Вход

Автоматизация и обеспечение информационной безопасности процесса контроля обслуживания дорожно-строительной техники в ООО

Рекомендуемая категория для самостоятельной подготовки:
Дипломная работа*
Код 189606
Дата создания 2015
Страниц 98
Источников 30
Мы сможем обработать ваш заказ (!) 29 марта в 12:00 [мск]
Файлы будут доступны для скачивания только после обработки заказа.
5 950руб.
КУПИТЬ

Содержание

Содержание
Введение 3
1.Назначение и цели автоматизированной системы защиты информации 6
1.1. Анализ нормативных документов в области защиты информации 6
1.2. Общие положения классификации систем защиты информации 15
1.3.Описание целей и задач проектирования 23
2.Описание предметной области 25
2.1. Общая характеристика предприятия 25
2.3. Характеристика структуры автоматизированной системы ООО "Автодор" 29
2.3 Анализ рисков информационной безопасности 35
2.4. Анализ системы информационной безопасности ООО "Автодор" 47
2.5. Существующая технология авторизации и аутентификации в условиях «Автодор» 53
2.5. Общая характеристика системы антивирусной защиты ООО «Автодор» 56
3. Проектная часть 71
3.1. Исходные данные 71
3.2. Внедрение системы аутентификации с использованием электронных ключей 72
3.3. Совершенствование системы авторизации и аутентификации с использованием КСЗИ «Панцирь-К» 79
3.4. Настройка антивирусного ПО для обеспечения защиты персональных данных 84
3.5.Совершенствование системы антивирусной защиты ООО «Автодор» 89
4.Оценка экономической эффективности проекта 94
Заключение 98
Список использованных источников 100

Фрагмент работы для ознакомления

Ответственный за подразделении ООО «Автодор» обязан:ежедневно получать обновления антивирусных баз с Главного сервера АВЗ на Сервер АВЗ;ежедневно обновлять антивирусные базы с Сервера АВЗ на всех серверах, входящих в круг ответственности.ежедневно получать обновления антивирусных баз с Главного сервера АВЗ на Сервер АВЗ (организовать во временном промежутке [03:00 – 06:00]);ежедневно обновлять антивирусные базы с Сервера АВЗ на всех компьютерах, входящих в круг ответственности.При установке (переустановке) антивирусного ПО необходимо руководствоваться рекомендациями ответственного за АВЗ и использовать дистрибутивы, находящиеся в каталоге \АВЗ\prog на ftp-сервере ИТ-отдела. Устанавливать другое антивирусное ПО не допускается.Осуществлять установку (переустановку) и настройку антивирусного ПО необходимо согласно Инструкциям по установке, удалению и настройке антивирусного ПО.Ответственный за АВЗ ИТ-специалист обязан:получать новые версии антивирусного ПО с Internet-сайта разработчика и копировать их в каталог \АВЗ\prog на ftp-сервер ИТ-отдела;устанавливать (переустанавливать) и настраивать антивирусное ПО на всех компьютерах в сети АВЗ, входящих в круг его ответственности и на всех компьютерах в сети АВЗ. Ответственные за АВЗ серверов обязаны устанавливать (переустанавливать) и настраивать антивирусное ПО на всех серверах, входящих в круг их ответственности. Ответственный за АВЗ в подразделении обязан устанавливать (переустанавливать) и настраивать антивирусное ПО на всех компьютерах, входящих в круг его ответственности.В ходе анализа системы антивирусной защиты ООО «Автодор» мной были сформированы статистические отчеты.На рисунке 2.8. приведен отчет об установленных версиях антивирусной защиты.Рисунок 2.8. Отчет об установленных версиях антивирусной защиты.Как показано на рисунке 2.8, архитектура системы антивирусной защиты ООО «Автодор» достаточно однородна, используются одинаковые версии антивирусного ПО.С использованием средств администрирования Kaspersky Security Center мной был проведен анализ статистики вирусных заражений в информационной системе ООО «Автодор». На рисунке 2.9 приведен отчет о статистике вирусных заражений в период с 01.02.2015 по 01.03.2015Рисунок 2.9. Отчет о статистике вирусных заражений в период с 01.02.2015 по 01.03.2015Как показано на рисунке 2.9, за 1 месяц статистика вирусной активности в информационной системе ООО «Автодор» показывает достаточно большое количество событий, связанных с вирусной активностью.Для анализа вирусной активности по специалистам мной был сформирован отчет о 10 наиболее заражаемых компьютерах, приведенный на рисунке 2.10.Рисунок 2.10. Отчет о 10 наиболее заражаемых компьютерахИнформация, полученная из данного отчета, предоставляет возможность анализа технологии работы специалистов для возможности ее совершенствования в части соблюдения требований антивирусной защиты. Так, показано, что наиболее заражаемыми компьютерами являются:- рабочие станции ИТ-подразделения (так как их деятельность связана с необходимостью проверки внешних носителей информации, работой в Интернете);- рабочие станции специалистов экономического отдела (специалисты экономического отдела используют внешние носители информации для обмена с другими организациями, ресурсы Интернета для сдачи отчетности);- рабочая станция юрисконсульта, что связано с необходимостью работы с судебными документами и получением данных через внешние носители информации. Для анализа структуры используемого программного обеспечения мной был сформирован отчет о реестре используемого программного обеспечения, приведенный на рисунке 2.11.Рисунок 2.11. Отчет о реестре используемого программного обеспеченияКак показано на рисунке 2.11, массовых случаев использования программного обеспечения, не используемого для работы специалистов, не выявлено, однако единичные случаи подобного рода отмечены.Для мониторинга состояния лицензий на используемое антивирусное ПО мной был сформирован отчет об использовании ключей, приведены на рисунке 2.12.Рисунок 2.12. Отчет об использовании ключейКак показано на рисунке 2.12, все лицензии на использование антивирусных программных продуктов являются актуальными.Далее мной был проведен анализ используемых антивирусных баз (Рисунок 2.13).Рисунок 2.13. Отчет об используемых базахКак показано на рисунке 2.13, используемые базы являются актуальными, так как настроена система автоматического обновления баз. Устаревание баз может быть связано с тем, что сотрудник по каким-либо причинам не находится на рабочем месте.Далее мной был проведен анализ функционирования системы антивирусной защиты предприятия через формирование отчета об ошибках функционирования системы (Рисунок 2.14).Рисунок 2.14. Отчет об ошибках функционирования системы антивирусной защитыПо данным отчета, приведенного на рисунке 2.14, администратор системы антивирусной защиты проводит анализ ошибок системы АВЗ. В рассматриваемом периоде ошибки связаны с невозможностью выполнить административные задачи, ошибками при обновлении баз, системными ошибками антивирусного ПО.В ходе анализа существующей системы антивирусной защиты отмечено, что существующая архитектура антивирусной защиты обеспечивает удовлетворительный уровень защиты – за 3 месяца – с 01.01.2015 по 31.03.2015 был отмечен лишь один случай активного заражения рабочей станции специалиста, который был локализован сторонним антивирусным программным средством DrWeb CureIt, внешние носители информации, содержащие вредоносное ПО, успешно детектировались и локализовывались (свыше 300 случаев). Тем не менее, наличие фактов вирусных заражений говорит о том, что существующая система является уязвимой перед определенными видами угроз и требует совершенствования. В ходе изучения системы антивирусной защиты в условиях ООО «Автодор» мной обнаружены следующие недостатки:- использование только решений от Kaspersky потенциально может привести к заражению, так как существует вероятность проникновения в сеть предприятия вирусов, не внесенных в сигнатуры KasperskyEndPoint Security;- на некоторых рабочих станциях пользователей технологически необходимо использовать USB-порты, что потенциально может привести к вирусному заражению;- не отключен автозапуск с устройств;- применяемые политики и программное обеспечение от Kaspersky не защищены от отключения пользователями, а также от несанкционированной деинсталляции, т.е. пользователь самостоятельно может отключить антивирусную защиту, а также удалить антивирусное ПО;- использование сетевых хранилищ NetGear через подключение сетевого диска также является потенциальной уязвимостью, так как отсутствие установленного антивирусного программного обеспечения на данных хранилищах потенциально может стать источником заражения.3.Проектная часть3.1. Исходные данныеЦелью проектирования в рамках данной дипломной работы является разработка системы мероприятий по совершенствованию информационной безопасности ООО «Автодор»Приведем исходные данные проектаЗащищаемые активы:- Сервера;- Базы данных;- Документация на проведение дорожных работ;- Ключи ЭЦП;- Данные о финансово-хозяйственной деятельности предприятия.Типы угроз:- защита конфиденциальной информации от несанкционированного доступа;- физическая защита от несанкционированного проникновения.В настоящее время в условиях ООО «Автодор» отсутствует контроль использования учетных записей пользователей, смена паролей производится пользователями самостоятельно, пользователи имеют возможность работы с внешними носителями информации, не проведено разграничение доступа к локальным учетным записям, все пользователи информационной системы имеют доступ к Интернету.Задачи проекта совершенствования системы информационной безопасности: контроль подключения внешних устройств, усиления контроля технологии аутентификации пользователей, разграничение доступа пользователей к рабочим станциям, контроль использования средств Интернета.3.2. Внедрение системы аутентификации с использованием электронных ключейВ рамках совершенствования технологии авторизации и аутентификации пользователей предлагается использование аппаратных аутентификаторов – электронных ключей eToken.Использование электронных ключей позволит решить следующие проблемы:- все пользовательские пароли хранятся на ключе, для входа в систему пароль приходится набирать только один раз - к самому ключу;- электронные ключи управляются централизованно и, при отсутствии пользователя могут быть централизованно заблокированы, что исключает проблему передачи паролей между пользователями;- централизованное управление ключами также позволяет управлять их содержимым –устанавливать сроки действия паролей, степень их сложности;- возможность протоколирования работы пользователя с системой, что позволит анализировать инциденты, связанные с нарушениями требований аутентификации;- пользователь несет персональную ответственность за работу с электронным ключом и обязан обеспечить его хранения в недоступном месте, факт передачи электронного ключа должен расследоваться с принятием соответствующих управленческих решений (факты передачи электронного ключа, в отличие от передачи парольной карточки, можно легко расследовать, так как на сервере управления ключами ведутся протоколы активности пользователей);- возможность хранения закрытых ключей ЭЦП на электронном ключе также повышает защищенность системы от угроз компрометации.eToken – персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭЦП. eToken выпускается в форм-факторе USB-ключа. eToken обладает защищённой энергонезависимой памятью и используется в качестве портативного хранилища секретных данных (ключей шифрования, имён пользователя, паролей, учётных записей, сертификатов и пр.).Для получения доступа к защищённым данным, хранящимся в памяти eToken, требуется ввести PIN_код (Personal Identification Number, eToken password), являющийся аналогом пароля. PIN_код должен содержать последовательность из восьми или более символов, включающую буквы, цифры и специальные символы. Русские буквы и пробелы в PIN_код включать не рекомендуется.Для использования eToken персональный компьютер должен удовлетворять следующим минимальным требованиям:установленная операционная система Windows XP/7/8 или Windows Server 2003/2008;10 МБ свободного места на жёстком диске;наличие свободного работающего порта USB;Рассмотрим основные режимы работы с настройками электронных ключей.Программное обеспечение, используемое для управления электронными ключами - IndeedID. На рис.3.1. приведена схема централизованного управления. Как показано на рис.3.1, в случае утери ключа информация, содержащаяся на нем не теряется, так как физически она хранится на сервере управления Indeed-ID, а eToken служит только для авторизации и получения информации с данного сервера. Технологическая схема смены паролей с использованием технологии электронных ключей показана на рис.3.2.Рис.3.1. Схема управления электронными ключамиРис.3.2. Технологическая схема смены паролей с использованием технологии электронных ключейКак показано на рис.3.2, в предлагаемой технологии исключена возможность аутентификации в программном комплексе без электронного ключа, так как пользователь не будет знать своих паролей в программных комплексах.Далее рассмотрим режимы настройки работы электронного ключа. На рис.3.3 показан режим пользовательских учетных записей.Рис.3.3. Режим пользовательских учетных записейКак показано на рис.3.3, в данном случае на электронном ключе хранится 5 профилей к различным прикладным программным решениям. На рис.3.4 показаны настройки электронного ключаРис.3.4. Настройки электронного ключаКак показано на рис.3.5, программное обеспечение по управлению электронными ключами позволяет управлять параметрами паролей: сложностью, сроком действия, повторяемостью, учета символов в различно регистре.Рис.3.5. Расширенные настройки электронного ключаНа рис.3.6 показан режим настройки профиля программного обеспечения текущего пользователя.Рис.3.6. Настройка профиля программного обеспеченияКроме того, для формализации пользовательских учетных записей предлагается ввести требования к кодировке имен входа:uXX_NN, XX – код отдела, NN – номер специалиста в отделе.Например, логин руководителя будет иметь вид u01_01, главного бухгалтера – u02_01, начальника отдела информационной безопасности – u08_01.Таким образом, использование электронных ключей позволит совершенствовать систему аутентификации пользователей в программных комплексах.3.3. Совершенствование системы авторизации и аутентификации с использованием КСЗИ «Панцирь-К»При всех достоинствах использования электронных ключей их применение не решает следующих проблем:- невозможно предотвратить вход с действующим электронным ключом на рабочую станцию, которая не предусмотрена технологией работы специалиста, что предполагает необходимость защиты от активности инсайдеров;- невозможно предотвратить вход с учетными записями локального администратора или гостя.Наличие активных учетных записей Гостя и Администратора опасно также тем, что их может использовать вредоносное программное обеспечение. Защиту от данных типов угроз предполагается реализовать с использованием КСЗИ «Панцирь-К».Основные функции КСЗИ «Панцирь-К»:- настройки авторизации пользователей на рабочих станциях, то есть на каждом из компьютеров можно включить возможность авторизации только определенных пользователей;- протоколирование работы пользователей, в том числе с автоматическим сохранением снимков экрана и протоколированием работы клавиатуры;- контроль функционирования и модификации системных файлов;- возможность централизованно завершить сеанс пользователя в случае необходимости (например, в случае несанкционированного входа в систему);- защита установленного ПО от несанкционированного удаления (то есть пользователь самостоятельно даже с правами администратора не сможет удалить КСЗИ «Панцирь-К», а также программные продукты, определенные администратором системы).На рисунке 3.7 приведено окно запуска системы КСЗИ «Панцирь-К». Рисунок 3.7. Окно запуска КСЗИ «Панцирь-К»Рисунок 3.8. Настройки контроля целостностиРисунок 3.9. Настройка аудита действий пользователяТаким образом, в случае возникновения инцидентов, связанных с нарушением требований к аутентификации, существует возможность предъявления протоколов его действий.Настройка контроля учетных записей пользователей приведена на рисунке 3.10. В данном режиме есть возможность контроля типов авторизации – с использованием вода пароля с консоли или использования смарт-карт, контролировать активность встроенных учетных записей, которые зачастую используются вредоносным ПО.Таким образом, даже в случае вирусного заражения, активность вредоносного ПО, использующего учетные записи локального администратора или гостя, блокируется.Рисунок 3.10. Настройка контроля учетных записей пользователейТакже использование данного ПО позволяет управлять доступом:- к сетевым ресурсам;- к буферу обмена;- к подключенным устройствам;- к файловой системе;- другим ресурсам.Данные сервисы позволяют блокировать активность вредоносного ПО, функционал которого связан с указанными ресурсами.Рисунок 3.11. Настройка управления доступомТакже использование данного КСЗИ позволяет контролировать использование файла подкачки, который также может использоваться вредоносным ПО.Рисунок 3.12. Дополнительные настройки3.4. Настройка антивирусного ПО для обеспечения защиты персональных данныхКак было показано выше, для обеспечения конфиденциальности персональных данных необходимо обеспечить защиту от несанкционированного копирования.При наличии у сотрудников личных носителей информации возможна ситуация, при которой специалисты могут на них скопировать информацию, содержащую персональные данные. Защиту от несанкционированного копирования на неучтенные носители может обеспечить настройка антивирусной системы защиты информации. В условиях ООО «Автодор» используются антивирусные решения от Kaspersky Lab. Сервисы администрирования от Kaspersky Lab позволяют централизованно проводить управления USB-портами на рабочих станциях пользователей, а также вводить специальные разрешения на копирование информации на носитель информации по его серийному номеру, что исключает копирование на неучтенные носители информации. Кроме того, существует возможность ограничение на копирование файлов по определенному расширению.Контроль USB-устройств реализуется путем создания групп рабочих станций на сервере администрирования антивирусной защиты.В ходе работы над проектом мной были внесены предложения по перенастройке системы антивирусной защиты. Рассмотрим основные предложения в данной области. На рисунке 3.13 показана структура предлагаемых групп в структуре системы антивирусной защиты.Рисунок 3.13. Структура групп в системе совершенствования антивирусной защитыПримечание: изначально все обнаруженные сервером сетевые узлы помещаются в “Нераспределенные компьютеры\IP-диапазоны\10.32.**.0/24” (этот диапазон сканируется каждые 6 часов). Ответственный за антивирусную защиту ИТ-специалист должен регулярно следить, чтобы в нераспределенных не было ни одного узла, перенося их в соотв. группы.В группу компьютеры помещаются все станции с установленным агентом и защитой.В группу прочие – принтеры и неуправляемые станции.Далее необходимо создать группы согласно доступу к USB-портам и настроить соответствующие политики (Рисунок 3.9).Рисунок 3.14. Настройка политик для группЕсли каких-то политик нет, то создайте их. При создании оставьте все настройки по умолчанию, позже внесете изменения.После этого были созданы политики для групп lockUSB и unlockUSB.Перейдём к настройкам политик (Рисунок 3.15 – 3.16).Рисунок 3.15. Настройка политики для группы LockUSBРисунок 3.16. Настройка политик для LockUSBРазделение на группы LockUSB и UnLockUSB обусловлено тем, что у некоторых пользователей использование внешних носителей информации необходимо разрешить, так как внешние накопители информации используются в работе программных комплексов (например, в качестве носителей электронных ключей или для выгрузки сформированной отчетности в государственные органы).Рисунок 3.17. Настройка политик для UnLockUSBКак показано на рисунке 3.15 – 3.17, при контроле USB-устройств необходимо произвести дополнительные настройки, чтобы не нарушить функциональность компьютера (контролировать необходимо только те устройства, которые являются носителями информации, а аппаратное обеспечение, подключаемое через USB – принтеры, сканеры, МФУ, должно функционировать). Для безопасности применения данной политики необходимо провести дополнительные настройки – защитить их паролем (Рисунок 3.18), чтобы у пользователей не было возможности самостоятельно отключать административные настройки политик.Рисунок 3.18. Настройка безопасности политики для группы LockUSBТакже необходимо защитить ПО NetAgent от несанкционированной деинсталляции (Рисунок 3.14), так как в случае удаления данного ПО, над рабочей станцией теряется контроль со стороны сервера администрирования.Рисунок 3.14. Защита ПО NetAgent от несанкционированного удаленияТаким образом, угроза несанкционированного копирования персональных данных на неучтенные носители информации может быть минимизирована при проведении настройки антивирусных программных средств.3.5.Совершенствование системы антивирусной защиты ООО «Автодор»Для устранения недостатков системы антивирусной защиты ООО «Автодор» в рамках работы над проектом мной был предложен ряд мер, связанных с совершенствованием системы антивирусной защиты, приведенный в таблице 3.1.Совершенствование системы антивирусной защиты предлагается в следующих направлениях:- оптимизация архитектуры с использованием существующего решения на базе Kaspersky EndPoint Security;- внедрение решений на основе дополнительного антивирусного программного решения;- внедрение системы комплексной защиты информации, что позволит предотвратить активность вредоносного ПО и оптимизировать ресурсы информационной системы в части защиты информации.Таблица 3.1 - Меры по совершенствованию системы антивирусной защиты в условиях ООО «Автодор»Вид деятельностиСуществующая технологияПредлагаемая технологияРабота с внешними носителями информацииСпециалисты могут использовать внешние носители информации, предварительно проверив их с использованием средств Kaspersky EndPoint Security Создание выделенной рабочей станции для проверки внешних носителей, использующей для проверки средства ПО DrWeb Security Space с отключением возможности работы с внешними носителями на рабочих станцияхРабота с ресурсами сети ИнтернетНа рабочих станциях специалистов открыт полный доступ к ИнтернетуРегламентация доступа к Интернету, блокирование возможности входа в социальные сети и пр. сайты, не относящиеся к технологии работы специалистов, с использованием средства Kaspersky Web фильтрАвтозапускИспользование автозапуска специалистами для возможности работы с прикладным ПО, что повышает уязвимость системыОтключение системы автозапуска средствами Kaspersky EndPoint SecurityКонтроль учетных записейКаждый из специалистов со своей доменной учетной записью может получить доступ к любой рабочей станции в локальной сети предприятия Ограничения на активность учетных записей с использованием специального ПОИспользование встроенной учетной записи администратораНа каждой рабочей станции возможен вход под локальным администратором без пароля, что может использоваться вредоносным ПОУстановка пароля для учетной записи администратораИспользование файла подкачкиНа рабочих станциях пользователей используется файл подкачки, что потенциально повышает уязвимость системыОчистка файла подкачки при каждой перезагрузке системы с использованием специальных средств Предлагаемая система использования выделенной рабочей станции для проверки внешних носителей информации приведена на рисунке 3.1.Рисунок 3.1. Система использования выделенной рабочей станции для проверки внешних носителей информацииВ рамках предлагаемого варианта, все внешние носители информации проходят проверку на выделенной рабочей станции с установленным ПО DrWeb, после чего пользователь выбирает необходимые ему для работы файлы и по протоколу FTP копирует их на выделенный сетевой ресурс в локальной сети информационной системы ООО «Автодор». рабочая станция для проверки внешних носителей не включена в домен, не имеет подключенных сетевых дисков, имеет связь с остальными ресурсами сети только по FTP, каталоги которого на сервере проверяются средствами Kaspersky EndPoint Security, что минимизирует вероятность вирусного заражения с данного компьютера. Кроме того, предлагается рассмотреть вопрос о возможности автоматического копирования на FTP-сервер файлов только с определенными расширениями (*.doc, *.docx, *.xls, *xlsx, *.odt, *.odf, *.xml и т.п.) с использованием специального сканирующего ПО, что позволит не обращаться к потенциально заражаемым объектам.Таким образом, использование двух антивирусов в информационной системе не приведет к дополнительной нагрузке на вычислительные ресурсы, и, в то же время, исключит вероятность заражения вредоносным ПО, не включенным в сигнатуры одного из антивирусов. Блокировка USB-портов для использования внешних носителей также повысит общую защищенность системы. Однако при проектировании любой системы информационной безопасности является человеческий фактор и, для обеспечения гарантий информационной безопасности в первую очередь, необходимо обеспечить дисциплину работы среди специалистов, так как большинство указанных мер обеспечивает защиту от непреднамеренного копирования информации. Если у сотрудника компании или стороннего злоумышленника имеется умысел на несанкционированное получение персональных данных, то большинство предпринимаемых технологических и организационных мер будут малоэффективными и для защиты от злоумышленников такого типа необходимо использовать особый порядок пропускного режима, упорядочивать доступ помещения, где обрабатываются персональные данные, принятие ряда мер по обеспечению физической защиты информации.Таким образом, сформулированные в рамках данной работы проблемы информационной безопасности в условиях ООО «Автодор», могут быть минимизированы при использовании электронных ключей и КСЗИ «Панцирь-К».Однако при проектировании любой системы информационной безопасности является человеческий фактор и, для обеспечения гарантий информационной безопасности в первую очередь, необходимо обеспечить дисциплину работы среди специалистов.4.Оценка экономической эффективности проектаРиск владельца информации определяется уровнем системы инженерно-технической защиты информации, определяемый ресурсами системы.Для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;Данные по ресурсам необходимым для ИБ представлены в таблицах 4.1 и 4.2.Таблица 4.1.Содержание и объем разового ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час)Стоимость, всего (руб.)1Закупка утвержденных начальником отдела безопасности и руководством ПиАСИБ30082 4002Монтаж и установка аппаратных и программных СЗИ200244 8003Настройка и отладка установленных средств ИБ30082 4004Проведение занятий по обучению и использованию данных СЗИ с сотрудниками отдела35041 4005Контроль и мониторинг работоспособности системы защиты информации1508813 200Стоимость проведения организационных мероприятий, всего24 200Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (руб.)Кол-во (ед.измерения)Стоимость, всего (руб.)1Ключи etoken2620615 720Стоимость проведения мероприятий инженерно-технической защиты74 155Объем разового ресурса, выделяемого на защиту информации98 355Суммарное значение ресурса, выделяемого на защиту информации исходя из расчетов, составил:98 355 + 38 640 = 136 995 (руб.)Рассчитанная величинаущерба составила:230 000 (руб.)Прогнозируемые данные о величине потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации приведены в таблице 3.5. Данные получены, после анализа работы программных и аппаратных СЗИ, в СТД предприятия, после одного года службы. Статистические данные выданы заместителем начальника ООО «Автодор».Таблица 3.4.Содержание и объем постоянного ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час)Стоимость, всего (руб.)1Выполнение плановых мероприятий администратора ИБ (сотрудника отдела безопасности)2008817 6002Физическая охрана помещений, где установлены СЗИ200223 4003Своевременное обслуживания программных и аппаратных средств защиты информации35041 400Стоимость проведения организационных мероприятий, всего22 400Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (руб.)Кол-во (ед.измерения)Стоимость, всего (руб.)1Ключи eToken262025 240Стоимость проведения мероприятий инженерно-технической защиты16 240Объем постоянного ресурса, выделяемого на защиту информации38 640После принятияобязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежностисозданной системы защиты информации, возможно, определить срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:Ток = R∑ / (Rср – Rпрогн)где:(R∑) - суммарное значение ресурса выделенного на защиту информации = 136 995Таблица 4.3.Величины потерь (рисков) для критичных информационных ресурсовпосле внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь (руб.)СервераКража, повреждения50 000БДНесанкционированный доступ (кража)5 000ПОНесанкционированный доступ (кража)1 000ДокументыКража, повреждения1 000Пользовательские компьютерыКража, повреждения1 000Суммарная величина потерь58 000 (Rср) - объем среднегодовых потерь предприятия из-за инцидентов информационной безопасности в периоде одного года до введения СЗИ= 230 000(Rпрогн) - прогнозируемый ежегодный объем потерь, после введения СЗИ = 58 000Ток = 136 995 / (230 000 - 58 000) = 136 995 / 172 000= 0,8 (года)Также необходимо оценить динамику величин потерь за период не менее 1 года: Таблица 4.4 Оценка динамики величин потерь1 кв.2 кв.3 кв.1 годДо внедрения СЗИ57 500115 000172 500230 000После внедрения СЗИ14 50029 00043 50058 000Снижение потерь43 00086 000 129 000172 000Графическое представление о динамике потерь на рисунке:Рисунок 4.1. Диаграмма динамики потерь.ЗаключениеПолитика информационной безопасности в информационных системах предприятий имеет множество аспектов и в рамках одной дипломной работы невозможно охарактеризовать ее в полном объеме.В рамках данной работы рассмотрены анализа системы информационной безопасности ООО «Автодор».В ходе работы над проектом был проведен анализ архитектуры системы информационной безопасности предприятия. Показано, что комплексная система защиты информации включает в себя организационных и технологические решения. Пренебрежение каким-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом. Аудит информационной системы показал, что существующая система относится к классу К3, и требования к защите системы должны соответствовать данному стандарту.Далее был проведен анализ системы авторизации и аутентификации в условиях информационной системы предприятия. Показано, что в существующей системе технология авторизации хоть и является удовлетворительной, но отмечаются системные проблемы, связанные с наличием ряда уязвимостей. Показано, что в существующей системе существует многофакторная аутентификация. В среднем на каждого пользователя приходится по 5-6 паролей, отмечаются многочисленные факты передачи паролей между пользователями, нарушения режима хранения парольных карточек, отсутствует контроль сроков смены паролей, а также их сложности, не отключены встроенные локальные учетные записи. Все перечисленные недостатки в сумме повышают уязвимость системы информационной безопасности предприятия. В качестве мер совершенствования системы информационной безопасности были предложены:- использование персональных аутентификаторов – электронных ключей, что позволит решить проблемы многофакторной аутентификации, дает возможности централизованного управления учетными записями и самими электронными ключами;- использование системы КСЗИ «Панцирь-К» для совершенствования системы информационной безопасности в части управления процессом аутентификации (администратор определяет только тех пользователей, которые могут работать с указанной рабочей станцией), а также ряд других возможностей.Список использованных источниковООО «Автодор». О компании. [Электроный ресурс]. Режим доступа: http://avtodor-sz.ru/company/Гашков С.Б., Применко Э.А., Черепнев М.А. Криптографические методы защиты информации. – М.: Академия, 2010. – 304 с.Герасименко В.А., Малюк А.А. Основы защиты информации. - М.: МИФИ, 1997. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. – М.: Академия, 2009. – 416 с.Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.Демин, Ю.М. Делопроизводство, подготовка служебных документов - С-Пб, 2003. – 201 с.Дудихин В.В., Дудихина О.В. Конкурентная разведка в Internet. Советы аналитика – М:. ДМК Пресс, 2002. – 192 с.Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.Защита информации в системах мобильной связи. Учебное пособие. – М.: Горячая Линия - Телеком, 2005. – 176 с.Комплексная система защиты информации на предприятии. Часть 1. – М.: Московская Финансово-Юридическая Академия, 2008. – 124 с.Корнеев И.К, Степанов Е.А. Защита информации в офисе. – М.: ТК Велби, Проспект, 2008. – 336 с.Кузьмин, И. Внимание! Сведения конфиденциальные // Российская юстиция. 2002 - 4Куракин П.В. Контроль защиты информации // Кадровое дело. 2003 - 9Максименко В.Н., Афанасьев, В.В. Волков Н.В. Защита информации в сетях сотовой подвижной связи. – М.: Горячая Линия - Телеком, 2007. – 360 с.Малюк А.А, Пазизин С.В, Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая Линия - Телеком, 2011. – 146 с.Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие. – М.: Горячая Линия - Телеком, 2004. – 280 с.Петраков А.В. Основы практической защиты информации. Учебное пособие. – М.: Солон-Пресс, 2005. – 384 с.Проектирование экономических систем: Учебник / Г.Н. Смирнова, А. А.Сорокин, Ю. Ф. Тельнов – М.: Финансы и статистика, 2003. Ситникова, Е. Дисциплинарная ответственность работника // Кадровое дело. 2003 - 1 Степанов, Е. Защита информации при работе с ЭВМ // Кадровое дело. 2001 - 2Сурис М.А., Липовских В.М. Защита трубопроводов тепловых сетей от наружной коррозии. – М.: Энергоатомиздат, 2003. – 216 с.Трудовой кодекс Российской Федерации: федер. закон от 30дек. 2001 г. № 197-ФЗ (ред. от 30.12.2006)//СЗРФ.—2002.—№ 1 (ч. 1).—Ст. 3Федоров А. В. Проектирование информационных систем. М.: Финансы и статистика, 2003.Хорев П.Б. Методы и средства защиты информации в компьютерных системах. – М.: Академия, 2008. – 256 с.Хорев П.Б. Программно-аппаратная защита информации. – М.: Форум, 2009. – 352 с.Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. – М.: Форум, Инфра-М, 2010. – 592 с.Новое в экономике и управлении. Управление развитием транспортного комплекса России: сборник статей / Под общей ред. д.э.н., проф. В.А. Николаева. - М.: Изд-во «Каталог», 2006. - 94 с.Пятковский, О.И. Практикум по дисциплине «Проектирование информационных систем» Часть 1. Предпроектная стадия процесса проектирования экономических информационных систем: учебное пособие / О.И. Пятковский, М.В. Гунер; Алт.гос.техн.ун-т им.И.И. Ползунова. - Барнаул: кафедра ИСЭ, АлтГТУ, 2010. - 103 с.Пятковский, О.И. Практикум по дисциплине «Проектирование информационных систем» Часть 2. Техно-рабочее проектирование: учебное пособие / О.И. Пятковский, М.В. Гунер; Алт. гос. техн.ун-т им.И.И. Ползунова. - Барнаул: кафедра ИСЭ, АлтГТУ, 2010. - 113 с.

Список литературы [ всего 30]

Список использованных источников
1. ООО «Автодор». О компании. [Электроный ресурс]. Режим доступа: http://avtodor-sz.ru/company/
2. Гашков С.Б., Применко Э.А., Черепнев М.А. Криптографические методы защиты информации. – М.: Академия, 2010. – 304 с.
3. Герасименко В.А., Малюк А.А. Основы защиты информации. - М.: МИФИ, 1997.
4. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. – М.: Академия, 2009. – 416 с.
5. Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.
6. Демин, Ю.М. Делопроизводство, подготовка служебных документов - С-Пб, 2003. – 201 с.
7. Дудихин В.В., Дудихина О.В. Конкурентная разведка в Internet. Советы аналитика – М:. ДМК Пресс, 2002. – 192 с.
8. Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.
9. Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.
10. Защита информации в системах мобильной связи. Учебное пособие. – М.: Горячая Линия - Телеком, 2005. – 176 с.
11. Комплексная система защиты информации на предприятии. Часть 1. – М.: Московская Финансово-Юридическая Академия, 2008. – 124 с.
12. Корнеев И.К, Степанов Е.А. Защита информации в офисе. – М.: ТК Велби, Проспект, 2008. – 336 с.
13. Кузьмин, И. Внимание! Сведения конфиденциальные // Российская юстиция. 2002 - 4
14. Куракин П.В. Контроль защиты информации // Кадровое дело. 2003 - 9
15. Максименко В.Н., Афанасьев, В.В. Волков Н.В. Защита информации в сетях сотовой подвижной связи. – М.: Горячая Линия - Телеком, 2007. – 360 с.
16. Малюк А.А, Пазизин С.В, Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая Линия - Телеком, 2011. – 146 с.
17. Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие. – М.: Горячая Линия - Телеком, 2004. – 280 с.
18. Петраков А.В. Основы практической защиты информации. Учебное пособие. – М.: Солон-Пресс, 2005. – 384 с.
19. Проектирование экономических систем: Учебник / Г.Н. Смирнова, А. А.Сорокин, Ю. Ф. Тельнов – М.: Финансы и статистика, 2003.
20. Ситникова, Е. Дисциплинарная ответственность работника // Кадровое дело. 2003 - 1
21. Степанов, Е. Защита информации при работе с ЭВМ // Кадровое дело. 2001 - 2
22. Сурис М.А., Липовских В.М. Защита трубопроводов тепловых сетей от наружной коррозии. – М.: Энергоатомиздат, 2003. – 216 с.
23. Трудовой кодекс Российской Федерации: федер. закон от 30 дек. 2001 г. № 197-ФЗ (ред. от 30.12.2006)//СЗРФ.—2002.—№ 1 (ч. 1).—Ст. 3
24. Федоров А. В. Проектирование информационных систем. М.: Финансы и статистика, 2003.
25. Хорев П.Б. Методы и средства защиты информации в компьютерных системах. – М.: Академия, 2008. – 256 с.
26. Хорев П.Б. Программно-аппаратная защита информации. – М.: Форум, 2009. – 352 с.
27. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. – М.: Форум, Инфра-М, 2010. – 592 с.
28. Новое в экономике и управлении. Управление развитием транспортного комплекса России: сборник статей / Под общей ред. д.э.н., проф. В.А. Николаева. - М.: Изд-во «Каталог», 2006. - 94 с.
29. Пятковский, О.И. Практикум по дисциплине «Проектирование информационных систем» Часть 1. Предпроектная стадия процесса проектирования экономических информационных систем: учебное пособие / О.И. Пятковский, М.В. Гунер; Алт.гос.техн.ун-т им.И.И. Ползунова. - Барнаул: кафедра ИСЭ, АлтГТУ, 2010. - 103 с.
30. Пятковский, О.И. Практикум по дисциплине «Проектирование информационных систем» Часть 2. Техно-рабочее проектирование: учебное пособие / О.И. Пятковский, М.В. Гунер; Алт. гос. техн.ун-т им.И.И. Ползунова. - Барнаул: кафедра ИСЭ, АлтГТУ, 2010. - 113 с.
Очень похожие работы
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
bmt: 0.02064
© Рефератбанк, 2002 - 2024