7. Брэгг Р. Безопасность сети на основе Microsoft Windows Server 2003. Учебный курс Microsoft/Пер. с англ.- М.: Издательско-торговый дом «Русская редакция», 2006. - 672 с.:ил.

8. Брэгг Р. Безопасность сетей: полное руководство/Пер. с англ.- М.: ЭКОМ, 2007. - 912 с.: ил.

9. Леинванд А., Пински Б. Конфигурирование маршрутизаторов Cisco, 3-е изд.: Пер с англ.- М.: Издательский дом «Вильямс», 2006.-368 с.: ил.

10. Лукацкий А.В. Обнаружение атак. - СПб.: БХВ-Петербург, 2001. - 624 с.: ил.

11. Чанышева В.А. Экономика защиты информации (в схемах): учеб.пособие/ В.А. Чанышева; Уфимск.гос.авиац.техн.ун-т. - Уфа: УГАТУ, 2006. - 176

Размещено на Allbest.ru