модернизация, администрирование и обслуживание информационной сети предприятия (ИКЕА)

В качестве криптографического ядра в программном обеспечении решения ViPNet OFFICE используется СКЗИ Домен-К. Для рассматриваемой информационной сети VipNetOffice является наиболее оптимальным решением, так как с помощью него можно быстро и качественно обеспечить защищенную передачу информации через Интернет.SecretNet - это сертифицированное средство защиты информации от несанкционированного доступа, которое позволяет привести автоматизированные системы в соответствие требованиям регулирующих документов:№152-ФЗ («О персональныхданных»);№98-ФЗ («О коммерческойтайне»);№5485-1-ФЗ («О государственнойтайне»);СТО БР ИББС (Стандарт Банка России).К особенности приложения Антивирус Касперского для WindowsServersEnterpriseEdition относятся:поддержка гетерогенных сред;единая консоль управления;эффективная защита;проактивная защита от вредоносного ПО;оптимизированная производительность; проверка критических областей системы; защита терминальных серверов; масштабируемость; баланс загрузки сервера; выбор доверенных процессов; поддержка непрерывной работы сервера. Организация видеоконференций средствами SkypeВ качестве универсальной системы для проведения видеоконференций возможно применение продукта компании Microsoft – Skype (см. рис.10). Рисунок 10 – SkypeДанный продукт предоставляет бесплатные возможности обмена сообщениями, голосовой связи, видеозвонков, а так за отдельную плату звонки на обычные телефоны, выход в Интернет через SkypeWi-Fi и отправку SMS-сообщения. Приложение абсолютно бесплатное и работает на всех платформах, а также на ПК и даже телевизорах.3.1.3 Выбор программы мониторинга сетиВ настоящее время на рынке программного обеспечения существует большое количество предложений для мониторинга сети. Рассмотрим некоторые из них.Программа 10-Страйк: Мониторинг Сети.Предназначена для мониторинга серверов и прочих сетевых устройств. Программа следит за работоспособностью сети и оповещает о неполадках. С ее помощью можно во время узнать о произошедшем сбое (разрыв связи, завершение места на диске сервера, остановки служб) и устранить проблему с минимальными потерями времени.Программа отслеживает состояние хостов, папок, файлов, баз данных, процессов и служб на компьютерах сети. Дополнительно администратор сети может использовать собственные скрипты в качестве проверок, и даже контролировать различные переменные в управляемых коммутаторах по протоколу SNMP.Программа 10-Страйк: Мониторинг Сети реализована в виде службы и может быть установлена на сервере для мониторинга сети и выдачи оповещений в фоновом режиме. Программа сигнализирует о неполадках с помощью звука, экранных сообщений, по e-mail, может запускать внешние программы и службы, а также перезагружать компьютеры и службы для устранения неполадок. Программа отслеживает работу критических служб и баз данных, контролирует наличие свободного места на дисках серверов, следите за работой и временем отклика каналов связи. Возможна настройка сигнализации на изменение важных параметров в коммутаторах, которые можно считать по SNMP протоколу. Недостатки: очень высокая цена программы, не работает пробная 30-дневная версия.На рисунке 11 представлено главное окно программы.Рисунок 11 – Главное окно программы 10-Страйк: Мониторинг СетиТакже можно добавить, что программа реагирует на неполадки такими способами, как отображение сообщения на экране компьютера, отправка SMS, звуковая сигнализация. Программа - MyLanViewer.Программа для сканирования и мониторинга компьютеров в сети с возможностью поиска общедоступных файлов. Позволяет показывать компьютеры в удобном для просмотра виде, который содержит имя компьютера, IP адрес, MAC адрес, общие ресурсы и другие детали для каждого компьютера. Имеется возможность следить за компьютерами и получать оповещение, когда состояние одного из них изменится. Также возможно вести управление своими открытыми ресурсами, запрещать их и закрывать к ним сессии.Недостатки: некорректно работает в операционной системе WindowsServer 2003 и Windows 7.Интерфейс программы показан на рисунке 12Рисунок 12 – Интерфейс программы MyLanViewerМожно отметить, что существуют ограничения по использованию программы. Использование программы в коммерческих организациях требует регистрации.На основе проведенного анализа возможностей программ мониторинга трафика сети становится возможным выбор в пользу программы 10-Страйк: Мониторинг Сети.3.2 Эффективность предлагаемых мероприятийРассмотрим эффективность применения предлагаемых мероприятий на примере внедрения средств защиты персональных данных.Оценка единовременных затрат на создание и внедрение системы защиты персональных данныхДанные по единовременным денежным затратам на создание и внедрение СЗ на 100 ЭВМ, обрабатывающих данные, в разрезе этапов работ представлены таблице 5 (стоимость определялась на основе анализа цен услуг группы крупнейших системных интеграторов в области защиты информации).Суммарные затраты на ежегодную замену оборудования по причине выхода из строя составят:Средняя заработная плата специалиста по защите информации с необходимым уровнем квалификации составляет 360 000 рублей в год.Затраты на заработную плату специалиста по защите информации составят:Суммарные затраты на страховые взносы в Пенсионный фонд России, Фонд социального страхования России, Фонды обязательного медицинского страхования в год составят:В таблице 6 приведены затраты на электроэнергию.В расчётах цена за 1 кВт/ч – 5,00 руб.Таблица 5 - Затраты на создание СЗПДнНаименование этапаИсполнительТрудоемкость (дней)Сумма руб.Информационное и техническое обследование.Системныйинтегратор535 000,00Разработка модели угроз и нарушителей безопасности.Системныйинтегратор335 000,00Классификация ИССистемныйинтегратор15 000,00Разработка Технического задания на создание системы защиты.Системныйинтегратор325 000,00Разработка технического проекта СЗСистемный интегратор350 000,00Разработка комплекта корпоративных документов по защите ИССистемныйинтегратор550 000,00Согласование разработанной системы защиты.Системныйинтегратор20,00Поставка СЗИ.Системныйинтегратор22700 000,00Проведение пуско-наладочных работ.Системныйинтегратор20300 000,00Установка и настройка СЗИ от НСДСистемныйинтегратор16000.00Итого:651 206 000,00Таблица 6 - Затраты на электроэнергиюНаименованиеМощность, кВаттКол-во часов, ч.Использованная энергия, кВаттСтоимость, руб.Компьютер администратора информационной безопасности0,51981990,54 952,50Средство обнаружения вторжений0,15870013056 525,00Итого:0,65106812295.511477,50Данные по временным и денежным затратам на поддержку СЗ приведены в таблице 7.Таблица 7 - Затраты на поддержку СЗНаименованиеСтоимость, руб.Затраты на замену оборудования по причине выхода из строя.60 000,00Расходы на оплату труда специалисту в штате организации.,00Затраты на страховые взносы.Затраты на электроэнергию.11477,50Стоимость поддержки СЗПДн в течении года (согласно формуле (6).,50Затраты на реализацию СЗ и на её поддержку в течение 3 лет составляют: рублейРасчёт показателей экономической эффективности проектаРассчитывается уровень угрозы по уязвимости (Th) на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации. (1)где- критичность реализации угрозы (указывается в %);- вероятность реализации угрозы через данную уязвимость (указывается в %);- уровень угрозы по уязвимости по угрозам конфиденциальность, целостность или доступность. Для подсчёта уровня угрозы по всем уязвимостям CTh, через которые возможна реализация данной угрозы на ресурсе, просуммируем полученные уровни угроз через конкретные уязвимости по формуле:, (2)Значения уровня угрозы по всем уязвимостям получим в интервале от 0 до 1. Общий уровень угроз по ресурсу CThR, учитывая все угрозы, действующие на ресурс, подсчитывается по формуле для одного ресурса (n):, (3)Значение общего уровня угрозы получим в интервале от 0 до 1. Риск по ресурсу R рассчитывается следующим образом:, (4)где D – критичность ресурса.Риск по информационной системе CR рассчитывается по формуле: Для режима работы в деньгах: (5)Для режима работы в уровнях: (6)Если угроз несколько, то подсчёт рисков ведётся для каждой угрозы по отдельности и суммируется для получения общей суммы рисков по всем угрозам.Рассчитаем риски для угрозы информационной безопасности в виде взлома злоумышленником сервера локальной сети Раменского УСЗН, модификации системы электронной почты, а также разглашения конфиденциальной информации сотрудниками, так как данные виды угроз являются наиболее возможными.В таблице 8 приведена характеристика угроз и уязвимостей в ИСПДнООО Икеа ДомТаблица 8 - Характеристика угроз и уязвимостейРесурсУгрозаУязвимостьКонфиденциальная информацияУгроза 1Неавторизованное проникновение нарушителяУязвимость 1Отсутствие авторизации при доступе на серверУязвимость 2Отсутствие системы разграничения локальной вычислительной сетиУгроза 2Неавторизованная модификация информации в системе электронной почты, хранящейся на ресурсеУязвимость 1Отсутствие авторизации для внесения изменений в систему электронной почтыУязвимость 2Отсутствие регламента работы с системой криптографической защиты электронной корреспонденцииУгроза 3Разглашение конфиденциальной информации сотрудниками Уязвимость 1Отсутствие соглашений о конфиденциальностиУязвимость 2Распределение атрибутов безопасности (ключи доступа, шифрования) между несколькими доверенными сотрудникамиВ таблице 9 приведен уровень вероятности реализации указанных угроз и критичность реализации угрозы через указанные уязвимости.Таблица 9 - Уровни вероятностей реализации угроз и критичность реализации угрозыУгроза/УязвимостьВероятность реализации угрозы через данную уязвимость в течение года (%), P(V)Критичность реализации угрозы через уязвимость (%), ERУгроза1/Уязвимость15060Угроза1/Уязвимость22060Угроза2/Уязвимость16040Угроза2/Уязвимость21040Угроза3/Уязвимость11080Угроза3/Уязвимость28080Рассчитываем уровень угроз по вышеперечисленным формулам, результаты представлены в таблице 10.Таблица 10 - Расчёт уровней угрозУгроза/УязвимостьУровень угрозыУровень угрозы по всем уязвимостям, через которые реализуется данная угроза, %Угроза1/Уязвимость10,30,384Угроза1/Уязвимость20,12Угроза2/Уязвимость10,240,270Угроза2/Уязвимость20,04Угроза3/Уязвимость10,080,669Угроза3/Уязвимость20,64Результаты расчета общего уровня угроз приведены в таблице 11.Таблица 11 - Расчет общего уровня угрозУгроза/УязвимостьУровень угроз по всем уязвимостям, через которые реализуются данная угроза (%)Общий уровень угроз по ресурсу, (%)Угроза1/Уязвимость10,3840,8511Угроза1/Уязвимость2Угроза2/Уязвимость10,2701Угроза2/Уязвимость2Угроза3/Уязвимость10,669Угроза3/Уязвимость2Предположим, что предприятие в случае потери указанного ресурса понесёт потери в размере 200000 рублей. Для угрозы доступность, критичность ресурса задаётся в час (а не год, как для остальных угроз), чтобы получить критичность ресурса в год, необходимо умножить критичность ресурса в час на максимально критичное время за год. В этом случае получаем значение риска ресурса в денежном выражении – 170220 рублей. Произведем расчёт рисков информационной системы с учётом вышесказанного. Так как вероятность любого события не может быть нулевой, принимаем вероятности использования злоумышленником указанных уязвимостей равной 10%. Величина вероятностей приведена в таблице 12.Таблица 12 - Вероятности реализации угрозыУгроза/УязвимостьВероятность реализации угрозы через данную уязвимость в течение года (%), P(V)Критичность реализации угрозы через уязвимость (%), ERУгроза1/Уязвимость11060Угроза1/Уязвимость21060Угроза2/Уязвимость11040Угроза2/Уязвимость21040Угроза3/Уязвимость11080Угроза3/Уязвимость21080Произведём расчёт уровней угрозы (таблица 13).Таблица 13 - Расчёт уровней угрозыУгроза/УязвимостьУровень угрозы, %Уровень угрозы по всем уязвимостям, через реализуется данная угроза, %Общий уровень угроз, %Угроза1/Уязвимость10,060,210,45Угроза1/Уязвимость20,06Угроза2/Уязвимость10,040,18Угроза2/Уязвимость20,04Угроза3/Уязвимость10,080,15Угроза3/Уязвимость20,08Таким образом, снижение уровня угроз после внедрения предлагаемых мер защиты произошло на 47%. Экономическая эффективность создания и поддержки спроектированной СЗ будет равна:где П – потенциальные финансовые потери за период 3 года за счет регуляторных рисков;З – оценка рисков в течении 3 лет в денежном выражении.ЗаключениеВыбор состава информационной сети для предприятия должен проходить организованно в рамках соответствующего проекта. Ответственность за организацию проекта лежит на руководстве предприятия, так как система в основном выбирается для высшего и среднего уровней руководителей – они являются основными потребителями предлагаемой функциональности.Использование информационных технологий для управления предприятием делает любую компанию более конкурентоспособной за счет повышения ее управляемости и адаптируемости к изменениям рыночной конъюнктуры. Подобная автоматизация позволяет:повысить эффективность управления компанией за счет обеспечения руководителей и специалистов максимально полной, оперативной и достоверной информацией на основе единого банка данных;снизить расходы на ведение дел за счет автоматизации процессов обработки информации, регламентации и упрощения доступа сотрудников компании к нужной информации;обеспечить надежный учет и контроль поступлений и расходования денежных средств на всех уровнях управления;повысить эффективность обмена данными между отдельными подразделениями, филиалами и центральным аппаратом;гарантировать полную безопасность и целостность данных на всех этапах обработки информации.В рамках настоящего исследования был проведен анализ информационной сети ОООИкеа Дом г. Новосибирск, в ходе которого было определено, что состав информационной сети представлен такими программными средствами, как операционные системы, сервисы Интернет, антивирусным программным обеспечением, системой управления бизнес-процессами. В работе представлен обзор названных средств. Кроме того, изучена корпоративная сеть организации.Особенностью исследования стала разработка комплекса мероприятий по совершенствованию существующей информационной системы. Было предложено уделить особое внимание защите персональных данных, хранение которых организовано средствами информационной системы. В работе представлены предложения по внедрению технических средств защиты и обоснована экономическая эффективность подобных мер.В качестве еще одного направления модернизации информационной сети предприятия были названы внедрение универсальной программы для проведения конференций Skypeи использование для администрирования сети программы мониторинга трафика сети.Таким образом, в работе проведен обзор источников вопросам организации информационной среды торговых компаний; определены особенности функционирования магазинов Икеа в России и за рубежом; проведен анализ деятельности ОООИкеа Дом г. Новосибирск; определен состав информационной сети предприятия; определены пути совершенствования информационной сети; разработаны практические рекомендации модернизации существующей сети; рассчитана экономическая эффективность предложенных мер, что свидетельствует о достижении цели и решении задач ,поставленных во введении.Список используемых источниковНормативно-правовые актыФедеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.09.2015)Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 13.07.2015) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.01.2016)Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»ЛитератураАгапов В. Обзор и оценка перспектив развития мирового и российского рынков информационных технологий/ В. Агапов, В. Пратусевич, С. Яковлев. – М.: РБК, 2014. – 61с.Акмалов А.Ю. К определению «образовательная технология» в контексте современного российского образования / А.Ю.Акмалов// Актуальные проблемы развития образования в России и за рубежом: сборник статей материалов международной научной конференции. – Москва, 2014. – 45-48 с. Алексеев С.С. Государство и право: учебное пособие. – М.: Проспект, 2015. – 147с. Барабаш П.А. Безопасность персональных данных. Учебное пособие. – СПб.: Политехника, 2012. – 167с.Большой энциклопедический словарь / Под ред. И. Лапина, Е. Маталина и др. – М.: Астрель, 2003. – 1200с.Ватаманюк А. Создание и обслуживание локальных сетей. – СПб.: Питер, 2008. – 254с.Венгер К.Г. Практика автоматизации бизнес-процессов угледобывающих предприятий ЗАО «Стройсервис»/ К.Г. Венгер, О.В. Семенов// Труды IX Всероссийской научно-практической конференции. Под ред. С.М. Кулакова, Л.П. Мышляева, 2013. – С. 149-153.Воройский Ф. С. Информатика. Энциклопедический словарь-справочник: введение в современные информационные и телекоммуникационные технологии в терминах и фактах. - М.: ФИЗМАТЛИТ, 2012. - 768 с. Гвоздева В. А., Лаврентьева И. Ю. Основы построения автоматизированных информационных систем: учебник. — M.: ИД «ФОРУМ»: ИНФРА-М, 2012. — 320 с.Гладьо С.С. Исследование технологий автоматизации бизнес-процессов вуза// Проблемы современной науки. - №5-2. – 2012. – С.58-65.Голкина Г.Е. Бухгалтерские информационные системы: учебно-практическое пособие. – М.: Академия, 2011. – 95с.Горбатов А.В. Комплексная автоматизация промышленных предприятий в России. Оптимизация систем комплексной автоматизации промышленных предприятий на производственном уровне/ А.В. Горбатов, П.Б. Кожин// Журнал «САПР и графика». – 2011. - №6. – С.26-33.Грибанова О.В., Щенникова Е.И. Теория бухгалтерского учета: Учебное пособие. – М.: МГИУ, 2012. – 216с.Григорьева А.А. Характеристика программных продуктов фирмы SAPдля ИИСУ/ А.А. Григорьева// Известия российского экономического университета им. Г.В. Плеханова. – 2014. - №2(16). – С. 24-45.Гришина Н. В. Организация комплексной системы защиты информации. - М.: Гелиос АРВ, 2009. - 256 с.Грошев А.С. Информатика: Учебник для вузов. – Архангельск: Арханг. гос. техн. ун-т, 2010. – 470с.Жадаев А. Наглядный самоучитель 1С:Бухгалтерия 8.1. - СПб: БХВ-Петербург, 2010. – 189с.Захарова И.Г. Информационные технологии в образовании: Учебное пособие для студентов высших педагогических учебных заведений / И.Г. Захарова. – М.: Издательский центр «Академия», 2012. –192с.Информатика: Учебник. - 3-е перераб. изд. /Под ред. проф. Н.В. Макаровой. - М.: Финансы и статистика, 2010. - 768 с.: ил.Исаев А.С., Хлюпина Е.А. «Правовые основы организации защиты персональных данных» – СПб: НИУ ИТМО, 2014. – 106 с.Камшилов С.Г. Определение уровня автоматизации бизнес-процессов на промышленном предприятии/ С.Г. Камшилов// Вестник Челябинского государственного университета. - №1. – 2015. – С.56-61.Кашина И.А. Информационно-правовые системы в экономической деятельности. – М.: ДМК Пресс, 2011. – 128с.Килясханов И.Ш., Саранчук Ю.М. Информационное право в терминах и понятиях: учебное пособие, Юнити-Дана, 2011 г. - 135 с.Коноплева И.А., Хохлова О.А. Информационные технологии: Учебное пособие / И.А. Коноплева. М.: Проспект, 2012. –315с.Коркин А.М. Программный комплекс Юридическая справочно-информационная система. Аналитические и экспертные возможности. – Санкт-Петербург: СПб ГУИТМО, 2012. – 350с.Кулакова А.Ф. Анализ бизнес-процессов газосбытовой организации для целей автоматизации деятельности/ А.Ф. Кулакова, П.А. Кулаков// Apriori. Серия: Естественные и технические науки. - №1. – 2014. – С.9-16.Кулаченко Д.А. Современное состояние и перспективы развития рынка электронных услуг в отечественной экономической системе// Современные проблемы науки и образования. - №5. – 2012. – С. 65-70Куняев, Н. Н. Информационная безопасность как объект правового регулирования в Российской Федерации / Н. Н. Куняев. //Юридический мир. -2008. - № 2. - С. 38 – 40Овчинникова Л.И. Развитие рынка информационных услуг/ Л.И. Овчинникова, А.С. Саркисян// Сборник статей по материалам XXIII студенческой международной заочной научно-практической конференции «Молодежный форум: Общественные и экономические науки», М.: Издательство «МЦНО», 2015. – С. 95-102Радчук В.А. Роль рынка информационных услуг в развитии социально-экономических систем// Бизнес в законе. Экономико-юридический журнал. - №1. – 2012. – С.317-319Рассел Дж. Видеоконференция / Дж. Рассел. - СПб: Питер, 2012.- 116с.Риз Дж. Облачные вычисления / Дж. Риз. – СПб.: БХВ-Петербург, 2013. – 288с.Роберт И.В. Информационные и коммуникационные технологии в образовании / И.В. Роберт, С.В. Панюкова и др. – М.: Дрофа, 2011. –312с.Слободняк И.А. Актуальные проблемы автоматизации бухгалтерского учета// Международный бухгалтерский учет. - №1. – 2014. – С. 16-18.Таненбаум Э.С. Современные операционные системы [Текст]/ Э.С. Таненбаум. – Спб.: Питер, 2014. – 1120сФилатова В.О. Бухгалтерский учет для руководителей и предпринимателей. – СПб: БХВ-Петербург, 2015. – 288с.Хлебников А.А. Информационные системы в экономике.- Ростов н/Д: Феникс, 2011.– 427 с.Шакиров Т. Проблемы внедрения ERP-систем, ориентированных на автоматизацию бизнес-процессов предприятия/ Т. Шакиров// МТО-13. – 2013. – С. 401-403.Шуремов Е.Л., Чистов Д.В.,Лямова Г.В. Информационные системы управления предприятиями - СПб.: Питер, 2013.- 520с.Интернет-ресурсыАверченков В.И. Защита персональных данных в организации: монография [Электронный ресурс]/ В.И.Аверченков, М.Ю.Рытов, Т.Р.Гайнулин. – 2-е изд., стереотип. – М.:Флинта, 2011. – 124с.Компания Mikogo: [Электронный ресурс] - Режим доступа: http://www.mikogo.ru/Магазин Икеа [Электронный ресурс]. - Режим доступа:http://www.ikea.com/ru/ru/Панасенко А. Конфиденциальные данные продолжают утекать [Электронный ресурс]. – Режим доступа: https://www.anti-malware.ru/analytics/Threats_Analysis/Sensitive_data_continue_leak#Савчук А. Обзор функциональности веб-интерфейсов электронной почты [Электронный ресурс]/ А. Савчук. - Режим доступа: https://habrahabr.ru/post/103449/