Файл: Разработка концепции и структуры построения системы управления инцидентами информационной безопасности в организации».pdf

Таблица 3.1- Сравнительная характеристика антивирусных программ

Продукт	Сертификат	Защита	Перегружае-мость ЦП	Быстрота проверки	Стоимость, руб.
Касперский	Да	5	Да	1,5	4479
McAfee	Нет	3,5	Да	3	1432
Dr. Web	Да	4	Да	5	6132
AVG	Да	3,5	Нет	4	1740
Symantec	Да	4	Нет	3,5	910
ESET NOD32	Да	4	Нет	5	1300

Исходя из данной таблицы, ESET NOD32 был выбран наиболее лучшим среди своих аналогов, поскольку является сертифицированным ФСТЭК средством защиты, быстрее и эффективнее остальных обнаруживает угрозы и является относительно недорогим.

Для контроля доступа к важнейшим ресурсам нужно использовать аппаратно-программную систему защиты, такую как «МДЗ-Эшелон», АПМДЗ «КРИПТОН-ЗАМОК», Аккорд-АМДЗ или ПАК «СОБОЛЬ». Такие средств защиты необходимы для воспрепятствования несанкционированному запуску пользовательского компьютера, возможности доступа к конфиденциальной информации и загрузке ОС.

В таблице 3.2 приведен сравнительный анализ данных средств защиты. [27]

Таблица 3.2- Аппаратно-программные средства, сравнение

В качестве программно- аппаратного средства защиты предложено выбрать «МДЗ-Эшелон», поскольку он наравне с аналогами поддерживает практически любую операционную систему и файловую систему, но является наиболее дешевым средством защиты.

3.3 Политика безопасности

На основе полученного устройства сети, ПО, различных средств зашиты должна быть сформирована базовая политика безопасности предприятия для всех пользователей сети и администраторов.

Политика безопасности должна регламентировать:

1)Порядок доступа к информации;

При работе с конфиденциальными источниками руководству необходимо разграничить доступ к ним, назначить ответственных за защиту лиц, которые буду следить за тем, чтобы информацию из таких источников не удаляли, не читали и не копировали те лица, которые к ней не допущены.

---

Доступ к сети должен осуществляться исключительно по средству индивидуального пароля, который должен оставаться уникальным, тайным.

2)Работу с системами криптографии;

К таким системам должны допускаться лица, имеющие разрешение от вышестоящего руководства. Секретные ключи шифрования должны храниться исключительно в сейфах и под ответственностью уполномоченных лиц, которые должны исключить возможность доступа к носителям ключей неуполномоченных лиц.

Запрещается выводить куда-либо секретные ключи, использовать секретные ключи в неположенных режимах, вводить отличную от ключей информацию на их носители.

В случае компрометации ключей:

прекратить их использование;

остановить все операции, в которых они взаимодействуют;

сменить пароли и ключи;

провести расследование;

отразить результаты расследования в специализированном акте.

3)Физическая безопасность;

Абсолютно все объекты, имеющие отношение к безопасности информации (маршрутизатор, сервера баз данных, файервол), должны находиться в помещении, отделенном от основного, с ограниченным доступом.

Вход в такое помещение возможен только через оснащенную замками металлическую дверь, которая выводится через средства слежения на мониторы охраны.

В помещении должна иметься сигнализация, вентиляция, сейф (для хранения паролей и ключевой информации).

Доступ посторонним лицам должен быть запрещен, а иные лица (обслуживающий, технический персонал) имеют право находиться в помещении исключительно в присутствии работников, имеющих такой доступ.

4)Разграничение доступа;

Обязателен пароль на входе в сеть с возможностью идентифицировать работника, подключившегося к ней, который нельзя разглашать, держать в открытом доступе на бумажном или ином носителе, который в случае компрометации необходимо сменить.

При работе с базами данных также необходим пароль, отличный от всех других паролей, удовлетворяющий необходимым требованиям, который не подлежит разглашению и использованию иными лицами.

Все действия с базами данных должны протоколироваться в специальный журнал операций.

5)Работу с Интернетом;

Работать с ресурсами Интернета разрешено только сотрудникам, имеющим в индивидуальной форме разрешение от руководства.

Запрещается:

Устанавливать и скачивать ПО;

Заходить на сайты, не имеющие отношения к служебным обязанностям;

Распространять адрес почты в нерабочих целях;

Осуществлять рассылку или подписку на рассылку нерабочей информации;

---

Осуществлять продажу или покупку в непроизводственных целях по средству Интернета.

6)Резервирование информации.

Для обеспечения защиты информации от возможного уничтожения, подмены, распространения необходимо ее дублировать и резервировать специальным образом с использованием аппаратных и физических носителей.

Ответственность за данные действия необходимо возложить на штатных программистов. [12]

3.4 Экономический расчет проекта

Для того чтобы понять во сколько компании обойдется данный проект по защите информации, необходимо провести анализ требуемых средств защиты и их стоимости.

Реализация проекта включает в себя: затраты на покупку ПО и оборудования, затраты на средства защиты, затраты на 1 автоматизированное рабочее место и затраты на организацию сегмента сети. В компании используется 20 ПЭВМ и лишь 16 из них имеют доступ к персональным данным.

Ниже в таблицах 3.3 и 3.4 представлены затраты на покупку средств защиты ЛВС.

Таблица 3.3- Затраты на покупку персональных ЭВМ

Название	Количество,шт	Стоимость,руб	Сумма,руб
ЭВМ на МСЭ	3	11243	33729
ЭВМ на IDS	3	12046	36138
Серверы ПДн	2	12294	24588
Терминальный сервер для 1С	1	12600	12600
Итого			107055

Таблица 3.4- Затраты на средства защиты

Название	Количество,шт	Стоимость,руб	Сумма,руб
Лицензия для антивируса ESET NOD 32	20	1300	26000
Лицензия VipNet Office Firewall	3	14278	42834
Honeypot Manager 2.0	3	34000	102000
VipNet Client 3.2	1	16240	16240
МДЗ-Эшелон	20	5600	112000
Итого			299074

На ввод в эксплуатацию средств защиты локальной сети потребуется 406129 рублей. Также в таблице 3.5 представлен расчет средств на 1 АРМ.

Таблица 3.5- Расходы на 1 автоматизированное рабочее место

---

Название	Стоимость,руб
Лицензия для антивируса ESET NOD32	1300
МДЗ-Эшелон	5600
Итого	6900

В случае если данное рабочее место будет использоваться для связи с иными организациями, расход на него увеличится на 16240 рублей и будет составлять 23140 рублей.

«Строй-Данс-Ю» не обладает большим бюджетом и данной компании требуется понизить нагрузку на бюджет, ввиду чего будет предложено организовать сегмент сети, на который потребуется определенный объем средств, представленный в таблице 3.6.

Таблица 3.6- Расход средств на организацию сегмента сети

Название	Количество,шт.	Стоимость,руб.	Сумма,руб.
ЭВМ для МСЭ	1	11243	11243
Лицензия VipNet Office Firewall	1	14278	14278
Honeypot Manager 2.0	1	34000	34000
Сервер ПДн	1	12294	12294
Итого			71815

В предложенной главе описан расчет стоимости проекта по защите информации предприятия. Ввиду того, что организация является небольшой, предложены рекомендации по возможному уменьшению нагрузки на бюджет.

Заключение

В работе были рассмотрены основные предпосылки создания данной системы, а именно: законодательные аспекты, возможные угрозы безопасности и их источники.

Далее было предложено рассмотреть устройство информационных систем персональных данных. Наиболее подробно были рассмотрены существующие модели представления данных, что такое база персональных данных, каково устройство локальных вычислительных сетей (ЛВС) и каковы их угрозы, какие существуют основные технические и организационные средства защиты и как наладить цикл обработки персональных данных, чтобы система оказалась защищенной.

После проведения теоретического анализа, была предложена общо система, позволяющая обеспечить безопасность информационной системы компании, которая включает в себя: основные мероприятия по защите ЛВС и базы данных, программные и аппаратные средства защиты, базовую политику безопасности.

---

Список используемой литературы

1. Конституция Российской Федерации. Статья 23
2. Конституция Российской Федерации. Статья 24
3. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных" (с изм. и доп., вступ. в силу с 01.09.2015)
4. Приказ ФСТЭК России от 18 февраля 2013 г. N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
5. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 13.07.2015) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 10.01.2016)
6. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ (ред. от 30.12.2015). Глава 14 «Защита персональных данных работника»
7. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
8. ФСТЭК: Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка).
9. ФСТЭК. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (выписка).
10. ФСТЭК. Государственный реестр сертифицированных средств защиты информации N РОСС RU.0001.01БИ00
11. ГОСТ 19781-90 Обеспечение систем обработки информации программное. Термины и определения.
12. В.Ф. Шаньгин - Информационная безопасность компьютерных систем и сетей, Москва, ИД «ФОРУМ» - ИНФРА-М, 2016г.
13. Хомоненко А.Д., Цыганков В.М., Мальцев М.Г. Базы данных; Учебник для высших учебных заведений / Под ред. проф. А.Д. Хомоненко. - 4-е изд., доп. и перераб. - СПб.: КОРОНА принт, 2014. - 736 с.
14. Карпов Т.С. Базы данных: модели, разработка, реализация. Учебник.- СПб.:Питер,2015.
15. Ржавский К.В. Информационная безопасность: практическая защита информационных технологий и телекоммуникационных систем: Учебное пособие. Волгоград: Изд-во ВолГУ, 2012. - 122с. - (Серия «Информационная безопасность»).
16. Гагарина Л.Г., Кокорева Е.В., Виснадул Б.Д. Технология разработки программного обеспечения. - М.: ИД «ФОРУМ»; ИНФРА-М, 2016.
17. Щербаков А.Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. - М.: Книжный мир, 2015. - 352 с.
18. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - М.: Академический Проект; Гаудеамус, 2-е изд.- 2014. - 544 с.
19. Скляров Д.В. Искусство защиты и взлома информации. - СПб.: БХВ-Петербург, 2014. - 288 с.
20. Братищенко В.В. Проектирование информационных систем. - Иркутск: Изд-во БГУЭП, 2014. - 84 с.
21. Хорев А.А. Способы и средства зашиты информации. - М.: МО РФ, 2015. - 316 с.
22. Шабуров А.С. Информационная безопасность предприятия: Учебно-методическое пособие. – Перм. нац. исслед. политехн. ун-т. – Пермь, 2016., 68 с.
23. Э. Мэйволд - Безопасность сетей [Электронный ресурс] - Режим доступа: <http://www.intuit.ru/department/security/netsec/11/1.html>.
24. Обнаружение сетевых атак [Электронный ресурс] - Режим доступа:< http://www.osp.ru/pcworld/2003/06/165957/>
25. Егорова И.С. - Работа с персональными данными: новые правила [Электронный ресурс]-Режим доступа: <http://www.stroychet.ru/article/10189-rabota-s-personalnymi-dannymi-novye-pravila>
26. Шпионские гаджеты от АНБ [Электронный ресурс]- Режим доступа: <https://habrahabr.ru/post/209746/>
27. Модули доверенной загрузки [Электронный ресурс]- Режим доступа: <http://npo-echelon.ru/production/77/>
28. Обзор системы «1С:Предприятие 8» [Электронный ресурс]- Режим доступа:< http://v8.1c.ru/overview/>
29. Защита персональных данных сотрудников [Электронный ресурс]- Режим доступа: < http://usn.berator.ru/enc/siv/30/10/10/>
30. Преимущества терминального сервера [Электронный ресурс]- Режим доступа: < http://etersoft.ru/client/special/terminal>
31. Общие вопросы технической защиты информации [Электронный ресурс]- Режим доступа:< http://www.intuit.ru/studies/courses/2291/591/info>

---