Разработка системы защиты информации ООО

На рисунке 4 приведена схема архитектуры SecretNet.Рисунок 4 - Схема архитектуры SecretNetНа рисунке 5 показан режим консоли администратораSecretNet.Рисунок 5 - Режим консоли администратораSecretNetЗащищенный режим аутентификации, реализованный в SecretNet, использует: программные средства для идентификации и аутентификации пользователей; средства блокировки компьютера; аппаратные средства защиты от загрузки ОС со съемных носителей (интеграция с ПАК «Соболь»). аутентификация пользователей возможна как через ввод логина и пароля, так и посредством электронных ключей. Порядок входа в систему определяется администраторами.Модули блокировки компьютеров, реализованные в системе SecretNet, предназначены для защиты от несанкционированного доступа. Режим блокировки производится на средства ввода информации при заданном количестве неуспешных попыток авторизации, либо при длительном простое системы. Также блокировка может срабатывать при выявлении признаков активности вредоносного ПО или сетевых атак. На рис.6 приведен режим настройки блокировки системы.Рисунок 6 – Настройка режима блокировки системыВ систему Secret Net Studio 8.1 включены механизмы, реализующие дискреционное управление к файловым ресурсам, что позволяет: разграничивать доступ пользователей к разделяемым ресурсам, контролировать доступ к объектам файловой системы при локальных или сетевых обращениях, включая обращения от имени системных учетных записей; возможности блокировки доступа к объектам файловой системы при попытках обхода установленных полномочий; работа в режиме независимости от встроенных механизмов разграничения доступа ОС Windows. Таким образом, использование системы SecretNetпозволяет в значительной степени повысить уровень защищенности информационных ресурсов в корпоративных системах. ГЛАВА 5. Составление должностной инструкцииОбщие Положения1.1. Сотрудник отдела защиты информациив рамках своей деятельности руководствуется настоящей должностной инструкцией. 1.2. Сотрудник отдела защиты информацииназначается на должность и освобождается от должности приказом генерального директора ООО «КИБЕР» по согласованию с начальником отдела по защите информации. 1.3. Специалист по защите информации непосредственно подчиняется начальнику отдела по защите информации. 1.4. В рамках выполнения своих полномочий сотрудник отдела по защите информации взаимодействует со специалистами других подразделений компании. 2. Перечень требований к уровню подготовки специалиста2.1 Специалист отдела зашиты информации должен иметь образование в области информационных технологий или информационной безопасности. Допускается назначение на должность специалистов с образованием физико-математического профиля при условии прохождения курсов повышения квалификации по профилю информационной безопасности2.2. Специалист по информационной безопасности обязан знать: Законы, Указы Президента Российской Федерации, постановления, распоряжения исполнительных органов, действующих на территории РФ, и относящихся к деятельности подразделения;Приказы, инструкции и нормативные документы в области защиты информации;Приказы, инструкции и нормативные документы ООО «КИБЕР»;Основы экономики, перспективы развития информационно-банковских систем и стратегические направления деятельности ООО «КИБЕР»;Функции и задачи подразделения;Правила и нормы охраны труда, техники безопасности и противопожарной защиты.3. Обязанности Специалиста по информационной безопасности3.1.В рамках поставленных перед Начальником Отдела информационной безопасности задач на него возлагаются следующие обязанности: подготовка проектов нормативных документов, регламентирующих вопросы организации системы защиты информации в организации;техническое сопровождение систем видеонаблюдения, охранной, пожарной сигнализации;ведение документооборота в области работы с заявками на предоставление доступа к информационным ресурсам, ведение таблиц разграничения доступа;управление системой антивирусной защиты;мониторинг активности пользователей, управление их полномочиями в части установки программного обеспечения, подключения внешних устройств, доступа к файловым ресурсам, использования средств корпоративного Интернета;деятельность в области защиты информации от утечек;взаимодействие с удостоверяющими центрами в части работы с сертификатами электронной подписи, установка и настройка ПО, использующего криптографические системы;взаимодействие с проверяющими организациями при проведении проверок системы комплексной защиты информации, принятие мер к устранению выявленных нарушений;мониторинг системных журналов в части выявления признаков активности вредоносного ПО.4. Права специалиста по информационной безопасности: - внесение предложений руководству по совершенствованию системы защиты информации в компании;- предоставление информации для руководства компании в случае выявления нарушений регламентов защиты информации в подразделениях организации.5. Ответственность специалиста по информационной безопасностиОтветственность специалиста по защите информации устанавливается трудовым договором, а также в случае выявления нарушений регламентов информационной безопасности в рамках санкций, предусмотренных Кодексом об административных правонарушениях, Уголовным Кодексом, а также в рамках, установленных Гражданско-правовыми отношениями.ГЛАВА 6. Построение схемы разработанной системы защитыСтруктурная схема локальной сети ООО «Кибер» приведена на рис.7.Рисунок 7 - Структурная схема защищенной локальной сети ООО «Кибер»В структуру локальной сети компании предлагается внедрение сервера защиты информации, посредством которого осуществляется управление системами доверенной загрузки, системами антивирусной защиты, управления учетными записями пользователей.ГЛАВА 7. Экономическое обоснованиеВ соответствии с ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения» можно выделить следующие этапы проектирования и пуско-наладки системы защиты информации:Обследование объекта и обоснование необходимости создания системыРазработка вариантов концепции и выбор варианта концепции системы Разработка и утверждение технического задания на создание системы защиты информацииРазработка предварительных проектных решений по системе и ее частямРазработка документации на систему и ее частиРазработка проектных решений по системе и ее частямРазработка документации на систему и ее частиРазработка заданий на проектирование смежных частей системыРазработка рабочей документацииПодготовка объекта к вводу в действиеКомплектация поставляемыми изделиямиСтроительно-монтажные работыПусконаладочные работыПроведение предварительных испытанийПроведение опытной эксплуатацииПроведение приемочных испытанийВыполнение работ в соответствии с гарантийными обязательствамиАттестацияВ качестве методологии составления модели угроз принят проект «Методики определения угроз безопасности в информационных системах» ФСТЭК России.Объектами реализации угроз являются:программное обеспечение (системное и прикладное);технические средства;места размещения элементов.Проведем оценку средств, необходимых для реализации проекта автоматизации [66].Оценка трудовых затрат.Для реализации проекта привлечены:- Разработчик программного обеспечения;- Специалист отдела по работе с клиентами;- Экономист.В таблице 4.2 приведена оценка трудозатрат специалистов, привлеченных к реализации проекта автоматизации технологии обеспечения физической защиты с помощью системы видеонаблюдения. Таблица 4.2 - Оценка трудозатрат специалистов, привлеченных к реализации проекта системы видеонаблюдения№СпециалистКоличествоЧасовая заработная плата, руб.Количество часовИтого, руб.1ИТ-специалист125080200002Специалист отдела по информационной безопасности522030330003Экономист227084320Итого 57320Расчет сумм страховых взносов (30% фонда заработной платы):S1 = 0.3*57320=17196 руб.Учет оплаты за электроэнергию.При работе над проектом предполагается использование компьютерной техники, установленной на рабочих местах специалистов. Количество часов использования компьютерной техники составляет 150. Потребляемая мощность – 0,6кВт. Тариф за 1кВт*ч составляет 4 рубля.Расходы на электроэнергию составляют:S2 = 0.6*150*5 = 4500 руб.Расходы на материалы, включающие бумагу, канцелярские товары, картриджи и др. зарезервированы в размере 10000руб.Также необходимо приобретение лицензий на систему «ProxWay Web» на необходимое количество рабочих мест на сумму 48000руб.Стоимость аппаратной части системы видеонаблюдения NestCamIndoor составляет 45000 руб.Таким образом, общая величина затрат на внедрение программного обеспечения составляет: 57320+17196+3600+10000+48000+45000=181116 руб.ЗАКЛЮЧЕНИЕВ рамках данной работы проведено изучение технологии по обеспечению защиты информации в условиях ООО «Кибер». В качестве объекта исследования было выбрана технология защиты персональных данных. Анализ вопросов актуальности указанной тематики показал, что в настоящее время к организациям, в информационных системах которых осуществляется обработка персональных данных предъявляется множество требований по защите от утечек, что вызвано участившимися инцидентами, связанными с причинением ущерба субъектам персональных данных, связанного с утечками информации и совершением с ее помощью противоправных действий. В ходе работы была изучена специфика организации, проведен анализ технологии работы специалистов компании. ИТ-инфраструктура компании содержит ряд компонентов, в которых осуществляется обработка персональных данных сотрудников, которые включают: ведение учета кадровых данных и расчет заработной платы, формирование отчетности в государственные органы и передачу данных по зачислению заработной платы в банковские учреждения.Специфика компаний малого бизнеса такова, что при небольшой численности сотрудников специалисты допускают нарушения в области защиты информации при работе с программными ресурсами. Существующая технология работы специалистов ООО «Кибер» содержит множество недостатков, включающих отсутствие разграничения доступа к ИСПдн по ролям, вход в систему осуществляется без ввода пароля. Также факты предоставления доступа к ИСПДн не документируются и не проходят утверждения у руководства.В качестве предложений по совершенствованию системы защиты данных предложено внедрение системы управления доверенной загрузкой SecretNet. Рассмотрены основные режимы работы программы и механизмы управления загрузкой операционной системы. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВГОСТ Р 50922-96. Защита информации. Основные термины и определения. – М.: Госстандарт России, 1996. – 17 с.Романов В. Г. Персональные данные: проблемы правовой охраны и защиты: монография / В. Г. Романов. - Чита :ЗабГУ, 2019. - 302 с.Брауде-Золотарев М. Ю., Сербина Е.С., Негородов В. С., Волошкин И.Г. Персональные данные в государственных информационных ресурсах / М. Ю. Брауде-Золотарёв, Е.С. Сербина, В.С. Негородов, И.Г. Волошкин ; Российская акад. нар. хоз-ва и гос. службы при Президенте Российской Федерации (РАНХиГС). - Москва : Дело, 2016. – 53с.Коловангин С. В. Персональные данные: учебный курс / КоловангинC.В. ; Санкт-Петербургский межрегиональный ресурсный центр. - Санкт-Петербург : СПб ГБОУ ДПО "Ресурсный центр", 2019. – 125с.Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации / Е. К. Баранова, А. В. Бабаш. - Москва: РИОР ИНФРА-М, 2018. – 334 с.Бубнов А. А. Основы информационной безопасности: учебное пособие / А. А. Бубнов, В. Н. Пржегорлинский, О. А. Савинков. - Москва: Академия, 2017. – 252с.Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова. - Ухта: УГТУ, 2016. - 69 с.Бондарев В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства: учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Вартанов А. А., Лоскутова И. В., Миронов С. Н. Основы администрирования программных средств защиты информации линейки QP: теория и практика: монография / А.А. Вартанов, И.В. Лоскутова, С.Н. Миронов. - Москва: Радиотехника, 2018. - 163 с.Ермаков А. В., Гойхман В. Ю. Информационная безопасность. Сетевая безопасность, Firewall, сетевые атаки, криптографическая защита информации: учебное пособие / А. В. Ермаков, В. Ю. Гойхман. - Якутск: СВФУ, 2019. - 75 с. Ильин М. Е., Калинкина Т. И., Пржегорлинский В. Н. Криптографическая защита информации в объектах информационной инфраструктуры : учебник / М. Е. Ильин, Т. И. Калинкина, В. Н. Пржегорлинский. - Москва: Академия, 2020. – 283с.Стреканова Д.С. Персональные данные: учебный курс / Коловангин C.В.: СПб: Питер, 2020. – 239с.Информационные технологии и защита персональных данных: общедоступная информация, распространение информации, документирование информации, порядок ограничения доступа к копиям заблокированных сайтов. - Москва :Профиздат, 2017. – 79с.Королев Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с. Крамаров С. О., Митясова О. Ю., Соколов С. В. Криптографическая защита информации : учебное пособие / С.О. Крамаров, О.Ю. Митясова, С.В. Соколов. - Москва: РИОР : ИНФРА-М, 2018. – 319 с.