Разработка политики информационной безопасности компании

Механизмы аутентификации, шифрования и хранения секретных данных, таких как ключи, контрольные суммы и хэш-суммы, производятся на базе аппаратных средств.Далее проведем оценку интегрального показателя защищенности с использованием программных средств. Мониторинг системы проведем с использованием программного средства SecretNet. Данный программный продукт служит как для анализа текущего состояния системы, так и защиты эталонного состояния, которое также можно задать средствами данного программного продукта. На рисунке 21 показан режим аудита системных журналов операционной системы.Рисунок - Журнал системы, сформированный с использованием ПО SecretNetКак показано на рисунке 5, исследуемая система в рамках исследуемого промежутка времени не подвергалась атакам на систему информационной безопасности, анализ журналов показывает нулевую статистику отказов и нарушений безопасности. При этом в системном журнале присутствуют записи со статусом "Предупреждение" и "Ошибка", что говорит о наличии уязвимостей операционной системы.На рисунке 22 показан режим системного журнала SecretNetв режиме отображения событий.Рисунок - Системный журнал SecretNetв режиме отображения событийНа рисунке 23 показан режим контроля программ в ПО SecretNet. Рисунок - Режим контроля программ в ПО SecretNetПротокол контроля событий, связанных с изменением реестра операционной системы, показан на рисунке 24.Рисунок - Протокол контроля событий, связанных с изменением реестра операционной системыКак показано на рисунке 24, в моделируемой системе отсутствуют события, связанные с контролем реестра операционной системы, которые были бы связаны с активностью вредоносного ПО, а также события, не контролируемые средством защиты данных SecretNet.На рисунке 25 показан протокол активности системных файлов, сформированный с использованием ПО SecretNet.Рисунок - Протокол активности системных файлов, сформированный с использованием ПО SecretNetКак показано на рисунке 25, все процессы, запущенные из системной области, являются контролируемыми системой защиты SecretNet, неопознанные процессы отсутствуют.При моделировании системы для задания эталона необходимо использовать соответствующий режим, настройки которого задаются в режиме, показанном на рисунке 26. Также с использованием ПО SecretNet можно производить генерацию задач, как прикладных или системных, так и задач обеспечения информационной безопасности.Рисунок - Настройка эталонного состояния системыТаким образом, с использованием протоколов системы SecretNetвозможно получать данные о состоянии защищенности системы на основе анализа журналов, статистики запуска опасных и запрещенных процессов и др. Полученные данные возможно обрабатывать с использованием методов экспертных оценок или обработки весовых коэффициентов. Далее приведем пример расчета модели защиты информации на основании анализа протоколов, сформированных в системе SecretNet.Рисунок - Генерация задачи средствами ПО SecretNetВ таблице 13 приведен пример расчета параметров защищенности системы защиты информации на предмет соответствия стандартам.Информация, приведенная в таблице, получена путем анализа протоколов, сформированных в системе SecretNet.Таблица - Пример расчета параметров защищенности системы защиты информации на предмет соответствия стандартам№ воп.Источник (п. 2.1)Вопросы к критерию М1Обязательность (да/нет)Коэф. значимостиСоответствие критерию (1-да, 0-нет)М1.118028-4-2006Хранение виртуальных образов рабочих станций на защищенных серверах да0.251М1.218028-4-2006Отсутствие у пользователей виртуальных рабочих мест административных прав да0.250М1.318028-4-2006Установка программного обеспечения на виртуальные рабочие места централизованно с уровня администраторада0.21М1.418028-4-2006Авторизация на рабочих местах с использованием электронных ключейнет0.150М1.518028-4-2006 Использование бездисковых рабочих станций на рабочих местах конечных пользователейнет0.150М2.113335-5-2001Использование систем шифрования трафикада0.251М2.213335-5-2001Использование спам-фильтров и защиты почтовых ящиковда0.151М2.313335-5-2001Использование прокси-серверов для регламентирования доступа к сети Интернетда0.251М2.413335-5-2001Использование средств мониторинга сетевой активностинет0.151М2.513335-5-2001Разделение трафика на 2 потока с разделением степени защищенностинет0.21М3.113335-5-2001Назначение приказом уровня доступа специалиста к ресурсам сетида0.251М3.213335-5-2001Ведение матриц разграничения доступада0.21М3.313335-5-2001Использование ЭП при отправке заявок на предоставление доступада0.151М3.413335-5-2001Соответствие требований к конфиденциальности, периодичности смены и сложности паролейДа0.151М3.513335-5-2001Блокировка учетной записи пользователя в период его отсутствиянет0.250М4.113335-5-2001Определение перечня защищаемых помещенийда0.21М4.213335-5-2001Определение списка специалистов, допущенных в защищаемые помещенияда0.21М4.313335-5-2001Использование touch-ключей или электронных замков в защищаемых помещенияхда0.21М4.413335-5-2001Наличие системы охранной и пожарной сигнализацииДа0.151М4.513335-5-2001Наличие систем видеонаблюденияДа0.151М5.113335-5-2001Определение приказом ответственных за резервное копирование и хранение резервных копийда0.31М5.213335-5-2001Хранение резервных копий отдельно от объектов копирования да0.150М5.313335-5-2001Наличие утвержденного регламента резервного копирования (объектов копирования, периодичности)да0.151М5.413335-5-2001Наличие приказа об ответственных за эвакуацию резервных копий в случае ЧС с указанием места эвакуацииДа0.150М5.513335-5-2001Проведение ежегодной инвентаризации резервных копий с составлением актаДа0.251Результат расчета рейтинга защищенности, полученный на основании использования метода весовых коэффициентов, приведен в таблице 14.Таблица - Результат расчета рейтинга защищенности, полученный на основании использования метода весовых коэффициентовРейтинг:0.76М10.45М21М30.75М40.9М50.7Протоколы, сформированные в системе SecretNet, также могут использоваться для оценки системы методом экспертных оценок.В рамках комплексного подхода по обеспечению безопасности информации в ИС можно выделить следующие показатели качества используемого ПО: анализ сетевого трафика (с1), протоколирование (с2), управление системами (с3), анализ уязвимостей (с4), анализ криптосредств (с5). Анализ сетевого трафика осуществляют разнообразные снифферы, которые позволяют просматривать всевозможные передаваемые пакеты по каналам связи. Протоколирование включает в себя регистрацию внешних событий и запись сведений о происходящих в системе событиях. Управление системами подразумевает централизованное управление IT-активами компании. Назначим веса каждому из показателей, воспользовавшись методом экспертного оценивания[Ошибка! Источник ссылки не найден.].Абсолютные значения весов Aiбудем измерять по 100-балльной шкале так, что наиболее важному показателю качества назначается максимально возможный вес, т.е. 100. Относительное значение веса ai веса определяется по формуле: ai=Ai/i, где N–число участвовавших в опросе экспертов.Итак, было опрошено N=5 экспертов, которые дали следующие показания (табл. 15):Таблица - Абсолютные значения весов№ экспертаоценки в баллах (0 – 100)с1с2с3с4с515060907010025050100401003406070708047070807080510020708060Нормируя значения, представленные в табл. 16, получим табл. 17 (āi – среднее значение веса показателяci):Таблица - Относительные значения весов№ экспертанормированные оценки весовс1с2с3с4с510.1350.1620.2430.1890.27120.1470.1470.2940.1180.29430.1250.1880.2180.2180.25140.1890.1890.4320.1890.43250.3030.0610.2120.2920.182āi0.180.1490.280.2010.286В табл. 17 приведены отклонения каждого веса аi от его среднего значения āi (ai=ai-āi):Таблица - Отклонения весов от среднего значения№ экспертаа1а2а3а4а5аi1-0.0450.013-0.037-0.012-0.0150.1222-0.033-0.0020.014-0.0830.0080.143-0.0550.039-0.0620.017-0.0350.20840.0090.040.152-0.0120.1460.35950.123-0.088-0.0680.091-0.1040.474vi0.4060.3530.3250.3120.321В нижней строке этой таблицы приведены значения вариаций vi = /āi, где d=(ai)2/(N-1) –оценка дисперсии (при неизвестном математическом ожидании)[Ошибка! Источник ссылки не найден.].В табл. 18 на основе табл. 13 представлены значения ранговRi (1,2,3,4,5) для весов, назначенных экспертами (если один эксперт назначил одинаковый вес нескольким показателям, то в качестве ранга принимается их среднее арифметическое):Таблица - Ранги решений экспертов№ экспертаc1c2c3c4c515423123.53.51.551.53542.52.514441.541.5515324сумма рангов, Si18.520.510.516.59Находим среднее суммарное значение рангов: Si/5=15. ВычисляемотклоненияSi (i=1,…,5): S1=3.5, S2=5.5, S3= -4.5, S4=1.5, S5= -6 и(Si)2=101.Оценим степень согласованности мнений экспертов, вычислив коэффициент конкордации (согласия) Wи соответствующий уровень значимости (m=5 – количество показателей качества):W=12(Si)2/[N2(m3-m)-NTj]; определяется по таблице 2-распределения с N-1 степенями свободы, где 2=12(Si)2/[Nm(m+1)-(1/(m-1))Tj];Tj=((tjl)3-tjl), где Lj–число групп решений с совпавшими рангами в совокупности решений j-го эксперта, l – номер группы (с совпавшими рангами), tjl–число совпавших решений j-го эксперта в группе номера l.Чем выше параметрW и чем ниже , тем надежнее оценка. Обычно согласованность полагают удовлетворительной, если W0.5 и 0.01, и хорошей, если W0.7 и 0.001.Результаты вычислений: T1=0, T2=12, T3=6, T4=30, T5=0, W=12*101/[52(53-5)-5(0+12+6+30+0)]=0.439, 2=12*101/[5*5*6-(1/4)*48]=8.783. Следовательно, 0.075.Можно сделать следующие выводы:средние значения весов ā1, ā2, ā3, ā4, ā5, указанные в табл. 2.2, равны соответственно 0.18; 0.149; 0.28; 0.201; 0.286;коэффициенты вариаций vi>0.3 (i=1,…,5), поэтому результаты оценок считаются неудовлетворительными (обычно результаты оценки считают хорошими, если vi0.2);W=0.439, =0.075, т.е. с вероятностью 1->0.925 согласованность мнений экспертов, характеризуемая коэффициентом W, неслучайна.Попытаемся улучшить полученные результаты, исключив из рассмотрения того эксперта, для которого ai максимальна. Из табл. 16 видно, что это эксперт под номером 5. Кроме того, из табл. 16 следует, что этот эксперт дал заметно отличающиеся от других экспертов показания, поэтому возможность исключения мнения данного эксперта является целесообразной.Результаты новых расчетов приведены в табл. 19 – 21.Таблица - Новые относительные значения весов№ экспертанормированные оценки весовс1с2с3с4с510.1350.1620.2430.1890.27120.1470.1470.2940.1180.29430.1250.1880.2180.2180.25140.1890.1890.4320.1890.432āi0.150.170.240.180.26Таблица - Новые отклонения весов от среднего значения№ экспертаа1а2а3а4а5аi1-0.015-0.0080.0030.0090.0110.0462-0.003-0.0230.054-0.0620.0340.1763-0.0250.018-0.0220.038-0.0090.11240.0390.0190.1920.0090.1720.431vi0.1880.1210.4830.2370.391Таблица - Исправленная таблица рангов решений экспертов№ экспертаc1c2c3c4c515423123.53.51.551.53542.52.514441.541.5сумма рангов, Si17.515.57.514.55W=12*118/[42(53-5)-4*48]=0.819, 2=12*118/[4*5*6-(1/4)*48]=13.1⇒=0.01.Полученные результаты указывают на повышение степени надежности оценки до удовлетворительной. Поэтому в качестве искомых весовых коэффициентов примем соответствующие āi (i=1,…,5) из табл. 2.4.Далее был проведен отбор следующих средств автоматизации аудита системы ИБ:Kaspersky, КУБ,SearchInform. Результаты экспертных оценок приведены в таблице22 (Здесь используется 10-балльная шкала назначения числовых значений самих показателей.)Таблица - Результаты экспертного оценивания№,п/ппараметрвесKasperskyКУБSearchInform1анализ сетевого трафика0.15101092протоколирование0.1778103управление системами0.2461084анализ уязвимостей0.188685анализ криптосредств0.268108Интегральные количественные показатели: KKaspersky=0.15*10+0.17*7+0.24*6+0.18*8+0.26*8=7.65;KКУБ=0.15*10+0.17*8+0.24*10+0.18*6+0.26*10=8.94;KSearchInform=0.15*9+0.17*10+0.24*8+0.18*8+0.26*8=8.49.Таким образом, показано, что оптимальным программным продуктом для комплексного обеспечения ИБ в ИС является КУБ.Таким образом, использование протоколов, сформированных в системе SecretNet, позволяет провести выбор оптимального программного решения для совершенствования защиты информации от наиболее опасных уязвимостей, характерных для изучаемой системы.Совершенствование антивирусной защиты организации предполагается в направлениях:- внедрение нескольких решений от различных производителей;- настройка корпоративной версии АВЗ, позволяющей централизованно управлять системой антивирусной защиты на предприятии, получать отчеты и в режиме реального времени отслеживать активность пользователей;- упорядочить использование ресурсов Интернета (использовать прокси - серверы), ограничивать перечень сетевых ресурсов, которые доступны пользователям;- ограничить права пользователей на удаление, отключение защиты.В качестве программных продуктов антивирусной защиты предлагаются: KasperskyEndPointSecurity. В качестве дополнительного решения - облачные сервисы от DrWeb.Совершенствование документационного обеспечения защиты информации в ОА ИТМ и ВТ предполагает принятие мер:1. Разработка паспорта локальной вычислительной сети, содержащей разделы:- перечень сетевых подключений с указанием номеров портов кроссировки. При этом необходимо ведение учета неиспользуемых сетевых портов с исключением возможности несанкционированного подключения к ним;- регламентация расположения сетевого оборудования в стойках;- определение списка лиц, имеющих доступ в серверную;- определение требований к кондиционированию серверной.2. Разработка регламента документооборота в рамках использования криптографических ключей с указанием порядка хранения, ведение журналов приема и передачи.3. Разработка регламента резервного копирования информационных ресурсов, в котором указываются:- список информационных ресурсов, подлежащих резервному копированию;- определение списка лиц, осуществляющих резервное копирование и ответственных за хранение резервных копий;- определение мест эвакуации носителей резервных копий в случае стихийных бедствий и чрезвычайных ситуаций4. Разработка регламента использования внешних носителей информации, в котором указывается перечень рабочих станций с возможностью подключения внешних носителей информации с обоснованием данной необходимости5. Организация ознакомления специалистов с требованиями защиты информации. При приеме на работу специалисты подписывают обязательство о неразглашении конфиденциальной информации. Документы, регламентирующие деятельность в области защиты информации, должны храниться в комплекте с листами ознакомления сотрудников.6. Разработка Положения о пропускном и внутриобъектовом режиме, в котором перечисляется список помещений с ограничением входа, а также описывается порядок вноса и выноса материальных ценностей из помещений организации.Выводы по главеРассмотрев существующую систему организации защиты информации АО ИТМ и ВТ, были сделаны выводы:- в условиях рассматриваемого предприятия принимается ряд организационных, инженерно-технических и программных мер по обеспечению защиты информации;- отсутствуют системы защиты от утечек по физическим каналам;- в организации системы антивирусной защиты отмечен ряд недостатков, связанных с доступностью USB-портов для всех сотрудников, отсутствием модуля проверки электронной почты, возможностью пользовательского управления системой антивирусной защиты (не отключена возможность удаления, отключения компонент антивирусной защиты);- отсутствуют средства, позволяющие осуществлять мониторинг состояния локальной вычислительной сети (активность пользователей, программного обеспечения, анализ сетевого трафика);- в части организации системы защиты информации отсутствует единая номенклатура дел по защите информации, отсутствуют листы ознакомления сотрудников с требованиями защиты информации, отсутствуют регламенты резервного копирования и хранения резервных копий, не определен список выделенных помещений с ограниченным доступом.В рамках проведенного анализа системы защиты информации в АО ИТМ и ВТ были сформулированы предложения по совершенствованию защиты информации на предприятии, связанные с внедрением инженерно-технических решений по защите от утечек по акустическим, электромагнитным и оптическим каналам, связанные с внедрением специализированных программно - аппаратных решений.Совершенствование системы администрирования связаны с внедрением системы IDS-Snort, что позволит осуществлять мониторинг состояния локальной сети, анализ трафика, активности сетевых приложений.В качестве совершенствования документационного обеспечения защиты информации предложен ряд мер, связанных с определением ответственности сотрудников в области соблюдения требований по защите информации, а также по организации ознакомления пользователей с требованиями защиты информации.Глава 3. Оценка экономической эффективностиДля определения нормативных трудоёмкостей или иных операций (работ) воспользуемся отраслевым будет использоваться стандарт 4.071.030. Данный стандарт перед началом разработки проекта предполагает необходимость определения степени новизны и группы сложности программного обеспечения и задач, решаемых информационной системой. Для определения времени создания и внедрения политики защиты информации, воспользуемся данными, представленными в таблице4.1. Плановый срок разработки и внедрения системы установлен руководством предприятия в размере 3 месяцев.Ф = n * k * 8n - Количество месяцев; k - Количество рабочих дней в месяцеТакже необходимо воспользоваться поправочным коэффициентом, который рассчитывается по формуле:K = n/1000 где n - количество человек, работающих с ИС после разработки и внедренияОтсюда: K = 20/1000 = 0,020Таблица4.1- Временные затраты по стадиям разработки политики защиты информацииN п/пСтадии разработки проектаНормативПоправочный коэффициентС учетом поправочного коэффициента, нормо-часыНормо-часыЗначение1234561.1.202000Обследование объекта управления и оформление материалов обследования47500,02951.2.205000Разработка плана мероприятий по подготовке объекта к внедрению системы1110,022,221.3.206000Разработка основных требований к создаваемой системе и составление технического задания53680,02107,361.4.207000 Предварительный расчёт экономической эффективности системы1600,023,2  ИТОГО5639112,782Разработка технического проекта2.1.401000Определение технико-экономических показателей, необходимых для управления объектом4330,028,662.2.402000Разработка структуры автоматизированной системы медицинского учреждения6580,0213,162.3.405000Разработка проектных решений по техническому обеспечению системы  322.4.406000 Разработка логической структуры базы данных16000,022.5.407000Разработка физической организации базы данных33000,02662.6.408000 Разработка алгоритмов формирования базы данных20280,0240,562.7.409000 Разработка алгоритмов ведения базы данных36900,0273,82.8.401000Расчёт экономической эффективности системы40440,0280,882.9.411000Уточнение плана мероприятий по подготовке объекта к внедрению системы и его частичная реализация5690,0211,382.10.413000 Постановка задачи и разработка алгоритма решения по группам сложности (2 я степень)2360,024,72  ИТОГО17466 317,323Разработка рабочего проекта3.1.603000Разработка технологического процесса сбора и обработки информации15000,020303.2.613000Разработка программ и программной документации   1320 0,0226,43.3.616000Уточнение расчёта экономической эффективности системы850,021,73.4.617000 Завершение мероприятий по подготовке объекта к внедрению системы14560,0229,12  ИТОГО4361 87,224Внедрение4.1.001000Подготовка условий для обеспечения эксплуатации системы17003432,54.2.002000Комплексная проверка готовности задач, подсистем и системы к сдаче в промышленную эксплуатацию15000.020304.3.004000Сдача задачи заказчику на контрольных примерах в зависимости от группы сложности: 2600,0201,24.4.008002Приёмо-сдаточные испы-тания задачи с использо-ванием действующей на объекте информации с частотой 1 раз в месяц 17000,020344.5.011000Оформление и утверждение документации о сдаче задач и подсистем в промышленную эксплуатацию21000,020424.6.012000Приёмка системы в промышленную эксплуатацию5000,02010  ИТОГО5785 115,7  ОБЩИЙ ИТОГ31651 633,02Итого общая трудоемкость по ОСТ составляет 31651нормо-час.Общая трудоемкость с учетом поправочного коэффициента – 633,02нормо-часа.В 1 месяце 22 рабочих дня, восьмичасовой рабочий день. Тогда 3 месяца * 22 дня * 8 часов = 528 часа.Ф = 528 часаПо имеющимся данным рассчитаем количество человек, которое потребуется для разработки программного продукта:Ч=Т / ФЧ - численность требуемого персоналаТ - затраты времениФ - затраты на фактическое время работыТ = 813,76Отсюда, Числен. = 633,02/528 = 1,2 ≈ 1человекДалее необходимо составить штатное расписание исполнителей с перечислением должностей и окладов. Табл. 4.2.Таблица 4.2 - Штатное расписаниеп/пДолжностьОклад, руб. в месяц1Специалист по защите информации30000 Итого за месяц30000 Итого за плановый срок90000Себестоимость программного продукта складывается из текущих и капитальных затрат.Текущие затраты включают в себя: зарплату, амортизацию, стоимость мебели, затраты на электроэнергию, материалы и прочие расходы.Затраты на оплату труда работников, занятых разработкой системы.Для наглядности данные о затратах на оплату труда представим в табл. 4.3.Таблица 4.3Затраты на оплату труда работников, занятых разработкой системыДолжностьОклад, руб.Продолжительность работы, мес.ФОТ, руб.Системный администратор30000390000Итого30000390000Затраты на страховые взносы, которые составляют30% от ФОТ: 90 000 * 0,30 = 27000 руб.Амортизация.Норма амортизации определяется так: общая стоимость используемого оборудования /нормативный срок службы. Для разработки ИС используется компьютер стоимостью 33000 руб. Срок службы компьютера составляет 5 лет. Следовательно, сумма амортизации используемого оборудования за год составит:33000 / 5 = 6500 руб.Кроме компьютеров для разработки системы используется принтер, стоимость которого 12000 руб., со сроком службы 5 лет. Амортизация принтера за год составит:12000 / 5 = 2400 руб. Также в процессе разработки системы используется мебель, стоимость которой составляет 40000 руб., а срок службы – 10 лет.Амортизация мебели за год составит:40000 / 10 = 4000Амортизация по всем элементам за 3 месяца составит:((6500 + 2400 + 4000) * 3)/12 = 2325 руб.Затраты на электроэнергию.В комнате подключено 10 энергосберегающих лампочек мощностью 10Вт, в день используется: 10 х 10 х 8 = 800 втДва компьютера мощностью 500Вт/час, в день используется: (800+500) х 8 = 10400 втПринтер большую часть времени находится в режиме ожидания, поэтому потреблением электроэнергии принтерами можно пренебречь. Потребляемая за день электроэнергия составит:800 + 10400 = 11200Вт или 11,2 кВтТогда, за 3 месяца (66 дней) разработки ИС будет потреблено: 11,22 х 66 = 740 кВтПри тарифе для предприятия 2,81 руб. за кВт, затраты предприятия на электроэнергию составят: 740 х 2,81 = 2079 рубЗатраты на расходные материалы приведены в табл. 4.3.Таблица 4.3Затраты на расходные материалы№ п/пНаименование материалаЕд. измеренияКоличество, шт.Стоимость, руб.Общая сумма, руб.1Бумага А4пачка520010002Картридж для принтерашт.27000140003CD-R/RWшт.10101004Канцелярские принадлежности1000Итого16100Прочие затраты составляют 14000 руб в месяцПрочие затраты за 3 месяца составят 14000*3 = 52000 руб.Составим смету затрат на разработку и внедрение автоматизированной информационной системы (табл. 4.4).Таблица 4.4Смета затрат на разработку и внедрение автоматизированной системы№ п/пСтатья затратСумма, руб.1ФОТ900002Страховые взносы270003Амортизация23254Расходные материалы161005Электроэнергия20796Прочие затраты52000Итого189504Таким образом, получается себестоимость программного продукта, который предполагается использовать как составную часть автоматизации работы компании. Его цена складывается из затрат на создание и разработку системы и составляет 142104 руб.Для расчёта показателей экономической эффективности необходимо получить данные о работеисследуемой компании.Проведем расчет годовой экономии от внедрения политики защиты информации. Для этого определим затраты до внедрения. Составим смету затрат на оплату труда работников и приведём её в табл. 4.6.Таблица 4.6 - Смета затрат на оплату труда работников№ДолжностьОклад на 1 человекаКоличество человекОбщий фонд З/п руб. в месяцОбщий фонд З/п руб. в год1Специалист по защите информации25000717500021000002Специалист по делопроизводству23000102300002760003ИТ-специалист300001300003600004Системный администратор25000125000300000Итого 8 526 000Затраты на страховые взносы, которые составляют30% от ФОТ: 8526000 * 0,30 = 2 476 800 руб.АмортизацияКомпьютеры – 19 шт. Стоимость одного компьютера составляет 33 000 руб. Итого: 429000 руб. Срок службы компьютера составляет 5 лет. Офисная мебель стоимостью 820000 руб. Срок службы 10 лет.Затраты на амортизацию оборудования и мебели составят:429000 / 5= 85800 руб.820000 / 10 = 82000 руб.Общая сумма амортизации оборудования и мебели за год составит:85800 + 82000 = 167800руб.Затраты на электроэнергию20 энергосберегающих ламп мощностью 10 Вт/ч. Потребляемая энергия за 1 рабочий день составляет:20 * 0,01 * 8 = 1,6 кВт.19 компьютеров мощностью 450 Вт/ч. Следовательно, потребляемая энергия за 1 день составляет:19* 0,45 * 8 = 69 кВт.Таким образом, суммарные затраты на электроэнергию за год при тарифе для юридических лиц 2,81 руб. за кВт/ч составляют:2,81 * 250 * (1,6 + 69) = 49596 руб.Прочие затратыПрочие затраты за год составляют 80 000руб.В связи с внедрением системы политики защиты информации было решено сократить 4 сотрудника, поскольку доход, который приносила их деятельность немногим покрывал затраты на оплату труда данных сотрудников. У них значительно сократилось время на проверку всех необходимых документов, которые до внедрения приходилось делать вручную. Следовательно, их работа перестала приносить компании пользу. Фонд оплаты трудаВ табл. 4.7 отразим расходы на оплату труда сотрудников в смете затрат после внедрения ИС.Таблица 4.7 - Смета затрат на оплату труда работников после внедрения№ДолжностьОклад на 1 человекаКоличество человекОбщий фонд З/п руб. в месяцОбщий фонд З/п руб. в год1Специалист по защите информации25000615000018000002Специалист по делопроизводству23000716100019320003ИТ-специалист300001300003600004Системный администратор25000125000300000Итого 153350004392000Затраты на страховые взносы, которые составляют30% от ФОТ: 4392000 * 0,30 = 1317600 руб.АмортизацияКомпьютеры – 15 шт. Стоимостьодногокомпьютера составляет33 000 руб. Итого: 495000 руб. Срок службы компьютера составляет 5 лет. Офисная мебель стоимостью 500000 руб. Срок службы 10 лет.Затраты на амортизацию оборудования и мебели составят:495000 / 5= 99000 руб.500000 / 10 = 50000 руб.Общая сумма амортизации оборудования и мебели за год составит:99000 + 50000 = 149000 руб.Затраты на электроэнергию20 ламп мощностью 10 Вт/ч. Потребляемая энергия за 1 рабочий день составляет:20 * 0,01 * 8 = 1,6 кВт.15 компьютеров мощностью 450 Вт/ч. Следовательно, потребляемая энергия за 1 день составляет:15 * 0,45 * 8 = 54 кВт.Таким образом, суммарные затраты на электроэнергию за год при тарифе для юридических лиц 2,81 руб. за кВт/ч составляют:2,81 * 250 * (1,6 + 54) = 39059 руб.Прочие затратыПрочие затраты за год составляют 75 000руб.Чтобы рассчитать показатели экономической эффективности, необходимо сравнить данные по затратам до внедрения информационной системы и после внедрения.Рассчитаем годовую экономию от внедрения политики защиты информации.В целом в разработке и использовании системы задействовано15 человек.Сравнительные характеристики затрат до и после внедрения информационной системы представлены в табл. 4.9.Таблица 4.9 - Сравнительная характеристика затрат до и после внедрения ИС№ п/пПоказателиВеличина затрат до внедренияВеличина затрат после внедрения1ФОТ856200043920002Страховые взносы247680013176003Амортизация оборудования и мебели1678001490004Затраты на электроэнергию49596390595Прочие затраты8000075000Итого113361965972659При оценке эффективности ИС используются следующие показатели: Годовая экономя (PP); Расчетный коэффициент эффективности капитальных вложений (Кэф); Срок окупаемости системы (ARR).Годовая экономия (PP) рассчитывается по следующей формуле:PP = Затраты до внедрения – Затраты после внедренияТогда: PP = 11336169 – 5972659= 5363510руб.Коэффициент годовой экономической эффективности (Кэф) рассчитывается по следующей формуле:Кэф = PP /Затраты на разработкуТогда: Кэф = 5363510/189504= 28Срок окупаемости системы рассчитывается по следующей формуле:ARR = 1/KэфТогда: ARR = 1/28= 0,05 года (0,6 месяца).Таким образом, можно сделать вывод, что внедрение политики защиты информации экономически обосновано.ЗаключениеВ рамках данной работы проведен анализсетевой безопасности АО ИТМиВТ.Проведено рассмотрение теоретических аспектов обеспечения безопасности локальных сетей, показано что защита сетевых ресурсов имеет свои особенности, связанные с необходимостью учета сетевых протоколов, программного и аппаратного обеспечения локальных сетей, а также физической защиты портов и сетевого оборудования. При этом безопасность сетей является залогом штатного функционирования предприятий.Далее былипроанализированы аспекты обеспечения сетевой информационной безопасности АО ИТМиВТ. Показано, что в существующей конфигурации обеспечение защиты информации является сложной задачей, что обусловлено спецификой использования разнородных сетевых решений, требующих использования разных подходов к безопасности.Существующая система защиты информации предприятия имеет следующие недостатки:- отсутствует система защиты от утечек по физическим каналам (возможен перехват информации по оптическому, акустическому, электромагнитному каналам);- в организации системы антивирусной защиты отмечен ряд недостатков, связанных с доступностью USB-портов для всех сотрудников, отсутствием модуля проверки электронной почты, возможностью пользовательского управления системой антивирусной защиты (не отключена возможность удаления, отключения компонентов антивирусной защиты);- отсутствуют средства, позволяющие осуществлять мониторинг состояния локальной вычислительной сети (активность пользователей, программного обеспечения, анализ сетевого трафика);- в части организации системы защиты информации отсутствует единая номенклатура дел по защите информации, отсутствуют листы ознакомления сотрудников с требованиями защиты информации, отсутствуют регламенты резервного копирования и хранения резервных копий, не определен список выделенных помещений с ограниченным доступом.Совершенствование системы сетевой безопасности предложено в направлениях:- использование сетевых сканеров уязвимостей;- использование системы SecretNetдля оценки уровня защищенности сетевых ресурсов;- совершенствование использования антивирусных программных решений;- совершенствование инженерно-технической защиты информации, чт предполагает использование программно - аппаратных решений в области защиты от утечек информации по физическим каналам.Внедрение аппаратных решений по защите от утечек по физическим каналам предполагает использование специализированных средств, вызывающих зашумление перехваченного сигнала и делающего его малоинформативным.Также при проектировании и использовании локальных сетей необходимо исключить возможности несанкционированных подключений через раскроссировку сетевых портов, не используемых в настоящее время. Физическая защита сетевых ресурсов связана с настройкой систем бесперебойного питания и кондиционирования, что повысит срок службы сетевого оборудования, повысит уровень надежности сети.Внедрение специализированных средств администрирования позволит осуществлять мониторинг активности сетевых приложений, активности пользователей с возможностью централизованного управления ими. Внедрение организационных мер повысит уровень ответственности пользователей в области обеспечения требований по защите информации.Принятие предложенных мер по защите информации позволит значительно повысить защищенность системы и минимизировать возможные убытки от нарушений требований защиты информации.Список использованных источниковАО ИТМиВТ. [Электронный ресурс]. Режим доступа: http://ipmce.ru/aboutIDS – Snort. О программе. [Электронный ресурс]. Режим доступа: http://www.netconfig.ru/ready/snort/ Сетевая защита информации. [Электронный ресурс]. Режим доступа: http://ic-dv.ru/uslugi/sredstva_doverennoj_zagruzki/Сетевые атаки и их виды. [Электронный ресурс]. режим доступа: https://www.kakprosto.ru/kak-848505-chto-takoe-setevaya-atakaСетевые атаки и их виды. [Электронный ресурс]. режим доступа: https://www.kakprosto.ru/kak-848505-chto-takoe-setevaya-atakaГофман М.В. Безопасность сетей ЭВМ : учебное пособие / М.В. Гофман. - Санкт-Петербург: ФГБОУ ВО ПГУПС, 2017. – 241с.Бехроуз А. Криптография и безопасность сетей: учебное пособие / Фороузан А. Бехроуз. - Москва: Интернет-Университет Информационных Технологий (ИНТУИТ), Вузовское образование, 2017. - 782 c.Новикова Е. Л. Обеспечение информационной безопасности инфокоммуникационных сетей и систем связи: учебник / Е. Л. Новикова. - Москва : Академия, 2018. – 189 с.Новиков С. Н. Методология защиты информации на основе технологий сетевого уровня мультисервисных сетей связи / Новиков Сергей Николаевич. - Новосибирск, 2016. - 39 с.Олифер В. Г., Олифер Н. А. Безопасность компьютерных сетей: [учебный курс] / В.Г. Олифер, Н.А. Олифер. - Москва : Горячая линия - Телеком, 2016. - 643 с.Басыня Е. А. Сетевая информационная безопасность и анонимизация: учебное пособие / Е. А. Басыня. - Новосибирск : Изд-во НГТУ, 2016. – 74с.Лавров Д. Н., Колмаков А. В. Анализ безопасности компьютерных сетей: тесты на проникновение и поиск уязвимостей сетевых протоколов: учебное пособие / Д.Н. Лавров, А.В. Колмаков. - Омск : Изд-во Омского государственного университета, 2016. – 546с.Голиков А.М. Основы проектирования защищенных телекоммуникационных систем [Электронный ресурс]: учебное пособие / А.М. Голиков. - Томск: Томский государственный университет систем управления и радиоэлектроники, 2016. - 396 c Сафонов В.О. Основы современных операционных систем [Электронный ресурс] : учебное пособие / В.О. Сафонов. - Москва: Интернет-Университет Информационных Технологий (ИНТУИТ), 2016. - 826 cБондарев В. В. Анализ защищенности и мониторинг компьютерных сетей : методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Шаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс]: учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 cСеменов А.Б. Проектирование и расчет структурированных кабельных систем и их компонентов [Электронный ресурс] : монография / А.Б. Семенов. - Саратов : Профобразование, 2017. - 416 cШаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства [Электронный ресурс] : учебное пособие / В.Ф. Шаньгин. - Саратов : Профобразование, 2017. - 544 c.Блинов А.М. Информационная безопасность. – СПб: СПбГУЭФ, 2015 - 96с.Абдикеев Н.М. Информационный менеджмент.- М. : ИНФРА-М¸ 201. – 658с.Алешенков М. Основы национальной безопасности/М.Алешенков /Основы безопасности жизни.-2015.-№11.-С.5-10. Андреев Э. М., Миронов А.В. Социальные проблемы интеллектуальной уязвимости и информационной безопасности //Социально-гуманитарные знания.-2015.-№4.-С.169-180.Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2015. – 338с.Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.