Файл: Назначение и структура системы защиты информации коммерческого предприятия (ООО «Санвэйс» ).pdf
Добавлен: 29.06.2023
Просмотров: 90
Скачиваний: 2
СОДЕРЖАНИЕ
1. Теоретические аспекты системы защиты информации коммерческого предприятия
1.1. Назначение и задачи системы обеспечения информационной безопасности коммерческого предприятия
1.2 Основные каналы утечки информации
2. Проектирование и разработка системы информационной безопасности коммерческого предприятия
2.1 Анализ угроз информационной безопасности ООО «Санвэйс»
2.2. Определение области применения системы информационной безопасности
2.3. Разработка системы информационной безопасности ООО «Санвэйс»
Расчет экономической эффективности защиты информации.
Для оценки степени защищенности объекта и величину ущерба целесообразно использовать оценки рисков.
Анализ рисков целесообразно проводить на основе оценок, производимых экспертом и постепенно их уточнять. В процессе целесообразно сосредоточиться на наиболее важных участках, учитывая приближенность итоговой оценки. С этих же позиций следует оценивать возможные угрозы и их последствия.
Анализ рисков производится в несколько этапов:
Инвентаризация информационных ресурсов.
Проводится экспертная оценка инвентаризации информации, результатом которой является перечень ценной информации:
Информационные ресурсы: 1. Архив (сведения о сотрудниках и др. общие сведения). 2. Годовой отчет. 3. Годовой план работы. 4. Данные о материально-техническом обеспечении. 5. Договора со сторонними организациями. 6. Документы с подписями. 7. Другие документы (записки, напоминания). 8. Журналы о регистрации посещений (мониторинг). 9. Индивидуальные планы и ежемесячные отчеты сотрудников. 10. Интернет-трафик. 11. Лицензии (договора, протоколы). 12. Лицензии (ключи). 13. Личная конфиденциальная информация. 14. Личные материалы сотрудников. 15. Письма от сторонних организаций. 16. Письма сторонним организациям. 17. Технические паспорта устройств с секретным кодом. 18. Отчет о внутриорганизационных совещаниях. 19. Персональная информация о сотрудниках. 20. Планы и отчеты. 21. Приказы и распоряжения. 22. Протокол заседания совета директоров. 23. Протоколы. 24. Система контроля исполнения документов. 25. Финансовые документы
Оценка стоимости информации.
Далее необходимо определить цену информации. Часто этот этап является самым сложным, так как цену информации не может оценить специалист по информационной безопасности, ее оценивает владелец информации. Экспертная комиссия определила следующие параметры, которые в дальнейшем используются для оценки информации:
• количество уровней критичности информации – 4:
1. Низкий – уровень критичности от 1 до 25,
2. Средний– уровень критичности от 26 до 50,
3. Высокий– уровень критичности от 51 до 75,
4. Максимальный– уровень критичности от 76 до 100;
• оценку уровней – исходя из приблизительной оценки затрат на восстановление, потерь при нарушении условий конфиденциальности, целостности и доступности.
Таким образом, учитывая, что фирма занимается производством бурового инструмента для нефтегазодобывающей промышленности и имеет собственные, закрытые, технологии производства, представляющие коммерческую ценность присвоим информации Максимальный уровень критичности.
Оценка информационных рисков
Определив критичность информации, угрозы и уязвимости информационной системы, в которой она обрабатывается, можно приступить к оценке рисков.
В широком смысле измерение риска может рассматриваться как описание видов неблагоприятных действий, влиянию которых может подвергнуться система и вероятностей того, что эти действия могут произойти. Результат этого процесса должен определить степень риска для определенных ценностей. Этот результат важен, поскольку является основой для выбора средств защиты и решений по минимизации риска.
Мера риска может быть представлена в качественных, количественных, одномерных или многомерных терминах.
Количественные подходы связаны с измерением риска в терминах денежных потерь.
Качественные – с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования.
Одномерные – рассматривают только ограниченные компоненты (риск = величина потери * частота потери).
Многомерные подходы рассматривают дополнительные компоненты в измерении риска, такие, как надежность, безопасность или производительность.
В простейшем случае используется оценка двух факторов: вероятность происшествия или частота реализации и возможные потери. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:
РИСК = Pреализации * ЦЕНА ПОТЕРИ
Если переменные являются количественными величинами — риск это оценка математического ожидания потерь.
Расчет ущерба, понесенного владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения
Прибыль, оставшуюся в распоряжении нарушителя прав в течении года рассчитать по формуле:
Пt = (Rt — Сt — Ht)at
Пt — прибыль, оставшаяся в распоряжении нарушителя прав в течении года t;
Rt – выручка от реализации продукции, созданной на базе противоправного использования информации в году t;
Ct – себестоимость продукции, выпущенной в году t;
Ht – общая сумма налогов и других выплат, которые были произведены в году t.
a = (1+Е)tp-t
a — коэффициент приведения разновременных результатов;
tp — год расчета;
Е — коэффициент доходности капитала (20%);
t — текущий год.
Фирма в среднем продает около 100 различных буровых установок в год., около 200 шт. инструмента.
Стоимость буровой установки от 200 тыс. руб. до 550 тыс. руб., бурового инструмента 100 – 200 тыс. руб.
Вычислим прибыль по средним показателям:
Пt =((375 000 * 100 +150 000 * 200)-7 500 000 -6 000 000-1 000 000)*20%=((37 500 000+30 000 000)-30 000 000-24 000 000 – 1 000 000)20%= 12 500 000*20%=2 500 000 руб.
Упр = Ср • Пt
Упр – ущерб, понесенный владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения;
Ср – среднестатистическая ставка роялти (периодический платеж за право пользоваться лицензией на товары, изобретения, патенты, нововведения, выпуск книг, прокат фильмов; обычно исчисляется в процентах от стоимости продаж), дается в процентах от годовой прибыли;
Пt – общий ущерб владельца информации.
«Стандартной» ставкой роялти при использовании прибыли (дохода) как базы считают 25–30%.
Таким образом, получим
Упр =2 500 000*30%=750 000 рублей.
Стоимостная оценка предотвращенного ущерба
Рсум = Упр + Робщ
Рсум – стоимостная оценка предотвращенного ущерба;
Упр – ущерб, понесенный владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения;
Робщ – общий ущерб владельца информации (Пt).
Рсум = 2 500 000 + 750 000 = 3 250 000 руб.
Расчет экономической эффективности системы защиты информации
ЭЗИ – эффективность ЗИ;
Рсум – стоимостная оценка предотвращенного ущерба;
ЗЗИ – суммарные затраты на ЗИ (величина расходов на создание и эксплуатацию системы в год).
Рсум = 3 250 000 рублей
ЗЗИ= 45 175 рублей.
Таким образом, экономическая эффективность защиты информации очевидна, величина предотвращенного ущерба в 71 раз превышает величину расходов на создание и эксплуатацию системы в год.
ЗАКЛЮЧЕНИЕ
В ходе написания курсовой работы был рассмотрен комплекс вопросов, связанных с проблемами защиты конфиденциальной информации в коммерческом предприятии.
Был проведен анализ существующей системы информационной безопасности коммерческого предприятия ООО «Санвэйс». Построена модель угроз и определены риски возникновения инцидентов нарушения целостности экономической информации инфраструктуры ООО «Санвэйс». Определена область применения системы информационной безопасности. Разработана система информационной безопасности ООО «Санвэйс». Дано технико-экономическое обоснование от внедрения новой системы информационной безопасности.
Для нейтрализации актуальных угроз несанкционированного доступа осуществлены следующие мероприятия:
- разработаны контекстные и DFD-диаграммы инфраструктуры ООО «Санвэйс» по информационной безопасности и защите от несанкционированного доступа, позволяющие строить политику безопасности;
- обеспечен подход к защите сетевого периметра и выбран межсетевой экран UserGate Proxy & Firewall 5.2 F, который является эффективной альтернативой дорогим программным и аппаратным межсетевым экранам, используемым для защиты информации и соответствует четвертому классу защиты РД по МЭ;
- выбрано криптографическое средство защиты от несанкционированного доступа - СКЗИ "ViPNet CSP", которое может использоваться для защиты информации в АС до 1В и ИСПДн до первого класса включительно;
- определено средство обнаружения вторжений и антивирус - SSEP, которое защищает компьютер от сетевых вторжений, вредоносных программ и спама;
- рассмотрена возможность выбора и установки на сервере администратора комплексного средства защиты информации от несанкционированного доступа Secret Net 7, предназначеного для защиты информации, составляющей коммерческую или государственную тайну или относящейся к персональным данным.
- присвоен информации Максимальный уровень критичности.
В результате проведенных расчетов была доказана экономическая эффективность защиты информации, величина предотвращенного ущерба в 71 раз превышает величину расходов на создание и эксплуатацию системы в год.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
- Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 29.07.2017) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.11.2017).
- Федеральный закон от 28.12.2010 N 390-ФЗ (ред. от 05.10.2015) "О безопасности"
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) "О персональных данных"
- Указ Президента РФ от 06.03.1997 N 188 (ред. от 13.07.2015) "Об утверждении Перечня сведений конфиденциального характера".
- Указ Президента РФ от 17.03.2008 N 351 (ред. от 22.05.2015) "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена".
- Галатенко, В.А. Основы информационной безопасности. Интернет-университет информационных технологий − ИНТУИТ.ру, 2008.
- Жуков, Ю. Основы веб-хакинга. Нападение и защита. Учебное пособие [Текст] / Ю. Жуков. - Питер, 2010. - 176 с.
- Избачков Ю.С. Информационные системы / Ю.С. Избачков, В.И. Петров. СПб.: Питер, 2005.
- Лэнс, Д. Фишинг. Техника компьютерных преступлений. Учебное пособие [Текст] / Д. Лэнс. - НТ Пресс, 2008. - 320 с.
- Мельников, В.П. Информационная безопасность. Учебное пособие [Текст] / В.П. Мельников, С.А. Клейменов, А.М. Петраков. - Академия, 2009. - 336 с.
- Фостер, Д. Разработка средств безопасности и эксплойтов. Учебное пособие [Текст] / Д. Фостер. - Питер, 2007. - 418 с.: ил. - 3000 экз. - ISBN: 978-5-91180-422-0
- Чипига, А.Ф. Информационная безопасность автоматизированных систем: учеб. пособие для студентов вузов, обучающихся по специальностям в обл. информ. безопасности [Текст] / А.Ф. Чипига. - М.: Гелиос АРМ, 2010. - 336 с.
- Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей. Учебное пособие [Текст] / В.Ф. Шаньгин - М.: "ФОРУМ": ИНФРА-М, 2008.
- Уставные документы ООО «Санвэйс»
- http://www.npo-echelon.ru/production/69/4851 - Система Cisco ASA 5510.
- https: // www.safe-line.ru/products/securitycode/ssep/ - Security Studio Endpoint Protection
- http://xn--h1anfb. xn--p1ai/szi-ot-nsd/secret-net/ - средство защиты информации от несанкционированного доступа СЗИ Secret Net 7.