Загрузил sergey_aka_pit

Studbooks 231218

реклама
Studlancer.net - закажи реферат, курсовую, диплом!
Дипломная работа
на тему: "Информационная безопасность в ГУП ОЦ "Московский дом
книги""
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Оглавление
Введение
1. Аналитическая часть
1.1 Технико-экономическая характеристика предметной области и
предприятия. Анализ деятельности "КАК ЕСТЬ"
1.1.1 Характеристика предприятия и его деятельности
1.1.2 Организационная структура управления предприятием
1.1.3 Программная и техническая архитектура ИС предприятия
1.2 Характеристика комплекса задач, задачи и обоснование необходимости
автоматизации
1.2.1 Выбор комплекса задач автоматизации и характеристика
существующих бизнес-процессов
1.2.2 Определение места проектируемой задачи в комплексе задач
1.2.3 Обоснования необходимости использования вычислительной техники
для решения задачи
1.2.4 Анализ системы обеспечения информационной безопасности и защиты
информации
1.3 Анализ существующих разработок и выбор стратегии автоматизации
"КАК ДОЛЖНО БЫТЬ"
1.3.1 Анализ существующих разработок для автоматизации задачи
1.3.2 Выбор и обоснование стратегии автоматизации задачи
1.3.3 Обоснование предлагаемых средств автоматизации системы
обеспечения информационной безопасности и защиты информации
предприятия
2. Разработка проекта системы обеспечения информационной безопасности и
защиты информации предприятия
2.1 Комплекс проектируемых нормативно-правовых и организационноадминистративных средств обеспечения информационной безопасности и
защиты информации предприятия
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
2.1.1 Отечественная и международная нормативно-правовая основа создания
системы обеспечения информационной безопасности и защиты информации
предприятия
2.1.2 Организационно-административная основа создания системы
обеспечения информационной безопасности и защиты информации
предприятия
2.1.3 Обоснование выбранной политики информационной безопасности
предприятия
2.2 Комплекс проектируемых программно-аппаратных средств обеспечения
информационной безопасности и защиты информации предприятия
2.2.1 Общие положения
2.2.2 Структура программно-аппаратного комплекса информационной
безопасности и защиты информации предприятия
2.2.3 Контрольный пример реализации проекта и его описание
2.3 Комплекс проектируемых инженерно-технических средств обеспечения
информационной безопасности и защиты информации предприятия
2.3.1 Общие положения
2.3.2 Структура инженерно-технического комплекса информационной
безопасности и защиты информации предприятия
2.3.3 Контрольный пример реализации проекта и его описание
3. Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
Заключение
Список нормативных актов и литературы
Приложение 1
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Введение
Государственное
унитарное
предприятие
города
Москвы
"Объединенный центр "Московский Дом Книги" создано в 1998 году
Постановлением Правительства города Москвы и является на данный момент
одним из крупнейших книготорговых предприятий.
Дипломный
проект
был
разработан
по
месту
прохождения
преддипломной практики. Практика в книжной компании "ГУП ОЦ
Московский дом книги" проходилась в роли системного администратора. В
ходе прохождения практики были выявлены недостатки безопасности
информационных
систем
организации
и
предложены
меры
по
их
устранению.
Теоретической
и
методологической
основой
проведенного
исследования послужили труды отечественных и зарубежных ученых в
области безопасности информационных систем. В работе использованы
законодательные акты и нормативные документы Российской Федерации,
периодические издания, учетные и отчетные данные организации. При
разработке и решении поставленных задач применялись методы наблюдения,
группировки, сравнения, обобщения, абстрактно-логические суждения и др.
Актуальность работы. Обеспечение информационной безопасности
является сегодня одним из основных требований к информационным
системам. Причина этого - неразрывная связь информационных технологий и
основных бизнес-процессов в любых организациях, будь то государственные
службы, промышленные предприятия, финансовые структуры, операторы
телекоммуникаций.
Обеспечение внутренней информационной безопасности является не
только российской, но и мировой проблемой. Если в первые годы внедрения
корпоративных
локальных
сетей
головной
болью
компаний
был
несанкционированный доступ к коммерческой информации путем внешнего
взлома (хакерской атаки), то сегодня с этим научились справляться. В ITРазмещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
отделе любой уважающей себя компании, как правило, имеется обширный
инструментарий антивирусов, ограждающих программ (файрволов) и других
средств борьбы с внешними атаками. Причем российские достижения в деле
обеспечения
внешней
безопасности
весьма
велики
-
отечественные
антивирусы считаются одними из лучших в мире.
С точки зрения информационной безопасности многие компании
сегодня напоминают крепости, окруженные несколькими периметрами
мощных стен. Однако практика показывает, что информация все равно
утекает. Отсюда вытекает необходимость разработки эффективной и
экономически выгодной системы безопасности информационных систем
предприятия.
Целью дипломного проекта является совершенствование системы
защиты информации в "ГУП ОЦ Московский дом книги". Объектом
дипломного
проектирования
является
–
технология
обеспечения
информационной безопасности, а предметом дипломного проектирования –
информационная безопасность предприятия.
В соответствии с целью были поставлены основные задачи дипломной
работы:
1. Рассмотреть аппаратно-программную, инженерно-техническую и
нормативно-правовую
базу
организации
защиты
информации
на
предприятии.
2.
Проанализировать
систему
обеспечения
информационной
безопасности защиты информации на "ГУП ОЦ Московский дом книги".
3. Исследовать актуальные проблемы защиты информации для "ГУП
ОЦ Московский дом книги".
4. Разработать и внедрить комплекс практических предложений и
мероприятий по обеспечению информационной безопасности и защите
информации на предприятии "ГУП ОЦ Московский дом книги".
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
1. Аналитическая часть
1.1 Технико-экономическая характеристика предметной области и
предприятия. Анализ деятельности "КАК ЕСТЬ"
1.1.1 Характеристика предприятия и его деятельности
Государственное
унитарное
предприятие
города
Москвы
"Объединенный центр "Московский Дом Книги" создано в 1998 году
Постановлением Правительства города Москвы.
Основная цель функционирования предприятия – продажа книжной
продукции в городе Москва.
"Московский Дом Книги" объединяет:
- МДК на Новом Арбате;
- 6 специализированных магазинов;
- 35 универсальных магазинов;
- 1 интернет-магазин.
Исследование РосБизнесКонсалтинга "Рынок книг и розничные сети по
продаже книжной продукции в России в 2010 году" показало, что в
настоящее время издательский бизнес в России находится под влиянием 2
основных факторов:
-
инерционное
влияние
последствий
финансово-экономического
кризиса;
- снижение читательской активности российского населения.
Отечественный рынок книжной продукции показал относительную
устойчивость во время кризиса, во многом благодаря высоким достижениям
книгопечатной отрасли в докризисный период. Поэтому снижение объемов
печатного производства оказалось не столь значительным по сравнению с
другими промышленными отраслями. Больше всего последствия финансовоэкономического кризиса отразились на динамике объема продаж книжной
продукции, которые снизились на 20%. Кризис неблагоприятно отразился на
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
книжной рознице, произошло сокращение числа книготорговых магазинов.
Наиболее устойчивым оказался книжный рынок Москвы (+1%). В регионах в
денежном
выражении
наибольшее
падение
рынка
наблюдалось
в
Приволжском (16%) и Сибирском федеральном округе (15%). В натуральном
выражении рынок упал сильнее всего в Сибирском (28%) и Дальневосточном
федеральном округе (27%).
В Москве действует несколько крупных книготорговых сетей.
Крупнейшей книготорговой системой города остается сеть "ГУП ОЦ
"Московский Дом Книги". Она превосходит другие сети и по количеству
магазинов, и по средней торговой площади магазина, и по доле крупных
магазинов в общем количестве, и по сроку работы на рынке, а по объему
товарооборота намного опережает все остальные сети, вместе взятые. В то же
время, судя по полученной информации, в сети МДК работает в среднем
гораздо большее количество сотрудников на магазин, чем в других сетях.
"Московский Дом Книги" представляет:
- 210 тысяч наименований книг
- 50 тысяч наименований канцелярской продукции
- 70 тыс. посетителей ежедневно
- 2 миллиарда рублей годовой розничный товарооборот
- более 25 млн. книг - суммарный объем продаж в год
- 7 млн. единиц канцелярских товаров.
Таблица
1.1.
Основные
технико-экономические
показатели
деятельности "ГУП ОЦ "Московский Дом Книги"
Показатели, единицы
Значение показателей
измерения
2007г
2008г.
Абсолютная
Абсолютна
Темп роста к
Абсолютная
Темп роста к
величина
я величина
предыдущему
величина
предыдущему
2009г.
году, %
году, %
Уставный капитал, тыс.руб.
30000
30000
-
30000
-
Выручка без НДС, тыс.руб.,
278000
364000
30,9
420000
15,4
Среднегодовая стоимость
112000
120000
4,3
130000
8,3
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
основных средств, тыс. руб.
Выручка от
-
-
-
-
-
126000
184000
46,1
205600
11,7
97000
109800
13,2
129100
17,6
Чистая прибыль, тыс.руб.
58810
71800
22,1
77500
7,9
Оборотные активы, тыс.руб.
51200
64700
26,4
85600
32,3
Среднесписочная
340
360
5,8
380
5,5
125400
138500
10,4
158900
14,7
68,14
84,26
31,4
92,11
9,3
–
1,19
–
0,95
–
внешнеэкономической
деятельности, тыс.руб.
Себестоимость продукции
(работ, услуг), тыс.руб.
Прибыль до
налогообложения, тыс.руб.
численность работающих,
чел.
Среднемесячная заработная
плата, руб./мес.
Среднемесячная выработка
на одного работающего,
тыс. руб.
Коэффициент опережения
темпов роста
производительности труда
над заработной платой
Таким образом, можно сделать выводы: уставный капитал предприятия
в анализируемом периоде не изменился. Далее положительные тенденции
можно отметить в выручке, которая в 2009 году выросла на 30,9 %, в 2010
году на 15,4 %. В связи с этим и увеличивается себестоимость в 2008 году на
46,1 %, в 2009 году на 11,7 %. Так же важно отметить, что чистая прибыль
увеличилась в 2009 году на 22,1%, однако в 2010 году всего лишь на 7,9 %.
На предприятии не смотря на увеличения численности персонала,
происходит рост среднемесячной производительности труда, в 2009 г. она
возросла на 31,4 %, а в 2010 г. на 9,3 %. При этом коэффициент опережения
темпов роста производительности труда над заработной платой в 2009 г. был
больше единицы, что свидетельствует о более высоких темпах роста
производительности труда, чем повышения оплаты труда. В тоже время в
2010 г. коэффициент опережения был меньше единицы, что является
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
отрицательной динамикой.
1.1.2 Организационная структура управления предприятием
"Московский Дом Книги" по организационно-правовой структуре
является
государственным
унитарным
предприятием.
Унитарное
предприятие в России - коммерческая организация, не наделённая правом
собственности на закреплённое за ней собственником имущество. Такие
предприятия именуются унитарными, поскольку их имущество является
неделимым и не может быть распределено по вкладам, паям, долям, акциям.
В
такой
форме
могут
быть
созданы
только
государственные
и
муниципальные предприятия. Имущество (соответственно государственное
или муниципальное) принадлежит унитарному предприятию на праве
хозяйственного ведения.
Учредительным документом унитарного предприятия является устав.
Вице-президенты, ответственные за конкретные товары, магазины и
административные
задачи,
подчиняются
председателю
правления
и
президенту фирмы.
Большинство менеджеров и работников подразделений работают в
магазинах, разбросанных по всему географическому региону, в котором
могут быть один-два распределительных центра. Руководители высшего
звена (старшие менеджеры) и работники товарного отдела, отдела кадров и
маркетинга работают в штаб-квартире фирмы. За финансово-хозяйственную
деятельность отвечает
бухгалтерия,
руководителем которой
является
главный бухгалтер.
За рекламную деятельность предприятия отвечает менеджер по
рекламе.
Организационная структура предприятия представлена на рисунке 1.1.
Данная схема показывает, что предприятие "ГУП ОЦ "Московский Дом
Книги" имеет линейно-функциональную организационную структуру.
Линейно-функциональная (штабная) структура – синтез линейного и
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
функционального управления. Здесь функциональные звенья теряют право
принятия
решения
и
непосредственного
руководства
нижестоящими
подразделениями. Они принимают участие в постановке задач, подготовке
решений, помогают линейному руководителю в реализации отдельных
функций
управления.
Руководители
функциональных
служб
через
вышестоящего линейного руководителя взаимодействуют с основными
управленческими звеньями.
Линейный принцип организации предприятия "ГУП ОЦ "Московский
Дом Книги" заключается и реализуется в линейных связях председателя
правления
с
руководителями
отделами
и
лицами,
входящими
в
управленческий аппарат.
Функциональный принцип осуществляется на основе функциональных
связей, где руководители функциональных подразделений распоряжаются
подразделениями по вопросам, входящих в сферу их компетенции.
Данная организационная структура имеет ряд недостатков:
- частая несогласованность между различными подразделениями;
- различная степень ответственности между подразделениями, что
обычно усложняет принятие оптимальных решений.
Но наряду с недостатками данная линейно-функциональная структура
имеет и ряд достоинств:
- исключение дублированности в функциональных подразделениях;
- четкая координированность действий.
Данная
организационная
структура
наиболее
сегодняшний день для предприятия.
Размещено на Studbooks.net
эффективна
на
Studlancer.net - закажи реферат, курсовую, диплом!
Рис. 1.1. Организационная структура управления "ГУП ОЦ "Московский Дом Книги"
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
1.1.3 Программная и техническая архитектура ИС предприятия
Рис. 1.2. Программная архитектура "ГУП ОЦ "Московский Дом Книги"
На схеме отображена серверная ОС, в рамках которой функционирует
два прикладных программных средства – веб-сервер Apache и СУБД MySQL.
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Рис. 1.3. Техническая архитектура ИС "ГУП ОЦ "Московский Дом
Книги"
Персональные компьютеры "ГУП ОЦ "Московский Дом Книги" имеют
следующую конфигурацию системы:
- центральный процессор: Intel(R)Core(TM) 2Duo CPU E7500 2,93GHz;
- оперативная память: 3,00 ГБ;
- видеокарта: Radeon X1600 Series Secondary.
1.2 Характеристика комплекса задач, задачи и обоснование
необходимости автоматизации
1.2.1 Выбор комплекса задач автоматизации и характеристика
существующих бизнес-процессов
Проблема безопасности информационных систем на "ГУП ОЦ
"Московский
Дом
Книги"
имеет
немаловажное
значение,
так
как
рассматриваемая организация осуществляет продажу книжной продукции не
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
только в специально оборудованных магазинах, но и через интернет.
В качестве объектов уязвимости рассматриваются:
-
динамический
вычислительный
процесс
обработки
данных,
автоматизированной подготовки решений и выработки управляющих
воздействий;
- информация, накопленная в базах данных;
- объектный код программ, исполняемых вычислительными средствами
в процессе функционирования ИС;
- информация, выдаваемая потребителям и на исполнительные
механизмы.
Рис. 1.4. Бизнес-процессы и функции "ГУП ОЦ "Московский Дом
Книги"
Все бизнес-процессы организации классифицируются на основные,
обеспечивающие, развития, управления.
Основные бизнес-процессы – непосредственно ориентированы на
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
производство
продукции,
представляющие
ценность
для
клиента
и
обеспечивающие получение дохода для предприятия.
Обеспечивающие
бизнес-процессы
–
вспомогательные
бизнес-
процессы, которые предназначены для обеспечения выполнения основных
процессов.
Фактически
обеспечивающие
бизнес-процессы
снабжают
ресурсами всю деятельность организации.
Бизнес-процессы управления – это бизнес-процессы, охватывающие
весь комплекс функций управления на уровне текущих действий и бизнессистемы в целом.
Бизнес-процессы развития – процессы совершенствования, освоения
новых направлений и технологий, а также инновации.
1.2.2 Определение места проектируемой задачи в комплексе задач
"Московский дом книги" является государственным предприятием и у
него по большей части имеются в использовании программы разработанные
сотрудниками компании. Т.е., кроме стандартной 1С, есть несколько
программ складского учета и аналита.
В ходе прохождения практики были выявлены внутренние и внешние
источники угроз безопасности информационных систем. Внутренними
источниками угроз безопасности функционирования ИС являются:
- системные ошибки при постановке целей и задач проектирования ИС,
формулировке требований к функциям и характеристикам решения задач,
определении условий и параметров внешней среды, в которой предстоит
применять ИС;
- алгоритмические ошибки проектирования при непосредственной
алгоритмизации функций программных средств и баз данных, при
определении структуры и взаимодействия компонент комплексов программ,
а также при использовании информации баз данных;
- ошибки программирования в текстах программ и описаниях данных, а
также в исходной и результирующей документации на компоненты ИС;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
- недостаточная эффективность используемых методов и средств
оперативной защиты программ и данных и обеспечения безопасности
функционирования ИС в условиях случайных негативных воздействий.
Внешними дестабилизирующими факторами, создающими угрозы
безопасности функционирования перечисленных объектов уязвимости ИС,
являются:
- ошибки оперативного и обслуживающего персонала в процессе
эксплуатации ИС;
- искажения в каналах телекоммуникации информации, поступающей
от
внешних
источников
и
передаваемой
потребителям,
а
также
недопустимые изменения характеристик потоков информации;
- сбои и отказы аппаратуры;
- изменения состава и конфигурации ИС за пределы, проверенные при
испытаниях или сертификации.
Все представленные трудности оказывают негативное влияние на
общую работу "ГУП ОЦ "Московский Дом Книги", выявляются во время
проведения внутреннего контроля и анализа бизнес-процессов, берут свое
начало при регистрации, обработке и мониторинге заявок от клиентов и
партнеров.
Полное устранение перечисленных угроз принципиально невозможно.
Задача состоит в выявлении факторов, от которых они зависят, в создании
методов и средств уменьшения их влияния на безопасность ИС, а также в
эффективном
распределении
ресурсов
для
обеспечения
защиты,
равнопрочной по отношению ко всем негативным воздействиям.
1.2.3 Обоснования необходимости использования вычислительной
техники для решения задачи
Основным документом в рассматриваемой задаче является заявка
клиента. Схема документооборота заявки приведена на рис. 1.5.
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Рис. 1.5. Схема документооборота в "ГУП ОЦ "Московский Дом
Книги"
Проведем анализ временных характеристик описанных процессов
(таблица 1.2).
Таблица 1.2. Характеристика процессов документооборота
Действие
Среднее количество за
Время, необходимое для выполнении
Общее
рабочий день
одного действия, минут
время, минут
Регистрация заявки
16
10
160
Поиск необходимой
7
20
140
1
40
40
информации
Анализ информации за
период
ИТОГО, минут:
340
Расчет времени произведен с учетом периодического возникновения
проблем в безопасности информационных систем. Таким образом, каждый
сотрудник компании, работающий с информационными системами, тратит в
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
среднем 6 часов в день из общего объема рабочего времени на обработку
заявок клиентов и партнеров. Лишь 25 % времени остается сотруднику на
выполнение остальных обязанностей, что крайне не эффективно.
Для
существующей
на
"ГУП
ОЦ
"Московский
Дом
Книги"
безопасности информационных систем характерны следующие основные
недостатки:
- неэффективное использование рабочего времени;
- невысокая скорость и точность обработки заявок;
- простои оборудования;
- невозможность обработки большого количества информации;
- несовершенство процессов сбора, передачи, обработки, хранения,
защиты целостности и секретности информации и процессов выдачи
результатов расчетов конечному пользователю;
- частые обрывы связи;
- незащищенность от спама в рабочей почте.
Устранение проблем безопасности информационных систем позволит
повысить эффективность работы каждого сотрудника "ГУП ОЦ "Московский
Дом Книги" на 60 %.
1.2.4 Анализ системы обеспечения информационной безопасности и
защиты информации
Процесс
комплексов,
глобализации
внедрение
на
информационно-телекоммуникационных
ОЦ
"ГУП
"Московский
Дом
Книги"
информационных технологий, реализуемых преимущественно на аппаратнопрограммных средствах собственного производства, существенно обострили
проблему зависимости качества процессов транспортирования информации,
от
возможных
преднамеренных
и
непреднамеренных
воздействий
нарушителя на передаваемые данные пользователя, информацию управления
и аппаратно-программные средства, обеспечивающие эти процессы.
Увеличение объемов хранимой и передаваемой информации приводят
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
к
наращиванию
потенциальных
возможностей
нарушителя
по
несанкционированному доступу к информационной сфере "ГУП ОЦ
"Московский Дом Книги" и воздействию на процессы ее функционирования.
Усложнение применяемых технологий и процессов функционирования
"ГУП ОЦ "Московский Дом Книги" приводит к тому, что аппаратнопрограммные средства, используемые в "ГУП ОЦ "Московский Дом Книги",
объективно
могут
содержать
ряд
ошибок
и
недекларированных
возможностей, которые могут быть использованы нарушителями.
Отсутствие в "ГУП ОЦ "Московский Дом Книги" необходимых
средств защиты в условиях информационного противоборства делает
компанию
в
целом
недобросовестной
противоправных
уязвимой
конкуренции,
действий.
от
возможных
а
также
враждебных
криминальных
Организационную
структуру
акций,
и
иных
системы
обеспечения информационной безопасности "ГУП ОЦ "Московский Дом
Книги" можно представить в виде, совокупности следующих уровней:
- уровень 1 - Руководство организации;
- уровень 2 - Подразделение ОИБ;
- уровень 3 - Администраторы штатных и дополнительных средств
защиты;
- уровень 4 - Ответственные за ОИБ в подразделениях (на
технологических участках);
- уровень 5 - Конечные пользователи и обслуживающий персонал.
При разработке программного обеспечения в "ГУП ОЦ "Московский
Дом Книги" следуют основным стандартам, регламентирующим:
- показатели качества программных средств;
- жизненный цикл и технологический процесс создания критических
комплексов
программ,
способствующие
их
высокому
качеству
и
предотвращению непредумышленных дефектов;
- тестирование программных средств для обнаружения и устранения
дефектов программ и данных;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
-
испытания
и
сертификацию
программ
для
удостоверения
достигнутого качества и безопасности их функционирования.
Таблица
1.3.
Международные
стандарты,
направленные
на
обеспечение технологической безопасности
ISO 09126:1991.
Оценка программного продукта. Характеристики качества и руководство по их
ИТ.
применению.
ISO 09000-
Общее руководство качеством и стандарты по обеспечению качества. Ч. 3: Руководящие
3:1991.
указания по применению ISO 09001 при разработке, поставке и обслуживании
программного обеспечения.
ISO 12207:1995.
Процессы жизненного цикла программных средств.
ANSI/IEEE 829
Документация при тестировании программ.
– 1983.
ANSI/IEEE 1008
Тестирование программных модулей и компонент ПС.
– 1986.
ANSI/IEEE 1012
Планирование проверки (оценки) (verification) и подтверждения достоверности
– 1986.
(validation) программных средств.
Для защиты информации от внешних угроз в "ГУП ОЦ "Московский
Дом Книги" используется межсетевой экран – программный или аппаратный
маршрутизатор, совмещённый с firewall. Эта система позволяет осуществлять
фильтрацию пакетов данных.
В компании также имеются нормативно-правовые и организационнораспорядительные документы такие как:
1.
Регламент информационной безопасности:
 доступ сотрудников к служебной информации, составляющей
коммерческую тайну;
 доступ
к
использованию
программного
обеспечения,
сконфигурированного персонального под "ГУП ОЦ "Московский Дом
Книги".
2.
Регламенты использования сети Internet, электронной почты
"ГУП ОЦ "Московский Дом Книги".
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
1.3
Анализ
существующих
разработок
и
выбор
стратегии
автоматизации "КАК ДОЛЖНО БЫТЬ"
1.3.1 Анализ существующих разработок для автоматизации задачи
В литературе предлагается следующая классификация средств защиты
информации:
1. Средства защиты от несанкционированного доступа (НСД):

средства авторизации;

мандатное управление доступом;

избирательное управление доступом;

управление доступом на основе ролей;

журналирование (так же называется Аудит).
2. Системы анализа и моделирования информационных потоков
(CASE-системы).
3. Системы мониторинга сетей:

системы обнаружения и предотвращения вторжений (IDS/IPS).

системы предотвращения утечек конфиденциальной информации
(DLP-системы).
4. Анализаторы протоколов.
5. Антивирусные средства.
6. Межсетевые экраны.
7. Криптографические средства:

шифрование;

цифровая подпись.
8. Системы резервного копирования.
9. Системы бесперебойного питания:

источники бесперебойного питания;

резервирование нагрузки;

генераторы напряжения.
10. Системы аутентификации:
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!

пароль;

ключ доступа (физический или электронный);

сертификат;

биометрия.
11. Средства предотвращения взлома корпусов и краж оборудования.
12. Средства контроля доступа в помещения.
13. Инструментальные средства анализа систем защиты:

мониторинговый программный продукт.
Для автоматизации задачи обеспечения безопасности информационных
систем предполагается внедрение в систему защиты информации компании
криптографических систем. Криптографические методы являются наиболее
эффективными средствами защиты информации в автоматизированных
системах. А при передаче информации по протяженным линиям связи они
являются
единственным
несанкционированного
реальным
доступа.
средством
предотвращения
Рассмотрим
существующие
криптографические методы.
Метод шифрования с использованием датчика псевдослучайных чисел
наиболее
часто
используется
в
программной
реализации
системы
криптографической защиты данных. Это объясняется тем, что, он достаточно
прост для программирования и позволяет создавать алгоритмы с очень
высокой криптостойкостью. Кроме того, эффективность данного метода
шифрования достаточно высока. Системы, основанные на этом методе,
позволяют зашифровать в секунду от нескольких десятков до сотен Кбайт
данных.
Основным преимуществом метода DES является то, что он стандартный. Важной характеристикой этого алгоритма является его
гибкость при реализации и использовании в различных приложениях
обработки данных. Каждый блок данных шифруется независимо от других,
поэтому можно осуществлять независимую передачу блоков данных и
произвольный доступ к зашифрованным данным. Ни временная, ни
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
позиционная синхронизация для операций шифрования не нужна.
Алгоритм вырабатывает зашифрованные данные, в которых каждый
бит является функцией от всех битов открытых данных и всех битов ключей.
Различие лишь в одном бите данных даёт в результате равные вероятности
изменения для каждого бита зашифрованных данных.
DES может быть реализован аппаратно и программно, но базовый
алгоритм всё же рассчитан на реализацию в электронных устройствах
специального назначения. Это свойство DES выгодно отличает его от метода
шифрования с использованием датчика ПСЧ, поскольку большинство
алгоритмов шифрования построенных на основе датчиков ПСЧ не
характеризуются всеми преимуществами DES. Однако и DES обладает рядом
недостатков.
Самым существенным недостатком DES считается малый размер
ключа. Стандарт в настоящее время не считается неуязвимым, хотя и очень
труден для раскрытия (до сих пор не были зарегистрированы случаи
несанкционированной дешифрации). Ещё один недостаток DES заключается
в том, что одинаковые данные будут одинаково выглядеть в зашифрованном
тексте.
Алгоритм
криптографического
преобразования,
являющийся
отечественным стандартом и определяемый ГОСТ 28147-89, свободен от
недостатков стандарта DES и в то же время обладает всеми его
преимуществами. Кроме того в него заложен метод, с помощью которого
можно зафиксировать необнаруженную случайную или умышленную
модификацию зашифрованной информации. Однако у алгоритма есть очень
существенный недостаток, который заключается в том, что его программная
реализация очень сложна и практически лишена всякого смысла.
Оптимальным на данный момент для защиты информации является
метод
RSA.
Он
является
очень
перспективным,
поскольку
для
зашифровывания информации не требуется передачи ключа другим
пользователям. Но в настоящее время к этому методу относятся с
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
подозрительностью, поскольку не существует строгого доказательства, что
нет другого способа определения секретного ключа по известному, кроме как
определение делителей целых чисел.
В остальном метод RSA обладает только достоинствами. К числу этих
достоинств следует отнести очень высокую криптостойкость, довольно
простую программную и аппаратную реализации. Следует заметить, что
использование этого метода для криптографической защиты данных
неразрывно связано с очень высоким уровнем развития вычислительной
техники.
Таблица
1.4.
Сравнение
криптографических
методов
защиты
информации
Датчик псевдослучайных
DES
чисел
ГОСТ 28147-
RSA
89
Простота программной реализации
высокая
высокая
низкая
высокая
Возможность защиты больших объемов
+
+
+
+
высокая
средняя
высокая
высокая
данных
Криптостойкость
Рассмотрим существующие разработки для автоматизации системы
обеспечения
информационной
безопасности
и
защиты
информации
предприятия. Для сравнения были выбраны:
- "Аккорд 1.95".
Представленное изделие является одним из ряда программноаппаратных комплексов защиты информации семейства "Аккорд", имеющего
и автономные, и сетевые версии, выполненные на платах как для шины ISA,
так и для шины PCI.
Комплекс "Аккорд 1.95" обеспечивает следующие функции защиты:
 идентификация и аутентификация пользователей;
 ограничение
"времени
жизни"
паролей
пользователей к ПК;
Размещено на Studbooks.net
и
времени
доступа
Studlancer.net - закажи реферат, курсовую, диплом!
 контроль целостности программ и данных, в том числе файлов ОС и
служебных областей жесткого диска;
 разграничение доступа к информационным и аппаратным ресурсам
ПК;
 возможность временной блокировки ПК и гашения экрана при
длительной
неактивности
пользователя
до
повторного
ввода
идентификатора;
 функциональное замыкание информационных систем с исключением
возможности несанкционированного выхода в ОС, загрузки с дискеты и
прерывания контрольных процедур с клавиатуры;
- система защиты информации SecretNet.
Система SecretNet дополняет операционные системы семейства
Windows 9x (и MS-DOS в режиме эмуляции) следующими защитными
функциями:
 поддержка автоматической смены пароля пользователя по истечении
заданного интервала времени;
 поддержка
индивидуальных
файлов
CONFIG.SYS
и
AUTOEXEC.BAT для каждого пользователя;
 разграничение доступа пользователей к программам, файлам,
дисководам и портам ПК в соответствии с присвоенными им полномочиями;
 управление временем работы в системе любого пользователя;
 создание
для
любого
пользователя
ограниченной
замкнутой
программной среды (списка разрешенных для запуска программ);
 автоматическое уничтожение данных на магнитных носителях при
удалении файлов;
 возможность объединения пользователей в группы для упрощения
управления их доступом к совместно используемым ресурсам;
 возможность временной блокировки работы ПК и гашения экрана
при длительной неактивности пользователя до повторного ввода пароля.
Основные функциональные характеристики сравниваемых систем
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
представлены в таблице 1.5.
Таблица
1.5.
Сравнение
функциональных
характеристик
существующих разработок
Функциональные
Единица
Величина функциональных характеристик
Значимость
характеристики системы
измерения
"Аккорд 1.95"
SecretNet
характеристик
Гибкость
%
65
50
да
Практичность
%
55
40
да
Оригинальность
%
60
55
нет
Безопасность
%
90
85
да
Эффективность
%
72
58
да
1.3.2 Выбор и обоснование стратегии автоматизации задачи
Для рассматриваемой компании разработка стратегии реализации
проекта будет такой:
 анализ безопасности информационных систем предприятия;
 анализ
стратегии
дальнейшего
развития
безопасности
информационных систем предприятия;
 определение стратегических свойств разрабатываемых методов
решения проблем информационной безопасности компании;
 определение функциональности методов;
 анализ существующих разработок по обеспечению безопасности
информационных систем;
 выбор стратегии решения проблем информационной безопасности;
 выбор способа приобретения;
 определение архитектуры;
 формирование бизнес-плана.
Обеспечение безопасности корпоративной информационной системы
невозможно
без
четкого
формализованного
представления
о
ее
функционировании и текущем состоянии защищенности ее ресурсов. Для
решения этой задачи проводится изучение характеристик информационной
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
системы:
- организационной и функциональной структуры;
- используемых технологий обработки информации и информационных
потоков;
- режимов работы пользователей;
- информационных и иных ресурсов и их соотнесения с различными
категориями обрабатываемой информации.
Результатом обследования является структурированная детальная
информация
о
системе,
включая
сведения
о
текущем
состоянии
защищенности ее компонентов; а также набор рекомендаций по устранению
выявленных слабостей в защите. В качестве стратегии автоматизации была
выбрана полная автоматизация. Полная автоматизация подразумевает собой
комплексное обеспечение безопасности информационных систем во всех
подразделениях и магазинах предприятия. Подобный подход был выбран в
связи с прохождением преддипломной практики в качестве системного
администратора, что позволило досконально изучить существующую на
"ГУП ОЦ "Московский Дом Книги" систему информационной безопасности.
1.3.3 Обоснование предлагаемых средств автоматизации системы
обеспечения информационной безопасности и защиты информации
предприятия
По способам осуществления все меры защиты информации, ее
носителей и систем ее обработки подразделяются на:
- правовые (законодательные);
- морально-этические;
- технологические;
- организационные (административные и процедурные);
- физические;
- технические (аппаратурные и программные).
Построение системы обеспечения безопасности информации на
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
предприятии и ее функционирование должны осуществляться в соответствии
со следующими основными принципами:
- законность;
- системность;
- комплексность;
- непрерывность;
- своевременность;
- преемственность и непрерывность совершенствования • разумная
достаточность;
- персональная ответственность;
- разделение функций;
- минимизация полномочий;
- взаимодействие и сотрудничество;
- гибкость системы защиты;
- открытость алгоритмов и механизмов защиты;
- простота применения средств защиты;
- научная обоснованность и техническая реализуемость;
- специализация и профессионализм;
- взаимодействие и координация;
- обязательность контроля.
Возможные
варианты
совершенствования
средств
обеспечения
информационной безопасности и защиты информации для предприятия:
- использование межсетевого экрана для обеспечения ИБ;
- защита электронной почты:
следует поставить антивирус на корпоративный сервер электронной
почты. При выборе антивирусного пакета нужно руководствоваться
следующими принципами:
 антивирус должен уметь переименовывать исполняемые файлы (в
которых не найдено вируса), делая невозможным их автоматический запуск
пользователем;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
 антивирус должен уметь проверять архивированные файлы;
 антивирус
должен
уметь
проверять
HTML-код
на
предмет
вредоносных сценариев и приложений Java, а также вредоносных ActiveXкомпонентов.
Далее необходимо установить пользователям e-mail-клиент, который
не умеет показывать вложенные в письма HTML-страницы (например,
Thunderbird).
Также
можно
поставить
транзитный
сервер,
который
будет
фильтровать весь проходящий через него трафик электронной почты с
помощью антивируса;
- антивирусная защита:
на корпоративный сервер электронной почты необходимо установить
антивирусное ПО. Также стоит установить антивирус на файловый сервер
организации и осуществлять проверку его содержимого каждые сутки;
- настройка компьютеров пользователей;
- защита информационного пространства организации.
Все вышеперечисленные средства защиты информации необходимо
применить на "ГУП ОЦ "Московский Дом Книги".
Средство
безопасности
автоматизации
и
защиты
системы
информации
обеспечения
на
информационной
предприятии
должно
автоматизировать часть работы системного администратора "ГУП ОЦ
"Московский Дом Книги". В нем необходимо учесть полную проверку всех
информационных систем компании на наличие проблем в безопасности.
Для поддержки и упрощения действий по настройке средств защиты в
системе защиты необходимо предусмотреть следующие возможности:
- выборочное подключение имеющихся защитных механизмов, что
обеспечивает возможность реализации режима постепенного усиления
степени защищенности информационных систем;
- так называемый "мягкий" режим функционирования средств защиты,
при котором несанкционированные действия пользователей (действия с
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
превышением полномочий) фиксируются в системном журнале обычным
порядком, но не пресекаются (то есть не запрещаются системой защиты).
Этот режим позволяет выявлять некорректности настроек средств защиты (и
затем производить соответствующие их корректировки) без нарушения
работоспособности информационной системы и существующей технологии
обработки информации;
- возможности по автоматизированному изменению полномочий
пользователя с учетом информации, накопленной в системных журналах
(при работе как в "мягком", так и в обычном режимах).
Для облегчения работы администратора с системными журналами в
системе должны быть предусмотрены следующие возможности:
- подсистема реализации запросов, позволяющая выбирать из
собранных системных журналов данные об определенных событиях (по
имени пользователя, дате, времени происшедшего события, категории
происшедшего события и т.п.). Естественно такая подсистема должна
опираться на системный механизм обеспечения единого времени событий;
- возможность автоматического разбиения и хранения системных
журналов по месяцам и дням в пределах заданного количества последних
дней.
Причем
во
избежание
переполнения
дисков
по
истечении
установленного количества дней просроченные журналы, если их не удалил
администратор, должны автоматически уничтожаться;
- в системе защиты должны быть предусмотрены механизмы
семантического сжатия данных в журналах регистрации, позволяющие
укрупнять
регистрируемые
события
без
существенной
потери
их
информативности;
- желательно также иметь в системе средства автоматической
подготовки отчетных документов установленной формы о работе станций
сети и имевших место нарушениях. Такие средства позволили бы
существенно снять рутинную нагрузку с системного администратора.
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
2. Разработка проекта системы обеспечения информационной
безопасности и защиты информации предприятия
2.1
Комплекс
проектируемых
организационно-административных
нормативно-правовых
средств
и
обеспечения
информационной безопасности и защиты информации предприятия
2.1.1
Отечественная
и
международная
нормативно-правовая
основа создания системы обеспечения информационной безопасности и
защиты информации предприятия
В Российской Федерации к нормативно-правовым актам в области
информационной безопасности относятся:
1. Акты федерального законодательства:
- Международные договоры РФ;

Конституция РФ;

Законы
федерального
уровня
(включая
федеральные
конституционные законы, кодексы);

Указы Президента РФ;

Постановления правительства РФ;

Нормативные правовые акты федеральных министерств и
ведомств;

Нормативные правовые акты субъектов РФ, органов местного
самоуправления и т. д.
2. К нормативно-методическим документам можно отнести
- Методические документы государственных органов России:

Доктрина информационной безопасности РФ;

Руководящие документы ФСТЭК (Гостехкомиссии России);

Приказы ФСБ;
- Стандарты информационной безопасности, из которых выделяют:

Международные стандарты;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!

Государственные (национальные) стандарты РФ;

Рекомендации по стандартизации;

Методические указания.
Система
информационной
безопасности
строится
на
основе
международного стандарта по обеспечению информационной безопасности
ISO 17799 ("Нормы и правила при обеспечении безопасности информации").
Стандарт ISO 17799 содержит общие рекомендации по организации системы
информационной
безопасности,
обеспечивающей
базовый
уровень
безопасности информационных систем, характерный для большинства
организаций. При этом стандарт описывает вопросы, которые должны быть
рассмотрены при проектировании системы информационной безопасности, и
не накладывает ограничений на использование конкретных средств
обеспечения безопасности компонентов инфраструктуры. Стандарт ISO
17799 содержит следующие разделы, описывающие различные аспекты
безопасности информационных систем:
-
стратегия
информационной
безопасности
—
описывает
необходимость иметь поддержку высшего руководства компании путем
утверждения стратегии информационной безопасности;
- организационные вопросы — дает рекомендации по форме
управления
организации,
оптимальной
для
реализации
системы
информационной безопасности;
-
классификация
информационных
ресурсов
—
описывает
необходимые меры по обеспечению безопасности информационных ресурсов
и носителей информации;
- управление персоналом — описывает влияние человеческого фактора
на информационную безопасность и меры, направленные на снижение
соответствующего риска;
- обеспечение физической безопасности — описывает мероприятия по
обеспечению физической безопасности компонентов информационной
инфраструктуры;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
- администрирование информационных систем — описывает основные
аспекты безопасности при работе с серверами, рабочими станциями и
другими информационными системами;
-
управление
доступом
—
описывает
необходимость
четкого
разграничения прав и обязанностей при работе с информацией;
- разработка и сопровождение информационных систем — описывает
основные механизмы обеспечения безопасности информационных систем;
- обеспечение непрерывности бизнеса — описывает мероприятия по
обеспечению непрерывной работы организаций;
- обеспечение соответствия предъявляемым требованиям — описывает
общие требования к системам информационной безопасности и мероприятия
по проверке соответствия систем информационной безопасности этим
требованиям.
2.1.2 Организационно-административная основа создания системы
обеспечения информационной безопасности и защиты информации
предприятия
Организационные (административные) меры защиты - это меры,
регламентирующие процессы функционирования АСОЭИ, использование ее
ресурсов, деятельности персонала, а также порядок взаимодействия
пользователей системой таким образом, чтобы максимально затруднить или
исключить возможность реализации угроз безопасности информации.
Они
регламентируют
процессы
создания
и
эксплуатации
информационных объектов, а также взаимодействие пользователей и систем
таким образом, чтобы несанкционированный доступ
становился
либо
невозможным,
Организационно-административные
либо
методы
существенно
защиты
к информации
затруднялся.
информации
охватывают все компоненты автоматизированных информационных систем
на всех этапах их жизненного цикла: проектирования систем, строительства
зданий, помещений и сооружений, монтажа и наладки оборудования,
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
эксплуатации и модернизации систем. К организационно-административным
мероприятиям защиты информации относятся:
- выделение специальных защищенных помещений для размещения
ЭВМ и средств связи и хранения носителей информации;
- выделение специальных ЭВМ для обработки конфиденциальной
информации;
-
организация
хранения
конфиденциальной
информации
на
специальных промаркированных магнитных носителях;
-
использование
в
работе
с
конфиденциальной
информацией
технических и программных средств, имеющих сертификат защищенности и
установленных в аттестованных помещениях;
- организация специального делопроизводства для конфиденциальной
информации,
устанавливающего
порядок
подготовки,
использования,
хранения, уничтожения и учета документированной информации;
- организация регламентированного доступа пользователей к работе на
ЭВМ, средствам связи и к хранилищам носителей конфиденциальной
информации;
- установление запрета на использование открытых каналов связи для
передачи конфиденциальной информации;
- разработка и внедрение специальных нормативно-правовых и
распорядительных документов по организации защиты конфиденциальной
информации, которые регламентируют деятельность всех звеньев объекта
защиты в процессе обработки, хранения, передачи и использования
информации;
— постоянный контроль за соблюдением установленных требований
по защите информации.
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
2.1.3
Обоснование
выбранной
политики
информационной
безопасности предприятия
Информационная
безопасность
организации
—
состояние
защищённости информационной среды организации, обеспечивающее её
формирование, использование и развитие.
Главной
"Московский
целью
информационной
Дом
Книги"
является
безопасности
в
обеспечение
"ГУП
ОЦ
устойчивого
функционирования предприятия и защита информационных ресурсов,
принадлежащих компании, ее акционерам, инвесторам и клиентам от
случайных (ошибочных) и направленных противоправных посягательств,
разглашения, утраты, утечки, искажения, модификации и уничтожения
охраняемых сведений.
Целями управления политикой информационной безопасности в "ГУП
ОЦ "Московский Дом Книги" являются:
- осуществление управлением по определению информационных и
технических ресурсов, подлежащих защите на предприятии;
- осуществление управлением по выявлению полного множества
потенциально возможных угроз и каналов утечки информации;
- осуществление управлением по проведению оценки уязвимости и
рисков информации при имеющемся множестве угроз и каналов утечки;
- определение требований к системе защиты информации на
предприятии;
- организация осуществления выбора средств защиты информации и их
характеристик;
- организация внедрения и организация использования выбранных мер,
способов и средств защиты;
- осуществление контроля целостности и управление системой защиты.
Основной целью предприятия является получение прибыли через
продажу книжной и журнальной продукции в городе Москва.
Отсюда выделим основные задачи ИБ предприятия:
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
- обеспечение конституционных прав граждан по сохранению личной
тайны
и
конфиденциальности
персональных
данных,
имеющихся
в
информационных системах;
- прогнозирование, своевременное выявление и устранение угроз
объектам
информационной
безопасности
на
основе
правовых,
организационных и инженерно-технических мер и средств обеспечения
защиты;
- минимизация ущерба и быстрейшее восстановление программных и
аппаратных средств, информации, пострадавших в результате кризисных
ситуаций, расследование причин возникновения таких ситуаций и принятие
соответствующих мер по их предотвращению;
-
недопущение
проникновения
в
информационные
системы
предприятия извне с целью кражи средств покупателей интернет-магазина.
В качестве методов реализации комплексной системы управления
рисками в "ГУП ОЦ "Московский Дом Книги" используем:
-
эффективное
управление
ИТ-инфраструктурой
(безопасность
начинается с порядка);
- управление процессами информационной безопасности;
- управление зависимостью от сторонних продуктов и аутсорсинга;
-
управление
идентификацией,
авторизацией
и
доступом
с
распределением ролей и сквозной отчетностью;
- обеспечение целостности данных;
- обеспечение конфиденциальности критичной информации;
- превентивное планирование доступности систем и сервисов;
- обеспечение комплексной и прозрачной работы с инцидентами.
Для этого необходимо реализовать:
- корпоративную политику персональной ответственности;
- гарантию отсутствия неавторизованного доступа;
- регулярную проверку средств обеспечения безопасности;
- исключение зависимости от одного человека. Например, не должно
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
быть возможности провести или исправить банковскую транзакцию в
одиночку;
- минимизацию наличия критической информации на персональных
компьютерах, особенно мобильных;
- классификацию данных и систем с точки зрения безопасности и
рисков;
- антивирусную и сетевую защиту;
- тренинг сотрудников.
В качестве стандартов информационной безопасности для "ГУП ОЦ
"Московский Дом Книги" примем международные и государственные
стандарты, такие как:
1. Национальный стандарт РФ "Защита информации. Основные
термины и определения" (ГОСТ Р 50922-2006);
2. Национальный
стандарт
РФ
"Информационная
технология.
Практические правила управления информационной безопасностью" (ГОСТ
Р ИСО/МЭК 17799—2005);
3. Национальный стандарт РФ "Методы и средства обеспечения
безопасности. Часть 1. Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК
13335-1 — 2006);
4. Государственный стандарт РФ "Аспекты безопасности. Правила
включения в стандарты" (ГОСТ Р 51898-2002);
5. ISO/IEC
Технологии
—
17799:2005
безопасности
—
"Информационные
Практические
технологии
правила
—
менеджмента
информационной безопасности". Международный стандарт, базирующийся
на BS 7799-1:2005;
6. ISO/IEC 27001:2005 — "Информационные технологии — Методы
обеспечения
безопасности
—
Системы
управления
информационной
безопасностью — Требования". Международный стандарт, базирующийся на
BS 7799-2:2005;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
7. ISO/IEC 17799:2005. Дата выхода — 2007 год.
Для осуществления непрерывности бизнеса предлагается провести ряд
мероприятий (таблица 2.1)
Таблица 2.1. Мероприятия по осуществлению непрерывности бизнеса
"ГУП ОЦ "Московский Дом Книги"
Необходимо
Результаты
Этап 1: Анализ требований к обеспечению непрерывности бизнеса
- выявление актуальных угроз и
- методика выявления угроз и уязвимостей ИС;
уязвимостей ИС предприятия;
- методика оценки рисков;
- оценка возможных финансовых убытков в
- методика оценки ущерба в случае проблем в
случае возникновения проблем с ИС
безопасности ИС;
предприятия;
- отчет с анализом рисков и приоритетами и
- анализ воздействия угроз и стабильной
первоочередными задачами обеспечения непрерывности
работы ИС на бизнес;
бизнеса;
- оценка рисков безопасности ИС
- отчет с оценкой возможного ущерба
Этап 2: Планирование непрерывности бизнеса
- сформировать и утвердить экспертную
- экспертная группа планирования и управления
группу планирования и управления
непрерывностью бизнеса;
непрерывностью бизнеса;
- планы непрерывности бизнеса для каждой ИС
- выработать планы непрерывности для
предприятия;
каждой ИС предприятия;
- перечень первоочередных мероприятий по обеспечению
- определить первоочередные мероприятия
непрерывности бизнеса;
по обеспечению непрерывности бизнеса;
- должностные инструкции сотрудников компании по
- выработать альтернативные решения;
обеспечению непрерывностью бизнеса с определением
- выбрать оптимальное решение из
роли, обязанностей и степени ответственности каждого
имеющихся альтернатив;
сотрудника;
- определить необходимые ресурсы для
- оценки стоимости возможных решений по обеспечению
планирования и управления
непрерывности бизнеса
непрерывностью бизнеса;
- определить и утвердить бюджет
планирования и управления
непрерывностью бизнеса
Этап 3: Поддержка планов непрерывности бизнеса
- обучить сотрудников компании вопросам
- сертификаты сотрудников о прохождении курса обучения
обеспечения непрерывности и управления
по вопросам обеспечения непрерывности и управления
бизнеса;
бизнеса;
- запустить необходимые программные и
- методики и руководства по установке, настройке и
технические средства обеспечения
сервисному обслуживанию программных и технических
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
информационной безопасности
средств обеспечения информационной безопасности;
предприятия;
- регламенты сопровождения и поддержки планов
- разработать регламенты сопровождения и
непрерывности бизнеса;
поддержки планов непрерывности бизнеса;
- формальные критерии оценивания аудита
- разработать систему аудита
информационной безопасности
предприятия;
- выработать формальные критерии
оценивания аудита
Таблица 2.2. Общие и конкретные обязанности по управлению ИБ
Обязанность
Исполнитель
Организует выполнение работ по комплексной защите информации в "ГУП ОЦ
Руководитель отдела
"Московский Дом Книги", обеспечивая эффективное применение всех
ИТ
имеющихся организационных и инженерно-технических мер в целях защиты
информации ограниченного распространения или конфиденциальной
информации
Участвует в разработке политики информационной безопасности и определении
Руководитель отдела
перспектив развития технических средств контроля, организует разработку и
ИТ
внедрение новых программно-аппаратных средств защиты от
несанкционированного доступа к сведениям ограниченного распространения или
конфиденциальной информации
Разрабатывает и реализует мероприятия по обеспечению защиты информации в
Руководитель отдела
ИС предприятия, осуществляет аудит безопасности
ИТ, инженер отдела
ИТ
Обеспечивает безопасность персональных данных при их обработке в ИС
Инженер отдела ИТ,
предприятия
системный
администратор
предприятия
Участвует в расследовании нарушений установленной политики
Руководитель отдела
информационной безопасности "ГУП ОЦ "Московский Дом Книги" в пределах
ИТ
своей компетенции, разрабатывает предложения по устранению недостатков и
предупреждению подобного рода нарушений
Осуществляет организационно-методическое руководство и контроль за работой
Руководитель отдела
уполномоченных работников по режиму и защите информации, участвует в
ИТ
организации их учебы и обеспечивает соответствующими методическими
пособиями
Проводит анализ условий эксплуатации основных и вспомогательных
Инженер отдела ИТ
технических средств и готовит предложения по устранению выявленных
недостатков и принятию дополнительных мер защиты
Организует работу по созданию и развитию комплексной системы обеспечения
Размещено на Studbooks.net
Руководитель отдела
Studlancer.net - закажи реферат, курсовую, диплом!
информационной безопасности
ИТ
Вносит руководству предприятия предложения об оборудовании
Руководитель отдела
вычислительной техники сертифицированными средствами защиты информации
ИТ
Обеспечивает информационную безопасность посредством выявления и
Системный
автоматического блокирования атак на информационные ресурсы, блокирования
администратор
работы приложений, нарушивших политику безопасности, блокирования
предприятия
рабочих станций работников с целью прекращения доступа к сетевым,
информационным ресурсам на серверах и рабочих станциях пользователей в
случаях нарушения ими требований политики безопасности, а также при их
увольнении
Разрабатывает технические задания и технические требования на технические
Инженер отдела ИТ,
средства и системы защиты информации
системный
администратор
предприятия
Документация
по
информационной
безопасности
"ГУП
ОЦ
"Московский Дом Книги" сводится к следующим основным документам:
1. Стратегия информационной безопасности;
2. Roadmap;
3. Архитектура информационной безопасности;
4. Программа информационной безопасности;
5. Политика информационной безопасности;
6. Стандарты информационной безопасности;
7. Процедуры информационной безопасности;
8. Руководства по информационной безопасности;
9. Политика управления информационными рисками;
10. Политика классификации информационных активов;
11. Реестр информационных активов;
12. Оценка ущерба для бизнеса (BIA);
13. Реестр рисков;
14. План снижения рисков;
15. Аудиторские отчеты;
16. Процедура управления изменениями и форма запроса на изменение;
17. План реагирования на инциденты и восстановления после
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
катастроф;
18. Процедуры реакции на инциденты.
2.2 Комплекс проектируемых программно-аппаратных средств
обеспечения информационной безопасности и защиты информации
предприятия
2.2.1 Общие положения
1. Защита от внутренних угроз информационной безопасности "ГУП
ОЦ "Московский Дом Книги".
Под
внутренними
угрозами
информационной
безопасности
понимаются угрозы со стороны сотрудников компании как умышленные
(мошенничество, кража, искажение или уничтожение конфиденциальной
информации, промышленный шпионаж и т.п.), так и неумышленные
(изменение или уничтожение информации из-за низкой квалификации
сотрудников или невнимательности), а также сбои программных или
аппаратных средств обработки и хранения информации.
Защита от внутренних угроз информационной безопасности "ГУП ОЦ
"Московский Дом Книги" должная включать в себя следующие основные
моменты:
- защита от утечек конфиденциальной информации (программное
средство DeviceLock);
- обеспечение конфиденциальности информации при хранении и
передаче:

шифрование каналов связи (организация VPN, SSL, ЭЦП, PKI);

шифрование носителей информации (создание защищенных
контйнеров, построение корпоративной системы шифрования и хранения
данных) при помощи шифра RSA;
-
система
управления
уязвимостями
(программно-аппаратная
реализация средства оценки защищенности сетей масштаба предприятия
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Enterprise Scanner).
Возможности Enterprise Scanner:
1) Инвентаризация ресурсов:
- идентифицируются болел 1800 типов ресурсов, включая рабочие
станции,
сервера,
маршрутизаторы,
коммутаторы,
приложения
и
операционные системы;
- предусмотрено обнаружение новых подключенных устройств;
- процесс обнаружения новых ресурсов проходит с использованием
различных методов и источников: процесс активного сканирования, Active
Directory, Proventia Network ADS, импортирование базы данных ресурсов,
внесение в базу данных ресурсов "вручную";
- используются различные техники идентификации: Ping sweep, UDP
probe, asset fingerprinting, rapid discovery, NetBIOS-based discovery, TCP
discovery, UDP port discovery, OS fingerprinting, Integrated NMAP 4.0 database;
- ресурсы группируются по иерархическому принципу на основе
организационной структуры (AD).
2) Оценка защищенности:
- оценка защищенности обнаруженных ресурсов;
- оценка защищенности с использованием различных проверок:

подключение новых проверок "на лету";

обновления проверок на основе выхода обновлений технологии
Virtual Patch™;

небольшой объем обновлений (XPU) < 5 Мб;
- эмуляция атак:

тесты без какого-либо воздействия на сетевую инфраструктуру;

анализ возможного эффекта воздействия реальной атаки;

непревзойденная
по
полноте
база
данных
программных ошибок, подготовленная X-Force®;
- сканирование по приоритету критичности ресурсов.
3) Анализ результатов сканирования:
Размещено на Studbooks.net
уязвимостей
и
Studlancer.net - закажи реферат, курсовую, диплом!
- группирование уязвимостей по приоритету;
- собственная система реакции на инциденты;
- интеграция с системой реакции на инциденты Remedy;
- открытый программный интерфейс (API) для подключения других
систем реакции на инциденты;
- распределение уязвимостей по категориям и ресурсам;
- традиционные
рекомендации
по
устранению
уязвимостей
(рекомендация определенного патча);
- интеграция с технологией Virtual Patch™ и системами Proventia IPS.
4) Генерация отчетов:
- генерация
отчетов
согласно
организационной
структуре
организации;
- группирование
ресурсов
в
отчетах
по
уровню
рисков,
по
географическому, территориальному, сетевому и другим признакам;
- более 1800 видов отчетов;
- представление в виде PDF, CSV, HTML;
- планировщик создания отчетов.
Защита от внутренних угроз безопасности включает в себя также
разграничение прав доступа к информации разрабатываемой системы
(таблица 2.3).
Таблица 2.3. Разграничение прав доступа
Группы
Модуль
Модуль
Модуль "База
Требования
Требования
пользователей
"Программные,
"Информация о
нарушений
к паролям
к частоте
информационны
пользователях ИС
конфиденциально
смены
е и технические
предприятия"
сти, целостности
пароля
Руководство
средства
или доступности
предприятия"
ИС предприятия"
Чтение
Чтение/удаление
Чтение
компании
Системный
Полный
администратор
Инженер
Полный
Не менее 6-
Один раз в
и символов
месяц
Чтение/создание/
Чтение/создание/
Не менее 8-
Один раз в
удаление
удаление
и символов
2 недели
Чтение/создание/
Чтение/создание/
Не менее 8-
Один раз в
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
отдела ИТ
Оператор баз
Чтение
данных
удаление
удаление
и символов
2 недели
Чтение/редактиро
Чтение
Не менее 6-
Один раз в
и символов
месяц
Нет
Нет
вание
Сотрудники
Чтение
Чтение
Чтение
иных отделов
компании
2. Защита от внешних угроз (безопасность каналов, протоколы,
аутентификация, шифрование, безопасная пересылку ключей и т.д.).
Состав проектируемых программных и аппаратных средств оформим в
виде таблицы (таблица 2.4).
Таблица 2.4. Состав проектируемых программных и аппаратных
средств "ГУП ОЦ "Московский Дом Книги"
Нормативные правовые акты,
Антивирусные и
Проактивная защита
Защита от
Защита от
нормативные правовые
антишпионские
от внешних угроз и
сетевых
инсайдерских
документы, стандарты
средства
защита внешнего
угроз
угроз и защита
(международные и
периметра
информационных
отечественные)
ресурсов
"Кодекс Российской
Antiviral Toolkit
Корпоративные
Outpost
Online Security
Федерации об
Pro
продукты Safe’n’Sec
Security
Audit
административных
Suite/Fire
правонарушениях" от 30.12.01,
wall 7.0.4
№195-ФЗ ст. 13.12, 13.13, 13.14
(3403.520.
1244)
Национальный стандарт РФ
Doctor WEB
Программное
"Защита информации.
средство
Основные термины и
DeviceLock
определения" (ГОСТ Р 509222006)
Национальный стандарт РФ
Aidstest
"Информационная технология.
Практические правила
управления информационной
безопасностью" (ГОСТ Р
ИСО/МЭК 17799—2005)
Национальный стандарт РФ
Integrity Anti-
"Методы и средства
Spyware
Размещено на Studbooks.net
BestCrypt
Studlancer.net - закажи реферат, курсовую, диплом!
обеспечения безопасности.
Часть 1. Концепция и модели
менеджмента безопасности
информационных и
телекоммуникационных
технологий" (ГОСТ Р
ИСО/МЭК 13335-1 — 2006)
Государственный стандарт РФ
"Аспекты безопасности.
Правила включения в
стандарты" (ГОСТ Р 518982002)
ISO/IEC 27001:2005 —
"Информационные технологии
— Методы обеспечения
безопасности — Системы
управления информационной
безопасностью — Требования".
Международный стандарт,
базирующийся на BS 77992:2005
Федеральный Закон
Российской Федерации "Об
информации, информационных
технологиях и о защите
информации" от 27.07.2006г. №
149-ФЗ
Постановление Правительства
РФ от 15.08.06. №504 "О
лицензировании деятельности
по технической защите
конфиденциальной
информации"
Гражданский кодекс РФ и
Закон "Об информации,
информационных технологиях
и о защите информации"
Выбор политики безопасности, а также тех или иных программных и
аппаратных средств обоснован проблемами "ГУП ОЦ "Московский Дом
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Книги" в сфере безопасности информационных систем.
2.2.2
Структура
программно-аппаратного
комплекса
информационной безопасности и защиты информации предприятия
Рис. 2.1. Структура программно-аппаратного комплекса сетевой
защиты
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
2.2.3 Контрольный пример реализации проекта и его описание
1. Цель создания системы: обеспечение безопасности информационных
систем предприятия от внешних и внутренних угроз.
2. Программно-аппаратная реализация: система охватывает всю
информационную сеть "ГУП ОЦ "Московский Дом Книги" и включает в
себя:
- физическую защиту оборудования и элементов локальной сети от
несанкционированных действий;
- защиту средствами локальной сети;
- криптозащиту;
- защиту средствами операционной системы;
- защиту на уровне протокола передачи данных.
Таким образом, система предполагает защиту от:
- утечки защищаемой информации (несанкционированный доступ к
защищаемой информации);
- несанкционированного воздействия на защищаемую информацию
(изменение,
уничтожение,
информации;
утрата,
копирование,
уничтожение
блокирование
носителя
доступа
информации,
к
сбой
функционирования носителя информации);
- непреднамеренного воздействия на защищаемую информацию
(ошибки пользователя, сбой технических и/или программныхсредств,
природные и иные воздействия и т.д.);
- проявлений недекларированных возможностей и специальных
программно-технических
воздействий,
и
программных
вирусных
воздействий, непреднамеренных дефектов в программном обеспечении,
сбоев и отказов технических средств и т.д.
3. Средства программно-аппаратной реализации:
- Antiviral Toolkit Pro;
- Doctor WEB;
- Aidstest;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
- Integrity Anti-Spyware;
- корпоративные продукты Safe’n’Sec;
- программное средство DeviceLock;
- Outpost Security Suite/Firewall 7.0.4 (3403.520.1244);
- BestCrypt для криптографической защиты информации;
- Online Security Audit.
Реализация проекта осуществляется в течение года и проходит в
соответствии с нормативными правовыми актами, нормативными правовыми
документами, стандартами (международными и отечественными).
2.3 Комплекс проектируемых инженерно-технических средств
обеспечения информационной безопасности и защиты информации
предприятия
2.3.1 Общие положения
Инженерно-техническое обеспечение безопасности информации путем
осуществления необходимых технических и организационных мероприятий
должно исключать:
- неправомочный доступ к аппаратуре обработки информации путем
контроля доступа в производственные помещения;
-
неправомочный
вынос
носителей
информации
персоналом,
занимающимся обработкой данных, посредством выходного контроля в
соответствующих производственных помещениях;
- несанкционированное введение данных в память, изменение или
стирание информации, хранящейся в памяти;
- неправомочное пользование системами обработки информации и
незаконное получение в результате этого данных;
- доступ в системы обработки информации посредством самодельных
устройств и незаконное получение данных;
- возможность неправомочной передачи данных через компьютерную
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
сеть;
- бесконтрольный ввод данных в систему;
- обработку данных заказчика без соответствующего указания
последнего;
- неправомочное считывание, изменение или стирание данных в
процессе их передачи или транспортировки носителей информации.
Таким образом, при разработке комплекса инженерно-технических
средств решались следующие задачи:
- предотвращение проникновения злоумышленника к источникам
информации с целью её уничтожения, хищения или изменения;
- защита носителей информации от уничтожения в результате
воздействия стихийных сил и прежде всего, пожара и воды (пены) при его
тушении;
- предотвращение утечки информации по различным техническим
каналам.
Комплекс оформим в виде таблицы (таблица 2.5).
Таблица 2.5. Комплекс инженерно-технических средств защиты
информации "ГУП ОЦ "Московский Дом Книги"
Задача
Средства
предотвращение проникновения
- охранная сигнализация и охранное телевидение;
злоумышленника к источникам информации с
- заборы вокруг здания главного офиса "ГУП ОЦ
целью её уничтожения, хищения или изменения
"Московский Дом Книги";
- усиленные двери, стены, потолки, решетки на окнах;
- охрана
защита носителей информации от уничтоже-
- пожарная сигнализация;
ния в результате воздействия стихийных сил и
- резервное копирование данных
прежде всего, пожара и воды при его тушении
предотвращение утечки информации по
- устройство для защиты линий электропитания и
различным техническим каналам
заземления от утечки информации "Соната-РС1";
- выжигатель устройств съема информации в
проводных линиях связи и в обесточенной электросети
"Молния"
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
2.3.2
Структура
инженерно-технического
комплекса
информационной безопасности и защиты информации предприятия
Рис. 2.2. Инженерно-технические средства, включенные в систему
физической защиты "ГУП ОЦ "Московский Дом Книги"
2.3.3 Контрольный пример реализации проекта и его описание
1. Цель создания системы: обеспечение физической безопасности
информационных систем предприятия.
2. Инженерно-техническая реализация: система охватывает всю
информационную сеть "ГУП ОЦ "Московский Дом Книги" и включает в
себя: информационный безопасность защита технический
-
защиту
информации,
направленную
на
предотвращение
несанкционированного доступа и воздействия на защищаемую информацию
с нарушением установленных прав и (или) правил на изменение информации,
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
приводящих к разрушению, уничтожению, искажению, сбою в работе,
незаконному
перехвату
и
копированию,
блокированию
доступа
к
информации, а также к утрате, уничтожению или сбою функционирования
носителя информации;
-
защита
информации,
направленную
на
предотвращение
неконтролируемого распространения защищаемой информации в результате
ее разглашения и несанкционированного доступа к ней, а также на
исключение
(затруднение)
получения
защищаемой
информации
заинтересованными субъектами;
- защиту информации, направленная на предотвращение воздействия
на
защищаемую
информацию
природных
явлений
или
иных
нецеленаправленных на изменение информации событий, приводящих к
искажению,
уничтожению,
копированию,
блокированию
доступа
к
информации, а также к утрате, уничтожению или сбою функционирования
носителя информации;
-
защиту
информации,
направленную
на
предотвращение
преднамеренного воздействия, в том числе электромагнитного и (или)
воздействия
другой
физической
природы,
осуществляемого
в
террористических или криминальных целях.
Таким образом, система предполагает защиту от:
- проникновения злоумышленника к источникам информации с целью
её уничтожения, хищения или изменения;
- уничтожения в результате воздействия стихийных сил и прежде всего,
пожара и воды (пены) при его тушении;
- утечки информации по различным техническим каналам.
3. Средства инженерно-технической реализации:
- охранная сигнализация и охранное телевидение;
- заборы вокруг здания главного офиса "ГУП ОЦ "Московский Дом
Книги";
- усиленные двери, стены, потолки, решетки на окнах;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
- охрана;
- пожарная сигнализация;
- резервное копирование данных;
- устройство для защиты линий электропитания и заземления от утечки
информации "Соната-РС1";
- выжигатель устройств съема информации в проводных линиях связи
и в обесточенной электросети "Молния".
Реализация проекта осуществляется в течение года и проходит в
соответствии с нормативными правовыми актами, нормативными правовыми
документами, стандартами (международными и отечественными).
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
3. Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической
эффективности
Основой определения эффективности защиты информации - это
сопоставление отношения доходов и расходов.
Экономический эффект – конкретный результат экономической
деятельности вне зависимости от затрат.
Экономическая эффективность – результативность деятельности,
соотношение доходов и расходов, а также сопоставление результатов и
затрат на их достижение.
Эффективность определяется с помощью различных показателей, при
этом сопоставляются данные, выражающие эффект (прибыль, объем
производства,
экономия
от
снижения
издержек)
с
затратами
обеспечивающими этот эффект (капитальные вложения, текущие издержки).
При решении экономических задач определяется результативность каждого
предприятия и производится сопоставление различных результатов.
Различают два вида экономической эффективности:
- абсолютную – соотношение результатов экономической деятельности
и затрат для достижения этих результатов.
- сравнительную – показывает изменение результатов экономической
деятельности по отношению к уже достигнутым результатам.
Важное
значение
в
расчете
эффективности,
в
том
числе
и
эффективности защиты информации является приведение расчетных величин
к сопоставимым значениям, которое производится до расчетов. Приведение
обеспечивает точность экономических расчетов и их обоснованность.
Расчеты
производятся
в
одинаковых
единицах
измерения,
за
одинаковые отрезки времени, на одинаковое количество объектов расчета.
Расчет экономического эффекта и эффективности защиты информации
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
основывается на выявлении ущерба, нанесенного владельцу информации
противоправным ее использованием и позволяет оценить результативность
защиты информации. Проведя анализ результатов расчетов, возможно внести
изменения в систему защиты информации для более эффективной ее защиты,
недопущения разглашения охраняемой информации в дальнейшем, т.к.
разглашение данной информации влечет за собой огромные убытки (ущерб)
от контрафактного ее использования злоумышленником.
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Таблица 3.1. Характеристика затрат на обработку информации
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
3.2 Расчёт показателей экономической эффективности проекта
Экономическая эффективность — результативность экономической
системы, выражающаяся в отношении полезных конечных результатов ее
функционирования к затраченным ресурсам. Складывается как интегральный
показатель эффективности на разных уровнях экономической системы,
является
итоговой
характеристикой
функционирования
национальной
экономики. Главным критерием социально-экономической эффективности
является степень удовлетворения конечных потребностей общества и прежде
всего, потребностей, связанных с развитием человеческой личности.
Социально-экономической эффективностью обладает та экономическая
система, которая в наибольшей степени обеспечивает удовлетворение
многообразных потребностей людей: материальных, социальных, духовных,
гарантирует
высокий
уровень
и
качество
жизни.
Основой
такой
эффективности служит оптимальное распределение имеющихся у общества
ресурсов между отраслями, секторами и сферами национальной экономики.
Эффективность экономической системы зависит от эффективности
производства, социальной сферы (систем образования, здравоохранения,
культуры), эффективности государственного управления. Эффективность
каждой из этих сфер определяется отношением полученных результатов к
затратам и измеряется совокупностью количественных показателей. Для
измерения
эффективности
производства
используются
показатели
производительности труда, фондоотдачи, рентабельности, окупаемости и др.
С их помощью сопоставляются различные варианты развития производства,
решения его структурных проблем. Измерение эффективности социальной
сферы требует использования особых качественных показателей развития
каждой из отраслей этой сферы. Для государственной сферы необходимы
специальные критерии соответствия затрат и результатов деятельности
государства требованиям общества.
Экономически
эффективным
принято
считать
Размещено на Studbooks.net
такой
способ
Studlancer.net - закажи реферат, курсовую, диплом!
производства, при котором фирма не может увеличить выпуск продукции без
увеличения расходов на ресурсы и одновременно не может обеспечить тот
же объем выпуска, используя меньшее количество ресурсов одного типа и не
увеличивая
производства
при
этом
затраты
складывается
на
из
другие
ресурсы.
эффективности
Эффективность
всех
действующих
предприятий. Эффективность предприятия характеризуется производством
товара или услуги с наименьшими издержками. Она выражается в его
способности производить максимальный объем продукции приемлемого
качества с минимальными затратами и продавать эту продукцию с
наименьшими издержками. Экономическая эффективность предприятия в
отличие от его технической эффективности зависит от того, насколько его
продукция соответствует требованиям рынка, запросам потребителей.
Таблица 3.2. Виды эффекта в зависимости от учитываемых
результатов и затрат
Вид эффекта
Факторы, показатели
1. Экономический
Показатели учитывают в стоимостном выражении все виды результатов и затрат,
обусловленных реализацией инноваций
2. Научно-
Новизна, простота, полезность, эстетичность, компактность
технический
3. Финансовый
Расчет показателей базируется на финансовых показателях
4. Ресурсный
Показатели отражают влияние инновации на объем производства и потребления
того или иного вида ресурса
5. Социальный
Показатели учитывают социальные результаты реализации инноваций
6. Экологический
Шум, электромагнитное поле, освещенность (зрительный комфорт), вибрация.
Показатели учитывают влияние инноваций на окружающую среду
Таблица 3.3. Калькуляции себестоимости 1-го машино-часа работы
ПЭВМ
№ п/п
Наименование статей затрат
1 машино-час работы ПЭВМ (сумм, руб.)
1
Основные и вспомогательные материалы
22
2
Комплектующие
161
3
Содержание и эксплуатация оборудования
385
Себестоимость содержания
568
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
4
5
Общехозяйственные расходы
552
Производственная себестоимость
1120
Коммерческие расходы (10% от
112
производственной себестоимости)
Полная себестоимость 1-го машино-часа работы
1232
Первоначальная сумма инвестиций в проект 16046442 рублей за год.
Приток наличности составит 19255730,4 рублей в год от экономии в
результате исключения угроз безопасности ИС и отсутствия простоев
оборудования. Процентная ставка 8 % (i).
Рт- стоимостная оценка результатов осуществления инновационного
проекта за расчетный период.
Рт = 16046442 ∙ 1,2 = 35176,8 руб.
Определим коэффициент дисконтирования по формуле:
,
где
t – расчетный период (лет).
Следовательно, чистая текущая стоимость за время реализации проекта
равна: 19255730,4 ∙ 0,93 = 17907829,3 руб.
Для принятия решения о целесообразности инвестиций в проект нужно
найти разность между чистой текущей стоимостью и первоначальной суммой
инвестиций.
Рассматриваемый нами проект выгоден, так как доход больше, чем
первоначальные инвестиции в проект:
17907829,3 – 16046442 = 1861387,3 руб.
Чистую текущую стоимость называют также "чистым приведенным
доходом", чистым современным значением (NPV).
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Заключение
Широкое
внедрение
информационных
технологий
в
жизнь
современного общества привело к появлению ряда общих проблем
информационной безопасности:
-
необходимо
функционирования
гарантировать
важнейших
непрерывность
и
информационных
корректность
систем
(ИС),
обеспечивающих безопасность людей и экологической обстановки;
- необходимо обеспечить защиту имущественных прав граждан,
предприятий и государства в соответствии с требованиями гражданского,
административного и хозяйственного права (включая защиту секретов и
интеллектуальной собственности);
-
необходимо
защитить
гражданские
права
и
свободы,
гарантированные действующим законодательством (включая право на доступ
к информации).
В ходе дипломного проектирования была разработана информационная
система анализа безопасности информационных систем предприятия,
включающая в себя следующие основные модули:
- модуль "Программные, информационные и технические средства
предприятия";
- модуль "Информация о пользователях ИС предприятия";
- модуль "База нарушений конфиденциальности, целостности или
доступности ИС предприятия".
Разработанная система упростит работу системного администратора в
"ГУП ОЦ "Московский Дом Книги" и позволит вовремя устранять
возникающие угрозы.
Также
в
ходе
дипломного
проектирования
была
предложена
программно-аппаратная и инженерно-техническая реализация обеспечения
безопасности информационных систем на предприятии.
Средства программно-аппаратной реализации:
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
- Antiviral Toolkit Pro;
- Doctor WEB;
- Aidstest;
- Integrity Anti-Spyware;
- корпоративные продукты Safe’n’Sec;
- программное средство DeviceLock;
- Outpost Security Suite/Firewall 7.0.4 (3403.520.1244);
- BestCrypt для криптографической защиты информации;
- Online Security Audit.
Методы защиты информации от большинства угроз базируются на
инженерных и технических мероприятиях. Инженерно-техническая защита
— это совокупность специальных органов, технических средств и
мероприятий, функционирующих совместно для выполнения определенной
задачи по защите информации.
Инженерно-техническая защита использует следующие средства:
- физические средства;
- аппаратные средства;
- программные средства;
- криптографические средства.
Физические средства включают в себя различные инженерные средства
и
сооружения,
препятствующие
физическому
проникновению
злоумышленников на объекты защиты и защищающие персонал (личные
средства безопасности), материальные средства и финансы, информацию от
противоправных действий.
Средства инженерно-технической реализации:
- охранная сигнализация и охранное телевидение;
- заборы вокруг здания главного офиса "ГУП ОЦ "Московский Дом
Книги";
- усиленные двери, стены, потолки, решетки на окнах;
- охрана;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
- пожарная сигнализация;
- резервное копирование данных;
- устройство для защиты линий электропитания и заземления от утечки
информации "Соната-РС1";
- выжигатель устройств съема информации в проводных линиях связи
и в обесточенной электросети "Молния".
Расчет
экономической
эффективности
внедрения
системы
информационной безопасности в "ГУП ОЦ "Московский Дом Книги"
обосновал необходимость внедрения. По итогам расчета чистая прибыль
после внедрения проекта в деятельность компании составит 1861387,3 в
первый год после внедрения.
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Список нормативных актов и литературы
1.
Государственный стандарт РФ "Аспекты безопасности. Правила
включения в стандарты" (ГОСТ Р 51898-2002).
2.
Информационная безопасность (2-я книга социально-политического
проекта "Актуальные проблемы безопасности социума"). М.: "Оружие и
технологии", 2009.
3.
Национальный стандарт РФ "Защита информации. Основные термины и
определения" (ГОСТ Р 50922-2006).
4.
Национальный стандарт РФ "Информационная технология.
Практические правила управления информационной безопасностью" (ГОСТ
Р ИСО/МЭК 17799—2005).
5.
Национальный стандарт РФ "Методы и средства обеспечения
безопасности. Часть Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК
13335-1 — 2006).
6.
Рекомендации по стандартизации "Информационные технологии.
Основные термины и определения в области технической защиты
информации" (Р 50.1.053-2005).
7.
Рекомендации по стандартизации "Техническая защита информации.
Основные термины и определения" (Р 50.1.056-2005).
8.
Словарь терминов по безопасности и криптографии. Европейский
институт стандартов по электросвязи
9.
Бачило И.Л. Информационное право: основы практической
информатики. Учебное пособие. М.: 2001.
10. Безопасность: теория, парадигма, концепция, культура. Словарьсправочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и
перераб. — М.: ПЕР СЭ-Пресс, 2005.
11. Доктрина информационной безопасности Российской Федерации /
Чернов А.А. Становление глобального информационного общества:
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
проблемы и перспективы. Приложение 2. М.: "Дашков и К", 2003.
12. Домарев В. В. Безопасность информационных технологий. Системный
подход — К.: ООО ТИД Диа Софт, 2004. — 992 с.
13. Ильюшенко В.Н. Информационная безопасность общества. Учебное
пособие. - Томск, 1998.
14. Кулаков В.Г. Региональная система информационной безопасности:
угрозы, управление, обеспечение. - Автореф. дисс. … д-ра техн. наук. Воронеж, 2005.
15. Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.:
ЮНИТИ-ДАНА, Закон и право, 2004.
16. Уткин А.И. Глобализация: процесс осмысления. М.: "Логос", 2001.
17. Фролов Д.Б. Государственная информационная политика в условиях
информационно-психологической войны. - М.: Горячая линия - Телеком,
2003.
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Приложение 1
Листинг
информационной
системы
анализа
безопасности
информационных систем предприятия
unit Unit1;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls;
type
TForm1 = class(TForm)
Button1: TButton;
Button2: TButton;
Button3: TButton;
Button5: TButton;
procedure Show(Sender: TObject);
procedure Button5Click(Sender: TObject);
procedure Button1Click(Sender: TObject);
procedure Button2Click(Sender: TObject);
procedure Button3Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form1: TForm1;
add: boolean;
implementation
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
uses Unit2, Unit3, Unit4, Unit5;
{$R *.dfm}
procedure TForm1.Show(Sender: TObject);
begin
PasswordDlg.Caption := 'Запрос пароля';
add:=true;
PasswordDlg.ShowModal;
end;
procedure TForm1.Button5Click(Sender: TObject);
begin
Close;
end;
procedure TForm1.Button1Click(Sender: TObject);
begin
Form3.Caption := 'Программные, информационные и технические
средства предприятия';
add:=true;
Form3.ShowModal;
end;
procedure TForm1.Button2Click(Sender: TObject);
begin
Form4.Caption := 'Информация о пользователях ИС';
add:=true;
Form4.ShowModal;
end;
procedure TForm1.Button3Click(Sender: TObject);
begin
Form5.Caption := 'Информация о пользователях ИС';
add:=true;
Form5.ShowModal;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
end;
end.
unit Unit2;
interface
uses Windows, SysUtils, Classes, Graphics, Forms, Controls, StdCtrls,
Buttons;
type
TPasswordDlg = class(TForm)
Label1: TLabel;
Password: TEdit;
OKBtn: TButton;
CancelBtn: TButton;
procedure OKBtnClick(Sender: TObject);
procedure CancelBtnClick(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
PasswordDlg: TPasswordDlg;
implementation
uses Unit1;
{$R *.dfm}
procedure TPasswordDlg.OKBtnClick(Sender: TObject);
const pass='111';
begin
if Password.Text = pass then
begin
PasswordDlg.Close;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
end
else Application.Terminate;
end;
procedure TPasswordDlg.CancelBtnClick(Sender: TObject);
begin
Application.Terminate;
end;
end.
unit Unit3;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, DB, ADODB, Grids, DBGrids, StdCtrls, RpCon, RpConDS,
RpDefine,
RpRave;
type
TForm3 = class(TForm)
DBGrid1: TDBGrid;
ADOConnection1: TADOConnection;
ADOTable1: TADOTable;
DataSource1: TDataSource;
Button1: TButton;
Label1: TLabel;
Edit1: TEdit;
Button2: TButton;
RvProject1: TRvProject;
RvDataSetConnection1: TRvDataSetConnection;
procedure Button1Click(Sender: TObject);
procedure Edit1Change(Sender: TObject);
procedure Button2Click(Sender: TObject);
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form3: TForm3;
implementation
{$R *.dfm}
procedure TForm3.Button1Click(Sender: TObject);
begin
Close;
end;
procedure TForm3.Edit1Change(Sender: TObject);
begin
if Not ADOTable1.Active then Exit;
if
Not
ADOTable1.Locate('Наименование
средства',
Edit1.Text,
[loPartialKey, loCaseInsensitive])
then Application.MessageBox('Заданная строка не найдена', 'Поиск',
MB_OK);
end;
procedure TForm3.Button2Click(Sender: TObject);
begin
rvProject1.Execute;
end;
end.
unit Unit4;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Dialogs, DB, ADODB, Grids, DBGrids, StdCtrls, RpCon, RpConDS,
RpDefine,
RpRave;
type
TForm4 = class(TForm)
DataSource1: TDataSource;
DBGrid1: TDBGrid;
ADOConnection1: TADOConnection;
ADOTable1: TADOTable;
Button1: TButton;
Button2: TButton;
RvProject1: TRvProject;
RvDataSetConnection1: TRvDataSetConnection;
Label1: TLabel;
Edit1: TEdit;
procedure Button1Click(Sender: TObject);
procedure Button2Click(Sender: TObject);
procedure Edit1Change(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form4: TForm4;
implementation
{$R *.dfm}
procedure TForm4.Button1Click(Sender: TObject);
begin
rvProject1.Execute;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
end;
procedure TForm4.Button2Click(Sender: TObject);
begin
Close;
end;
procedure TForm4.Edit1Change(Sender: TObject);
begin
if Not ADOTable1.Active then Exit;
if Not ADOTable1.Locate('ФИО сотрудника', Edit1.Text, [loPartialKey,
loCaseInsensitive])
then Application.MessageBox('Заданная строка не найдена', 'Поиск',
MB_OK);
end;
end.
unit Unit5;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls, Grids;
type
Zap = Record
ID: Cardinal;
Chisl: String[10];
Ug: String[60];
Otm: String[6];
Prim: String[30];
end;
TForm5 = class(TForm)
StringGrid1: TStringGrid;
Button1: TButton;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Button2: TButton;
Button3: TButton;
Button4: TButton;
Button5: TButton;
OpenDialog1: TOpenDialog;
SaveDialog1: TSaveDialog;
Button6: TButton;
procedure FormCreate(Sender: TObject);
procedure Button1Click(Sender: TObject);
procedure Button2Click(Sender: TObject);
procedure Button3Click(Sender: TObject);
procedure Button4Click(Sender: TObject);
procedure Button5Click(Sender: TObject);
procedure Button6Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Form5: TForm5;
F: File of Zap;
Rec: Zap;
Nomer: Integer;
Kol: integer;
i: integer;
add: boolean;
sum: integer;
implementation
uses Unit6;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
{$R *.dfm}
procedure TForm5.FormCreate(Sender: TObject);
begin
StringGrid1.Cells[0,0]:='№ п/п';
StringGrid1.Cells[1,0]:='Дата';
StringGrid1.Cells[2,0]:='Возникшая угроза';
StringGrid1.Cells[3,0]:='Отметка об устранении';
StringGrid1.Cells[4,0]:='Примечание';
Kol:=0;
Nomer:=1;
end;
procedure TForm5.Button1Click(Sender: TObject);
begin
if Kol<>0 then
BEGIN
for i:=Nomer to StringGrid1.RowCount-1 do
with StringGrid1 do begin
cells[0,i]:= cells[0,i+1];
cells[1,i]:= cells[1,i+1];
cells[2,i]:= cells[2,i+1];
cells[3,i]:= cells[3,i+1];
cells[4,i]:= cells[4,i+1];
end;
Kol:=Kol-1;
if Kol<>0 then StringGrid1.RowCount:= Kol+1 else
begin
Button1.Enabled:=False;
end;
end;
end;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
procedure TForm5.Button2Click(Sender: TObject);
begin
Form6.Caption:='Добавление записи';
add:=true;
Form6.ShowModal
end;
procedure TForm5.Button3Click(Sender: TObject);
begin
Form6.Caption:='Изменение записи';
add:=true;
Form6.ShowModal;
end;
procedure TForm5.Button4Click(Sender: TObject);
begin
if SaveDialog1.Execute then
begin
assignfile(f,savedialog1.FileName);
if FileExists(SaveDialog1.FileName) then
begin
if MessageDlg('Файл с таким именем уже существует. Перезаписать?',
mtConfirmation,[mbYes,mbNo],0)=mrNo then exit;
end;
rewrite(f,savedialog1.FileName);
i:=0;
while i<>StringGrid1.rowCount-1 do begin
inc(i);
Rec.ID := StrToInt(stringgrid1.cells[0,i]);
Rec.Chisl:=stringgrid1.cells[1,i];
Rec.Ug:=stringgrid1.cells[2,i];
Rec.Otm:=stringgrid1.cells[3,i];
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Rec.Prim:=stringgrid1.cells[4,i];
write(f,Rec); //запись данных в файл
end;
closefile(f);
end;
end;
procedure TForm5.Button5Click(Sender: TObject);
begin
if Opendialog1.Execute
and FileExists(OpenDialog1.FileName) then
begin
AssignFile(f,OpenDialog1.FileName);
Reset(f);
i:=0;
while not eof(f) do begin
read(f,Rec); //чтение данных из файла
inc(i);
stringgrid1.cells[0,i]:=IntToStr(Rec.ID);
stringgrid1.cells[1,i]:=Rec.Chisl;
stringgrid1.cells[2,i]:=Rec.Ug;
stringgrid1.cells[3,i]:=Rec.Otm;
stringgrid1.cells[4,i]:=Rec.Prim;
stringgrid1.RowCount:=i+1;
end;
kol:=i;
closefile(f);
end else ShowMessage('Файл не существует!')
end;
procedure TForm5.Button6Click(Sender: TObject);
begin
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Close;
end;
end.
unit Unit6;
interface
uses
Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
Dialogs, StdCtrls;
type
TForm6 = class(TForm)
Label1: TLabel;
Label2: TLabel;
Label3: TLabel;
Label4: TLabel;
Label5: TLabel;
Edit1: TEdit;
Edit2: TEdit;
Edit3: TEdit;
ComboBox1: TComboBox;
Edit4: TEdit;
Button1: TButton;
Button2: TButton;
procedure Button1Click(Sender: TObject);
procedure FormCreate(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
var
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Form6: TForm6;
implementation
uses Unit5, Unit3;
{$R *.dfm}
procedure TForm6.FormCreate(Sender: TObject);
begin
ComboBox1.Items.Add('true');
ComboBox1.Items.Add('false');
if Unit5.add=true then
begin
Form6.Edit1.Text:='';
Form6.Edit2.Text:='';
Form6.Edit3.Text:='';
Form6.Edit3.Text:='';
Form6.ComboBox1.SelText := Form5.StringGrid1.Cells[3, Nomer];
end else
begin
Form6.Edit1.Text:=Form5.StringGrid1.Cells[0,Nomer];
Form6.Edit2.Text:=Form5.StringGrid1.Cells[1,Nomer];
Form6.Edit3.Text:=Form5.StringGrid1.Cells[2,Nomer];
Form6.Edit4.Text:=Form5.StringGrid1.Cells[4,Nomer];
Form6.ComboBox1.Text:=Form5.StringGrid1.Cells[3,Nomer];
end;
end;
procedure TForm6.Button1Click(Sender: TObject);
var d:integer;
begin
if Unit5.add then
begin
Unit5.Kol:=Unit5.Kol+1;
Размещено на Studbooks.net
Studlancer.net - закажи реферат, курсовую, диплом!
Form5.StringGrid1.RowCount:= Unit5.Kol+1;
d:=Unit5.Kol;
if Unit5.kol>0 then begin
Form5.Button1.Enabled:=True;
end;
end else d:=Unit5.Nomer;
Form5.StringGrid1.Cells[0,d]:=Edit1.Text;
Form5.StringGrid1.Cells[1,d]:=Edit2.Text;
Form5.StringGrid1.Cells[2,d]:=Edit3.Text;
Form5.StringGrid1.Cells[4,d]:=Edit4.Text;
Form5.StringGrid1.Cells[3,d]:=Form6.ComboBox1.Text;
Close;
end;
end.
Размещено на Allbest.ru
Размещено на Studbooks.net
Скачать