Файл: Разработка концепции и структуры построения системы управления инцидентами информационной безопасности в организации».pdf
Добавлен: 18.06.2023
Просмотров: 39
Скачиваний: 3
Таблица 3.1- Сравнительная характеристика антивирусных программ
Продукт |
Сертификат |
Защита |
Перегружае-мость ЦП |
Быстрота проверки |
Стоимость, руб. |
Касперский |
Да |
5 |
Да |
1,5 |
4479 |
McAfee |
Нет |
3,5 |
Да |
3 |
1432 |
Dr. Web |
Да |
4 |
Да |
5 |
6132 |
AVG |
Да |
3,5 |
Нет |
4 |
1740 |
Symantec |
Да |
4 |
Нет |
3,5 |
910 |
ESET NOD32 |
Да |
4 |
Нет |
5 |
1300 |
Исходя из данной таблицы, ESET NOD32 был выбран наиболее лучшим среди своих аналогов, поскольку является сертифицированным ФСТЭК средством защиты, быстрее и эффективнее остальных обнаруживает угрозы и является относительно недорогим.
Для контроля доступа к важнейшим ресурсам нужно использовать аппаратно-программную систему защиты, такую как «МДЗ-Эшелон», АПМДЗ «КРИПТОН-ЗАМОК», Аккорд-АМДЗ или ПАК «СОБОЛЬ». Такие средств защиты необходимы для воспрепятствования несанкционированному запуску пользовательского компьютера, возможности доступа к конфиденциальной информации и загрузке ОС.
В таблице 3.2 приведен сравнительный анализ данных средств защиты. [27]
Таблица 3.2- Аппаратно-программные средства, сравнение
В качестве программно- аппаратного средства защиты предложено выбрать «МДЗ-Эшелон», поскольку он наравне с аналогами поддерживает практически любую операционную систему и файловую систему, но является наиболее дешевым средством защиты.
На основе полученного устройства сети, ПО, различных средств зашиты должна быть сформирована базовая политика безопасности предприятия для всех пользователей сети и администраторов.
Политика безопасности должна регламентировать:
1)Порядок доступа к информации;
При работе с конфиденциальными источниками руководству необходимо разграничить доступ к ним, назначить ответственных за защиту лиц, которые буду следить за тем, чтобы информацию из таких источников не удаляли, не читали и не копировали те лица, которые к ней не допущены.
Доступ к сети должен осуществляться исключительно по средству индивидуального пароля, который должен оставаться уникальным, тайным.
2)Работу с системами криптографии;
К таким системам должны допускаться лица, имеющие разрешение от вышестоящего руководства. Секретные ключи шифрования должны храниться исключительно в сейфах и под ответственностью уполномоченных лиц, которые должны исключить возможность доступа к носителям ключей неуполномоченных лиц.
Запрещается выводить куда-либо секретные ключи, использовать секретные ключи в неположенных режимах, вводить отличную от ключей информацию на их носители.
В случае компрометации ключей:
прекратить их использование;
остановить все операции, в которых они взаимодействуют;
сменить пароли и ключи;
провести расследование;
отразить результаты расследования в специализированном акте.
3)Физическая безопасность;
Абсолютно все объекты, имеющие отношение к безопасности информации (маршрутизатор, сервера баз данных, файервол), должны находиться в помещении, отделенном от основного, с ограниченным доступом.
Вход в такое помещение возможен только через оснащенную замками металлическую дверь, которая выводится через средства слежения на мониторы охраны.
В помещении должна иметься сигнализация, вентиляция, сейф (для хранения паролей и ключевой информации).
Доступ посторонним лицам должен быть запрещен, а иные лица (обслуживающий, технический персонал) имеют право находиться в помещении исключительно в присутствии работников, имеющих такой доступ.
4)Разграничение доступа;
Обязателен пароль на входе в сеть с возможностью идентифицировать работника, подключившегося к ней, который нельзя разглашать, держать в открытом доступе на бумажном или ином носителе, который в случае компрометации необходимо сменить.
При работе с базами данных также необходим пароль, отличный от всех других паролей, удовлетворяющий необходимым требованиям, который не подлежит разглашению и использованию иными лицами.
Все действия с базами данных должны протоколироваться в специальный журнал операций.
5)Работу с Интернетом;
Работать с ресурсами Интернета разрешено только сотрудникам, имеющим в индивидуальной форме разрешение от руководства.
Запрещается:
Устанавливать и скачивать ПО;
Заходить на сайты, не имеющие отношения к служебным обязанностям;
Распространять адрес почты в нерабочих целях;
Осуществлять рассылку или подписку на рассылку нерабочей информации;
Осуществлять продажу или покупку в непроизводственных целях по средству Интернета.
6)Резервирование информации.
Для обеспечения защиты информации от возможного уничтожения, подмены, распространения необходимо ее дублировать и резервировать специальным образом с использованием аппаратных и физических носителей.
Ответственность за данные действия необходимо возложить на штатных программистов. [12]
3.4 Экономический расчет проекта
Для того чтобы понять во сколько компании обойдется данный проект по защите информации, необходимо провести анализ требуемых средств защиты и их стоимости.
Реализация проекта включает в себя: затраты на покупку ПО и оборудования, затраты на средства защиты, затраты на 1 автоматизированное рабочее место и затраты на организацию сегмента сети. В компании используется 20 ПЭВМ и лишь 16 из них имеют доступ к персональным данным.
Ниже в таблицах 3.3 и 3.4 представлены затраты на покупку средств защиты ЛВС.
Таблица 3.3- Затраты на покупку персональных ЭВМ
Название |
Количество,шт |
Стоимость,руб |
Сумма,руб |
ЭВМ на МСЭ |
3 |
11243 |
33729 |
ЭВМ на IDS |
3 |
12046 |
36138 |
Серверы ПДн |
2 |
12294 |
24588 |
Терминальный сервер для 1С |
1 |
12600 |
12600 |
Итого |
107055 |
Таблица 3.4- Затраты на средства защиты
Название |
Количество,шт |
Стоимость,руб |
Сумма,руб |
Лицензия для антивируса ESET NOD 32 |
20 |
1300 |
26000 |
Лицензия VipNet Office Firewall |
3 |
14278 |
42834 |
Honeypot Manager 2.0 |
3 |
34000 |
102000 |
VipNet Client 3.2 |
1 |
16240 |
16240 |
МДЗ-Эшелон |
20 |
5600 |
112000 |
Итого |
299074 |
На ввод в эксплуатацию средств защиты локальной сети потребуется 406129 рублей. Также в таблице 3.5 представлен расчет средств на 1 АРМ.
Таблица 3.5- Расходы на 1 автоматизированное рабочее место
Название |
Стоимость,руб |
Лицензия для антивируса ESET NOD32 |
1300 |
МДЗ-Эшелон |
5600 |
Итого |
6900 |
В случае если данное рабочее место будет использоваться для связи с иными организациями, расход на него увеличится на 16240 рублей и будет составлять 23140 рублей.
«Строй-Данс-Ю» не обладает большим бюджетом и данной компании требуется понизить нагрузку на бюджет, ввиду чего будет предложено организовать сегмент сети, на который потребуется определенный объем средств, представленный в таблице 3.6.
Таблица 3.6- Расход средств на организацию сегмента сети
Название |
Количество,шт. |
Стоимость,руб. |
Сумма,руб. |
ЭВМ для МСЭ |
1 |
11243 |
11243 |
Лицензия VipNet Office Firewall |
1 |
14278 |
14278 |
Honeypot Manager 2.0 |
1 |
34000 |
34000 |
Сервер ПДн |
1 |
12294 |
12294 |
Итого |
71815 |
В предложенной главе описан расчет стоимости проекта по защите информации предприятия. Ввиду того, что организация является небольшой, предложены рекомендации по возможному уменьшению нагрузки на бюджет.
Заключение
В работе были рассмотрены основные предпосылки создания данной системы, а именно: законодательные аспекты, возможные угрозы безопасности и их источники.
Далее было предложено рассмотреть устройство информационных систем персональных данных. Наиболее подробно были рассмотрены существующие модели представления данных, что такое база персональных данных, каково устройство локальных вычислительных сетей (ЛВС) и каковы их угрозы, какие существуют основные технические и организационные средства защиты и как наладить цикл обработки персональных данных, чтобы система оказалась защищенной.
После проведения теоретического анализа, была предложена общо система, позволяющая обеспечить безопасность информационной системы компании, которая включает в себя: основные мероприятия по защите ЛВС и базы данных, программные и аппаратные средства защиты, базовую политику безопасности.
Список используемой литературы
- Конституция Российской Федерации. Статья 23
- Конституция Российской Федерации. Статья 24
- Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015)
- Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
- Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 13.07.2015) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 10.01.2016)
- Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (ред. от 30.12.2015). Глава 14 «Защита персональных данных работника»
- Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
- ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка).
- ФСТЭК. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (выписка).
- ФСТЭК. Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00
- ГОСТ 19781-90 Обеспечение систем обработки информации программное. Термины и определения.
- В.Ф. Шаньгин - Информационная безопасность компьютерных систем и сетей, Москва, ИД «ФОРУМ» - ИНФРА-М, 2016г.
- Хомоненко А.Д., Цыганков В.М., Мальцев М.Г. Базы данных; Учебник для высших учебных заведений / Под ред. проф. А.Д. Хомоненко. - 4-е изд., доп. и перераб. - СПб.: КОРОНА принт, 2014. - 736 с.
- Карпов Т.С. Базы данных: модели, разработка, реализация. Учебник.- СПб.:Питер,2015.
- Ржавский К.В. Информационная безопасность: практическая защита информационных технологий и телекоммуникационных систем: Учебное пособие. Волгоград: Изд-во ВолГУ, 2012. - 122с. - (Серия «Информационная безопасность»).
- Гагарина Л.Г., Кокорева Е.В., Виснадул Б.Д. Технология разработки программного обеспечения. - М.: ИД «ФОРУМ»; ИНФРА-М, 2016.
- Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2015. - 352 с.
- Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический Проект; Гаудеамус, 2-е изд.- 2014. - 544 с.
- Скляров Д.В. Искусство защиты и взлома информации. - СПб.: БХВ-Петербург, 2014. - 288 с.
- Братищенко В.В. Проектирование информационных систем. - Иркутск: Изд-во БГУЭП, 2014. - 84 с.
- Хорев А.А. Способы и средства зашиты информации. - М.: МО РФ, 2015. - 316 с.
- Шабуров А.С. Информационная безопасность предприятия: Учебно-методическое пособие. – Перм. нац. исслед. политехн. ун-т. – Пермь, 2016., 68 с.
- Э. Мэйволд - Безопасность сетей [Электронный ресурс] - Режим доступа: <http://www.intuit.ru/department/security/netsec/11/1.html>.
- Обнаружение сетевых атак [Электронный ресурс] - Режим доступа:< http://www.osp.ru/pcworld/2003/06/165957/>
- Егорова И.С. - Работа с персональными данными: новые правила [Электронный ресурс]-Режим доступа: <http://www.stroychet.ru/article/10189-rabota-s-personalnymi-dannymi-novye-pravila>
- Шпионские гаджеты от АНБ [Электронный ресурс]- Режим доступа: <https://habrahabr.ru/post/209746/>
- Модули доверенной загрузки [Электронный ресурс]- Режим доступа: <http://npo-echelon.ru/production/77/>
- Обзор системы «1С:Предприятие 8» [Электронный ресурс]- Режим доступа:< http://v8.1c.ru/overview/>
- Защита персональных данных сотрудников [Электронный ресурс]- Режим доступа: < http://usn.berator.ru/enc/siv/30/10/10/>
- Преимущества терминального сервера [Электронный ресурс]- Режим доступа: < http://etersoft.ru/client/special/terminal>
- Общие вопросы технической защиты информации [Электронный ресурс]- Режим доступа:< http://www.intuit.ru/studies/courses/2291/591/info>