close

Вход

Забыли?

вход по аккаунту

Киселева Елена Геннадьевна. Анализ и совершенствование системы информационной безопасности производственного предприятия

код для вставки
2
3
4
АННОТАЦИЯ
на выпускную квалификационную работу Киселевой Елены Геннадьевны на
тему: «Анализ и совершенствование системы информационной безопасности
производственного предприятия».
Выпускная квалификационная работа изложена на 71 страницах, включает 8
таблиц, 8 рисунков и 2 приложения. Для ее написания использовано 50
источников.
Перечень
ключевых
слов:
информация,
защита
информации,
информационная безопасность, совершенствование системы, угрозы информации,
эффективность информационной безопасности.
Цель выпускной квалификационной работы: совершенствование системы
защиты информации на предприятии ЗАО «Протон-Импульс».
В ходе исследования использовались следующие методы: анализ и
сравнение.
Работа состоит из введения, трех глав и заключения.
В первой главе «Подходы к проектированию системы защиты
информации;» раскрываются теоретические аспекты исследуемой проблемы, в
т.ч.: понятие информационной безопасности, характеристика факторов,
влияющих на защиту информации,
методика совершенствования системы
защиты информации .
Во второй главе «Анализ деятельности ЗАО «Протон-Импульс»» дана
краткая организационно-экономическая характеристика предприятия, проведен
сравнительный
анализ
экономических
показателей,
проанализирована
существующая система защиты информации на предприятии.
В третьей главе «Проектирование комплексной системы защиты
информации на предприятии ЗАО «Протон-Импульс»» даны рекомендации по
совершенствованию системы информационной безопасности. Рекомендации по
совершенствованию системы информационной безопасности могут быть
использованы самим предприятием, а также предприятиями-аналогами.
5
Содержание
ВВЕДЕНИЕ .................................................................................................................. 6
1.ПОДХОДЫ К ПРОЕКТИРОВАНИЮ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ . 8
1.1.Исследование состава комплексных систем защиты информации как вида
организационно-технических систем ......................................................................... 8
1.2. Политика информационной безопасности ......................................................... 16
1.3 Система управления информационной безопасностью ..................................... 23
2. АНАЛИЗ ДЕЯТЕЛЬНОСТИ ЗАО «ПРОТОН-ИМПУЛЬС» ................................ 29
2.1 Общие сведения об организации ......................................................................... 29
2.2 Анализ финансово-хозяйственной деятельности ............................................... 34
2.3 Анализ существующей системы защиты информационной безопасности ....... 45
3.ПРОЕКТИРОВАНИЕ
КОМПЛЕКСНОЙ
СИСТЕМЫ
ЗАЩИТЫ
ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ ЗАО «ПРОТОН-ИМПУЛЬС» .................. 49
3.1 Анализ угроз и уязвимостей информационной системы ................................... 49
3.2 Меры по совершенствованию комплексной системы защиты информации на
предприятии ............................................................................................................... 55
3.3 Обоснование экономической эффективности проекта ...................................... 62
ЗАКЛЮЧЕНИЕ .......................................................................................................... 65
СПИСОК ЛИТЕРАТУРЫ .......................................................................................... 67
ПРИЛОЖЕНИЕ 1 ....................................................................................................... 72
6
ВВЕДЕНИЕ
В настоящее время информация представляет собой один из самых главных
бизнес-активов любой организации, имеющий ценность для организации,
находящийся в ее распоряжении, обеспечивающий добавочную стоимость и
вследствие этого нуждающийся в защите. Вовремя не устраненные и известные
злоумышленникам уязвимости в обеспечении информационной безопасности
информационных активов могут привести к катастрофическим финансовым
потерям и нанести непоправимый ущерб бизнес-процессам.
В последние годы многие российские организации осознали необходимость
эффективного
управления
своей
информационной
безопасностью,
что
приобретает все большее значение по мере их роста и продвижения на новые
рынки товаров и услуг.
В современных условиях достаточно много сделано в направлении
организации информационной безопасности, но мало предложено по управлению
теми
защитными
мерами,
которые
внедрены
в
организации.
Зачастую
организации не осознают, какие активы являются более критичными, какие риски
информационной безопасности связаны с этими активами, какие защитные меры
необходимо запланировать и почему. Все эти проблемы можно решить при
эффективном управлении информационной безопасностью в организации за счет
построения системы управления информационной безопасностью. Разработка
централизованной
системы
информационной
безопасности
на
уровне
организации зависит от внутренних и внешних факторов, которые часто
конфликтуют. Поэтому им требуются различные комбинации структур, процессов
и механизмов, которые обеспечивают защищенное состояние существующей у
них информационной инфраструктуры и усовершенствуют ее наилучшим образом
в каждом регионе и конечной точке, проводя в жизнь принятую организацией
политику. Все это доказывает необходимость внимательного изучения вопросов
управления информационной безопасности.
7
Актуальность темы исследования обусловлена сложившейся ситуацией в
целом, не только в РФ, но и в других странах. Вопросы информационной
безопасности занимают ведущие позиции во многих странах. Количество
специалистов по информационной безопасности, способных защитить важную
информацию
для
предприятия
растёт
с
каждым
годом,
квалификация
специалистов также должна улучшаться, в следствии того, что процесс развития
совершенствует не только технологии по защите, но и технологии направленные
на преступления.
Целью данной квалификационной работы является совершенствование
системы защиты информации на предприятии ЗАО «Протон-Импульс».
Для достижения поставленной цели необходимо решить следующие задачи:
- разобраться в сущности информации;
- объяснить задачи и уровни обеспечения защиты информации;
- исследовать основные проблемы и угрозы обеспечения информационной
безопасности предприятия;
- проанализировать существующую систему защиты информации на
предприятии;
-рассмотреть модель угроз;
-предложить комплекс мер по совершенствованию системы защиты
информации;
-дать оценку экономической эффективности проекта.
Объектом
исследования
является
промышленное
предприятие
ЗАО
«Протон-Импульс».
Предметом исследования выступает система защиты информации.
В научной работе использовались методы анализа и сравнения.
Данная
работа
состоит
библиографического списка.
из
введения,
трех
глав,
заключения
и
8
1.ПОДХОДЫ К ПРОЕКТИРОВАНИЮ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
1.1.Исследование состава комплексных систем защиты информации как вида
организационно-технических систем
Появление новых информационных технологий и развитие мощных
компьютерных систем хранения и обработки информации повысили уровни
защиты информации и вызвали необходимость в том, чтобы эффективность
защиты информации росла вместе со сложность архитектуры хранения данных.
Так постепенно защита экономической информации постепенно становится
обязательной:
разрабатываются
информации; формируются
всевозможные
документы
рекомендации по защите
по
защите
информации; даже
проводится федеральный закон о защите информации, который рассматривает
проблемы защиты информации и задачи защиты информации, а также решает
некоторые уникальные вопросы защиты информации.
ГОСТ РФ 51275-99 определяет объект информатизации как «совокупность
информационных
ресурсов,
средств
и
систем
обработки
информации,
используемых в соответствии с заданной информационной технологией, средств
обеспечения объекта информатизации, помещений или объектов (зданий,
сооружений, технических средств), в которых они установлены, или помещения и
объекты, предназначенные для ведения конфиденциальных переговоров».
Слово «совокупность» в данном определении указывает на то, что объект
информатизации это единая информационная система, охватывающая в целом
предприятие, учреждение, организацию.
В реальной жизни все эти отдельные «объекты информатизации»
расположены в пределах одного предприятия и представляют собой единый
комплекс компонентов, связанных общими целями, задачами, структурными
отношениями, технологией информационного обмена и т. д.
Современное
предприятие
—
большое
количество
разнородных
компонентов, объединенных в сложную систему для выполнения поставленных
целей,
которые
в
процессе
функционирования
предприятия
могут
9
модифицироваться. Многообразие и сложность влияния внутренних и внешних
факторов, которые часто не поддаются строгой количественной оценке, приводят
к тому, что эта сложная система может обретать новые качества, не свойственные
составляющим ее компонентам.
Комплексная система защиты информации – это система, в которой
действуют в единой совокупности правовые, организационные, технические,
программно-аппаратные
и другие
нормы,
методы, способы и средства,
обеспечивающие защиту информации от всех потенциально возможных и
выявленных угроз и каналов утечки. Элементы КСЗИ, в свою очередь, состоят из
средств, устройств и способов защиты информации, а также методов их
использования [1, с.7].
Понятие защиты информации в настоящее время ассоциируется, как
правило,
с
проблемами
обеспечения
информационной
безопасности
в
информационных системах (ИС). Задачи же защиты информации решаются с
целью нейтрализации дестабилизирующего воздействия причин нарушения
целостности информации при обеспечении физической целостности последней
или с целью перекрытия каналов несанкционированного ее получения – при
защите от несанкционированного получения данных.
Важнейшее
концептуальное
требование
к
КСЗИ
–
требование
адаптируемости, т.е. способности к целенаправленному приспособлению при
изменении структуры, технологических схем или условий функционирования ИС.
Важность требования адаптируемости обусловливается, с одной стороны, тем, что
перечисленные факторы, относящиеся к ИС, могут существенно изменяться, а с
другой
–
тем,
что
процессы
защиты
информации
относятся
к
слабоструктурированным, т.е. содержащим высокий уровень неопределенности.
Управление же слабоструктурированными процессами может быть эффективным
лишь при условии адаптируемости системы управления.
10
Помимо общего концептуального требования, к КСЗИ предъявляется еще
целый ряд более конкретных, целевых требований, которые могут быть разделены
на
функциональные,
эргономические,
экономические,
технические
и
организационные. В совокупности эти требования образуют систему (рисунок
1.1).
Рисунок 1.1. Требования к системе защиты информации в ИС [12, с.126]
Как у нас в стране, так и за рубежом, наряду с конкретными разработками
определенных
вопросов
защиты,
формировались
общеметодологические
11
принципы
(общие
Соблюдение
положения)
требований
таких
построения
и
принципов
функционирования
способствует
КСЗИ.
повышению
эффективности защиты. В условиях же системно-концептуального подхода к
защите надо не просто руководствоваться теми или иными общими положениями
– нужна стройная и, возможно, более полная система общеметодологических
принципов.
Сформированная к настоящему времени система включает следующий
перечень
общеметодологических
адекватность
требованиям;
принципов:
гибкость
концептуальное
(адаптируемость);
единство;
функциональная
самостоятельность; удобство использования; минимизация предоставляемых
прав; полнота контроля; экономичность.
Концептуальное
единство.
Архитектура,
технология,
организация
и
обеспечение функционирования как КСЗИ в целом, так и составных ее
компонентов должны рассматриваться и реализовываться в строгом соответствии
с основными положениями единой концепции защиты информации.
Адекватность требованиям. КСЗИ должна строиться в строгом соответствии
с требованиями к защите, которые, в свою очередь, определяются категорией
соответствующего объекта и значениями параметров, влияющих на защиту
информации.
Гибкость, или адаптируемость системы защиты. Это – такое построение и
такая организация ее функционирования, при которых функции защиты
осуществлялись бы достаточно эффективно при изменении в некотором
диапазоне структуры ИС, технологических схем или условий функционирования
каких-либо ее компонентов.
Функциональная самостоятельность. КСЗИ должна быть самостоятельной
обеспечивающей подсистемой ОТС и при осуществлении функций защиты не
зависеть от других подсистем. Удобство использования означает, что КСЗИ не
должна создавать дополнительные неудобства пользователям и персоналу ОТС
[15].
12
Минимизация предоставляемых прав. Каждому пользователю и каждому
лицу из состава персонала ОТС должны предоставляться лишь те полномочия на
доступ к ресурсам ОТС и находящейся в ней информации, которые ему
действительно необходимы для выполнения своих функций в процессе
автоматизированной обработки информации. При этом предоставляемые права
должны
быть
определены
и
установленным
порядком
утверждены
заблаговременно.
Полнота
контроля.
Все
процедуры
автоматизированной
обработки
защищаемой информации должны контролироваться системой защиты в полном
объеме, причем основные результаты контроля должны фиксироваться в
специальных регистрационных журналах.
Активность реагирования. СЗИ должна реагировать на любые попытки
несанкционированных действий. Характер реагирования может быть различным и
включать: просьбу повторить действие; задержку в выполнении запросов;
отключение
структурного
несанкционированное
элемента,
действие;
с
исключение
которого
нарушителя
осуществлено
из
числа
зарегистрированных пользователей; подачу специального сигнала и др.
Экономичность СЗИ. При условии соблюдения основных требований всех
предыдущих принципов расходы на СЗИ должны быть минимальными.
СЗИ является одним из видов ОТС, поэтому ее архитектура будет
аналогичной архитектуре ОТС. Как известно, архитектуру ОТС составляет ее
функциональное, организационное и структурное построение [16].
Функциональным построением любой системы называется организованная
совокупность тех функций, для регулярного осуществления которых она
создается.
Под организационным построением
системы понимается ее общая
организация, адекватно отражающая концептуальные подходы к ее созданию. В
соответствии с общепринятой концепцией защиты информации в современных
ИС организационно КСЗИ состоит из трех частей: механизмов обеспечения
13
защиты информации, механизмов управления механизмами защиты и механизмов
общей организации работы системы (рисунок 1.2.).
Переменные (вводимые
-выводимые)
Управление
переменными
механизмами
МЕХАНИЗМЫ УПРАВЛЕНИЯ
МЕХАНИЗМАМИ ОБЕСПЕЧЕНИЯ
ЗАЩИТЫ ИНФОРМАЦИИ
Управление
постоянными
механизмами
Организационные
средства
Программные
средства
Постоянные
(встроенные)
Технические
средства
МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ
ИНФОРМАЦИИ
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ
МЕХАНИЗМЫ ОБЩЕЙ ОРГАНИЗАЦИИ РАБОТЫ
СИСТЕМЫ ЗАЩИТЫ
Рисунок 1.2. Организационное построение системы защиты информации
[7, с.45]
В механизмах обеспечения защиты выделяются два организационных
компонента: постоянные (встроенные) механизмы и переменные (включаемыевыключаемые). Под постоянными понимаются такие механизмы, которые
встраиваются в компоненты автоматизированных систем в процессе создания
КСЗИ и находятся в рабочем состоянии во все время функционирования
соответствующих компонентов ИС. Переменные же механизмы являются
автономными, использование их для решения задач защиты информации
предполагает
предварительное
осуществление
операций
ввода
в
состав
используемых механизмов. Встроенные и переменные механизмы могут иметь в
14
своем
составе
технические,
программные
и
организационные
средства
обеспечения защиты
Соответственно составу механизмов обеспечения защиты информации
должны быть организованы механизмы управления ими. Механизмы общей
организации работы КСЗИ предназначены для системной увязки и координации
работы всех компонентов КСЗИ.
В понятие организационного построения КСЗИ входит также распределение
элементов этой системы по организационно-структурным элементам ИС. Исходя
из этого в организационном построении КСЗИ должны быть предусмотрены
подсистемы защиты на объектах (структурных компонентах) ИС и некоторое
управляющее звено, получившее название ядра КСЗИ.
Ядро
системы
защиты
есть
специальный
компонент
системы,
предназначенный для объединения всех подсистем КСЗИ в единую целостную
систему защиты, организации, обеспечения и контроля ее функционирования [15].
Выполнение функций ядра КСЗИ осуществляется следующим образом
[7,с.59]:
1. Блокирование бесконтрольного доступа к базам защищаемых данных:
помещения ИС и отдельные их элементы оборудуются средствами охранной
сигнализации, пульт управления которыми входит в состав технического
обеспечения ядра; носители с защищаемыми данными хранятся в охраняемом
помещении и отдельно от носителей с незащищаемыми данными; для установки
носителей с защищаемыми данными выделяются строго определенные устройства
управления ВЗУ. Эти устройства оборудуются специальными замками, которые
управляются средствами ядра.
2. Включение компонентов КСЗИ в работу при поступлении запросов, на
обработку защищаемых данных: включаются все замки, регулирующие доступ
людей в помещения ИС; загружаются ОС, СУБД и другие компоненты
общесистемного программного обеспечения версиями, аттестованными для
обслуживания обработки защищаемых данных; инициируется пакет программ
КСЗИ; включаются в рабочее состояние средства сигнализации КСЗИ.
15
3. Управление работой КСЗИ в процессе обработки защищаемых данных.
4. Организация и обеспечение проверок правильности функционирования
КСЗИ: аппаратных средств – по тестовым программам и организационно;
физических средств – организационно; программных средств – по специальным
контрольным суммам (на целостность) и другим идентифицирующим признакам;
регистрационных журналов – программно и организационно на целостность и
защищенность;
организационных
средств
защиты
–
организационно
сотрудниками служб защиты.
5.
Организация
и
ведение
массивов
эталонных
данных
КСЗИ
осуществляется службой защиты.
6.
Обеспечение
реагирования
на
сигналы
о
несанкционированных
действиях: средства ядра должны обеспечивать регистрацию всех сигналов о
несанкционированных действиях в любом структурном элементе ИС, причем
могут быть предусмотрены следующие виды реагирования: звуковое, световое и
документальное. Зарегистрированный сигнал должен содержать следующую
информацию: место несанкционированного действия, время и характер действия;
реагирование
на
сигналы
должно
обеспечивать
прерывание
обработки
защищаемых данных, уничтожение информации в тех устройствах, которые
могут быть доступны вследствие обнаруженных несанкционированных действий,
и принятие мер для задержания нарушителя.
7. Ведение протоколов КСЗИ заключается в записи в запоминающее
устройство ядра следующей информации: время включения и выключения КСЗИ;
время, характер и результаты КСЗИ; сведения о запросах на обработку
защищаемых данных: время, название (шифр) и гриф секретности выдаваемых
документов; сведения о попытках несанкционированного доступа.
Таким образом, можно сделать вывод, что информационная безопасность
предприятия - это состояние защищённости корпоративных данных, при которой
обеспечивается
их
конфиденциальность,
целостность,
аутентичность
и
доступность. Обеспечение информационной безопасности предприятия возможно
только при системном
и комплексном
подходе
к защите.
В системе
16
информационной
безопасности
должны
учитываться
все
актуальные
компьютерные угрозы и уязвимости.
1.2. Политика информационной безопасности
Термин
«политика» давно используется
в человеческом
обществе.
Существует много трактовок этого понятия, из которых чаще всего применяются
следующие:
- сфера деятельности, связанная с отношениями между социальными
группами, сутью которой является определение форм, задач, содержания
деятельности государства;
-направление деятельности государства или каких-либо социальных групп
в той или иной области в определенный период;
- образ действий, направленных на достижение чего-либо, поведение,
определяющее отношения с людьми; - общее намерение и направление,
официально выраженное руководством [47, с. 75].
В англоязычной литературе при рассмотрении вопросов ОИБ, кроме
политики, используются и другие термины: стандарты, базис, руководства и
процедуры [80].
Политики обычно рассчитаны на долгий срок и содержат руководство по
разработке более конкретных правил для ситуаций и систем. Политики могут
относиться к совершенно различным вопросам, таким как управленческие
решения по настройке электронной почты организации, обеспечению режима
секретности или защите факсов.
Политики интерпретируются и поддерживаются стандартами, основными
направлениями, процедурами и руководствами. В них должно содержаться общее
руководство для организации. По своей природе политики обязательны для
исполнения. Они должны быть одобрены и поддержаны их основными
исполнителями.
Невозможность
санкционирована
в
необходимы
виде
политики:
соблюдать
исключения.
физическая
политику
Примеры
защита,
ИБ,
областей,
должна
быть
для
которых
персональные
данные,
17
безопасность персонала, безопасность оборудования, защита ПО, безопасность
сетей, безопасность беспроводного доступа, УНБ, управление рисками ИБ,
управление инцидентами ИБ.
Для организации общий подход и намерения в области ОИБ, официально
выраженные руководством, отражаются в разработанном, утвержденном им и
строго выполняемом на практике всеми ее сотрудниками и бизнес-партнерами
документе – политике ОИБ организации, для краткости далее называемой
политикой ИБ.
Политика ИБ содержит позицию организации по отношению к деятельности
в области ОИБ, её стремление соответствовать государственным, международным
требованиям и стандартам в этой области. Полтика ИБ определяет стратегию и
тактику построения в организации системы защиты информации. (В российской
терминологии документ, определяющий стратегию, часто называют концепцией,
а документ, определяющий тактику, – политикой. За рубежом принято создавать
единый
документ,
включающий
в
себя
стратегию
и
тактику
защиты
одновременно.) Полтика ИБ организации является основой для разработки целого
ряда документов в области ОИБ: стандартов, руководств, процедур, практик,
регламентов, должностных инструкций и прочее.
Поскольку основу политики ИБ составляет, как правило, конкретный
способ
управления
каким-либо
видом
доступа,
определяющим
порядок
обращения субъектов системы к ее объектам, название этого способа и
определяет название частной политикой ИБ. Как показывает опыт, наиболее часто
разрабатываемыми в организациях частными политиками ИБ являются политики
для следующих областей и технологий, имеющие аналогичные названия:
физической защиты (включая вопросы организации пропускного режима,
регистрации сотрудников и посетителей, использования средств сигнализации и
видеонаблюдения и т. п.); организации режима секретности; ОИБ при процессе
транспортировки
носителей
информации;
обращения
с
информацией,
составляющей государственную тайну; опубликования материалов в открытых
источниках; доступа сторонних пользователей (организаций) в ПС организации;
18
оценки рисков ИБ; управления паролями; контроля доступа и защиты от
несанкционированного доступа; назначения и распределения ролей и обеспечения
доверия к персоналу; использования Интернета; разработки и лицензирования
ПО; установки и обновления версий ПО; приобретения ИС и их элементов
(программных и аппаратных средств); использования отдельных универсальных
ИТ в масштабе организации.
Наиболее правильный и эффективный способ добиться минимизации
рисков нарушения ИБ организации еще до того, как появится первая проблема с
безопасностью, – разработать политику ИБ и в соответствии с ней реализовать,
эксплуатировать и совершенствовать СОИБ организации [2, с.85].
Можно выделить несколько основных аргументов в пользу того, что
политика ИБ обязательно должна быть выработана для организации любого
масштаба и вида деятельности. Во-первых, политика ИБ составляет общую
основу для защиты всех влияющих на ОИБ активов организации, в рамках
которой определяются правила разграничения доступа к этим активам. Она
определяет, какое поведение по отношению к активам разрешено, т. е. является
санкционированным, а какое запрещено, является несанкционированным и
свидетельствует о их незаконном использовании. Во-вторых, политика ИБ
определяет «правила игры» для всех сотрудников организации и третьих лиц, что
позволяет достичь согласия по вопросам ОИБ как внутри самой организации
(включая ее руководство), так и вовне. В-третьих, политика ИБ часто помогает
сделать правильный выбор самой платформы для работы с активами, учитывая,
какие инструментальные средства и процедуры будут использованы.
Первостепенной целью разработки политики ИБ организации является
обеспечение решения вопросов ОИБ в пределах организации и вовлечение ее
высшего руководства в данный процесс. Для этого в первую очередь она
определяет правильный (с точки зрения организации) способ использования ее
активов, а также процедуры, предотвращающие или реагирующие на нарушения
ИБ.
19
В основе любой политики лежат модели доверия, или трастовые модели.
Для ИС наиболее точно смысл понятия «доверие» передает следующая
формулировка: можно сказать, что один субъект «доверяет» другому, когда
предполагает, что второй субъект будет вести себя точно так, как ожидает от него
первый, на основе их взаимодействия [50]. Таким образом, доверие имеет дело с
предположениями, ожиданиями и поведением. Оно не может быть измерено
количественно. Существует риск, связанный с доверием.
Следовательно, при разработке политики ИБ необходимо определить, кто, к
чему и каким образом может получать доступ. Здесь можно провести следующую
аналогию – при первой установке программно-аппаратных систем чаще всего
производителем предусмотрена защита по принципу наименьшего доступа для
всех. Далее для каждой группы пользователей и входящих в нее отдельных
представителей определяются виды доверия (для файла – чтение, копирование,
модификация, удаление, создание). Это дело достаточное сложное и даже
деликатное. Если доверие ко всем слишком велико, то им могут злоупотреблять.
Если доверия заслуживает лишь очень небольшая группа пользователей, то и в
этом случае возникнут ситуации, когда выполнение обычных обязанностей
сотрудниками
организации
будет
затруднено,
например,
постоянными
процедурами аутентификации, что вызовет с их стороны только раздражение,
полное неприятие политики ИБ и нежелание ее поддерживать и осуществлять ее
основные положения на практике. Компромиссное решение в данном случае и
будет самым подходящим: всего должно быть в меру, в том числе доверия и
недоверия.
Политика
ИБ
как
высокоуровневый,
основополагающий
документ
определяет систему приоритетов, принципов и методов достижения целей
защищенности различных активов организации в условиях наличия для них угроз
ИБ.
Она
содержит
главные
методологические
подходы,
позволяющие
специалистам в области ИБ и информатизации, а также другим специалистам
организации определить наиболее важные объекты защиты, подготовить
необходимые
меры
защиты,
принципы
и
направления
работ.
Поэтому
20
формулировать политику ИБ путем выработки четкой позиции в решении
вопросов ИБ должно высшее руководство: президент, председатель, директор,
совет директоров или иной уполномоченный. Цель ОИБ не может быть
достигнута, пока на самом высоком уровне не определено, чего следует
добиваться, и не выделены ресурсы, позволяющие должным образом защитить
информационную инфраструктуру организации и обеспечить управление ею.
Политика ИБ организации разрабатывается на основе накопленного в
организации опыта в области ОИБ, результатов идентификации активов,
подлежащих защите, оценки рисков ИБ, с учетом особенностей бизнеса и
технологий, требований законодательства Российской Федерации, отраслевых
нормативных актов, а также интересов и бизнес-целей конкретной организации
[11, с.32].
Политика ИБ только определяет, что должно быть защищено и какова
ответственность в случае несоблюдения ее положений. Защитные меры
устанавливают, как конкретно защитить активы организации. Они являются
механизмами реализации политики ИБ на практике и представляют собой полный
перечень всех рекомендаций и действий, которые должны предприниматься в
определенных обстоятельствах и при конкретных условиях. Защитные меры
выбираются таким образом, чтобы устранить так называемую проблему одной
точки провала (например, служащий внезапно уволился, и его функции по
реализации политики ИБ никому не передали, или вышло из строя и не подлежит
восстановлению какое-то средство защиты).
Политика ИБ содержит общие требования по ОИБ организации в целом.
При этом обязательно учитываются особенности организации и ее деятельности, а
также выделяются основные направления, связанные с ОИБ организации, и
формулируются общие (основные) требования по каждому из этих направлений.
Еще один важный момент – каков будет вид представления и состав
документации, определяющей политику ИБ. Политика ИБ может быть описана в
одном большом или ряде небольших документов. Несколько не очень объемных
документов чаще предпочтительнее, так как их проще при необходимости
21
обновлять. Для организаций небольшого размера, конечно же, легче изложить
всю политику ИБ в одном документе.
В тексте политика ИБ обязательно в явном виде присутствуют ответы на
следующие вопросы: что (цель политики), кто (на кого она распространяется), где
(ее область действия), как (факторы соблюдения и оценка соблюдения политики),
когда (когда политика вступает в действие), почему (необходимость внедрения
политики)[17].
Выработка набора конкретных политик ИБ зависит от размера и целей
организации, их принимающей. Они должны по возможности носить не
рекомендательный, а обязательный характер. Ответственность за их нарушение
должна быть четко определена.
По своему назначению корпоративная политика ИБ является каркасом,
объединяющим все остальные документы, регламентирующие обеспечение и
управление ИБ в организации. В нее рекомендуется включать следующие
положения [37, с.27]:
- определение ИБ в терминах деятельности данной организации, области
действия политики, целей, задач и принципов ОИБ организации;
- изложение намерения ОИБ, направленного на достижение указанных
целей и на реализацию принципов ОИБ;
- общие сведения об активах, подлежащих защите, их классификацию;
- модели угроз и нарушителей (внутреннего и внешнего) ИБ, на
противодействие которым ориентирована корпоративная политика ИБ;
-
высокоуровневое
изложение
правил
и
требований
по
ОИБ;
представляющих особую важность для организации (например, обеспечение
соответствия законодательным актам, нормативным документам РФ в области
ОИБ и нормативным актам организации; требования к управлению ИБ;
требования по предотвращению и обнаружению компьютерных вирусов и
другого вредоносного ПО; требования по УНБ);
- санкции и последствия нарушений корпоративной политики ИБ;
22
- определение общих ролей и обязанностей, связанных с ОИБ, включая
информирование об инцидентах ИБ;
- перечень частных политик ИБ, развивающих и детализирующих
положения корпоративной политики ИБ, а также указание подразделений
организации, ответственных за их соблюдение и/или реализацию;
- положения по контролю реализации корпоративной политики ИБ
организации; - ответственность за реализацию и поддержку документа;
- условия пересмотра (выпуска новой редакции) документа.
К разработке и согласованию корпоративной политики ИБ рекомендуется
привлекать представителей служб организации, связанных с ее информационной
сферой:
руководство
организации;
профильных
подразделений;
службы
информатизации; службы безопасности (ИБ).
Корпоративная политика ИБ обязательно утверждается руководителем
организации (председатель, генеральный директор, президент), и в ее названии
указывается наименование организации, которой она принадлежит. Может быть
представлена как комплектом документов, так и единым обобщающим
документом.
Корпоративная политика ИБ обычно содержит утверждение, поясняющее,
зачем она была разработана. Всегда полезно явно указать цель или причины ее
написания. Например, если организация предоставляет услуги по поддержке
больших БД, тогда ее основными целями могут быть снижение числа ошибок,
потерь и искажения данных, а также быстрота восстановления после нештатных
ситуаций.
Для
организации,
обрабатывающей
персональные
данные,
первостепенной задачей может быть усиленная защита от несанкционированного
раскрытия информации о клиентах [46]. Поэтому типовыми являются следующие
цели: - обеспечение устойчивого функционирования организации за счет
предотвращения реализации угроз ИБ ее активам, защита законных интересов
владельца
информации
от
противоправных
посягательств,
обеспечение
нормальной производственной деятельности всех подразделений организации;
обеспечение
уровня
ИБ
в
конкретных
функциональных
областях,
23
соответствующего нормативным документам организации и рассчитанного на
основе риск-ориентированного подхода (с учетом результатов оценки рисков ИБ);
выработка
планов восстановления
после
критических ситуаций и ОНБ
организации и др.; достижение экономической целесообразности в выборе
защитных мер; реализация подотчетности анализа регистрационной информации
и всех действий пользователей с информационными ресурсами и т. п.
Таким образом, основное назначение полномочной политики безопасности
— регулирование доступа субъектов системы к объектам с различным уровнем
критичности и предотвращение утечки информации с верхних уровней
должностной
иерархии
в
нижние,
а
также
блокирование
возможного
проникновения с нижних уровней в верхние. При этом она функционирует на
фоне
избирательной
политики,
придавая
ее
требованиям
иерархически
упорядоченный характер (в соответствии с уровнями безопасности).Выбор
политики безопасности — это прерогатива руководителя системы защиты
информации.
1.3 Система управления информационной безопасностью
Как подчеркивается в различных стандартах по ОИБ, для противодействия
угрозам ИБ, снижения рисков ИБ и эффективной обработки инцидентов ИБ
необходимо обеспечивать и на протяжении длительного времени сохранять
достаточный для организации уровень ИБ. Поэтому в настоящее время ОИБ
является одним из основополагающих аспектов успешного ведения бизнеса.
В современных условиях ОИБ присущи специфические черты [3]:
1. Прогнозный характер проблем и задач в области ОИБ. Подобно общему
управлению организацией, управление ИБ включает задачи прогнозирования,
ориентированные на предвидение возможности возникновения нарушений ИБ.
Этот прогноз включает выявление причинно-следственных связей возможных
проблем, моделирование действий нарушителей ИБ и последствий от их
действий, планирование необходимых защитных мер и оценку последующего
положительного эффекта от их применения и т. п.
24
2. Деградация мер и средств, обеспечивающих ИБ. Даже в отсутствие
злоумышленной или иной, требующей вмешательства службы ИБ, деятельности
защитные меры со временем неминуемо деградируют, в результате чего риски ИБ
возрастают. Правильно выстроенные процессы и используемые защитные меры в
силу объективных причин имеют тенденцию к постепенному ослаблению своей
эффективности. Это связано с тем, что угрозы ИБ, их источники и риски ИБ через
некоторые промежутки времени изменяются под воздействием среды ведения
бизнеса организации.
Другая причина состоит в том, что защитные меры всегда тем или иным
образом ограничивают сотрудников и сам бизнес. Или в организации
приобретается и устанавливается самая современная сертифицированная система
управления и разграничения доступа, а через короткое время выясняется, что она
«прозрачна» для пользователей, из-за неправильного распределения ролей и
ответственности и плохо отлаженного механизма выделения полномочий всем и
все разрешено. В итоге организация несет потери, так как на систему были зря
потрачены немалые средства.
3.Изменчивость (стохастичность) бизнеса. Бизнес ведется в условиях
изменчивой среды, т. е. при большой неопределенности. Это естественное
свойство среды, которое должно учитываться организацией в ее деятельности. В
условиях
неопределенности
на
бизнес-уровне
принимается
решение
о
необходимости осуществить то или иное действие, отсрочить его, позаботиться о
дополнительных гарантиях или ресурсах либо вообще отказаться от выполнения
действий. При этом используются естественные для бизнеса механизмы
самоконтроля, позволяющие проверить степень достижения заданной цели. Ясно,
что изменчивость потребует постоянной подстройки ОИБ под изменение
внутренней и внешней среды ведения бизнеса организации. Однако ИБ, в отличие
от бизнеса, не имеет механизмов самоконтроля. Эффективность ОИБ реально
выявляется только в момент нарушения ИБ. Новый бизнес всегда сопровождается
новыми рисками ИБ. Организация должна адекватно оценивать степень влияния
выявленных проблем в области ОИБ на ее бизнес-цели.
25
4. Рост масштабов и сложности самих задач ОИБ организации. Всё это
требует их эффективного решения, что не может быть достигнуто без
целенаправленного управления процессами ОИБ, основанного на системном
методологическом подходе.
5. Своевременность обнаружения проблем в области ОИБ. Организация
должна своевременно обнаруживать проблемы, прямо или косвенно относящиеся
к ИБ и потенциально способные повлиять на успешное достижение ее бизнесцелей. Эффективность деятельности по ОИБ реально проявляется только в
момент атак; до наступления атаки непосредственно убедиться в эффективной
реализации этой деятельности и, следовательно, успешном отражении атаки
проблематично.
Обеспечение
защищенности
интересов
(целей)
организации
непосредственно связано с ее основным бизнесом, а деятельность по ОИБ
является
вспомогательной
по
отношению
к
нему.
При
этом
главное
предназначение деятельности по ОИБ организации – содействие основным,
управленческим и иным вспомогательным процессам ведения бизнеса.
Планируя осуществление деятельности по ОИБ, организация должна
ответить на множество важных вопросов: что может случиться, каковы
последствия реализации угроз ИБ для ее отдельных активов и бизнеса в целом,
как часто это может происходить и т. п. Поэтому входными данными для
процесса ОИБ являются: информация о среде ведения бизнеса организации;
потребности организации в ИБ; описание бизнес-процессов и их реализации; информация, используемая для контроля успешности деятельности по ОИБ.
Кроме этого учитываются законы (нормативы) и стандарты в области ИБ и
управление организации в части ИБ, а также все ресурсы (финансовые,
материальные, информационные, человеческие и оборудование).
Важнейшими исходными данными для эффективного ОИБ служат
информационные модели основной деятельности организации, описания бизнеспроцессов, реализуемых технологий и т. д. Они определяют акцент и контекст
всей деятельности по ОИБ, так как позволяют понять, где в структуре ведения
26
бизнеса организации в части ИТ имеются уязвимости, где и при каких условиях
могут проявиться те или иные угрозы ИБ и действия нарушителей ИБ, где
находятся требующие защиты активы, какие защитные меры (организационные,
административные, программно-аппаратные, технические) могут потребоваться и
какие из них могут быть наиболее эффективными в каждом конкретном случае.
Как вспомогательная, деятельность по ОИБ влияет на бизнес организации
посредством таких воздействующих элементов, как: регламентирующие ИБ
документы для
всех структурных подразделений организации; обучение
персонала и работа с ним по вопросам ИБ; заказы на приобретение, поставку и
регламентацию использования сервисов и систем ОИБ на объекты и системы в
организации, которые далее могут эксплуатироваться другими вспомогательными
и основными подразделениями; контроль за ОИБ, в том числе на основе
информации об инцидентах ИБ, данных мониторинга и аудита ИБ; сигналы
опасности для интересов (целей) деятельности организации в информационной
среде, направляемые всем подразделениям организации.
Механизмы (средства, защитные меры) ОИБ, являющиеся результатом
деятельности по ОИБ и поступающие в качестве ресурсного обеспечения для
основной
деятельности
организации,
эксплуатируются
службами
информатизации, а в отдельных случаях и основными функциональными
подразделениями. Информация контроля результатов применения механизмов
ОИБ анализируется службой ИБ.
Рассмотренная связь задает контекст высокого уровня, позволяющий в
первую
очередь
позиционировать
управленческие,
информационные,
материальные и ресурсные потоки в рамках взаимоотношения деятельности по
ОИБ (как вспомогательной) с основной и другими бизнес-процессами в рамках
организации.
Как показывает опыт осуществления деятельности по ОИБ в организации,
ее успешность зависит от ряда факторов :
- утвержденная и соблюдаемая ПолИБ, учитывающая цели бизнеса
организации;
27
- определенные методы, структура реализации, поддерживающие в рабочем
состоянии деятельность организации, которая соответствует ее общей культуре;
- видимая поддержка и обязательства всех уровней руководства;
- правильное понимание требований ПолИБ, оценки и управления рисками
ИБ;
- результативное информирование всех сотрудников и заинтересованных
сторон о деятельности по ОИБ, руководящих принципах ПолИБ и стандартах в
области ИБ;
- финансирование деятельности по ОИБ;
- обеспечение надлежащей осведомленности, подготовки и образования в
области ИБ сотрудников организации;
- создание результативных процессов управления инцидентами ИБ;
- внедрение системы измерения, которая позволяет оценить деятельность
по ОИБ и выработать предложения по ее улучшению.
Следует сделать два важных замечания, касающихся терминологии. Вопервых, более правильным представляется использование словосочетания
«управление ОИБ», а не просто «управление ИБ», поскольку управлять
состоянием защищенности (из непосредственного определения ИБ) можно, лишь
осуществляя
деятельность
по
ОИБ,
которая
реализуется
посредством
соответствующих процессов по обеспечению такого состояния. Но для краткости
далее будет использоваться общепринятый термин «управление ИБ», т. е.
управление ОИБ.
Во-вторых, поскольку в международных стандартах по ИТ и ИБ при их
гармонизации в российских документах при переводе английского слова
«management» встречаются оба термина – «управление» и «менеджмент»,
отдается предпочтение первому, т. е. управлению ИБ, как наиболее привычному
для российских специалистов, особенно относящихся к управленческому
персоналу.
В настоящее
время,
к сожалению,
не
существует общепринятого
определения управления ИБ. Этот термин чрезвычайно моден и используется
28
многими:
производителями
и
продавцами
средств
защиты,
системными
интеграторами, специалистами, представителями средств массовой информации
(СМИ) и т. д. Например, первые две категории понимают под этим термином
техническую
составляющую
процесса
управления
с
единой
консоли
распределенной системой агентов, решающих в сетевой среде различные задачи
по ОИБ: обнаружение вторжений и вирусов, управление настройками систем
защиты и т. д. Журналисты называют системами управления ИБ любое ПО, что
как-то и чем-то управляет. Многие пользователи понимают под управлением ИБ
только управление программными или аппаратными СЗИ. Все эти взгляды
слишком узконаправленны и ограничены.
Таким образом, можно определить управление ИБ организации как
циклический процесс, состоящий из совокупности целенаправленных действий,
осуществляемых для достижения заявленных бизнес-целей. Управление ИБ
организации – это не разовое мероприятие. Его следует рассматривать как
непрерывную
деятельность
по
постоянному
поддержанию
требуемого
организацией уровня ИБ, так как правильно управляемая ИБ – инструмент
успешного ведения бизнеса.
По итогам первой главы можно сделать вывод, что обеспечение
безопасности информации — непрерывный процесс, который заключается в
контроле защищенности, выявлении узких мест в системе защиты, обосновании и
реализации наиболее рациональных путей совершенствования и развития
системы защиты:
—безопасность информации в системе обработки данных может быть
обеспечена лишь при комплексном использовании всего арсенала имеющихся
средств защиты;:
— никакая система защиты не обеспечит безопасности информации без
надлежащей подготовки пользователей и соблюдения ими всех правил защиты;
— никакую систему защиты нельзя считать абсолютно надежной, т. к.
всегда может найтись злоумышленник, который найдет лазейку для доступа к
информации.
29
2. АНАЛИЗ ДЕЯТЕЛЬНОСТИ ЗАО «ПРОТОН-ИМПУЛЬС»
2.1 Общие сведения об организации
ЗАО «Протон-Импульс» образовано в 1995 году, в результате выделения
его как дочернего предприятия из состава ОАО «Протон» , входившего ранее в
группу предприятий Министерства электронной промышленности. В своем
составе ЗАО «Протон-Импульс» имеет два отдела разработок новых изделий, цех
производства печатных плат, цех литья пластмасс, два радиомонтажных цеха.
Главная
цель деятельности
компании
–
обеспечение
покупателей
современной и надежной продукцией. Достижению компанией этой цели
способствуют
следующие
оптимизированная
факторы:
организационная
высококачественных
сырья
и
квалифицированный
структура,
материалов,
персонал,
использование
современный
только
комплекс
производственного и испытательного оборудования. В стратегии развития
предприятия
главными
приоритетами
расширение
номенклатуры,
являются:
выпускаемых
изделий
активное
на
базе
обновление
и
собственных
разработок, качество выпускаемой продукции, активное развитие потенциала
персонала предприятия.
Основанная в 1996 году и начавшая производство на арендованных
площадях завода ОАО «Протон», компания уже через несколько месяцев начала
первые поставки собственной продукции потребителям. Сегодня «ПротонИмпульс» располагает собственной развитой инфраструктурой производства,
позволяющей обеспечить полный технологический цикл изготовления продукции.
Производство компании оснащено современными технологическими линиями и
измерительным оборудованием, имеет собственные производственные площади, в
том
числе
производственные
площади
для
«чистых
технологий»,
соответствующие требованиям, предъявляемым к изделиям электронной техники
и микроэлектроники.
Головной
офис
и
основные
производственные
площади
компании
расположены в городе Орел, который находится в 360 км к югу от Москвы. В
30
2010 году в Москве был создан Научно-технический центр ЗАО «ПротонИмпульс». Коллектив центра решает задачи по разработке принципиально новых
приборов, остро востребованных современной промышленностью.
С 1996 года предприятие ЗАО «Протон-Импульс» в соответствии с
распределением направлений технического развития внутри холдинга "Протон"
специализируется на производстве: комплектующих для нефтегазовой отрасли,
машиностроение и приборостроение, систем ограничения доступа, переговорные
устройства и лифтовое оборудование.
Предприятие
производстве
«Протон-Импульс»
электронных
специализируется
компонентов
и
на
разработке
устройств:
и
твердотельных
оптоэлектронных реле, светодиодных индикаторных и осветительных ламп,
входных и выходных модулей устройств связи с объектами, силовых модулей,
таймеров и блоков управления для холодильного оборудования, автоматических
устройств
отключения
нагревательных
приборов
от
электросети,
производству
излучателей
энергосберегающих светодиодных светильников.
Применительно
полупроводниковых,
к
а
разработке
также
и
к разработке
микросборок,
В 2010 году
предприятием получен Сертификат, удостоверяющий соответствие системы
менеджмента качества требованиям ГОСТ РВ 15.002-2003(, РД В 319.015-2006 и
наличие условий, обеспечивающих выполнение государственного оборонного
заказа в системе "Военэлектронсерт".
При необходимости технические специалисты проектно-расчетной группы
АО «Протон» готовы выехать на объект заказчика для проведения светового
аудита.
Осуществляется
осветительного
сбор
оборудования
данных
для
о типе
подготовки
и количестве
имеющегося
технико-экономического
обоснования с указанием срока окупаемости данного проекта, проведение
замеров уровня освещенности с целью выявления существующего уровня
освещения и учета пожеланий заказчика, предоставление светотехнических
расчетов в программе «DIALux».
31
В течение всего предыдущего пятилетия развитие предприятия отличалось
высокими
темпами.
Загрузка
производственных мощностей
по
силовым
трансформаторам, которые занимают в общем объёме производства более 70% и
являются наиболее востребованной на рынке продукцией, с 2007г. составляет
100%.
Для
обеспечения
возможности
дальнейшего
увеличения
объемов
производства, улучшения качества и конкурентоспособности продукции по
предприятию разработан план технического перевооружения «Расширение
производственных мощностей по выпуску силовых трансформаторов на 20152017 г.». На финансирование этой программы за два года планируется направить
12 млн. руб. инвестиций за счёт собственных средств предприятия, в том числе в
2016 году — 6,27 млн. руб. Инвестиции, предусмотренные к освоению, будут
направлены
на
технологического
приобретение
оборудования,
и
внедрение
используемого
нового
прогрессивного
ведущими
мировыми
производителями в электротехнической промышленности, замену изношенного
металлообрабатывающего оборудования на высокопроизводительные комплексы
с числовым программным управлением, что обеспечит к концу 2017 года
расшивку ряда «узких мест» и возможность наращивания объемов выпуска
силовых трансформаторов.
Основные
потребители
топливно-энергетического
изделий
комплекса,
—
предприятия
предприятия
машиностроения,
черной
и
цветной
металлургии, железнодорожного транспорта и др. Официальные дилеры ЗАО
"Протон-Импульс" — фирмы, специализирующиеся на продажах изделий
электронной техники. Среди них фирмы "Дискон" (Донецк, Украина), "Тамарин"
(Санкт-Петербург), "ЭТМ" (Санкт-Петербург) и другие. Доля выпускаемой
продукции основных импортеров представлена на рисунке 2.1.
32
17%
23%
ООО ТД "Дискон"
ЗАО "ЭТМ"
29%
ОООТД "Тамарин"
31%
Другие
Рисунок 2.1 - Доля выпускаемой продукции основных импортеров.
ЗАО "Протон-Импульс" поставляет свои изделия на рынки России и страны
ближнего зарубежья: В Белоруссию, Украину, Узбекистан, Таджикистан.
Организационную структуру ЗАО «Протон-Импульс» изображена на
рисунке 2.2.Структура управления организацией по виду относится к линейнофункциональной структуре. Линейно-функциональная структура – структура, при
которой
специалисты
одного
профиля
объединяются
в
структурные
подразделения и принимают решения, обязательные для производственных
подразделений.
Эффективность
организационной
структуры
зависит
от
соответствия ее системе целей предприятия, принятым стратегиям и механизму
распределения минимальных, но необходимых ресурсов. В этом смысле анализ
оргструктуры управления носит перспективный характер и является важнейшим
информационно-образующим аспектом системы в целом.
Генеральный директор
Инженер по
мобилизационной работе
Главный
бухгалтер
Исполнительный директор
ФЭО
Директор по
производству
Отдел
закупок
Бухгалтерия
Цех 15
ОКТБ«Э»
Отдел
охраны
труда
Отдел
качества
СГИ
Бизнес-единица «Индикатор»
Омар
«Индикатор»
Цех 36
Директор по
персоналу
ОПП
Бизнес-единица «Энергия»
Омар
«Энергия»
Директор по
качеству и
охране труда
Технический
директор
ОКТБ«И»
Отдел
компьютеризации
Цех 10
Транспортный
цех
Рисунок 2.2. - Организационная структура управления ЗАО «Протон-Импульс» с 01.05.2016г.
Отдел кадров
Отдел труда и
заработной
платы
34
В структуру данного подразделения входят следующие отделы:
аппарат управления, служащие, прочие рабочие. Для каждого подразделения
разработано положение о подразделении. Положение о подразделении
представляет
собой
документ,
регламентирующий
деятельность
структурного подразделения: его задачи, права, функции, ответственность, а
также порядок взаимодействия с другими подразделениями. Таким образом,
техническим информационным обеспечением преимущественно оснащен
аппарат управления. Так как туда входит руководство подразделения,
бухгалтерия, инженеры и др. Так или иначе в нынешнее время предприятие
не может существовать без технического оснащения, а особенно, такое как
ЗАО «Протон-Импульс».
ЗАО
«Протон-Импульс»
имеет
организационно-регламентирующих
определенную
документов,
которая
систему
закладывает
основу системы работы на предприятии. Основными структурообразующими
документами являются штатное расписание, положения о подразделениях и
должностные инструкции. Однако эта система не может обеспечить
эффективного
соответствующих
определяющих
функционирования
нормативных
цели,
задачи
организации
и
без
разработки
регламентирующих
документов,
каждого
структурного
блока,
связи,
формирующие рациональные информационные потоки, соответствие между
ответственностью и полномочиями руководителей в пределах выделенных
ресурсов.
2.2 Анализ финансово-хозяйственной деятельности
Важная роль в существовании предприятия отводится анализу
хозяйственной деятельности предприятий. С его помощью вырабатываются
стратегия и тактика развития предприятия, обосновываются планы и
управленческие решения, осуществляется контроль над их выполнением,
выявляются резервы повышения эффективности производства, оцениваются
результаты деятельности предприятия, его подразделений и работников. В
35
настоящее время анализ хозяйственной деятельности занимает важное место
среди экономических наук.
Анализ
хозяйственной
деятельности
–
это
функциональная
(управленческая) конкретно-экономическая наука .
Анализ хозяйственной деятельности помогает:
- дать правильную оценку состояния объекта и показать, насколько
оно отличается от требуемого;
- выявить возможности и пути перевода объекта из фактического
состояния в требуемое; - определить величину и характер резервов роста
эффективности хозяйствования;
- подготовить материалы для выбора оптимальных решений по
оперативному регулированию производства и планированию дальнейшей
хозяйственной деятельности с учетом выявленных резервов .
Объем товарной продукции собственного производства в 2017 году
составил 229.5млн. руб., что на 40,1 млн. руб. больше выпуска 2016 года
или на 21,2%. В т.ч. производство «Энергия» произвело продукции на сумму
67, 3 млн. руб. (без заказов АО «Протон»), это на 11,8 млн. руб. больше, чем
в 2016 году, темп роста составил 121,3% (темп роста 2016 к 2015 – 111,4%);
производство «Индикатор» выпустило товарной продукции на сумму 149
млн. руб. (без заказов АО «Протон»), что больше выпуска 2016 года на 19,8
млн. руб., это составило 115,3% (темп роста 2016 к 2015 – 126,4%).
Общий объем выпуска по предприятию составил 243 млн. руб., темп
изменения – 123,5% (темп изменения 2016 к 2015 – 126%).
Объем реализации продукции собственного производства составил в
2017 году 231,6 млн. руб., что на 37 млн. руб. больше этого показателя в 2016
году, темп изменения - 119% (темп роста 2016 г. к 2015 г – 117,4%)., в т. ч. за
счет роста цен - на 2% или на 3,9 млн. руб., за счет физического объема – на
17% или на 33,1 млн. руб. В целом по предприятию объем реализации
увеличился по сравнению с 2016 годом на 42,8 млн. руб. или на 20,9%, и
составил 247 млн. руб., темп изменения 120,9%., в т.ч. за 2017 год было
36
реализовано АО «Протон» продукции на сумму 12,5 млн. руб. (в 2016 – 7,4
млн. руб.), «Электротекс ИН» - на 1,0 млн. руб. Б/е «Энергия» реализовала в
2017 году продукции собственного производства на сумму 73, 8 млн. руб.,
что на 15, 7 млн. руб. больше, чем в 2016 или на 27% (темп изменения 2016 к
2015 – 104,7%). В том числе за счет роста цен – на
2,2 млн. руб. или на 4%,
за счет роста физического объема – на 13,5 млн. руб. или на 23%. По
производству «Индикатор» объем реализованной продукции собственного
производства в 2017 году увеличился на 14, 4 млн. руб. или на 110,9% (темп
роста 2016 к 2015 – 124,1%) и составил 146,2 млн. руб., в т. ч. рост
реализации за счет роста цен составил 265,4 тыс. руб., за счет роста
физического объема – 14,1 млн. руб. Отрицательное влияние на динамику
объема реализации по производству «Индикатор» оказало снижение
физического объема реализации по изделиям с приемкой «5» на 3%, за счет
чего было недополучено 2,1 млн. руб., что было компенсировано ростом цен
на военную продукцию на 5% или 2, 8 млн. руб. выручки. Продукция с
приемкой «5» составила в общем объеме реализации производства
«Индикатор» - 44%. Рост физического объема изделий собственного
производства на 49% увеличил объем реализации на 14, 3 млн. руб., но
снижение цен на 5% повлекло уменьшение выручки на 2 млн. руб.
В процессе анализа в первую очередь следует обратить внимание на
динамику активов организации, а так же изменение в их составе, структуре и
дать им соответствующую оценку. Для этого мы сделаем анализ имущества и
его динамику на основе показателей бухгалтерского баланса ЗАО «ПротонИмпульс».Анализ позволит провести сравнение каждой позиции баланса на
сегодняшний момент с предыдущим периодом (Таьлица.2.1.).
Для более детальной оценки деятельности предприятия проведем
анализ финансового состояния ЗАО "Протон-ИМпульс".
37
Таблица 2.1. - Структура активов предприятия (тыс. руб.)
Показатель
Абсолютное
отклонение
201620172015
2015
Темп прироста %
2015 г.
2016 г.
2017 г.
I. Внеоборотные активы
Основные средства
8 569
8 211
15 136
-358
6 567
-4,2
76,6
Отложенные налоговые
активы
276
276
276
0
0
0
0
8 845
8 487
15 412
-358
6 567
-4
74,2
16 068
22 077
36 122
6 009
20 054
37,4
124,8
32
24
0
-8
-32
-25
0
5 549
4 794
10 319
-755
4 770
-13,6
86,0
0
3 500
0
3 500
0
0
0
919
1 909
1 854
990
935
107,7
101,7
22 568
31 413
32 304
40 791
48 295
63 707
9 736
9 378
25 727
32 294
43,1
29,9
114,0
202,8
2016/
2015
2017/
2015
АКТИВ
Итоги по разделу I.
II. Оборотные активы
Запасы
Налог на добавленную
стоимость по
приобретенным
ценностям
Дебиторская
задолжность
Финансовые вложения (
за исключением
денежных эквивалентов)
Денежные спедства и
денежные эквиваленты
Итоги по разделу II.
Баланс
Анализ активов ЗАО «Протон-Импульс» показывает, что абсолютная
их сумма за 2017 год возросла на 6 925тыс. рублей, или на 81,69% по
отношению к 2016 год Отсюда можно сделать вывод, что организация
повышает свой экономический потенциал. С точки зрения структуры активов
наблюдаемое увеличение произошло в основном за счет роста внеоборотных
активов.
Увеличение внеоборотных активов произошло за счет увеличения
основных средств организации на 6 925 тыс. рублей к 2017 году по
отношению к 2016, что исправило ситуацию сложившуюся в 2016 году,
Увеличение внеоборотных активов произошло за счет увеличения
основных средств организации на 6 925 тыс. рублей к 2017 году по
отношению к 2016, что исправило ситуацию сложившуюся в 2016 году,
когда произошло снижение на 4,2% по сравнению с 2015 годом. В 2017 году
38
было введено в эксплуатацию основных средств на сумму 10,4 млн. руб. (из
них за счет собственных средств на сумму 2,0 млн. руб.), что на 7,7 млн. руб.
больше, чем в 2016. В том числе введены в эксплуатацию: Линейная печь
для пайки оплавлением припойных паст для цеха 15 – 2,7 млн. руб.;
Автоматизированная установка ультразвуковой сварки алюм. проволоки
внахлест УМС-21У для цеха 15 – 2,7 млн. руб.; Полуавтоматический
трафаретный принтер для
цеха 15 – 859,5 тыс. руб.; Испытательная
термокамера КТХ-300 цех 36 – 790 тыс. руб.; Испытательная камера КТХ150 цех 15 – 595 тыс. руб.; Сепаратор для разделения LED линеек MDS-700
цех 36 – 347,3 тыс. руб.; Кондиционеры для ц. 15 – 552,1 тыс. руб.
Следует отметить, что за рассматриваемый период вся дебиторская
задолженность ЗАО "Протон-ИМпульс" была краткосрочной и платежи по
ней ожидались в течение 12 месяцев после отчетной даты. Наблюдается ее
рост к 2017 году на 5 525 тыс. руб., несмотря на то, что данный показатель
снизился к 2016 году
на 755 тыс. руб. или на 13,6%. Так же заметно
происходит непрерывное увеличение запасов на 6 009 тыс. руб. к 2016 году,
что в процентах составило 37,4%, и увеличение к 2017 году на 14 045 тыс.
руб., что в процентах составило 63,3%.
Денежные средства в рассматриваемом периоде не так стабильны. К
2016 году данный показатель составил 1909 тыс. руб., по отношению к 2015
году возросли на 107,7%. А к 2017 году показатель снизился на 2,9% и
составил 1 854 тыс. руб.
Второй
частью
проведения
анализа
финансового
состояния
организации является оценка источников образования средств организации.
Для проведения оценки источников используют данные пассивов баланса
(Таб. 2.2.).
39
Таблица 2.2.- Структура пассивов предприятия (тыс. руб)
Показатель
2015 г.
2016 г.
2017
г.
Абсолютное
отклонение
201620172015
2015
Темп прироста %
2016/2015 2017/2015
ПАССИВ
III. Капитал и резервы
Уставный капитал
50
50
50
0
0
0
0
Добавочный капитал
1
1
1
0
0
0
0
-19763
-17623
-17618
2140
2145
-10,83
-10,85
19712
17572
17567
-2140
-2145
-10,86
-10,88
IV. Долгосрочные
обязательства
Заемные средства
3700
1940
13360
-1760
9660
-47,57
261,08
Итого по разделу IV.
3700
1940
13360
-1760
9660
-47,57
261,08
V Краткосрочные
обязательства
Кредиторская
задолжность
47425
56423
67914
8998
20489
18,97
43,20
Итого по разделу V
Баланс
47425
31413
56423
40791
67914
63707
8998
9378
20489
32294
18,97
29,85
43,20
102,80
Нераспределенная
прибыль
итого по разделу III
По результатам проведения анализа третьего раздела баланса «Капитал
и резервы» выявлено снижение капитала и резервов в 2017 году по
сравнению с 2016 годом на 5 тыс. руб., что составляет 0,02%, и значительное
снижение в 2016 году на 2 140 тыс. руб. по сравнению с 2015 годом .
Преимущественный спад обеспечило снижение нераспределенной прибыли
на 0,3% или на 54 тыс. руб. в 2017 году, и снижение на 10,8% или на 2 140
ты. руб.в 2016 году .
При анализе четвертого и пятого разделов баланса выявлено
увеличение кредитов и займов.
Таким образом, в 2017 году по сравнению с 2016 наблюдается
изменение структуры активов предприятия. К 2017 году увеличивается
удельный вес внеоборотных активов в структуре актива баланса снижается
доля оборотных активов в структуре актива баланса. Также существенному
увеличению подверглась доля собственного капитала в структуре пассива
40
баланса. Структура активов организации в разрезе основных групп
представлена ниже на диаграмме (рис. 2.1):
3%
Прочие оборотные активы
16%
Запасы
24%
57%
Внеоборотные активы
Дебиторская задолжность
Рисунок 2.1. - Структура активов организации
Немаловажными при анализе деятельности предприятия являются
также показатели ликвидности. Ликвидность– легкость реализации, продажи,
превращения материальных или иных ценностей в денежные средства для
покрытия
текущих
финансовых
обязательств.
Анализ
ликвидности
предприятия– анализ возможности для предприятия покрыть все его
финансовые обязательства. Коэффициенты ликвидности – финансовые
показатели, рассчитываемые на основании отчётности предприятия для
определения способности компании погашать текущую задолженность за
счёт имеющихся текущих (оборотных) активов. Смысл этих показателей
состоит в сравнении величины текущих задолженностей предприятия и его
оборотных
средств,
которые
должны
обеспечить
погашение
этих
задолженностей. Показатели ликвидности ЗАО «Протон-Импульс» отражены
в таблице 2.3.
41
Таблица 2.3. - Показатели ликвидности предприятия
Показатель
1. Коэффициент
абсолютной
ликвидности
2. Коэффициент
быстрой ликвидности
3. Коэффициент
текущей ликвидности
4. Коэффициент
маневренности
функционального
капитала
Фактическое
значение
2015 2016 2017
Абсолютное
отклонение
2016- 20172015
2015
Темп роста, %
2016/
2015
2017/
2015
0,082 0,186
0,075
0,104
-0,007
226,8
91,5
0,145 0,214
0,133
0,069
-0,012
147,6
91,7
0,711 0,729
0,611
0,018
-0,1
102,5
85,9
0,116 0,255
0,123
0,139
0,007
153,6
106
Из таблицы видно, что наибольшие значения по всем показателям
наблюдаются в 2016 году. Предприятие нарастило свои возможности по
погашению
своих
задолженностей
в
краткосрочной
перспективе.
Следовательно, можно сделать вывод, что предприятие в состоянии своими
наиболее ликвидными активами покрыть задолженность в краткие сроки.
Коэффициент
абсолютной
ликвидности
характеризует
мгновенную
платежеспособность предприятия, показывая, какую часть краткосрочной
задолженности может покрыть организация за счет имеющихся денежных
средств и краткосрочных финансовых вложений. Что касается коэффициента
быстрой ликвидности, то предприятие в состоянии рассчитаться по большей
части своих обязательств, однако, тенденция снижения этого коэффициента в
2017 году по сравнению с 2016 должна заставить руководство предприятия
задуматься о пересмотре своих планов на ближайшие несколько лет,
поскольку в противном случае оно может потерять свою инвестиционную
привлекательность. Коэффициент текущей ликвидности показывает, какую
часть текущих (краткосрочных) обязательств можно погасить, мобилизовав
все оборотные активы. В целом значение данного коэффициента означает,
42
что у предприятия могут возникнуть трудности с платёжеспособностью по
своим краткосрочным обязательствам.
В процессе анализа необходимо изучить состав прибыли, ее структуру,
динамику и выполнение плана за отчетный год (табл.2.4.)
Таблица 2.4.- Структура отчета о финансовых результатах (тыс. руб)
Показатель
Выручка
Себестоимость продаж
Валовая прибыль
(убыток)
Комерческие расходы
Управленчиские
расходы
Прибыль (убыток)
от продаж
Проценты к
получению
Проценты к уплате
Прочие доходы
Прочие расходы
Чистая прибыль
(убыток)
Абсолютное
отклонение
2015 г. 2016 г. 2017 г.
201620172015
2015
17621 18539 21849
9176
42279
5
1
4
10372 11123 13440
7510
30681
6
6
7
Темп прироста %
2016/
2015
2017/
2015
5,2
24,0
7,2
29,6
72489
74155
84087
1666
11598
2,3
16,0
9
0
13
-9
4
0
44,4
70162
69977
80145
-185
9983
-0,3
14,2
2304
4156
3942
1852
1638
80,4
71,1
7
0
10
-7
3
0
42,9
352
0
1957
367
65
1723
392
3
1231
15
65
-234
40
3
-726
4,3
0
-12,0
11,4
0
-37,1
1026
2140
1305
1114
279
108,6
27,2
Проанализировав данную таблицу за 2015-2017 гг. можно сделать
следующие выводы. Выручка от реализации в 2015г. составляла 176 215
тысяч рублей, к 2016 году она увеличилась на 9 176 тысяч рублей, что в
процентном соотношении составляет 5,21%. А к 2017 году выручка от
реализации возросла на 33 101 тысяч рублей и составила 218 494 тысяч
рублей.
Себестоимость продаж, как видно по таблице продолжает стабильно
увеличиваться с 2015 года, когда она была ровна 103 317 тысяч рублей до
185 391 тысяч рублей в 2016 г., а уже к 2017 г. показатель составил 218 494
тысяч рублей. Валовая прибыль в 2015 году составляла 72 489 тысяч рублей,
43
к 2016 году она возросла на 2,3% ,то есть на 1666 рублей и составила 74 155
тысяч рублей, и уже к 2017 году она значительно возросла на 13,2%
и
составила 84087 тысяч рублей.
Прибыль (убыток) от продаж в 2015 г. была ровна 2 304 тысяч рублей,
к 2016г. возросла на
1852 тысячи рублей, в процентном выражении на
80,3%. Дальше произошло снижение и в 2017 г., где прибыль снизилась на
214 рублей и составила в размере 3 942 тысячи рублей, то есть на 5,2%
меньше, чем было в 2016 г. Снижение прибыли от продаж связано с
нестабильными показателями коммерческих расходов.
Чистая прибыль организации в 2015 году составила 6 тысяч рублей, но
к 2016 году прибыль значительно возросла до 2140 тысяч рублей. Чистая
прибыль к 2017 году сократилась на 39,1%.
Проанализируем основные экономические показатели предприятия (
табл.2.5).
Можно сделать вывод, что в 2017 году по сравнению с 2016
незначительное снижение показателя фондоотдачии - на 3,38 единицы. В
2016 году по сравнению с 2015 т увеличиваются почти все показатели, за
исключением управленческих расходов (абсолютное отклонение равно -185
тыс. руб.) и фондоотдачи (снизился на 0,45 единицы). В 2016 году по
отношению в 2017 наибольшие рост отмечаются по показателю выручка от
реализации продукции – 17,86 %. Что касается 2017 года в сравнении с 2015,
то значительный рост наблюдается по большинству показателей: 49,37 % среднегодовая стоимость основных фондов, 16 % - валовая прибыль, 14,23 %
- управленческие расходы. Стоит уделить особе внимание стремительному
увеличению роста управленческих расходов, что говорит о повышении
значимости процессов управления организацией в целом, а также управления
персоналом
в
частности.
Отмечается
положительная
динамика
производительности труда: в 2016 г. показатели выросли на 9,13, а к 2017 на
17,42 %, что свидетельствует об увеличении интенсивности труда на
предприятии за последние 2 года.
44
Таблица 2.5. - Показатели финансово-хозяйственной деятельности
Показатель
1. Среднегодовая
стоимость основных
фондов
2015 г.
2016 г.
2017 г.
Абсолютное
отклонение
201620172015
2015
Темп прироста %
2016/
2017/
2015
2015
8569
8211
15 136
-358,0
6567,0
-4,2
176,6
2. Себестоимость
продаж, тыс. руб
103726
111236
134407
7510,0
30681,0
7,2
129,6
3. Выручка от
реализации продукции,
тыс. руб.
176215
185391
218494
9176,0
42279,0
5,2
124,0
4. Валовая прибыль,
тыс. руб.
72489
74155
84087
1666,0
11598,0
2,3
116,0
5. Управленческие
расходы, тыс. руб.
70162
69977
80145
-185,0
9983,0
-0,3
114,2
6. Чистая прибыль,
тыс. руб.
1026
2140
1305
1114,0
279,0
108,6
127,2
0,58
1,15
0,60
0,6
0,02
98,3
102,6
30,82
30,64
56,27
-0,2
25,4
-0,6
182,5
20,56
22,58
14,44
2,0
-6,1
9,8
70,2
633,87
691,76
812,25
57,9
178,4
9,1
128,1
278
268
269
-10,0
-9,0
-3,6
-3,2
7.Рентабельность
основной
деятельности, %
8.
Фондовооруженность,
тыс. ру./чел.
9. Фондоотдача,
руб./руб.
10. Производительность
труда, руб
11.Среднесписочная
численность
работников, чел.
Таким образом, можно сделать вывод, что в 2017 году мы наблюдаем
увеличение всех показателей деятельности предприятия ЗАО «ПротонИмпульс». В целом можно отметить, что в 2017 году повысились некоторые
показатели хозяйственной деятельности ЗАО «Протон-Импульс». На это
могло повлиять множество причин, к которым можно отнести: активную
деятельность предприятия, экономическую ситуацию и другое.
45
2.3 Анализ существующей системы защиты информационной безопасности
Иметь эффективную систему защиты информации, которая будет
отвечать всем целям информационной безопасности организации по
обеспечению
доступности,
целостности
и
конфиденциальности
информационных активов, хочет абсолютно любое предприятие. Именно это
и приводит к усовершенствованию системы защиты информации. Перед тем
как переходить к разработке мер по совершенствованию системы защиты
информационной безопасности, проведем анализ существующему комплексу
защиты информационных ресурсов.
Вся деятельность ЗАО «Протон-Импульс» осуществляется в одном
здании, которое имеет ограниченный порядок
доступа. На предприятии
введен пропускной режим. Сотруднику создается индивидуальный пропуск,
позволяющий ему проходить на территории. В случае если в пропуске более
нет необходимости, он подлежит немедленному возвращению.
Для контроля за передвижением рабочих и грузового транспорта, на
предприятии введена система видеонаблюдения. С целью предотвращения
прямых хищений производится: видеофиксация перемещения готовых
изделий, охрана сырья и оборудования, видеоконтроль целостности упаковки
и
обеспечение
полной
комплектации
при
отгрузке.
Мониторинг
в
роботизированных цехах позволяет быстро реагировать на внештатные
ситуации,
сохраняя
тем
самым,
работоспособность
дорогостоящего
оборудования. А так же оградить производственный процесс от различных
действий сотрудников, которые могут привести к аварии опасной для жизни
участников производства.
Организационно-правовая защита информации предполагает наличие
регламентации
процедурами
прав
на
реализации
взаимоотношений
информацию,
прав,
исполнителей
реализации
производственной
на
их,
контроля
за
деятельности
и
нормативно-правовой
основе,
исключающей или существенно затрудняющей неправомерное овладение
46
конфиденциальной информацией и проявление внутренних и внешних угроз.
В организации также имеются следующие основные документы:
-Положен об использовании корпоративной сети организации;
-Политика управления доступом к информационным активам ЗАО
«Протон-Импульс»;
-Положение о режиме коммерческой тайны в ЗАО «Протон-Импульс»;
-Положение об обработке и защите персональных данных работников
ЗАО «Протон-Импульс»;
-Процедура
по
обращению
с
информацией,
составляющей
коммерческую тайну;
-Инструкция о порядке учёта материальных носителей информации с
ограничительными
грифами
«Для
служебного
пользования»,
«Конфиденциально» и «Коммерческая тайна».
Корпоративная локальная вычислительная сеть предприятия ЗАО
«Протон-Импульс» обеспечивает создание общей информационной среды
для обработки и передачи информации и обеспечение функционального
взаимодействия подразделений на основе современных технологий. Данная
корпоративная локальная вычислительная сеть предназначена для:
- предоставления совместного доступа к электронному документу, что
позволяет многим пользователям работать с одним файлом, хранящемся на
центральном файл-сервере;
- передачи файлов, т.е. позволяет быстро копировать файлы любого
размера с одного компьютера на другой без использования переносных
носителей информации;
- запуска прикладных программ с любого компьютера или сервера;
-предоставления возможности нескольким пользователям использовать
копии одной и той же программы;
- одновременного ввода данных в многопользовательские прикладные
программы и базы данных, например в 1С-Предприятие;
47
-
совместного использования принтеров, т.е. позволяет нескольким
пользователям на различных компьютерах одновременно использовать один
или несколько принтеров;
- передачи информации по электронной почте, а именно - рассылка
служебных записок, докладов, сообщений пользователям корпоративной
локальной вычислительной сети;
-централизованного доступа к сети Интернет.
Положению об использовании корпоративной сети организации
устанавливает правила работы сотрудников организации в корпоративной
компьютерной сети, правила работы с компьютерным оборудованием,
описывает порядок взаимодействия подразделений, отделов и работников
организации с отделом компьютеризации.
Отдел
компьютеризации
присваивает
каждому
пользователю
уникальные имя (логин) и пароль для входа в систему. Согласно требованиям
информационной безопасности пароль должен состоять не менее чем из семи
символов английского алфавита верхнего и нижнего регистра, цифр,
символов. Так же проводится
риска
регулярна смена паролей для уменьшения
взлома системы, а, следовательно, потери данных. Категорически
запрещено сообщать кому-либо информацию об имени пользователя и
пароле. Каждый сотрудник работает только под своим именем. Системы
индивидуальных паролей для каждого сотрудника позволяет
ограничить
доступ к технике посторонних лиц.
При
создании
логина
пользователя
автоматически
создается
электронный почтовый ящик. По умолчанию один сотрудник имеет один
почтовый ящик. Для создания дополнительного почтового ящика требуется
заявка от руководителя подразделения в отдел компьютеризации.
Также
отдел
компьютеризации
осуществляет
выдачу
прав
на
подключение компьютера к Интернету. Организация оставляет за собой
право закрыть доступ на некоторые категории сайтов. К ним относятся:
форумы, социальные сети, файлообменный сети, сайты почтовых служб,
48
голосовая и видео связь через Интернет. Если пользователю, для выполнения
своего рабочего задания, необходим доступ к некоторым запрещенным
сайтам, то руководитель его подразделения должен подать служебную
записку на имя начальника отдела компьютеризации.
В организации используется только лицензированное или свободно
распространяемое ( бесплатное) программное обеспечение. Все программы
приобретаются и устанавливаются только отделом компьютеризации.
Самостоятельная установка операционных систем или программ запрещена.
Таким образом, можно сделать вывод, что с точки зрения правовой
защиты информации, объект защищен в соответствии с обрабатываемой
информацией.
В
организации
имеются
нормативные
документы,
регулирующие отношения в сфере обработки, передачи и хранения
конфиденциальной информации и персональных данных, а также по мере
необходимости разрабатываются новые и вносятся поправки в устаревшие
документы в соответствии с современными требованиями. С точки зрения
технической защиты, в целом, объект защищен в соответствии с характером
используемой информации, но необходима установка пропускной системой и
системой видеонаблюдения.
49
3.ПРОЕКТИРОВАНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ
ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ ЗАО «ПРОТОН-ИМПУЛЬС»
3.1 Анализ угроз и уязвимостей информационной системы
Каждый объект в инфраструктуре компании имеет определенный
коэффициент
риска,
поэтому
разработку
концепции
безопасности
предприятия следует начинать именно с всестороннего их анализа.
Результаты всестороннего анализа типов угроз и оценки каждого объекта
являются
основой
для
разработки
и
совершенствования
системы
информационной безопасности.
Для оценки эффективности защиты информации существующих
подсистем на предприятии ЗАО «Протон-Импульс» будет использована
экспертно-табличная методика оценки эффективности отдельных подсистем
и комплексной системы защиты информации в целом.
Будет проведена оценка следующих подсистем СЗИ предприятия:
1. Подсистема организационной защиты информации (ОЗИ);
2. Подсистема правовой защиты информации (ПЗИ);
3. Подсистема компьютерной безопасности (КБ);
4. Подсистема физической защиты информации (ФЗИ);
5. Подсистема инженерно-технической защиты информации (ИТЗИ).
Для
каждой
из
перечисленных
подсистем
будут
определены
целесообразные мероприятия по ЗИ исходя из проставленной оценки
защищенности предприятия на данный момент(табл. 3.1.):
0.0
– информация не защищена;
0.2 – низкая уровень защиты информации;
0.3 – средний уровень защиты информации;
0.5 – высокий уровень защиты информации.
По результатам табл. * было построено обобщённое графическое
представление полученных результатов эффективности СЗИ предприятия
(рис. 3.1.)
50
Таблица 3.1 - Оценка защищенности предприятия
Подсистемы СЗИ и меры по ЗИ
Уровень защиты
информации
0.0
0.2
0.3
0.5
1. ОЗИ
Охрана персонала
Охрана информационных объектов
Режим допуска на объект
Организация допуска к конфиденциальной информации
+
+
+
+
Подбор кадров
Мониторинг сотрудников
Ограниченный доступ в интернет
2.ПЗИ
Наличие разделов по ИБ в уставе предприятия
Наличие мер по ЗИ в коллективном договоре
Регламентация мер по ЗИ во внутреннем договоре
Регламентация мер по ЗИ в функциональных обязанностях
сотрудников
+
+
+
Наличие перечня сведений, подлежащих защите, а также
список сотрудников имеющих допуск к той или иной
конфиденциальной информации
3. КБ
Антивирусное обеспечение на автоматизированных рабочих
местах (АРМ)
+
Система защиты от НСД на АРМ.
Система защиты от НСД в ЛВС, система идентификации, и
аутентификации пользователей
4. ИТЗИ
Защита от утечки информации по телефонному каналу
5. ФЗИ
Наличие наружных железных решёток на окнах
Система контроля допуска в отделы и цеха
+
+
+
+
+
+
+
+
+
+
Таким образом, из приведенных выше таблицы и графика видно, что в
совершенствовании нуждаются следующие подсистемы:
1)
подсистема организационной защиты информации (ОЗИ);
2)
подсистема компьютерной безопасности (КБ);
3)
подсистема физической защиты информации (ФЗИ).
51
0.5
0.4
0.3
0.2
0.1
0.0
ОЗИ
ПЗИ
КБ
ИТЗИ
ФЗИ
Рисунок 3.1. - Результаты оценки эффективности предприятия
При рассмотрении понятия «модель угроз» следует учесть, что каждая
составляющая корпоративной сети имеет определенный коэффициент риска,
поэтому в первую очередь следует выделить ряд возможных угроз по
отношению к ЛВС предприятия. Одним из немаловажных факторов является
особенность различных типов угроз для каждого ключевого элемента ИТинфраструктуры. Эти аспекты напрямую соотносятся с факторами оценки
объектов и позволяют получить информацию для последующих действий по
мерам защиты.
Можно выделить основные виды угроз в КВС, данные угрозы являются
наиболее
распространенными:
Повышение
привилегий
—
получение
системных привилегий через атаку с переполнением буфера, незаконное
получение
административных прав.
Фальсификация
—
модификация
данных, передаваемых по сети, модификация файлов. Имитация — подделка
электронных сообщений, подделка ответных пакетов при аутентификации.
Раскрытие информации — несанкционированный доступ или незаконная
публикация
конфиденциальной
информации.
Отречение
—
удаление
критичного файла или совершение покупки с последующим отказом
52
признавать свои действия. Отказ в обслуживании — загрузка сетевого
ресурса большим количеством поддельных пакетов.
Рассмотрим понятие «угрозы». В сфере информационной безопасности
угроза представляет собой совокупность условий и факторов, создающих
опасность
нарушения
информационной
безопасности.
Под
угрозой
понимается потенциально возможное событие, действие (воздействие),
процесс или явление, которые могут привести к нанесению ущерба чьимлибо интересам. Под угрозой интересам субъектов информационных
отношений понимают потенциально возможное событие, процесс или
явление которое посредством воздействия на информацию или другие
компоненты информационной системы может прямо или косвенно привести
к нанесению ущерба интересам данных субъектов. Следовательно, можно
сделать вывод что, угрозой информационной безопасности в корпоративной
сети является нарушение свойств информации и возможность нанесения
вреда ресурсам.
Рассмотрим свойства информации:
– конфиденциальность – свойство информации, которое заключается в
том, что информация доступна определенному кругу лиц, в КВС
пользователь должен быть авторизован и иметь право доступа;
– доступность – свойство ресурса системы, которое заключается в том,
что пользователь и/или процесс, имеющие соответствующие полномочия,
используют ресурс соответственно правилам, установленным политикой
безопасности;
– целостность - свойство информации, которое заключается в том, что
информация,
предоставляемая
пользователю,
не
может
быть
модифицирована неавторизованным пользователем и/или процессом;
– аутентичность – свойство информации, заключающееся в том, что
источником информации является именно то лицо, которое заявлено как ее
автор; (данное свойство называется фальсификацией);
53
– наблюдаемость – свойство ресурса, системы, которое позволяет
фиксировать деятельность пользователей и процессов, использование
пассивных объектов.
Для
угроз
более детального анализа рассмотрим модель потенциальных
потери
информационных ресурсов
(тбл.
3.2.).
Модель
угроз
представляет перечень возможных угроз и включает в себя все возможные
реализации угроз злоумышленником.
Таблица 3.2. - Модель угроз
Параметр
угрозы
Целостность
Угроза
Кража данных в результате
доступа внешнего нарушителя
из сети Интернет или
внутренней сети
Внедрение злоумышленником
через сеть Интернет или
внутреннюю сеть, в сервер или
компьютер, программы для
Конфиденциальность
передачи ему всей
обрабатываемой и хранимой
там информации
Специальное внесение
изменений в базу данных
Конфиденциальность злоумышленником из внешней
или внутренней сети
Атака злоумышленника с
использованием взломщиков
Конфиденциальность паролей
Доступность
Преднамеренное удаление базы
данных путем доступа из
внешней сети интернет
или локальной сети
Вероятность
Высокая
Высокая
Средняя
Средняя
Средняя
Причина
уязвимости
Отсутствие
межсетевого экрана
Отсутствие системы
обнаружения
вторжения
Отсутствие средств
защиты от
вредоносного
программного
обеспечения
Отсутствие системы
обнаружения
вторжения
Отсутствие
межсетевого экрана
Отсутствие системы
обнаружения
вторжения
Отсутствие
межсетевого экрана
Отсутствие системы
обнаружения
вторжения
Отсутствие
межсетевого экрана
Отсутствие системы
обнаружения
вторжения
В результате анализа существующей системы защиты информации
возможные угрозы в корпоративной сети. Нарушения конфиденциальности,
54
включающие в себя в себя: утрату информации; хищение информации;
незаконное копирование и распространение.
Так же в результате анализа задания были выявлены возможные
способы реализации данных угроз. Угрозы нарушения конфиденциальности
реализуются
следующим
образом: перехват
данных в
сети;
кража
информации, хранящейся на сервере; кража информации, хранящейся на
компьютере-клиенте;
получение
информации
о
конфигурации
сети
(сканирование портов и т.п.). Угрозы нарушения целостности реализуются
при изменении пользовательских данных, внедрении «троянских коней»,
изменении потока сообщений на пути их передачи. Угрозы нарушения
доступности реализуются при получении прав root злоумышленниками,
проведении всевозможных DoS-атак. Угроза нарушения наблюдаемости
реализуется при захвате журнала аудита и изменение в нем информации.
Угроза нарушения аутентичности реализуется таким образом: нарушитель
выдает себя за легального пользователя и происходит фальсификация
данных.
Проанализировав особенностей функционирования организации, а
также получив оценку функциональной эффективности существующей
системы защиты информации на предприятии в предыдущей части работы и
дав оценку каждой возможной угрозе, можно выделить цели и задачи
создаваемого проекта.
Основная цель создаваемого проекта усовершенствовать системы
защиты информации предприятия до требуемого уровня, в соответствии с
принятой стратегией по информационной безопасности.
Основными направлениями совершенствования существующей СЗИ
следует рассматривать:
1)
Усовершенствование подсистемы ОЗИ;
2)
Усовершенствование подсистемы КБ;
3)
Усовершенствование подсистемы ФЗИ.
55
Таким образом, в рамках каждой из подсистем предполагается
реализовать те или иные меры по защиты информации, которые будут
описаны далее. Комплексные меры защиты на всех уровнях КВС
обеспечивают минимальную возможность вторжения в систему. Такая
концепция
уровнях,
информационной безопасности, обеспечивая защиту на всех
подразумевает,
что нарушение
одного уровня
защиты не
скомпрометирует всю систему в целом. Проектирование и построение
каждого уровня безопасности должны предполагать, что любой уровень
может быть нарушен злоумышленником. Кроме того, каждый из уровней
имеет свои специфические и наиболее эффективные методы защиты. Из
перечня доступных и разработанных технологий можно выбрать наиболее
подходящую по техническим и экономическим факторам.
3.2 Меры по совершенствованию комплексной системы защиты информации
на предприятии
Как видно из вышеизложенного, основными угрозами в системе
являются
нарушение
конфиденциальности,
целостности,
доступности,
аутентичности и наблюдаемости. Проанализировав модель угроз, можно
заметить, что злоумышленник обладает нулевым, первым и вторым уровнями
возможностей в системе защиты корпоративной сети рассматриваемой
организации. В данном случае, во избежание вышеперечисленных угроз,
необходимо использовать комплексный подход к обеспечению безопасности.
Для защиты информации в корпоративной сети предложено решение в
виде
системы
предотвращения
вторжений
на
базе
комплексного
использования системы обнаружения вторжений и межсетевого экрана. Это
позволит блокировать сетевые атаки и существенно повысит уровень
безопасности, а также предотвратит проникновение в сеть злоумышленника
нулевого, первого и второго уровня.
Межсетевой экран Netfilter/IPTables в Linux позволяет реализовывать
построение мощных брандмауэров, ничуть не уступающих по своим
56
характеристикам многим коммерческим системам защиты. По сути своей,
Netfilter основывается на фильтрации пакетов, проходящих через соединение,
и в соответствии с набором правил определяет ту или иную реакцию
брандмауэра на эти пакеты. В самых простых случаях Netfilter может
использоваться для того, чтобы сбросить одни пакеты и пропустить другие.
Функциональность Netfilter может расширяться с помощью модулей
ядра. Головной модуль ядра называется iptable_filter, модуль поддержки
утилиты iptables называется ip_tables, вспомогательные модули обычно
имеют префикс "ipt_". Большинство модулей загружается автомагически, но
некоторые всё же приходиться загружать вручную. Рассмотрим схему
работы архитектуры Netfilter/iptables (рис 3.2.).
Рисунок 3.1 - Схема работы архитектуры Netfilter/iptables
Разберем данную схему работы Netfilter/iptables. Сетевые пакеты
поступают в сетевой интерфейс, настроенный на стек TCP/IP и после
57
некоторых простых проверок ядром проходят последовательность цепочек
(chain) (обозначены
пунктиром).
Пакет обязательно проходит
первоначальную цепочку PREROUTING. После цепочки PREROUTING, в
соответствии с таблицей маршрутизации, проверяется кому принадлежит
пакет и, в зависимости от назначения пакета, определяется куда он дальше
попадет. Если пакет не адресован (в TCP пакете поле адрес получателя - не
локальная
система)
локальной
цепочку FORWARD,
направляется
в
если
системе,
то
он
направляется
в
системе,
то
пакет адресован локальной
цепочку INPUT и
после
прохождения INPUT отдается
локальным демонам/процессам. После обработки локальной программой,
при необходимости формируется ответ. Ответный пакет отправляемый
локальной
системой
в
соответствии
с
правилами
маршрутизации
направляется на соответствующий маршрут (хост из локальной сети или
адрес
маршрутизатора)
и
направляется
в
цепочку OUTPUT.
После
цепочки OUTPUT (или FORWARD, если пакет был проходящий) пакет снова
сверяется
с
правилами
маршрутизации
и
отправляется
в
цепочку POSTROUTING.
Каждая цепочка, которую проходит пакет состоит из набора таблиц
(table) (обозначены овалами). Таблицы в разных цепочках имеют одинаковое
наименование, но тем не менее никак между собой не связаны. Например
таблица nat в цепочке PREROUTING никак не связана с таблицей nat в
цепочке POSTROUTING. Каждая таблица состоит из упорядоченного набора
(списка) правил. Каждое
правило содержит условие,
которому
должен
соответствовать проходящий пакет и действия к пакету, подходящему
данному условию.
Проходя
через
проходит каждую таблицу (в
серию цепочек пакет
указанном
в каждой таблице последовательно
на
сверяется
последовательно
иллюстрации
порядке)
и
с каждым правилом (точнее
сказать - с каждым набором условий/критериев в правиле), и если пакет
соответствует какому-либо критерию, то выполняется заданное действие над
58
пакетом. При этом, в каждой таблице (кроме пользовательских) существует
заданная по-умолчанию политика. Данная политика определяет действие над
пакетом, в случае, если пакет не соответствует ни одному из правил в
таблице. Чаще всего - это действие ACCEPT, чтобы принять пакет и передать
в следующую таблицу или DROP - чтобы отбросить пакет. В случае, если
пакет не был отброшен, он завершает свое путешествие по ядру системы и
отправляется в
сетевой интерфейс, которая подходит по правилам
маршрутизации.
Существует два подхода к реализации системы предотвращения
вторжений: системы, которые при выявлении атаки реконфигурируют
активное сетевое оборудование (например, Snort SAM);системы, которые при
выявлении атаки принимают решения, на основе правил, о дальнейшем
действии с пакета (например, Snort inline). Рассмотрим функционирование,
достоинства и недостатки этих систем. Система Snort SAM при выявлении
атаки создает правило,
которое
запрещает прохождение
пакетов с
признаками атаки, и передает его межсетевому экрану. Недостатком такого
подхода является то, что на создание правила, передачу его межсетевому
экрану, реконфигурирование самого межсетевого экрана уходит время, а для
успешной реализации некоторых атак необходимо прохождение только
одного пакета. Система Snort-inline при обнаружении следов атаки в пакете
сама уничтожает пакет, что намного эффективней рассмотренного выше
решения.
SNORT представляет собой систему IDS (Intrusion Detection System) с
открытым
исходным
подозрительную
обнаружения
кодом,
сетевую
вредоносного
которая
активность,
траффика
позволяет
сравнивая
с
обнаружить
встроенные
данными,
любую
правила
проходящими
по
локальной сети организации. Фактически, так работает любой антивирус, но
сходство на этом заканчивается, потому что предназначение у этих систем
совершенно разное, очень важно правильно понимать цели и задачи систем
IDS и не путать их с другими средствами защиты.
59
Система IDS предназначена для того, чтобы блокировать действия
злоумышленника
на
стадии
изучения
вашей
сети:
обнаружить
подозрительную сетевую активность; выявить известные инструменты для
анализа
и
взлома
сетей,
используемые
злоумышленником;
и
при
возможности воспрепятствовать противоправной деятельности.
Обычно эта задача не выполняется другими средствами, например,
брандмауэром, который лишь ставит барьер на входе в локальную сеть.
Антивирус отлавливает известные вирусные сигнатуры, но контроль за
траффиком внутри локальной сети никак не осуществляется, а в большинстве
организаций он вообще отсутствует.
Представим, что одна из рабочих станций в локальной сети заражена
новым, ранее неизвестным трояном. В этом случае, антивирусная программа
не сможет его отследить и обезвредить, так как соответствующая сигнатура
просто отсутствует в ее памяти. В то же время, все трояны нацелены на
выполнение одной задачи – перехватить конфиденциальную информацию и
отправить ее вирусописателю, а отправку конфиденциальной информации
можно просто пресечь с помощью IDS SNORT. Сканирование сетевых
ресурсов с целью выявления слабых мест сети также не пресекается ни
антивирусом, ни брандмауэром, хотя это и важно, так как разведка никогда
не проводится просто так, часто за этим следует нападение.
Технология IDS бесплатна, но относительно сложна в установке и
поддержке. Программа и базовый набор правил обнаружения скачиваются с
сайта snort.org. Если оставить все настройки системы по умолчанию, то мы
получим множество уведомлений о потенциально небезопасных действиях в
локальной сети, даже команда ping будет вызывать соответствующую
тревогу.
Необходимо обучить IDS SNORT реагировать только на определенные
угрозы,
например,
определенные
активность
файлы
сетевого
сканера,
попытку
передать
за пределы локальной сети организации или
несанкционированный доступ к выбранным сетевым ресурсам. IDS SNORT -
60
это гибко настраиваемая система, позволяющая любому пользователю
установить свой набор фильтров, который может реагировать на более
значимые угрозы для данной сети и игнорировать другие, менее актуальные.
Базовый
пакет
дополнительные
правил
обнаружения
сигнатуры
можно
предоставляется
приобрести
у
разработчиком,
других
компаний,
предлагающих системы IDS на базе SNORT, который давно де-факто стал
индустриальным стандартом в области систем обнаружения вторжений.
Администратор SNORT может либо редактировать пакеты сигнатур, по
выбору включая и выключая нужные правила, либо писать собственные
сигнатуры, что потребует определенного навыка и опыта, а также знания
синтаксиса SNORT, который, впрочем, относительно прост.
Не стоит забывать, что абсолютной защиты не существует, вопрос
лишь в правильных настройках системы IDS, которые позволят должным
образом реагировать на существующие и ранее неизвестные угрозы.
Разработчики вредоносного ПО также не останавливаются на достигнутом и
постоянно совершенствуют свои инструменты, поэтому нужно регулярно
обновлять сигнатуры IDS.
В результате объединения IDS Snort и Netfilter/IPTables получается
двухуровневая система защиты: на первом уровне IPTables проверяет
входящий пакет на соответствие своим правилам фильтрации, если пакет
получил разрешение на прохождение через межсетевой экран, его проверяет
система обнаружения вторжений на наличие вредоносного кода в теле
входящего пакета.
Приведенная
выше
система
позволяет
преодолеть
недостаток
межсетевого экрана, такой как невозможность обнаружения атаки и системы
обнаружения вторжения – только обнаружение атаки. В результате
объединения двух систем получается двухуровневая система защиты: на
первом уровне IPTables проверяет входящий пакет на соответствие своим
правилам фильтрации, если пакет получил разрешение на прохождение через
61
межсетевой экран, его проверяет система обнаружения вторжений Snort на
наличие вредоносного кода в теле входящего пакета.
Общий вид корпоративной локальной вычислительной сети ЗАО
«Протон-Импульс» после внедрения системы обнаружения вторжений Snort
и межсетевого экрана Netfilter/IPTables представлена на рис 3.3.
Рисунок 3.3. - Общий вид корпоративной локальной вычислительной
сети ЗАО «Протон-Импульс» после нововведений
Так как на предприятии ЗАО «Протон-Импульс» введен новый
закрытый
вид
производства,
для
сохранения
секрета
технологии
производства рекомендуется усиление режима допуска в цеха №15 и №36 на
основе внедрения электромагнитного замка, открываемого при помощи
индивидуальных пластиковых карт. Наиболее целесообразным выбором
будет Belko BEL 1200S, так как он имеет неплохую силу удержания, имеет
защиту от несанкционированного демонтажа, и цена его вполне приемлемая.
Железную тамбурную дверь с электронным замком следует установить
со стороны лестницы на входе на этаж. Таким образом вход весь этаж будет,
а следовательно в два цеха, будет полностью ограничен.
62
3.3 Обоснование экономической эффективности проекта
Зачастую на практике
в сфере информационной безопасности
используется оценка экономической эффективности, которая основана на
субъективной точке зрения. Парадокс ситуации заключается в том, что IТ- и
ИБ-специалисты прекрасно понимают значение и важность реализации
мероприятий,
направленных
на
повышение
уровня
информационной
безопасности, а для объективной оценки экономического эффекта нет
универсальных методов. Так как экономический эффект представляет собой
превышение стоимостных оценок конечных результатов над совокупными
затратами ресурсов (трудовых, материальных и т.п.) за расчетный период,
стремление получить объективную оценку экономической эффективности
подразделения по защите информации справедливо.
Современная политика бизнеса в области затрат направлена на
достижение
наибольшего
инновационных
проектов
экономического
и
оптимизацию
эффекта
расходов
от
на
внедрения
текущую
деятельность, поэтому оценка экономической эффективности мероприятий,
направленных на
повышение
уровня
информационной
безопасности,
является необходимым условием при проведении соответствующих работ и
изысканий.
Затраты на обеспечение информационной безопасности следует
считать эффективными, если они обеспечивают выполнение требований
нормативных документов и стандартов, принятых государством, а также
концепции информационной безопасности организации.
При разработке проекта важны экономические показатели, которые
наряду с техническими результатами будут определять эффективность
системы. В состав затрат на разработку и исследование включаются затраты
на проведение всех этапов работ. Затраты на ПО и оборудование,
необходимые для реализации проекта, представлены в таблице 3.4.
63
Таблица 3.4 - Затраты на ПО и оборудование
Наименование
Кол-во
Межсетевой экран Netfilter/iptables
1
Система обнаружения вторжений
IDS Snort
1
Железная тамбурная дверь
+Установка
Электромагнитный замок Belko
BEL 1200S
+Установка
Итого
Стоимость
Бесплатно
Лицензия: GNU General Public
License
Бесплатно
Лицензия: GNU General Public
License
1
13 740 ₽
1
14 700 ₽
4
28 440 ₽
Для реализации разработанной системы защиты корпоративной сети
были выбраны: межсетевой экран Netfilter/iptables и система обнаружения
атак IDS Snort. Выбранное ПО является открытым и некоммерческим,
следовательно, не противоречит внутренним нормативно-правовым актам
организации, а так же не входит в перечень запрещенных для использования.
Это стало основанием для выбора данных элементов и внедрения их в
комплексную систему защиты корпоративной сети. Сертификация средств
защиты информации в корпоративных сетях, обеспечивающих защиту
коммерческой информации,
не
являющейся
государственной тайной,
необязательна и является добровольной [9].
Так как на предприятии уже есть программист и системный
администратор, то установкой и настройкой программных продуктов
займутся именно они, что позволит избежать лишних затрат
Оценка экономической эффективности деятельности подразделения
информационной
безопасности
является
сложной
и
одновременно
интересной задачей.
Можно сказать, что рекомендации международных стандартов по
выделению ИБ в самостоятельное подразделение не нашли понимания у
руководства российских компаний, что во многом обусловлено “трудностями
перевода” целей и задач на понятный бизнесу язык. Место информационной
64
безопасности в структуре предприятия чаще всего находится либо в
безопасности,
либо
службе
удается
в
IT.
В
случае
безопасности,
полностью
раскрыть
когда
ИБ
находится
не
потенциал
в
всегда
подразделения,
которое
воспринимается, как внутреннее IT-по-дразделение, сотрудники часто
занимаются несвойственными им функциями. Во втором варианте ИБ
воспринимается как вспомогательный элемент контроля качества ITсервисов, проекты финансируются по остаточному принципу, возможны
внутренние
конфликты.
Наличие
объективной
методики
оценки
эффективности позволит изменить ситуацию, повысить статус подразделения
ИБ внутри компании и сделать его деятельность более понятной для бизнеса.
При анализе целесообразности тех или иных проектов ИБ обычно
используется рискориентированный подход, когда оцениваются величины
актуальных рисков безопасности и стоимость внедряемых контрмер,
снижающих их до приемлемого уровня
С середины 2107 года на предприятии ведется разработка и
производство микросборок твердотельных реле с военной приемкой. Это
уникальная продукция, которую производит только ЗАО «Протон-Импульс».
При средней ежемесячной выручке
18 207 тыс. руб. часть от продаж
уникальной
3
продукции
составляет
893
тыс.
руб.
При
хищении
конкурентами информации от технологии производства микросборок и
чертежей, предприятие может потерять 46 716 тыс. руб. от общей годовой
выручки 218 494 тыс. руб.
Таким образом, можно сделать вывод, что предприятию целесообразно
один раз заплатить за программные и физические меры защиты информации,
чем нести значительные потери от выручки, при возможном хищении
информации конкурентами.
65
ЗАКЛЮЧЕНИЕ
Проблемы, связанные с повышением безопасности информационной
сферы, являются сложными, многоплановыми и взаимосвязанными. Они
требуют постоянного, неослабевающего внимания со стороны государства и
общества. Развитие информационных технологий побуждает к постоянному
приложению совместных усилий по совершенствованию методов и средств,
позволяющих достоверно оценивать угрозы безопасности информационной
сферы и адекватно реагировать на них.
В данной дипломной работк рассмотрены средства и методы
обеспечения информационной безопасности предприятия ЗАО «ПротонИмпульс». Особое внимание уделено рассмотрению элементов защитных
механизмов КЛВС.
Исследование
экономической
деятельности
компании
позволило
сделать вывод о том, что компания стабильна, отмечены положительные
тенденции в финансовой отчетности.
В ходе работы, исходя из анализа существующей системы защиты
информации на предприятии ЗАО «Протон-Импульс», был предложен ряд
мер по совершенствованию системы. В раках подсистемы организационной
защиты информации предложено усиление режима допуска в цеха на основе
внедрения
электромагнитного
замка,
открываемого
при
помощи
индивидуальных пластиковых карт. В рамках подсистемы компьютерной
безопасности рекомендуется внедрение программных продуктов IDS Snort и
Netfilter/IPTables,
в
результате
объединения
которых
получается
двухуровневая система защиты: на первом уровне IPTables проверяет
входящий пакет на соответствие своим правилам фильтрации, если пакет
получил разрешение на прохождение через межсетевой экран, его проверяет
система обнаружения вторжений Snort на наличие вредоносного кода в теле
входящего пакета.
66
Приведенные методические рекомендации дают возможность для
наиболее рационального и эффективного использования, обработки,
хранения
информации
для
повышения
качества
обеспечения
информационной безопасности предприятия в целом.
Проведенное в рамках данного дипломного проекта исследование
позволяет сделать вывод о том, что создание надежной и всесторонней
защиты локальной сети предприятия возможно только при реализации
целого комплекса мер, основанных на комплексной политике безопасности.
Таким образом, в данной научной работе все поставленные задачи
были решены, цель проекта достигнута
– даны рекомендации по
совершенствованию системы информационной безопасности на предприятии
ЗАО «Протон-Импульс».
67
СПИСОК ЛИТЕРАТУРЫ
1.Аверченков, В.И. Служба защиты информации: организация и
управление: учеб. пособие / В.И. Аверченков, М.Ю. Рытов. – Брянск: БГТУ,
2005. – 186 с.
2.Аверченков, В.И. Организационная защита информации: учеб.
пособие / В.И. Аверченков, М.Ю. Рытов. – Брянск: БГТУ, 2010. – 184 с.
3.Безопасность бизнеса. Практические советы [Электронный ресурс] –
Режим доступа: http://www.in4business.ru/ (Дата обращения: 20.03.2016).
4.Блинов, А. М. Информационная безопасность [Текст]: Учеб. пособие.
Часть 1 / А. М. Блинов.–СПб.: СПБГУЭФ, 2010. – 96 с.
5.Боэм, Б.У. Инженерное проектирование программного обеспечения /
Б.У. Боэм. – М.: Радио и связь, 1985. – 512 с.
6.Бутырин,
В.П.
Введение
в
информационную
безопасность.
Компьютеры: преступления, признаки уязвимости и меры защиты. М., 2008. 315 с.
7. Герасименко, В.А. Защита информации в автоматизированных
системах обработки данных: в 2 кн. Кн.1 / В.А. Герасименко. – М.:
Энергоатомиздат, 1994. – 400 с.
8.Гостехкомиссия России. Информационная безопасность и защита
информации. Сборник терминов и определений. – М.: Гостехкомиссия
России, 2001.
9. ГОСТ РФ 51275-99 - «Защита информации. Объект информатизации.
Факторы, воздействующие на информацию».
10.ГОСТ Р 50922-96 – Защита информации. Основные термины и
определения. – Москва: Изд-во стандартов, 1996. – 10 с
11. Гусева, А.В. Анализ и проектирование функций организационной
структуры управления / А.В. Гусева, О.А. Овсянников, Г.Я. Ефремов. – М.:
МИУ, 1978. – 78 с.
68
12.Домарев,
В.В.
Безопасность
информационных
технологий.
Системный подход / В.В. Домарев. – Киев: ООО «ТИД», 2004. – 912 с
13.Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В.
Информационная безопасность открытых систем: Учебник для вузов. В 2-х
томах. Том 1 – Угрозы, уязвимости, атаки и подходы к защите. – М.: Горячая
линия-Телеком, 2006, 450 с.
14.Зима В.М., Молдавян А.А., Молдавян Н.А. Компьютерные сети и
защита передаваемой информации. -Санкт-Петербург
15.Информационно-аналитический ресурс о вредоносном программном
обеспечении
[Электронный
ресурс]
–
Режим
доступа:
http://www.viruslist.com/ (Дата обращения:).
16.Казарин
О.В.
Безопасность
программного
обеспечения
компьютерных систем, Москва, МГУЛ, 2003, 212 с.
17.Козлов
В.
Критерии
информационной
безопасности
и
поддерживающие их стандарты: состояние и тенденции. Стандарты в
проектах современных информационных систем. Сборник трудов II-й
Всероссийской практической конференции. Москва, 27-28 марта 2002 года.
18.Колмогоров А.А. Три подхода к определению понятия «количество
информации». Проблемы передачи информации, Т.1. Вып.1, 1999.
19.Кустовˎ
Г.А.ˎ
Управлениеˎ
информационнымиˎ
рискамиˎ
организацииˎнаˎосновеˎлогико-вероятностногоˎметода:ˎавтореф.ˎдис.ˎканд.ˎ
тех.ˎнаук.ˎ–ˎУфа,ˎ2008.ˎ–ˎ18ˎс.
20.Лебедь С. В., Межсетевое экранирование: Теория и практика
защиты внешнего периметра, Издательство Московского технического
университета им. Баумана, 2002 г, 304 с
21.Ловцов Д.А. Информационная безопасность больших эргодических
систем:
концептуальные
аспекты.
М.,
2008.
-
214
с.
Рытов, А.В. Кувыклин, Т.Р. Гайнулин. – Брянск: БГТУ, 2008. – 187 с. –
(Серия «Организация и технология защиты информации»).
69
22. Обеспечение информационной безопасности бизнеса / под ред. А.
И. Курило. – М.: Альпина Паблишерз, 2011.
23.Официальный сайт ФСТЭК России [Электронный ресурс]. – Режим
доступа: www.fstec.ru.
24. Официальный сайт ФСБ России [Электронный ресурс]. – Режим
доступа: www.fsb.ru.
25.Петраков, А. В. Основы практической защиты информации. [Текст]:
2-е изд: учеб. пособие./ А. В. Петраков – М.: Радио и связь, 2000.
26.Построение системы активного отражения атак [Электронный
ресурс] – Режим доступа: www.linuxcener.com (Дата обращения: 16.03.2016).
27. Проблемы управления информационной безопасностью: Сборник
трудов ИСА РАН / под ред. Д.С. Черешкина.
28.Прокофьев И.В., Шрамков И.Г., Щербаков А.Ю. Введение в
теоретические основы компьютерной безопасности.- Москва, МИФИ, 1998
29.Положение о сертификации средств и систем вычислительной
техники и связи по требованиям безопасности информации. -М., 2002.
30.Портал открытого ПО [Электронный ресурс] – Режим доступа:
http://www.opennet.ru (Дата обращения:).
31.Портал о защите персональных данных [Электронный ресурс]. –
Режим доступа: www.reignvox.ru
32.Построение системы активного отражения атак [Электронный
ресурс] – Режим доступа: www.linuxcener.com (Дата обращения: ).
33.Решения компании Avira по IT-безопасности для Windows и Unix
[Электронный
ресурс]
–
Режим
доступа:
http://www.avira.com/(Дата
обращения:).
34.Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в
компьютерных системах и сетях. - Москва, Радио и связь, 2002.
35.Рытов, А.В. Кувыклин, Т.Р. Гайнулин. – Брянск: БГТУ, 2008. – 187
с. – (Серия «Организация и технология защиты информации»).
70
вычислительной
36.Средства
техники.
Защита
от
несанкционированного доступа и информации. Показатели защищенности от
несанкционированного доступа к информации. Руководящий документ.
Гостехкомиссия России. Москва, Военное издательство, 1999.
37.Тарасюк
М.
В.
Защищенные
информационные
технологии.
Проектирование и применение. М.:Слон-пресс, 2004.
38.Ухлинов
Л.М.
Управление
безопасностью
информации
в
автоматизированных системах. -Москва, МИФИ, 2000.
39.Федеральный закон "Об информации, информатизации и защите
информации", № 24-ФЗ, 1995, ст
40.Хмелев.
Л.
Оценка
эффективности
мер
безопасности,
закладываемых при проектировании электронно-информационных систем.
Труды научно- технической конференции "Безопасность информационных
технологий", Пенза, июнь 2001.
41.Ходаковский
Е.А.
Безопасность./Информационный
«Системология
сборник
фонда
безопасности».
национальной
и
международной безопасности. -7-9(39) 1997. -Москва, стр. 178-185
42.Шурухнов
Н.Г.
Расследование
неправомерного
доступа
к
компьютерной информации. -Москва, Щит-М, 1999.
43.Щербаков А.Ю. Методы и модели проектирования средств
обеспечения безопасности в распределенных компьютерных системах на
основе создания изолированной программной среды. Автореферат на
соискание степени доктора технических наук. -Москва,2006
44.Энциклопедия систем безопасности [Электронный ресурс] – Режим
доступа: http://www.secuteck.ru/ (Дата обращения: 20.03.2016).
45. Ярочкин, В. И. Служба безопасности коммерческого предприятия.
Организационные вопросы[Текст]. – М: "Ось-89", 1995 г.
46. Ярочкин, В.И. Информационная безопасность. [Текст]: Учебное
пособие для студентов непрофильных вузов. – М.: Междунар. Отношения,
2000г.
71
47. Information technology. Security techniques. Code of practice for
information
security
management
[Электронный
ресурс].
–
URL:
http://www.iso.org.
48.Linux
[Электронный
ресурс]
–
Режим
доступа:
http://linux.novodvinsk.net/index.php?a=356 (Дата обращения: 20.03.2016).
49. Tipton, Н.F., Krause М. Information Security Management Handbook.
6lh edition. Taylor & Francis Group, USA, 2007.
50.Mui L., Mohtashemi M., Halberstadt A. A computational model of trust
and
reputation
//
System
Sciences.
2002.
72
ПРИЛОЖЕНИЕ 1
73
74
1/--страниц
Пожаловаться на содержимое документа