Организация режима коммерческой тайны на предприятии

Результаты приведены в рисунке 14.Рисунок – Факторы влияния систем предотвращения утечки информации на модели обеспечения информационной безопасностиТаблица - Влияние DLP систем на модели УИБПараметрSolarDozorSearchInformFalconGazeНаименование DLP-системыSolarDozorКИБSecureTowerУчет ролей пользователейДаДаДаМониторинг использования Web-протоколовДаДаДаВозможность блокирования данных с признаками утечки данныхДаДаНетМониторинг копирования данных на внешние устройстваДаДаНетМониторинг использования внешних портовДаДаДаПротоколирование событий с признаками инцидентов информационной безопасностиДаДаДаПротоколирование действий администратораДаНетДа/НетРабота с журналами операционной системы на рабочих станциях пользователей ДаДаДаПротоколирование запрещенных действий пользователейДаДаДаС помощью метода анализа иерархий проведем выбор DLP-системы в условиях ООО «НПП СВК». Оценочные параметры по критериям приведены на рисунке 16. Рисунок - Критерии оценивания уровня реализации рисковВ таблице 4 приведена матрица иерархий по критериям значимости при выборе программного решения в области защиты информации. Установка параметров проводилась путем попарного сравнения выбранных критериев на основании проведения экспертных оценок. При попарном сравнении критериев экспертами выставлялись оценки от 1 (критерии равнозначны) до 5 (один из критериев является критически более значимым). Заполнение показателей проводится по правилам: N – оценка, выставляемая приоритетному критерию, 1/N – оценка, выставляемая менее значимому критерию. Далее проводится суммирование выставленных баллов с проведением нормализации.Таблица - Матрица иерархий по критериям, значимым для кредитно-финансовой компанииФункциональностьСовместимостьСтоимость лицензииБыстродействиеПростота в управленииФункциональность13535Совместимость 0.331533Стоимость лицензии0.20.2130.33Быстродействие0.330.20.3313Простота в управлении 0.20.3330.331В таблице 5 по данным предыдущей таблицы приведены результаты нормализации критериев для получения весовых коэффициентов.Таблица - Результат нормализации Функцио-нальностьСовмес-тимостьСтоимость лицензииБыстро-действиеПростота в управлении  ВесФункциональность0.490.630.350.290.412.160.43Совместимость 0.160.210.350.290.241.250.25Стоимость лицензии0.100.040.070.290.030.530.11Быстродействие0.160.040.020.100.240.570.12Простота в управлении0.100.070.210.030.080.490.09Как показано в таблице 5, наиболее значимыми критериями являются функциональность и совместимость с ИТ-инфраструктурой кредитно-финансовой компании.Сравнение средств разработки по каждому из критериев для систем:РТКSolar Dozor;SecureTower;Dcrypt 1.0 v.2.Далее проведем сравнение сред разработки по каждому из критериев. В таблицах 9-19 проведено экспертное оценивание рассмотренных программных решений по каждому из критериев значимости, рассмотренных в табл.8. Таблица - Сравнение характеристик по критерию «Функциональность»ФункциональностьРТКSolarDozorSecureTowerFalconGazeРТКSolarDozor133SecureTower0.3313FalconGaze0.330.331Таблица 7 - Сравнение характеристик по критерию «Совместимость»СовместимостьРТКSolarDozorSecureTowerFalconGazeРТКSolarDozor135SecureTower0.3313FalconGaze0.20.331Таблица - Нормализация характеристик по критерию «Функциональность»ФункциональностьРТКSolarDozorSecureTowerFalconGazeНормаРТКSolarDozor0.6110.6930.431.7240.57SecureTower0.1990.2310.430.8580.28FalconGaze0.1990.0770.140.4180.15Таблица - Нормализация характеристик по критерию «Совместимость»СовместимостьРТКSolarDozorSecureTowerFalconGazeНормаРТКSolarDozor0.600.690.712.010.63SecureTower0.200.230.430.860.27FalconGaze0.120.080.140.340.1Таблица - Сравнение характеристик по критерию «Стоимость лицензии»Стоимость лицензииРТКSolarDozorSecureTowerFalconGazeРТКSolarDozor10.113SecureTower919FalconGaze0.330.331Таблица - Сравнение характеристик по критерию «Быстродействие»БыстродействиеРТКSolarDozorSecureTowerFalconGazeРТКSolarDozor135SecureTower0.3315FalconGaze0.20.21Таблица - Нормализация характеристик по критерию «Стоимость лицензии»Стоимость лицензииРТКSolarDozorSecureTowerFalconGaze  НормаРТКSolarDozor0.600.030.431.060.13SecureTower5.420.231.296.940.82FalconGaze0.200.080.140.420.05Таблица - Нормализация характеристик по критерию «Быстродействие»БыстродействиеРТКSolarDozorSecureTowerFalconGaze  НормаРТКSolarDozor0.600.690.712.010.58SecureTower0.200.230.711.140.33FalconGaze0.120.050.140.310.09Таблица - Сравнение характеристик по критерию «Простота в разработке ПО»Простота в разработке ПОРТКSolarDozorSecureTowerFalconGazeРТКSolarDozor10.20.33SecureTower513FalconGaze30.331Таблица - Нормализация характеристик по критерию «Быстродействие»Простота в разработке ПОРТКSolarDozorSecureTowerFalconGaze  НормаРТКSolarDozor0.600.050.050.700.11SecureTower3.010.230.433.670.57FalconGaze1.810.080.142.030.32В таблице 16 приведена итоговая таблица сравнения DLP-систем.Таблица - Итоговая таблица сравнения DLP-систем ВесРТКSolarDozorSecureTowerFalconGazeФункциональность0.430.2490.1240.060Совместимость0.250.1570.0670.027Стоимость лицензии0.110.0130.0870.005Быстродействие0.110.0660.0370.010Простота в разработке ПО0.100.0110.0560.031Итого 0.4950.3710.133Таким образом, по итогам проведённого анализа показано, что предпочтительным решением для разработки информационной системы является система «РТКSolarDozor», так как данная среда по большинству показателей набирает наибольший балл.По результатам сравнительного анализа рассмотренных программных решений показано, что использование DLP-систем обеспечивает значительное сокращений возможностей успешной реализации угроз, связанных с действиями сотрудников, включающих:- передачу конфиденциальных сведений через каналы электронной почты;- несанкционированную передачу данных во внешнюю сеть;- передачу нешифрованных данных за пределы контролируемой зоны;- запись данных на неучтенные носители информации;- несанкционированную распечатку документов, содержащих конфиденциальные сведения;- несанкционированное копирование данных.В качестве оптимального решения для внедрения в работу кредитно-финансовой компании выбрана DLP-система РТК Solardozor. На рис.16приведен режим просмотра состояния работы DLP-системы SolarDozor. На рис.18 приведён порядок настройки лингвистического анализа трафика.Рисунок - Режим просмотра состояния работыDLP-системы SolarDozorРисунок –Режим анализа трафикаНа рис.18 приведён режим отчетности по сотрудникам.Рисунок - Режим отчётности по сотрудникамТаким образом, рассмотренная система обеспечивает возможности выявления признаков утечек конфиденциальной информации за пределы контролируемой зоны.ВыводыВ проектной части работы проведен выбор организационных, технических и программных мер по обеспечению защиты информации, содержащей коммерческую тайну, от утечек информации, циркулирующей в информационных системах. В качестве организационных мер предложено проведение аудита документов, регламентирующих вопросы соблюдения режима коммерческой тайны, рассмотрены требования к нормативным документам и разграничению ответственности сотрудников. Проведён выбор технических решений, подобрано программное обеспечение, в максимальной степени соответствующее поставленным задачам.3.Экономическая целесообразность внедрения предложенных мер защиты и пути дальнейшего развития3.1. Оценка экономической целесообразности реализации на объекте предложенных мер по защите КТХарактеристики риска рассчитываются из соотношения: , где С – оценка уровня ценности данных, U – оценка уровня уязвимости, V – оценка возможности реализации угрозы.Значение рассчитанного уровня риска, при превышении значения в 26, признается актуальным. Значения параметров С, U, V устанавливаются по результатам проведённого экспертного оценивания до и после внесения изменений в архитектуру защиты информации.Оценка степени риска в существующей системе без внедрения предложений, сформулированных в данной работе, приведена в таблице 17.Таблица - Оценка степени риска в существующей системе защиты информации Объект защитыУгроза№ в базе ФСТЭКCUVRУровень рискаИнформационные ресурсы компанииУтечка носителей данных08833424НезначительныйУтечки конфиденциальной информации вследствие утери15633636ЗначительныйУтечки конфиденциальной информации вследствие кражи16033424НезначительныйУтечки данных вследствие получения НСД20833424НезначительныйПродолжение таблицы 17Персональные данные Утечки конфиденциальной информации вследствие восстановления удаленных файлов07123636ЗначительныйУтечка носителей данных08823742ЗначительныйУтечки конфиденциальной информации вследствие утери15623742ЗначительныйУтечки конфиденциальной информации вследствие кражи16023742ЗначительныйУтечки конфиденциальной информации вследствие получения несанкционированного доступа злоумышленников20834560ЗначительныйДалее проведена оценка рисков, связанных с утечками конфиденциальных сведений после внедрения системы защиты каналов связи (Приложение 1).Таким образом, внедрение системы защиты от сетевых угроз в значительной степени сокращает количество угроз, имеющих значительные риски реализации. Диаграмма сокращения рисков со значительной вероятностью реализации приведена на рис.19. Значения, отображаемые на диаграмме, получены по результатам подсчета количества угроз, имеющих уровень риска «Значительный» (последний столбец таблиц Приложения).Рисунок - Диаграмма сокращения рисков со значительной вероятностью реализации3.2. Практические рекомендации по реализации мер, направленных на совершенствование уровня ИБ исследуемого предприятияВ рамках реализации проекта проводится оценка необходимого объема затрат на создание системы защиты информации (таблица 18). Таблица – Расчет затрат на систему защиты информацииНаименование затрат или работКол-воединицСтоимость, тыс. руб.ЕдиницыОбщая тыс.руб.Лицензия на DLP-систему11515Лицензия на ПО Windows 10 Pro31030Flash-накопителя для записи информации515Комплект канцелярских товаров111Итого:51Далее проведён расчёт затрат. Связанных с оплатой труда привлеченных сотрудников. К реализации проекта привлечены:- Специалист по защите информации с тарифной часовой ставкой оплаты труда в 270 руб. и длительностью участия в 100 часов;- Начальник отдела по защите информации с тарифной часовой ставкой оплаты труда в 300 руб. и длительностью участия в 20 часов.Итого затраты оплату труда составляют:В таблице 19 приведен расчет сумм отчислений во внебюджетные фонды.Таблица – Расчет сумм отчислений во внебюджетные фондыВнебюджетные фондыПроцент, %Сумма, руб.Пенсионный фонд (ПФ)227260Фонд социального страхования (ФСС)2,9957Федеральный фонд обязательного медицинского страхования (ФФОМС)5,11683Итого309900Расчет амортизационных отчислений проводится в соответствии с параметрами:- балансовая стоимость используемого компьютерного оборудования: 75000 руб.;- срок полезного использования оборудования: 60 мес.;- длительность проекта: 1 мес.Таким образом, величина амортизационных издержек составляет: Расчет накладных расходов (120% от норматива):На основании полученных расчетов затрат, определяем себестоимость проекта (таблица 20).Таблица - Смета (итоговая сумма) всех затратНаименование статьи затратВеличина вложений, тыс.руб.Удельный вес, %Приобретение материалов для разработки проекта 51,037.85Заработная плата привлеченных сотрудников33,024.49Страховые взносы9,97.35Использование машинного времени 1,250.93Другие виды затрат39,629.39Итого:134.75100Сумма вложений в совершенствование системы защиты от сетевых угроз обеспечивает выполнение требований в области информационной безопасности. а также позволяет избежать ущерба, вызываемого вероятными утечками данных через сегменты сети, а также штрафами, которые могут быть выставлены в адрес компании проверяющими инстанциями. Таким образом, затраты реализацию проекта можно считать обоснованными, т. к. в результате проведенного анализа была установлена возможность сокращения вероятности издержек, связанных с возникновением инцидентов информационной безопасности, возможностью избежать штрафных санкций, вызванных утечками информации, которые обусловлены недостаточным уровнем защищенности информационной системы.3.3. Пути дальнейшего совершенствования системы ИБ объекта защитыСовершенствование системы защиты информации на предприятии предполагается в направлениях:разработка регламентов реагирования на выявленные инциденты информационной безопасности, что позволит определить ответственность сотрудников, компетенции специалистов по защите информации в части проведения профилактических мероприятий в области организации системы защиты информации;разработка регламентов проведения аудита системы защиты информации с привлечением сертифицированных организаций;определение порядка сопровождения и обслуживания системы защиты информации, установки обновлений;расчет сметы затрат, связанных с проведением мероприятий в области защиты информации, выделение финансирования на закупку и облуживание программных и аппаратных решений;назначение приказом администраторов для каждого из используемых средств защиты информации с определением полномочий и сферы ответственности. Выводы по главеПредложенные меры по внедрению в работу компании системы класса DLP, а также системы защиты коммерческой тайны от утечек по акустическим каналам обеспечивают возможности повышения эффективности системы защиты информации, возможностей настройки процесса сканирования от угроз, являющихся актуальными в условиях исследуемой компании. ЗАКЛЮЧЕНИЕВ условиях корпоративных систем, имеющих сложную структуру, в которых осуществляется обработка больших массивов конфиденциальных сведений, актуальными являются задачи обеспечения защиты от угроз, связанных с действиями сотрудников. В рамках данной работы был проведён анализ особенностей реализации системы комплексной защиты информации на примере ООО «НПП СВК». Проведен анализ законодательных актов, регламентирующих обеспечение защиты информации, содержащей элементы коммерческой тайны, рассмотрены принципы отнесения объекта защиты к указанной категории.В теоретической части работы проведен анализ проблематики обеспечения защиты коммерческой тайны, приведён обзор законодательных актов, регламентирующих вопросы обеспечения защиты коммерческой тайны, определены показатели значимости проведения мероприятий по защите коммерчески значимой информации от утечек. Проведено построение модели угроз объектам, содержащим коммерческую тайну, в условиях ООО «НПП СВК». В качестве предложения по совершенствованию системы защиты разработан проект внедрения DLP-системы. Функционал DLP-систем включает проведение анализа активности пользовательских учетных записей, выявление фактов нарушения требований по обеспечению защиты информации. В аналитической части работы проведён анализ системы защиты информации в условиях оптовой компании кредитно-финансовой компании, определен перечень актуальных угроз, защищаемых информационных ресурсов, определены источники угроз и их актуальность.В практической части работы проведен анализ функционала программных решений, осуществляющих мониторинг инцидентов информационной безопасности, связанных с утечками конфиденциальной информации, проведен анализ основных задач, решаемых с использованием DLP-системам, проведен их сравнительный анализ. Основываясь на функциональных возможностях DLP-систем, и реализованных технологиях обеспечении защиты от утечек, следует что использование DLP-систем в информационных системах предприятий создает возможности решения следующих задач:фильтрации исходящего трафика с использованием регулярных выражений, ключевых слов, являющихся признаками передачи защищаемых данных;установки грифов конфиденциальности на документации, представленной в электронном формате и мониторинг жизненного цикла документов;мониторинга процессов обработки конфиденциальных данных, ведение протоколов действий пользователей;мониторинга активности, связанной с подключением внешних носителей информации;анализа данных, которые хранятся на пользовательских рабочих станциях вне контролируемой зоны;управления политиками и событиями в общей консоли;анализа протоколов различных систем безопасности в унифицированном виде и обнаружение аномальных активностей со стороны персонала и внешних злоумышленников;контроля доступа пользователей к ПК и информационным системам с дополнительными компонентами контроля;использования разветвленной системы разграничения прав доступа к ресурсам, содержащим конфиденциальные сведения.По итогам анализа функционала DLP-систем в качестве оптимального решения для использования в условиях исследуемой компании выбрана система РТК Solardozor. С помощью риск-ориентированного подхода показано, что уровень рисков утечки данных при внедрении системы снижается в 7 раз.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВБаза данных угроз ФСТЭК. [Электронный ресурс]. Режим доступа: https://bdu.fstec.ru/threat (дата доступа: 07.11.2022)Клименко И. С. Информационная безопасность и защита информации: модели и методы управления: монография / И. С. Клименко. - Москва: ИНФРА-М, 2020. – 178с.Бондарев, В. В. Введение в информационную безопасность автоматизированных систем : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2018. - 250 с.Илякова И. Е.  Коммерческая тайна: учебное пособие для вузов / И. Е. Илякова. — Москва : Издательство Юрайт, 2023. — 139 с. Примакин А. И., Саратов Д. Н., Синещук Ю. И. Техническая защита информации : учебное пособие /Примакин А. И., Саратов Д. Н., Синещук Ю. И. - Санкт-Петербург: Санкт-Петербургский университет МВД России, 2021. - 154 с.Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления : монография / И. С. Клименко. - Москва: ИНФРА-М, 2020. – 178 с.Воеводин В. А., Душкин А. В., Петухов А. Н., Хорев А. А. Программно-аппаратные средства защиты информации: учебное пособие / В. А. Воеводин, А. В. Душкин, А. Н. Петухов, А. А. Хорев. - Москва: МИЭТ, 2021. - 280 с.Чекулаева Е. Н., Кубашева Е. С. Управление информационной безопасностью : учебное пособие / Е. Н. Чекулаева, Е. С. Кубашева. - Йошкар-Ола: Поволжский государственный технологический университет, 2020. - 153 с.Алексеев А. П. Многоуровневая защита информации: монография / А. П. Алексеев. - Самара : ПГУТИ, 2017. - 128 с.Благодаров, А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2020. – 115 с.Бондарев, В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства: учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Язов Ю. К., Соловьев С. В. Организация защиты информации в информационных системах от несанкционированного доступа : [монография] / Ю. К. Язов, С. В. Соловьев. - Воронеж: Кварта, 2018. - 588 с. Марков А. С. Техническая защита информации: курс лекций: учебное пособие / Марков А.С. - Москва: Изд-во АИСНТ, 2020. – 233с.Королев, Е. Н. Администрирование операционных систем: учебное пособие / Е. Н. Королев. - Воронеж: Воронежский государственный технический университет, 2017. - 85 с. Михайлова, Е. М. Организационная защита информации [Электронный ресурс]/ Михайлова Е. М., Анурьева М. С. - Тамбов: ФГБОУ ВО "Тамбовский государственный университет имени Г. Р. Державина", 2017. – 342 с.Камалова Г. Г. Юридическая ответственность за нарушение конфиденциальности информации: монография / Камалова ГульфияГафиятовна. - Саратов :Амирит, 2019. - 160 с.Никифоров, С. Н. Защита информации: защита от внешних вторжений: учебное пособие / С.Н. Никифоров. - Санкт-Петербург: Санкт-Петербургский государственный архитектурно-строительный университет, 2021. - 82 сБелов, Е. Б. Организационно-правовое обеспечение информационной безопасности: учебник / Е.Б. Белов, В.Н. Пржегорлинский. - 2-е изд., испр. и доп. - Москва: Академия, 2020. – 332с.Ревнивых, А. В. Информационная безопасность в организациях: учебное пособие / А. В. Ревнивых. - Новосибирск: НГУЭУ, 2018. - 83 с.Щеглов А. Ю.  Защита информации: основы теории: учебник для вузов / А. Ю. Щеглов, К. А. Щеглов. — Москва: Издательство Юрайт, 2022. — 309 с. Зенков А. В.  Информационная безопасность и защита информации: учебное пособие для вузов / А. В. Зенков. — Москва : Издательство Юрайт, 2022. — 104 с. Бузов Г. А. Защита информации ограниченного доступа от утечки по техническим каналам / Г. А. Бузов. - Москва: Горячая линия - Телеком, 2022. - 585 с. Васильева И. Н.  Криптографические методы защиты информации: учебник и практикум для вузов / И. Н. Васильева. — Москва: Издательство Юрайт, 2022. — 349 с. Мазин А. В. Техническая защита информации в информационных системах: учебное пособие / Мазин А. В. - Калуга : Манускрипт, 2019. - 109 с.Казарин О. В.  Программно-аппаратные средства защиты информации. Защита программного обеспечения : учебник и практикум для вузов / О. В. Казарин, А. С. Забабурин. — Москва : Издательство Юрайт, 2022. — 312 с. Хорев П. Б. Программно-аппаратная защита информации : учебное пособие : для студентов высших учебных заведений, / П.Б. Хорев. - 3-е изд., испр. и доп. - Москва : ИНФРА-М, 2020. – 325 с.Еськин Д. Л., Бакулин В. М. Основы защиты информации в компьютерных системах и сетях: учебное пособие / Д. Л. Еськин, В. М. Бакулин. - Волгоград : ВА МВД России, 2019. - 67 с.Гостищева Т. В., Ломазов В. А., Малий Ю. В. Модели и методы проектирования систем защиты информации : монография / Т. В. Гостищева, В. А. Ломазов, Ю. В. Малий. - Белгород: Изд-во Белгородского университета кооперации, экономики и права, 2021. - 175 с.Бабиева Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Бабиева. - Казань: Медицина, 2018. – 127с.Тельный А. В., Монахов Ю. М. Техническая защита информации [Электронный ресурс]. Защита информации от утечки по техническим каналам / А.В. Тельный, Ю.М. Монахов. - Владимир :ВлГУ, 2019. – 212с.ПРИЛОЖЕНИЕОценка рисков, связанных с утечками информации после внедрения защитных мерОбъект защитыRУгроза№ в базе ФСТЭКПланируемые мерыC2U2V2R2Оценка рискаИнформационные ресурсы компании30Утечка носителей данных088Внедрение системы РТК Solardozor3319Риск отсутствует36Утечки конфиденциальной информации вследствие утери156Внедрение системы РТК Solardozor33218Незначительный24Утечки конфиденциальной информации вследствие кражи160Внедрение системы РТК Solardozor3319Риск отсутствует24Утечки конфиденциальной информации вследствие получения несанкционированного доступа злоумышленников208Внедрение системы РТК Solardozor33218СредняяПерсональные данные 36Утечки конфиденциальной информации вследствие восстановления удаленных файлов071Внедрение системы РТК Solardozor2316Низкая42Утечка носителей данных088Внедрение системы РТК Solardozor2316Риск отсутствует42Утечки конфиденциальной информации вследствие утери156Внедрение системы РТК Solardozor23212Риск отсутствует42Утечки конфиденциальной информации вследствие кражи160Внедрение системы РТК Solardozor2316Риск отсутствует60Утечки конфиденциальной информации вследствие получения несанкционированного доступа злоумышленников208Внедрение системы РТК Solardozor34336Значительный