Разработка политики информационной безопасности в компании

Программные средства, используемые для проведения операций по созданию резервных копий, могут включать:модули, встроенные в прикладное ПО;специализированные системы резервирования;встроенные средства операционной системы;скрипты для выполнения копирования с использованием команд соответствующей СУБД;скрипты копирования, разработанные специалистами компании.Свойства транзакций предполагают выполнение условий для [6]:Атомарности;Согласованности;Изолированности;Долговечности.Свойство согласованности связаны с тем, что посредством транзакций базы данных переводятся из одного согласованного (целостного) состояния в другое согласованное (целостное) состояние, при этом не всегда поддерживаются условия согласованности данных в каждый промежуточный момент времени.Свойства изолированности предполагает отделение (изоляцию) одновременных транзакций. Это предполагает, что транзакции, отправленные на выполнение от разных пользователей не должны оказывать влияния друг на друга (и использовать одни и те же вычислительные ресурсы), т.е. их выполнение должно производиться поочередно.Свойство долговечности, что предполагает сохранение их результатов в выделенных областях базы данных. Результаты выполнения должно быть доступны при возникновении сбоев в работе СУБД.Как правило, старт транзакций производится автоматически с момента присоединения пользователя (запроса) к базе данных и продолжается до тех пор, пока не произойдет одно из следующих событий.Надежность хранения данных обеспечивается посредством системы управления транзакциями, что запускает выполнение восстановления заданного состояния системы при выявлении нарушений возможности корректного завершения транзакций из-за возникновения ошибок при их исполнении, при отказах, вызванных аппаратным или программным обеспечением системы. При восстановлении согласованного состояния данных необходимо выполнение условий [11]:Наличие резервных копий системы до исполнения транзакции;Отсутствие возможностей восстановления данных при незафиксированном состоянии базы данных.Таким образом, восстановление производится на последний момент фиксации состояния базы данных.Возможно возникновение ситуаций, при которых необходимо осуществлять восстановление прежнего состояния базы данных.Индивидуальный откат транзакции. Откат транзакции может инициироваться при выполнении транзакции через подачу команды ROLLBACK. Так, откат транзакции может инициироваться средствами самой СУБД при возникновении какой-либо ошибки (деления на ноль и др.), или при проведении выбора транзакции в качестве «жертвы» в случае обнаружения ситуации, предполагающей синхронизационный тупик. При проведении индивидуального отката транзакции для восстановления согласованного состояния базы данных в базе данных должны быть устранены последствия действия операторов модификации базы данных, которые выполнялись в этой транзакции.Процесс восстановления после внезапной потери содержимого оперативной памяти является мягким сбоем системы. Данная ситуация может возникать в случае аварийного выключения электрического питания, при появлении неустранимого сбоя в процессоре (например, при срабатывании контроля оперативной памяти) и т.д. При таком сбое данные, хранящиеся на диске, остаются неповрежденными, но утрачивается содержимое буферов базы данных в оперативной памяти.Восстановление после отказа внешнего устройства долговременного хранения данных (дисков) представляет собой жесткий сбой системы. Данная ситуация может возникать вследствие разрушения структуры записанной на дисках информации, повреждения поверхности дисков, головок записи (чтения и т.д.).Во всех трех случаях основу восстановления данных составляет избыточность хранения данных. Запись такой дополнительной, необходимой для восстановления данных информации производится в специальном журнале, и представляет собой последовательность записей о произведенных в ходе транзакции изменениях базы данных.Администраторы базы данных (АБД) должны координировать работы по проведению сбора сведений, проектирования и эксплуатации базы данных, а также по обеспечения защиты данных. Также администраторы обязаны учитывать текущие и перспективные информационные требования предметной области, что является одной из главных задач [16].Осуществлениефункцийадминистраторабазданныхпредполагаетнеобходимостьналичияинструментовадминистратора,которыереализуютсянауровнеСУБД,либонауровнепрограммногообеспечения.Например,дляСУБДMSSQLServerиспользуетсяинструментадминистрированияMS SQL ServerManagementStudio.2.2.2 Контрольный пример реализации проектаВ качестве примера реализации системы обеспечения безопасности баз данных рассмотрена организация технологий резервного копирования. Далее проведен сравнительный анализ рассмотренных способов организации создания резервных копий (таблица 16).ТаблицаСравнительный анализ рассмотренных способов организации создания резервных копийТехнология создания резервных копийПреимуществаНедостаткиМодули резервирования, встроенные в прикладное ПОРезервирование может выполняться пользователями, не имеющими навыков в области информационных технологий, выгружаемый формат совместим с информационным ресурсомНе во всех программных системах реализованы возможности автоматизации резервирования. Изменение структуры данных создает сложности с восстановлением копий, созданных до изменения структурыСпециализированные системы резервированияКопирование производится для ресурсов большинства типов Восстановление данных требует учета специфики информационного ресурсаВстроенныесредстваоперационнойсистемыОбласть применения указанной технологии – состояние операционной системы, что обеспечивает возможности автоматизации копирования и восстановления состояния системы Восстановление данных требует учета специфики информационного ресурсаРезервирование средствами СУБДОбласть применения указанной технологии – копирование базы данныхПрименяется только к соответствующей СУБД, требуются навыки ИТ-специалистаСкрипты архивации с использованием самостоятельно разработанных скриптовКопированиефайловыхресурсовсустановленнымипользователемнастройками,запускпорасписаниюВосстановление выполняется в ручном режиме, что может привести к ошибкамТакже одной из основных функций администратора базы данных является хранение копий баз данных и обеспечение их сохранности.Для каждой базы данных проводится описание [6]:методики резервного копирования данных;периодичность проведения операции по резервному копированию;специалистов, ответственных за проведение резервного копирования и восстановления;специалистов, ответственных за хранение резервных копий;список накопителей, на которые производится сохранение информационных ресурсов.В таблице 17 показана примерная форма журнала резервного копирования.Таблица Примерная форма журнала резервного копированияЖурналрезервногокопированияивосстановления№ДатаМетканосителяФИОПодпись<Наименованиересурса>12345Журнал резервного копирования и восстановления должен входить в номенклатуру дел администратора защиты информации.Также при создании плана эвакуации из помещений организации в случае возникновения чрезвычайных ситуаций необходимо предусмотреть вопросы эвакуации носителей информации, содержащих копии информационных ресурсов, включая [9]:указание инвентарных номеров запирающихся кэш-боксов, предназначенных для эвакуации носителей информации;определение мест эвакуации носителей информации;определение учетных номеров носителей информации, подлежащих эвакуации.Таким образом, меры по обеспечению защиты баз данных обеспечивают возможность использования информационных ресурсов, защиту от потери и утечки информации. В качестве инструмента по организации резервного копирования предлагается использование сервиса Acronis Backup.Acronis Backup – программный продукт, обеспечивающий возможности резервного копирования данных различного типа в независимости от места их хранения. Программное обеспечение позволяет работать с ресурсами на локальных дисках, на сетевых ресурсах, мобильных устройствах, удаленных хранилищах. В системе обеспечивается возможность защиты копий путем использования криптографических модулей, что позволяет обеспечивать защиту от утечек информации при утере носителей резервных копий.Возможности системы включают:Обеспечение защиты гибридной инфраструктуры посредством оптимизированной для устройств с сенсорным механизмом управления Web-консоли, обеспечивающей возможности управления задачамирезервирования и восстановления рабочего пространства и данных;Ускорения процесса восстановления информацииза счет использования технологий Acronis Instant Restore. Возможности соблюдения соответствия и расширенной проверкикорректности процесса посредством технологии Acronis Notary, обеспечивающей подлинность и целостность информациипосредством блокчейн-алгоритмов.Наличия модулей защиты от активности вредоносного ПО, осуществляющего шифрование информации.Наличия консоли управления резервными копиями, созданными системой (рис.15);Возможностями управления лицензиями на программное обеспечение (рис.16).На рис.15 приведён режим консоли управления резервными копиями.Рисунок - Режим консоли управления резервными копиямиРисунок - Режим управления лицензиями на программное обеспечениеНа рис.17 приведён режим отчетности по процессу резервного копирования.Рисунок - Режим управления резервными копиямиНа рис.18 приведена настройка расписания резервного копирования на уровне приложения.Рисунок - Настройка расписания резервного копирования на уровне приложенияНа рис.19 приведена схема ИТ-инфраструктуры с учетом внедрения системы резервного копирования.Рисунок – Схема ИТ-инфраструктуры с учетом внедрения системы резервного копирования Таким образом, по результатам проведённого обзора было показано, что система Acronis Backup является оптимальным решением для внедрения в деятельность компании ООО «Крепежсити».Выводы по главеВ практической части работы проведен анализ функционала систем анализа и моделирования систем защиты информации, мониторинга состояния защищенности информационных ресурсов. Рассмотрены основные функциональные модули приложений указанного класса, проведён сравнительный анализ существующих программных систем. В качестве инструмента по обеспечению защиты базы данных предложено внедрение технологий резервного копирования, программная платформа – Acronis Backup.IIIВЫБОР И ОБОСНОВАНИЕ МЕТОДИКИ РАСЧЕТА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ3.1 Выбор и обоснование методики расчёта экономической эффективностиРазработка и внедрение нового программного проекта для автоматизации обработки информации требует материальных и временных затрат. Привлекаемые финансовые и материальные средства должны обеспечить надлежащий эффект и отдачу. Именно поэтому возникает необходимость проведения расчетов экономической эффективности проекта.Обоснование экономической эффективности проектного варианта обработки информации позволяет выявить необходимость и целесообразность затрат на создание и внедрение новой информационной системы в данной фирме; рассчитать срок окупаемости затрат на создание новой информационной системы и сравнить его с установленными нормативами; определить влияние внедрения нового программного продукта на технико-экономические показатели деятельности фирмы.Существует несколько направлений расчета экономической эффективности:сравнение вариантов организации различных систем обработки экономической информации по комплексу задач (например, сравнение системы обработки информации, предлагаемой в проекте, с ныне существующей);сравнение вариантов организации информационной базы комплекса задач (файловая организация и организация базы данных);сравнение различных вариантов организации технологического процесса сбора, передачи, обработки и выдачи информации;сравнение технологий проектирования систем обработки экономической информации (например, индивидуальное проектирование с методами, использующими пакеты прикладных программ);сравнение технологий внутримашинной обработки данных.Внедрение предложений по модернизации антивирусной защиты позволит сократить временные затраты на операции, связанные с обновлением антивирусных программных модулей и баз, мониторингом вирусных заражений, активности вредоносного ПО, формированием сводной отчетной информации по статистике вирусных заражений. Также экономический эффект обусловлен минимизацией простоев, вызванных активностью вредоносного ПО и утерей данных, хранящихся в защищаемых информационных ресурсах. Проведем расчет, используя следующую эмпирическую зависимость ожидаемых потерь (рисков) от i-й угрозы информации:,где:Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта необходимо использовать следующие значения коэффициентовSi и Vi, приведенные в таблице 17.Таблица Значения коэффициентов Si и ViОжидаемая (возможная)частота появления угрозыПредполагаемое значение SiОтсутствие инцидента0Однократно в 1 тыс. лет1Однократно в 100 лет2Однократно в 10 лет3Однократно в годовой период4Однократно в месячный период5Еженедельно 6Ежедневно7Суммы вероятного ущербапри возникновении инцидента, руб.Предполагаемое значение Vi30030013 000230 0003300 00043 000 000530 000 0006300 000 0007Выбранные длярасчетов коэффициенты, взяты на основании, статистических данных в архиве коммуникационной компании. Ri1 =104+5-4 = 100 000Ri2 =105+4-4 = 100 000Ri3 = = 10 000Ri4 = = 10 000Ri5 = = 10 000Теперь определим суммарную величину потерь по формуле:R =230 000 (тыс. руб.) Полученные значения приведены в таблице 18.Таблица Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь(тыс. руб.)СервераКража, повреждения100 000БД клиентовУтечки100 000БД экономического отделаУтечки10 000Базы данных РКОУтечки10 000Платежные транзакцииУтечки10 000Суммарная величина потерь230 0003.2 Расчёт показателей экономической эффективности проектаРиск владельца информации определяется уровнем системы инженерно-технической защиты информации, определяемый ресурсами системы.При определении показателей экономического эффекта от внедрения системы защиты баз данныхв работу коммуникационной компаниииспользуются показатели:величина вложений в реализацию проекта и затрат на эксплуатацию системы защиты баз данных;затраты, связанные с реализацией рисков утечек конфиденциальной информации.Данные по ресурсам необходимым для ИБ представлены в таблицах 19 и 20.Таблица Расчет вложений в реализацию проекта внедрения DLP-системы Организационные мероприятия№ п\пОперацииСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час)Стоимость, всего (руб.)1Подготовка документации для закупки программного обеспечения 30082 4002Развертывание системы резервного копирования БД200244 8003Опытная эксплуатация30082 4004Обучение сотрудников правилам эксплуатации резервного копирования БД35041 4005Организация сопровождения резервного копирования БД1508813 200Стоимость проведения организационных мероприятий, всего24 200Мероприятия по обеспечению защиты информации от утечек№ п/пВиды затратСтоимость, единицы (руб.)Кол-во (ед.измерения)Стоимость, всего (руб.)1Система резервного копирования БД (клиентская часть)2620615 7202Система резервного копирования БД (серверная часть)14 435114 4353Выделенная рабочая станция для эксплуатации системы резервного копирования БД44 000144 000Стоимость проведения мероприятий по защите информации от утечек путем внедрения системы резервного копирования БД74 155Объем затрат, выделяемых на реализацию проекта 98 355Итоговое значение вложений, выделяемых на развертывание DLP-системы, составляет:Оценка ожидаемой величиныущерба, связанного с реализацией угроз утечек информации, составляет:230 000 (руб.)Прогнозируемые данные по оценкесуммы потерь (рисков) для конфиденциальных данных после внедрениясистемы резервного копирования БД приведены в таблице21. Данные получены по результатам анализа функционирования программных и аппаратных СЗИ, в подразделенияхкоммуникационной компании, после года эксплуатации. Статистические данные были предоставлены заместителем начальника отдела.Таблица Содержание и объем постоянного ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пОперацииСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час)Стоимость, всего (руб.)1Администрирование системы резервного копирования2008817 6002Настройка признаков отнесения информации к конфиденциальной200223 4003Анализ протоколов работы системы35041 400Стоимость проведения организационных мероприятий, всего22 400Мероприятия инженерно-технической защиты№ п/пЗатратыСтоимость, единицы (руб.)Кол-во (ед.измерения)Стоимость, всего (руб.)1Система защиты баз данных262025 2402Система резервного копирования (серверная часть)11 000111 000Стоимость проведения мероприятий по обеспечению защиты данных от утечек16 240Эксплуатационные затраты, связанные с работой системы38 640После принятияобязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежностисозданной системы защиты информации, возможно, определить срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:Ток = R∑ / (Rср – Rпрогн)где:(R∑) - суммарное значение ресурса выделенного на защиту информации = 136 995Таблица Величины потерь (рисков) для критичных информационных ресурсовпосле внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь (руб.)СервераКража, повреждения50 000Базы данных клиентовУтечки через сегмент открытой сети5 000БД экономического отделаУтечки через сегмент открытой сети1 000Базы данных расчетно-кассовых операцийУтечки через сегмент открытой сети1 000Платежные транзакцииУтечки через сегмент открытой сети1 000Суммарная величина потерь58 000 (Rср) –оценка величины среднегодовых потерь коммуникационной компании вследствие возникновения инцидентов информационной безопасности в годовой период до внедрения системы защиты баз данныхсоставляет 230 тыс.руб.(Rпрогн) - ожидаемый ежегодный объем затрат, вызванных инцидентами информационной безопасности, после внедрения системы защиты баз данных составляет 58 тыс.руб.Расчет период окупаемости проекта:Далее проведена оценка динамики величин потерь за период не менее 1 года: Таблица Оценка динамики величин потерь1 кв.2 кв.3 кв.1 годДо развертываниясистемы защиты БД57 500115 000172 500230 000После внедрения СЗИ14 50029 00043 50058 000Сокращение затрат, связанных с реализацией рисков информационной безопасности 43 00086 000 129 000172 000На рис.20 приведён график сокращения затрат, связанных с реализацией рисков информационной безопасности при внедрении DLP-системы. Рисунок - Диаграмма динамики потерьТаким образом, совершенствование системы защиты информации в рамках данного проекта можно считать эффективным. Выводы по главе Экономический эффект от внедрения системы по моделированию и анализу системы защиты информации связан со снижением затрат, связанных с рисками возникновения инцидентов информационной безопасности, связанных с нарушением функциональности базы данных,утерями информации. Затраты на развертывание системы включают работу специалистов по выбору программных и аппаратных решений.ЗАКЛЮЧЕНИЕВ рамках данной работы создан проект по внедрению системы автоматизации мониторинга и анализа защищенности информационных ресурсов. Показано, что проблематика использования средств указанного класса обеспечивает возможности эффективного использования средств защиты информации, выявления недостатков, уязвимостей и признаков активности вредоносного ПО. В теоретической части работы проведен анализ использования средств аудита защищенности информационных ресурсов. Далее проанализирована существующая нормативная база в области обеспечения информационной безопасности, проведён анализ деятельности ООО «Крепежсити», определены информационные ресурсы компании, являющиеся объектами защиты. Проведен анализ используемых в компании организационно-технических, программных решений. Далее проведено определение недостатков организации системы защиты информации в компании, выявлен перечень уязвимостей и источников угроз. Показано, что внедрение системы анализа и мониторинга позволит повысить эффективность деятельности специалистов в области защиты информации, сократить вероятность возникновения инцидентов. Далее проведен выбор систем автоматизации технологии резервного копирования базы данных. Проведён выбор оптимального программного обеспечения, описан его функционал. Показано, что внедрение указанной системы обеспечит возможности снижения уязвимостей информационных ресурсов, сокращения издержек, связанных с вероятным возникновением инцидентов информационной безопасности.Экономический эффект от внедрения системы по обеспечению защиты от утечек конфиденциальной информации путем передачи данных через открытую сеть путем внедрения системы защиты от внешних атак, связан со снижением затрат, связанных с рисками возникновения инцидентов информационной безопасности. Затраты на развертывание системы включают работу специалистов по выбору программных и аппаратных решений. Приобретение платформы и эксплуатационные затраты. По итогам проведенных расчетов было получено значение срока окупаемости проекта в 0,8 года, что является допустимым в условиях ООО «Крепежсити».СПИСОК ИСТОЧНИКОВ И ЛИТЕРАТУРЫБаза данных угроз ФСТЭК. [Электронный ресурс]. Режим доступа: https://bdu.fstec.ru/threatA_Survey_of_Access_Control_and_Data_Encryption_for_Database_Security. [Электронный ресурс]. Режим доступа:https://www.researchgate.net/publication/338993052_A_Survey_of_Access_Control_and_Data_Encryption_for_Database_Security(дата обращения: 23.02.2023)Сергеев, Р. А. Анализ уязвимости переполнения буфера / Р. А. Сергеев. — Текст: непосредственный // Молодой ученый. — 2017. — № 4 (138). — С. 181-185. — URL: https://moluch.ru/archive/138/38783/ (дата обращения: 08.02.2023)Сальников, М. Д. Расширения браузеров как средства анализа защищенности веб-приложений от CSRF атак / М. Д. Сальников. — Текст : непосредственный // Молодой ученый. — 2017. — № 18 (152). — С. 11-14. — URL: https://moluch.ru/archive/152/43014/ (дата обращения: 08.02.2023)Королев, И. Д. Модель системы противодействия DoS-атакам методом случайного уничтожения пакетов во входном буфере / И. Д. Королев, Д. В. Смеречинский, М. А. Зерщиков. — Текст : непосредственный // Молодой ученый. — 2020. — № 17 (97). — С. 21-24. — URL: https://moluch.ru/archive/97/21794/ (дата обращения: 08.02.2023)Казарян К.К. Безопасность баз данных // Научно-образовательный журнал для студентов и преподавателей «StudNet» №1/2022. URL: https://cyberleninka.ru/article/n/bezopasnost-bazy-dannyh/viewer (дата обращения: 17.02.2023)Атаки шифровальщиков на резервные копии системы. [Электронный ресурс]. Режим доступа: https://www.kaspersky.ru/blog/ransomware-in-dental-data-backup-firm/23687/ (дата обращения: 23.02.2023)Угрозы и вызовы безопасности баз данных. [Электронный ресурс]. Режим доступа: https://ieeexplore.ieee.org/abstract/document/9116436 (дата обращения: 23.02.2023)View of A Review of Database Security Concepts, Risks. [Электронный ресурс]. Режим доступа: https://journals.uhd.edu.iq/index.php/uhdjst/article/view/879/660(дата обращения: 23.02.2023)Общие подходы к обеспечению безопасности баз данных. URL: https://www.ibm.com/topics/database-security (дата обращения: 08.02.2023)Федин Ф. О. Информационная безопасность баз данных [Электронный ресурс]: учебное пособие / Федин Ф.О., Трубиенко О.В., Чискидов С.В. - Москва : МИРЭА - Российский технологический университет, 2020. – 254с.Пригонюк Н. Д., Петров В. И. Основы построения защищенных баз данных: учебное пособие / Н. Д. Пригонюк, В. И. Петров. - Воронеж : Мир, 2019. - 76 с.Тимаков А., Зязин В. П., Колесников С. В. Способы и механизмы построения защищенных баз данных : практикум / Тимаков А. А, Зязин В. П., Колесников С. В. - Москва: МИРЭА - Российский технологический университет, 2022. – 471с.Стасышин В. М.  Базы данных: технологии доступа: учебное пособие / В. М. Стасышин, Т. Л. Стасышина. — 2-е изд., испр. и доп. — Москва : Издательство Юрайт, 2023. — 164 с.. Арапов Д.В., Скрыпников А.В., Денисенко В.В., Высоцкая И.А. Разработка и защита баз данных:учебное пособие по дисциплине "СУБД Oracle". Воронеж, 2020. - 158 c.Щеглов А. Ю.  Защита информации: основы теории: учебник для вузов / А. Ю. Щеглов, К. А. Щеглов. — Москва : Издательство Юрайт, 2022. — 309 сСуворова Г. М.  Информационная безопасность: учебное пособие для вузов / Г. М. Суворова. — Москва : Издательство Юрайт, 2022. — 253 с. Гордеев, С. И.  Организация баз данных в 2 ч.: учебник для вузов / С. И. Гордеев, В. Н. Волошина. — 2-е изд., испр. и доп. — Москва: Издательство Юрайт, 2023. — 310 с.  Зенков А. В.  Информационная безопасность и защита информации : учебное пособие для вузов / А. В. Зенков. — Москва : Издательство Юрайт, 2022. — 104 с. Васильева И. Н.  Криптографические методы защиты информации : учебник и практикум для вузов / И. Н. Васильева. — Москва : Издательство Юрайт, 2022. — 349 с.  Казарин О. В.  Программно-аппаратные средства защиты информации. Защита программного обеспечения: учебник и практикум для вузов / О. В. Казарин, А. С. Забабурин. — Москва: Издательство Юрайт, 2022. — 312 с. Выпускная квалификационная работавыполнена мной совершенно самостоятельно. Все использованные в работе материалы и концепции из опубликованной научной литературы и других источников имеют ссылки на них. Выпускная квалификационная работа прошла проверку на корректность заимствования в системе «Антиплагиат.ру».Настоящим подтверждаю, что даю разрешение Университету «Синергия» на размещение полного текста моей выпускной квалификационной работы и отзыва на мою выпускную квалификационную работу в электронно-библиотечной системе Университета «Синергия»._________ _______________________ (подпись)(ФИО)«___» ______________ 20 г.