Разработка системы защиты информации «ООО «ТКС

Система проводит созданиезашифрованных областей на носителях информации, доступ к которым возможна только пользователям, имеющим доступ к носителям сертификатов, позволяющих раскрыть содержимое.Зашифрованная область работает в системе в формате обычной дисковой области, к которой исключен доступ по сети или со стороны учетных записей, отличных от тех, кому разрешена авторизация в системе SecretDiskи открыт доступ со стороны администратора.В качестве хранилища сертификатов возможно использование сертифицированных электронных ключей (eTokenили JaCarta). Алгоритм шифрования реализуется с использованием внешнего крипторовайдера (VipNetили Про).Программа «NordLocker»Данная система представляет собой облачное решение для хранения конфиденциальных данных в зашифрованном виде.Специфика работы системы:- Создание защищенного облачного хранилища, на которое копируются данные, зашифрованные с использованием специализированного алгоритма;- Доступ пользователей к хранилищу предоставляется с использованием сертификатов, хранение которых может быть организовано на защищенных носителях;- Доступ к облачному хранилищу осуществляется посредством специализированного приложения.Далее на основании проведенного анализа функционала криптографических систем проведен анализ их функциональных характеристик (таблица 6).Таблица - Сравнение криптографических систем по функциональным характеристикамTrue CryptSecret DiskNord LockerВыбор алгоритма для шифрования дисковых областей +++Подключение зашифрованной области в форме отдельного тома++-Возможность сохранения на облачном ресурсе --+Использование аппаратных электронных ключей для монтирования томов-++Уровень скорости шифрованияПриемлемоОтличноПриемлемоНеобходимость установки ПОДаДаВозможно использование Web-режимаВ ходе анализа функционала рассмотренных систем проведён выбор программного обеспечения Secret Disk.5. Составление должностной инструкции1. Общие Положения1.1. Специалист по информационной безопасности осуществляет свою деятельность в соответствии с настоящей должностной инструкцией. 1.2. Специалист по информационной безопасности назначается на должность и освобождается от должности приказом генерального директора ООО «ТКС». 1.3. Специалист по информационной безопасности непосредственно подчиняетсягенеральному директору ООО «ТКС». 1.4. В отдельных случаях, в порядке, установленном действующим трудовым законодательством РФ, Специалист по информационной безопасности может привлекаться к выполнению обязанностей других сотрудников ООО. 2. Квалификационные требования2.1 На должность Специалиста по информационной безопасности й назначается лицо с высшим техническим образованием, опытом работы в области информационной безопасности.2.2. Специалист по информационной безопасности обязан знать: Законы, Указы Президента Российской Федерации, постановления, распоряжения исполнительных органов, действующих на территории РФ, и относящихся к деятельности подразделения;Приказы, инструкции и нормативные документы в области защиты информации;Приказы, инструкции и нормативные документы ООО «ТКС»;Основы экономики, перспективы развития информационно-банковских систем и стратегические направления деятельности ООО «ТКС»;Функции и задачи подразделения;Правила и нормы охраны труда, техники безопасности и противопожарной защиты.3. Обязанности Специалиста по информационной безопасности3.1.В рамках поставленных перед Начальником Отдела информационной безопасности задач на него возлагаются следующие обязанности: подготовка проектов нормативных документов, регламентирующих вопросы организации системы защиты информации в организации;техническое сопровождение систем видеонаблюдения, охранной, пожарной сигнализации;ведение документооборота в области работы с заявками на предоставление доступа к информационным ресурсам, ведение таблиц разграничения доступа;управление системой антивирусной защиты;мониторинг активности пользователей, управление их полномочиями в части установки программного обеспечения, подключения внешних устройств, доступа к файловым ресурсам, использования средств корпоративного Интернета;деятельность в области защиты информации от утечек;взаимодействие с удостоверяющими центрами в части работы с сертификатами электронной подписи, установка и настройка ПО, использующего криптографические системы;взаимодействие с проверяющими организациями при проведении проверок системы комплексной защиты информации, принятие мер к устранению выявленных нарушений;мониторинг системных журналов в части выявления признаков активности вредоносного ПО.4. Права специалиста по информационной безопасности: - внесение предложений руководству по совершенствованию системы защиты информации в компании;- предоставление информации для руководства компании в случае выявления нарушений регламентов защиты информации в подразделениях организации.5. Ответственность специалиста по информационной безопасностиОтветственность специалиста по защите информации устанавливается трудовым договором, а также в случае выявления нарушений регламентов информационной безопасности в рамках санкций, предусмотренных Кодексом об административных правонарушениях, Уголовным Кодексом, а также в рамках, установленных Гражданско-правовыми отношениями.6. Построение схемы разработанной системы защитыСхема распределенной сети системы видеонаблюдения приведена на рисунке 2.Рисунок -Схема распределенной сети системы видеонаблюденияНа рис.3 приведен режим криптографических настроек шифрования дисковых областей, на рис.4 – режим формирования мастер-ключей.Рисунок – Криптографические настройки работы с дисковыми областямиРисунок – Работа с мастер-ключом7. Экономическое обоснованиеСтоимость приобретаемого аппаратного обеспечения составит:лицензия на криптографическую систему: 15000руб.;сертифицированные ключи (10 шт.): 25000 руб. Итого стоимость оборудования и программного обеспечения составила 40000руб.Далее приведен расчет стоимости мероприятий по внедрению системы.1. Величина затрат на электроэнергию определяется из соотношения:,(4)где Р – показатели мощности компьютерного оборудования, кВт/ч;Цэл– тариф за 1 кВт/ч, руб.;Ти – время использования оборудования при проведении работ, ч.Оценка потребляемой мощности компьютерного оборудования составляет 500 Вт. Время использования компьютерного оборудования в рамках реализации проекта – 40 дн. по 8 часов. Тариф за электроэнергию примем равным 5,5 руб. Мощностью использования принтера пренебрегаем, т.к. большую часть времени он находится в спящем режиме.Зэл = 0,5*5,5*40*8 = 880 руб.2. Затраты на оплату труда включают зарплату основную (Зосн) и зарплату дополнительную (Здоп).Расчет основной зарплатыпроизводится исходя из оклада программистов и продолжительности выполнения работ.Месячный оклад разработчика составляет 45000руб.Количество специалистов – 2, продолжительность работы – 40 дней. Количество рабочих дней в месяце – 22.Таким образом, величина оплаты труда составляет:Расчет дополнительной зарплаты производится как 15% от оклада, тогда:Здоп = 0,15*163363 = 24545 руб.Фонд оплаты труда составит:Фзп = Зосн + Здоп = 163636 + 24545 = 188181 руб.3. Амортизационные отчисленияРасчет амортизационных отчислений производится из соотношения:,(5)где Фперв –стоимость используемого при разработке оборудования; Ти – длительность использования оборудования в процессе создания системы; На – норма амортизации;Фэф – годовой эффективный фонд времени работы оборудования, для односменной работы он составляет Фэф = 360 дней.,(6)где Тпи – срок полезного использования, лет;Время работы на ПЭВМ составляет 40 дней. Срок службы компьютера – 5 лет,значение нормы амортизации:На = 1 / 5 = 0,2Проведем расчет амортизационных отчислений, исходя из стоимости используемого компьютера в 55000руб.:Общие прямые затраты составят следующую сумму:Зпрям = 3м+ Фзп + Анир= 880+ 188181+ 1222 = 190283 руб.4. Прочие расходы:Расчет отчислений с фонда оплаты труда 188181*0,3=56454руб.:Прочие расходы на разработку составляют 20% от прямых затрат:190283*0,2=38056руб.Итого прочие расходы составят: Зпр = 56454+38056=94510руб.Общие расходы на создание системы:З = 94510 + 190283 = 284793 руб.Далее проведем расчет затрат на научно-исследовательскую разработку, включающих сумму прибыли (30% сметы) и НДС (20% от суммы сметы и прибыли).Пр=0,3*284793=85437 руб.НДС = 0,2*(85437+284793) =74076.Общая стоимость проекта составит:Ц = 284793 + 85437 + 74076 + 40000 = 484276 руб.ЗАКЛЮЧЕНИЕВ рамках данной работы проведен анализ рисков защиты информации, разработана политика в области информационной безопасности в части защиты конфиденциальной информации, рассмотрены теоретические основы проведения поиска уязвимостей,проведён анализ недостатков существующей системы защиты информации в условиях ООО «ТКС». В рамках проведенного исследования получены следующие результаты:- выявлены уязвимости, связанная с хранением резервных копий информационных ресурсов, содержащих персональные данные, а также с отсутствием контроля передачи пользовательских компьютеров при передаче их для выполнения ремонтных работ, что потенциально создает угрозы утечек конфиденциальных данных. Также не контролируется использование мобильных рабочих станций (ноутбуков) при необходимости работы вне офиса компании;- предложено решение для обеспечения защиты от утечек носителей персональных данных, связанное с использованием криптографической системы;- выбран наиболее предпочтительный вариант – система Secretdiskна основе метода анализа иерархий;- для обеспечения инженерно-технической защиты предложено внедрение СКУД «XeomaPro»; - на основе риск-ориентированного подхода было показано, что внедрение предложенной системы в технологию защиты информации обеспечивает возможности сокращения уровня рисков утечек информации в 7 раз;- также показано, что стоимость внедрения программы в 4 раза меньше величины ожидаемого ущерба от реализации рисков утечек данных.Таким образом, совершенствование системы защиты информации ООО «ТКС» предполагает необходимость проведение ряда мероприятий по внедрению криптографической системы для возможности шифрования дисковых областей носителей резервных копий базы данных информационных систем, содержащих конфиденциальные сведения. В качестве совершенствования мер по физической защите предложено внедрение СКУД, что позволит снизить риски хищения носителей резервных копий данных.СПИСОК ЛИТЕРАТУРЫГОСТ Р 50922-96. Защита информации. Основные термины и определения. – М.: Госстандарт России, 1996. – 17 с.NordLocker. Программа для шифрования дисковых областей. [Электронный ресурс]. Режим доступа:https://uguide.ru/rejting-programmy-dlya-shifrovaniya-zhestkogo-diska#NordLockerБаранова Е. К., Бабаш А. В. Информационная безопасность и защита информации / Е. К. Баранова, А. В. Бабаш. - Москва: РИОР ИНФРА-М, 2018. – 334 с.Бубнов А. А. Основы информационной безопасности: учебное пособие / А. А. Бубнов, В. Н. Пржегорлинский, О. А. Савинков. - Москва: Академия, 2017. – 252с.Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта: УГТУ, 2016. - 69 с.Бондарев В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства: учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Вартанов А. А., Лоскутова И. В., Миронов С. Н. Основы администрирования программных средств защиты информации линейки QP: теория и практика: монография / А.А. Вартанов, И.В. Лоскутова, С.Н. Миронов. - Москва: Радиотехника, 2018. - 163 с.Ермаков А. В., Гойхман В. Ю. Информационная безопасность. Сетевая безопасность, Firewall, сетевые атаки, криптографическая защита информации: учебное пособие / А. В. Ермаков, В. Ю. Гойхман. - Якутск: СВФУ, 2019. - 75 с. Ильин М. Е., Калинкина Т. И., Пржегорлинский В. Н. Криптографическая защита информации в объектах информационной инфраструктуры : учебник / М. Е. Ильин, Т. И. Калинкина, В. Н. Пржегорлинский. - Москва: Академия, 2020. – 283с.