close

Вход

Забыли?

вход по аккаунту

Зеленский Дмитрий Владимирович. Разработка концепции информационной безопасности в строительно-монтажной компании

код для вставки
АННОТАЦИЯ
на выпускную квалификационную работу Зеленского Дмитрия Владимировича на
тему: «Разработка концепции информационной безопасности для строительномонтажной компании»
Выпускная квалификационная работа изложена на 132 страницах, включает 19
рисунков, 12 таблиц и 8 приложений, размещенных на 17ти страницах. Для написания
работы было использовано 56 источников.
Перечень ключевых слов: концепция ИБ компании, бизнес процессы, архитектура
предприятия, строительно-монтажное предприятие, информация как экономический
ресурс, система, финансово-хозяйственная деятельность.
Цель
выпускной
квалификационной
работы:
разработка
концепции
информационной безопасности в строительно-монтажной компании на примере ООО
«СМП-2».
Предметом исследования выступает разработка концепции информационной
безопасности.
В ходе написания работы использовались такие методы исследования как: анализ
в частности для проведения теоретического изучения проблемы, аналогии для адаптации
методов исследования, методы анализа финансово-хозяйственной деятельности,
методики построения моделей в нотациях DFD, IDEF0, IDEF3.
Структурно работа состоит из: введения, трех глав, заключения, списка литературы
и приложений.
В первой главе данной работы описывались теоретические аспекты разработки
концепции информационной безопасности. Для этого были изучены экономические
информационные системы строительно-монтажных компаний, классификации угроз и
нарушителей информационной безопасности, а так же изучены стандартизированные
аспекты разработки концепции информационной безопасности для строительномонтажных компаний.
Во второй главе данной работы описывалась сама организация. Была рассмотрена
её краткая характеристика и приведен анализ финансово-хозяйственной деятельности.
Так же в данной главе была описана бизнес-архитектура предприятия, изучена
информационно-технологическая архитектура объекта исследования и в дополнении был
указан основной недостаток ИТ архитектуры предприятия.
В третьей главе данной работы, раскрывается процесс разработки концепции
именно для СМП-2. Раскрываются основные этапы построения концепции и работы
которые необходимо провести на предприятии для реализации концепции. Раскрываются
первоочередные мероприятия. В этой главе так же описываются изменения архитектуры
предприятия, которые повлечет за собой внедрение концепции. В конце приведено
экономическое обоснование разработки и внедрения концепции на данном предприятии.
В заключении отражены основные выводы по каждой главе работы, отражены
решенные задачи, и подведен результат проделанной работы.
3
Содержание
ВВЕДЕНИЕ ...................................................................................................................... 4
1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ РАЗРАБОТКИ КОНЦЕПЦИИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ................................................................. 6
1.1 Экономическая информационная система строительно - монтажной
компании ....................................................................................................................... 6
1.2 Классификация угроз и нарушителей информационной безопасности для
СМП ............................................................................................................................. 11
1.3 Концепция информационной безопасности в строительно-монтажной
компании ..................................................................................................................... 16
2. АНАЛИЗ АРХИТЕКТУРЫ СМП-2......................................................................... 25
2.1 Организационная структура СМП-2 и описание финансово-хозяйственной
деятельности ............................................................................................................... 25
2.2 Анализ бизнес-архитектуры СМП-2 .................................................................. 38
2.3 Описание информационно-технологической архитектуры СМП-2 ............... 48
3. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ
ООО СМП-2 ................................................................................................................... 65
3.1 Разработка концепции информационной безопасности СМП-2 ..................... 65
3.2 Предполагаемые изменения бизнес архитектуры СМП-2 ............................... 83
3.3 Анализ экономической эффективности применения концепции ................... 94
ЗАКЛЮЧЕНИЕ ........................................................................................................... 108
СПИСОК ЛИТЕРАТУРЫ........................................................................................... 110
ПРИЛОЖЕНИЕ 1 ........................................................................................................ 116
ПРИЛОЖЕНИЕ 2 ........................................................................................................ 122
ПРИЛОЖЕНИЕ 3 ........................................................................................................ 126
ПРИЛОЖЕНИЕ 4 ........................................................................................................ 127
ПРИЛОЖЕНИЕ 5 ........................................................................................................ 128
ПРИЛОЖЕНИЕ 6 ........................................................................................................ 129
ПРИЛОЖЕНИЕ 7 ........................................................................................................ 130
ПРИЛОЖЕНИЕ 8 ........................................................................................................ 132
4
ВВЕДЕНИЕ
Информация - это одна из самых важных ценностей в современной жизни. С
массовым внедрением компьютеров во все сферы деятельности человека объем
информации, хранимой в электронном виде, вырос в тысячи раз. И теперь
скопировать любой файл не составляет большого труда. А с появлением
компьютерных сетей и Интернета даже отсутствие физического доступа к
компьютеру перестало быть гарантией сохранности информации.
Безопасность информации в информационных системах является очень
важным вопросом. Так как, информация, находящаяся на электронных носителях
играет большую роль в жизни любой организации. Уязвимость такой информации
обусловлена целым рядом факторов: огромные объемы, большое количество
пользователей, работающих с этой информацией, передача информации по
каналам связи, возможность «информационных диверсий». Все это делает задачу
обеспечения защищенности информации, размещенной в компьютерной среде,
гораздо более сложной проблемой, чем скажем, сохранение тайны традиционной
почтовой переписки.
Одной из причин неуемного роста компьютерных преступлений является
сумма денег, получаемая в результате их совершения.
Для любой организации, в том числе и строительно-монтажной компании,
разработка концепции информационной безопасности и последующее её
внедрение, является необходимым условием для поддержания жизнедеятельности.
Речь идет не только о финансовых потерях, возможных при реализации угроз
безопасности, но и о несоблюдении установленного законодательства Российской
Федерации, что говорит о несомненной актуальности данной выпускнойквалификационной работы.
Целью, данной выпускной квалификационной работы является разработка
концепции информационной безопасности в строительно-монтажной компании на
примере ООО «СМП-2»
Для достижения поставленной цели потребуется решить ряд задач:
5
-
изучить
экономическую
информационную
систему
строительно-
монтажной компании;
- классифицировать угрозы и нарушителей информационной безопасности
для строительно-монтажной компании;
-
изучить
методологии
построения
концепции
информационной
безопасности, приемлемые для строительно-монтажной компании;
- описать организационную структуру и проанализировать финансовохозяйственную деятельность СМП-2;
- проанализировать бизнес архитектуру СМП-2;
- описать информационно-технологическую архитектуру СМП-2;
- описать процесс построения концепции информационной безопасности для
СМП-2;
- описать предполагаемые изменения бизнес архитектуры СМП-2;
- проанализировать экономическую эффективность применения концепции
информационной безопасности.
В данной работе объектом исследования выступает ООО СМП-2.
Предметом исследования выступает разработка концепции информационной
безопасности.
Для
решения
поставленной
задачи
использовались
такие
методы
исследования как: анализ в частности для проведения теоретического изучения
проблемы, аналогии для адаптации методов исследования, методы анализа
финансово-хозяйственной деятельности, методики построения моделей в нотациях
DFD, IDEF0, IDEF3.
Структурно работа представлена тремя главами. В первой главе данной
работы изучается теоретический аспект поставленной цели. Вторая глава включает
в себя анализ архитектуры объекта исследования. Третья глава содержит в себе
процессы разработки и последствия внедрения концепции информационной
безопасности на СМП-2. Так же глава содержит в себе экономической обоснование
применения концепции.
6
1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ РАЗРАБОТКИ КОНЦЕПЦИИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.1 Экономическая информационная система строительно - монтажной компании
Одной из важнейших разновидностей информации является информация
экономическая. Ее отличительная черта - связь с процессами управления
коллективами людей, организацией. Экономическая информация сопровождает
процессы производства, распределения, обмена и потребления материальных благ
и услуг. Значительная часть ее связана с общественным производством и может
быть названа производственной информацией [46].
Экономическая
информация
социально-экономические
процессы
-
совокупность
и
служащих
сведений,
для
отражающих
управления
этими
процессами и коллективами людей в производственной и непроизводственной
сфере. Мы будем понимать информацию, характеризующую производственные
отношения в обществе.
К ней относятся сведения, которые циркулируют в экономической системе,
о процессах производства, материальных ресурсах, процессах управления
производством, финансовых процессах, а также сведения экономического
характера, которыми обмениваются между собой различные системы управления
[47].
С позиций кибернетики процесс управления системой, как направленное
воздействие на элементы системы для достижения цели, можно представить в виде
информационного процесса, связывающего внешнюю среду, объект и систему
управления. При этом внешняя среда и объект управления информируют систему
управления о своем состоянии, система управления анализирует эту информацию,
вырабатывает управляющее воздействие на объект управления, отвечает на
возмущения внешней среды и при необходимости модифицирует цель и структуру
всей системы [1, c. 341].
Конкретизируем понятие экономической информации на примере системы
управления промышленным предприятием. В соответствии с общей теорией
7
управления, процесс управления можно представить как взаимодействие двух
систем - управляющей и управляемой [36].
Система управления предприятием функционирует на базе информации о
состоянии объекта, его входов Х (материальные, трудовые, финансовые ресурсы)
и выходов Y (готовая продукция, экономические и финансовые результаты) в
соответствии с поставленной целью (обеспечить выпуск необходимой продукции).
Управление осуществляется путем подачи управленческого воздействия с учетом
обратной связи - текущего состояния управляемой системы (производства) и
внешней среды - рынок, вышестоящие органы управления. Назначение
управляющей системы - формировать такие воздействия на управляемую систему,
которые побуждали бы последнюю принять состояние, определяемое целью
управления. Применительно к промышленному предприятию с некоторой долей
условности
можно
считать,
что
цель
управления
-
это
выполнение
производственной программы в рамках технико-экономических ограничении;
управляющие воздействия - это планы работ подразделении, обратная связь данные
о ходе производства: выпуске и перемещении изделии, состоянии оборудования,
запасах на складе и т.д [31].
Очевидно, что и планы и содержание обратной связи - не что иное, как
информация. Поэтому процессы формирования управляющих воздействий как раз
и являются процессами преобразования экономической информации. Реализация
этих процессов и составляет основное содержание управленческих служб, в том
числе экономических.
Методологическую
основу
ЭИС
составляет
системный
подход,
в
соответствии с которым любая система представляет собой совокупность
взаимосвязанных объектов (элементов), функционирующих совместно для
достижения общей цели.
Для системы характерно изменение состояний объектов, которые с течением
времени происходят в результате взаимодействия объектов в различных процессах
и с внешней средой.
8
В результате такого поведения системы важно соблюдение следующих
принципов:
эмерджентности, то есть целостности системы на основе общей структуры,
когда
поведение
отдельных
объектов
рассматривается
с
позиции
функционирования всей системы;
гомеостазиса, то есть обеспечения устойчивого функционирования
системы и достижения общей цели;
адаптивности к изменениям внешней среды и управляемости посредством
воздействия на элементы системы;
обучаемости путем изменения структуры системы в соответствии с
изменением целей системы.
К экономической информации предъявляются следующие требования:
точность, достоверность, оперативность [48].
Точность информации обеспечивает ее однозначное восприятие всеми
потребителями. Достоверность определяет допустимый уровень искажения как
поступающей, так и результатной информации, при котором сохраняется
эффективность
функционирования
системы.
Оперативность
отражает
актуальность информации для необходимых расчетов и принятия решений в
изменившихся условиях.
Экономическая информационная система представляет собой систему,
функционирование которой во времени заключается в сборе, хранении, обработке
и распространении информации о деятельности какого-то экономического объекта
реального
мира.
Информационная
система
создается
для
конкретного
экономического объекта и должна в определенной мере копировать взаимосвязи
элементов объекта [45].
Системы обработки данных (СОД) предназначены для учета и оперативного
регулирования хозяйственных операций, подготовки стандартных документов для
внешней
среды
(счетов,
накладных,
платежных
поручений).
Горизонт
оперативного управления хозяйственными процессами составляет от одного до
несколько дней, и реализует регистрацию и обработку событий, например,
9
оформление и мониторинг выполнения заказов, приход и расход материальных
ценностей на складе, ведение табеля учета рабочего времени и т.д. Эти задачи
имеют итеративный, регулярный характер, выполняются непосредственными
исполнителями
хозяйственных
процессов
(рабочими,
кладовщиками,
администраторами и т.д.) и связаны с оформлением и пересылкой документов в
соответствии с четко определенными алгоритмами. Результаты выполнения
хозяйственных операций через экранные формы вводятся в базу данных [6, c. 94].
Информационные
системы
управления
(ИСУ)
ориентированы
на
тактический уровень управления: среднесрочное планирование, анализ и
организацию работ в течение нескольких недель (месяцев), например, анализ и
планирование поставок, сбыта, составление производственных программ. Для
данного
класса
задач
характерны
регламентированность
(периодическая
повторяемость) формирования результатных документов и четко определенный
алгоритм
решения
задач,
например,
свод
заказов
для
формирования
производственной программы и определение потребности в комплектующих
деталях и материалах на основе спецификации изделий. Решение подобных задач
предназначено для руководителей различных служб предприятий (отделов
материально-технического снабжения и сбыта, цехов и т.д.). Задачи решаются на
основе накопленной базы оперативных данных [17, c. 104].
Системы поддержки принятия решений (СППР) используются в основном на
верхнем уровне управления (руководства фирм, предприятий, организаций),
имеющих стратегическое долгосрочное значение в течение года или нескольких
лет. К таким задачам относятся формирование стратегических целей, планирование
привлечения ресурсов, источников финансирования, выбор места размещения
предприятий и т.д. Реже задачи класса СППР решаются на тактическом уровне,
например при выборе поставщиков или заключении контрактов с клиентами.
Задачи СППР имеют, как правило, нерегулярный характер [34, 51].
Идеальной считается ЭИС , которая включает все три типа перечисленных
информационных систем. В зависимости от охвата функций и уровней управления
различают корпоративные (интегрированные) и локальные ЭИС.
10
Корпоративная (интегрированная) ЭИС автоматизирует все функции
управления
на
всех
уровнях
управления.
Такая
ЭИС
является
многопользовательской, функционирует в распределенной вычислительной сети.
Локальная ЭИС автоматизирует отдельные функции управления на
отдельных уровнях управления. Такая ЭИС может быть однопользовательской,
функционирующей в отдельных подразделениях системы управления [29, c. 64].
В деятельности современных строительных организаций информационные
технологии
играют
значительную
роль,
способствуя
повышению
производительности труда и улучшению качества принимаемых решений.
Разработано большое число программных систем, используемых на различных
стадиях строительного процесса, в организациях, представляющие разные звенья
договорных отношений, специалистами различного профиля [22, c. 14].
Сметное
программное
производительность
труда
обеспечение
инженера-сметчика,
многократно
позволяет
повышает
обмениваться
информацией, проводить экспертизу сметной документации, отражать результаты
выполнения строительно-монтажных работ, формировать отчетные документы с
минимальными затратами времени, контролировать исполнение строительных
смет [35, c. 34, 44]. Программное обеспечение для календарного планирования
широко используется при управлении строительными проектами и позволяет
внести значительные изменения в организацию процесса строительства [9, 43].
Специализированное программное обеспечение позволяет осуществлять учет,
анализ,
отчетность
в
условиях
строительной
отрасли.
Специалисты-
проектировщики широко применяют системы, как общего назначения, так и
узкоспециализированные
для
проектирования
строительных
объектов.
Приведенные выше три вида программного обеспечения, объединенные между
собой, как правило и составляют основу информационной системы строительной
организации [22, c. 166].
Таким образом, в данном пункте были разобраны основные составляющие
экономической информационной системы такие как: понятие ЭИС, принципы
11
ЭИС, классификация ЭИС, функции управления, типы ЭИС, ЭИС в строительно монтажных организациях.
1.2 Классификация угроз и нарушителей информационной безопасности для СМП
Появление
любых
новых
технологий,
как
правило,
имеет
как
положительные, так и отрицательные стороны. Тому множество примеров.
Атомные и химические технологи, решая проблемы энергетики и производства
новых материалов, породили экологические проблемы. Интенсивное развитие
транспорта обеспечило быструю и удобную доставку людей, сырья, материалов и
товаров в нужных направлениях, но и материальный ущерб и человеческие жертвы
при транспортных катастрофах возросли.
Информационные технологии, также не являются исключением из этого
правила, и поэтому следует заранее позаботиться о безопасности при разработке и
использовании таких технологий.
Информационная система строительно-монтажной компании, является по
сути такой же экономической информационной системой, что говорит о том, что
ей присущи все возможные угрозы безопасности, которые могут быть и у обычной
ЭИС [41].
Под угрозой безопасности понимается действие или событие, которое может
привести к разрушению, искажению или несанкционированному использованию
информационных ресурсов, включая хранимую, передаваемую и обрабатываемой
информации, а также программного и аппаратного обеспечения [11, c. 11].
Угрозы могут быть разделены на случайные, или непреднамеренные, и
умышленные. Первый источник может быть ошибки в программном обеспечении,
отказы
аппаратных
средств,
неправильные
действия
пользователей
или
администрации и т. д. Преднамеренные угрозы стремятся причинить вред
пользователям АИТ и, в свою очередь, делятся на активные и пассивные.
Пассивные угрозы, как правило, направлены на несанкционированное
использование информационных ресурсов, не имея никакого влияния на их
12
функционирование.
Пассивной
угрозой
является,
например,
информация,
циркулирующая в каналах связи путем прослушивания [28, 19, c. 271].
Активных
угроз,
направленны
на
нарушение
нормального
функционирования системы, сосредоточив внимание на аппаратные, программные
и информационные ресурсы. Активным угрозам относятся уничтожение или помех
на линии связи, чтобы нарушить работу компьютера или его операционной
системы, искажение сведений в базах данных либо в системной информации и
другими источниками активных угроз могут быть прямые хакеров, компьютерных
вирусов и др [3, 24, c. 31].
К основным угрозам информационной безопасности относятся:
раскрытие конфиденциальной информации; компрометация информации;
несанкционированное использование информационных ресурсов;
ошибочное
использование
ресурсов;
несанкционированный
обмен
информацией;
неприятие информации;
отказ в обслуживании [18, 2].
Таким образом раскрытия конфиденциальной информации могут быть
несанкционированный доступ к базам данных, прослушивание каналов.
Компрометация информации, как правило, осуществляются путем внесения
несанкционированных изменений в базы данных, при помощи которой
пользователь вынужден либо отказаться от нее или приложить дополнительные
усилия для выявления изменений и восстановления истинных сведений. В случае
скомпрометированной информации потребитель подвергается опасности принятия
неверных решений со всеми вытекающими последствиями [20].
Несанкционированное использование компьютерных ресурсов, с одной
стороны, является средством раскрытия или компрометации информации, и имеет
самостоятельное значение, поскольку, даже не касаясь пользователем или
системной информации, может нанести определенный ущерб абонентам
и администрации. Этот ущерб может варьировать в широких пределах — от
сокращения поступления средств АЙТ вниз [25].
13
Ошибочное
использование
информационных
ресурсов,
как
уполномоченный, тем не менее может привести к разрушению, раскрытию или
компромисс этих ресурсов. Эта угроза часто является результатом ошибок в
программном обеспечении АИТ.
Несанкционированный обмен информацией между абонентами может
привести одного из них сведений, доступ к которым запрещен, что по своим
последствиям равносильно раскрытию содержания маркетинговой информации
[25].
Отказ данные не будут распознаны получателем или отправителем
информации фактов ее получения или отправки. В условиях маркетинговой
деятельности это, в частности, позволяет участнику расторгнуть заключенные
финансовые соглашения «техническим» путем, формально не отказываясь от них
и нанося тем самым другой стороне значительный ущерб.
Отказ в обслуживании представляет собой весьма серьезную и широко
распространенную угрозу, которая является источником АЙТ. Подобный отказ
особенно опасен в ситуациях, когда задержка предоставления ресурсов
пользователю может привести к серьезным последствиям. Таким образом,
отсутствие у пользователя данных, необходимых для принятия решений, в течение
периода, когда это решение может быть эффективно реализовано, может стать
причиной нерациональных или даже антимонопольных действий [23, c. 26].
Все эти действия может совершить как сотрудник организации, так и
внешний злоумышленник, имея при этом совершенно различные цели. Основные
модели намеренности действий представлены на рис. 1, размещенном ниже:
14
Рисунок 1 – Модель мотивов злоумышленника [40]
Массовое распространение вредоносного программного обеспечения,
является
еще
экономической
одной
проблемой
информационной
для
системы.
нормального
На
данный
функционирования
момент
самыми
распространенными являются следующие типы вирусов:
бэкдоры (Backdoor) — программа, работающая в скрытом режиме, дающая
полный доступ к зараженному компьютеру. Нередко используется для похищения
данных и установки других вредоносных программ;
бот-нет — полноценная сеть зараженных компьютеров в интернете. На ПК
пользователей загружается вредоносное ПО и почти никак себя не проявляет, в
дальнейшем эта сеть используется для организации масштабных DDOS-атак [27];
троян — программы, которые, как думает пользователь, должны выполнять
полезную функцию (маскируются под такие), но после запуска выполняют
разрушительные процессы;
сетевые
черви
—
в
отличие
являются самостоятельной программой;
от
других
видов
вирусов,
15
эксплойт — скрипт, который ищет и использует «дыры» в безопасности
системы. Обычно именно так получают права доступа администратора;
рекламные программы — спамят всевозможные банеры, всплывающие окна
и кнопки с рекламой;
макровирусы — основное отличие от своих «братьев» заключается в том, что
заражаются документы приложения, а не запускаемые файлы.
фарминг — манипуляции браузера, для отправки пользователей на
фальшивый сайт;
фишинг — в последнее время работает только на идиотах. Злоумышленник
отправляет запрос жертве, в котором просит написать все свои данные (пароли в
том числе), под каким-либо предлогом( например, проверка безопасности). Раньше
работало, но сегодня этот способ почти вымер;
полиморфные вирусы — используют маскировку и перевоплощения в
работе. Могут самостоятельно менять свой код, что делает их почти невидимыми;
руткит — используется для похищения данных. Набор программных
средств, скрытно устанавливающийся в систему пользователя и копирующий
определенную информацию;
скрипт-вирусы (близкие к сетевым червям) — используют функции
операционной системы для размножения, в остальном похожи на червей;
шпионское ПО — без ведома пользователя анализируют его поведение,
собирают информацию и могут передавать её хакеру;
зомби — с помощью данной программы можно получить доступ к
удаленному компьютеру без ведома его владельца (используют для рассылки
спама, DDOS-атак);
загрузочные — в основном заменяют файлы, которые необходимы для
загрузки операционной системы, что приводит к невозможности включить
компьютер [26, 16, c. 54].
Для строительного-монтажного предприятия особо-важное значение играет
угроза потери данных и компрометация информации. Для предприятий такого типа
характерно усиленное взаимодействие со сметной документацией как текущих, так
16
и уже выполненных проектов. При потере данных сметной документации,
предприятие рискует «сорвать» контракт и, в лучшем случае, заплатить штраф за
не вовремя выполненную работу. Так же важна угроза компрометации
информации. При несанкционированном изменении данных по проектам, заказчик
работ имеет полное право получить выполненную услугу и отказаться заплатить
исполнителю. Такие случае уже отмечались выше и несли серьезные
экономические потери и самое плохое, что правда была на стороне
недобросовестного заказчика [30, 38, c. 116-118].
Таким образом, в данном пункте была изучена классификация основных
угроз для строительно-монтажного предприятия. Были изучены основные угрозы
безопасности которая может встретить ЭИС в своей жизнедеятельности, так же
были конкретизированы и наиболее опасные угрозы для строительно–монтажного
предприятия исходя из истории жизнедеятельности рассматриваемого объекта, а
так же исходя их общеизвестной практики поражения ЭИС.
1.3 Концепция информационной безопасности в строительно-монтажной
компании
В строительных компаниях разрабатывается огромное множество проектов.
Документация по разработанным проектам
хранится в бумажном и
электронном архивах. Таким образом, единого хранилища доступной информации
не существует, что не позволяет эффективно использовать накопленный
компанией опыт. Эту проблему можно решить с помощью базы данных, которая
бы собрала воедино наиболее важные сведения о завершенных проектах. Однако в
большей степени сведения о проекте необходимы компании непосредственно во
время разработки. Здесь необходимо контролировать все стадии, начиная от
эскизного проекта до выпуска рабочей документации [4, 12].
Поэтому важно не только собрать информацию, но и поддерживать её в
актуальном
состоянии.
Постоянное
обновление
и
контроль
требуют
дополнительных средств, в том числе слежения программой за сроками
выполнения
работ,
предоставление
проектному
менеджеру
сведений
о
17
выполненных работах, об отклонениях от графика и т.д. Периодически необходимо
формировать ответные и платежные документы на основе выполненных работ.
Помимо этого, может возникнуть необходимость в редактировании состава
проекта, который является одним из основополагающих документов [52, c. 24].
Таким образом, возникает необходимость во внедрении системы, содержащей базу
данных по проектам и обеспечивающей гибкое управление за счет перечисленных
выше функций.
Концепция информационной безопасности определяет основные цели и
задачи, а также общую стратегию построения системы защиты данных
предприятия. Так же, концепция определяет основные требования и базовые
подходы к их реализации, для достижения требуемого уровня безопасности
информации [21, 10, c. 23].
Основные положения и требования концепции распространяются на все
структурные
подразделения
предприятия,
где
осуществляется
обработка
подлежащей защите информации. Так же распространяется на подразделения,
которые осуществляют обслуживание, сопровождение и обеспечение стабильного
функционирования автоматизированной системы [32].
Информационная безопасность – состояние сохранности информационных
ресурсов и защищенности законных прав личности и общества в информационной
сфере [5, c. 19].
Концепция является методологической основой для:
формирования и проведения единой политики в области обеспечения
безопасности информации в АС;
принятия управленческих решений и разработке практических мер по
воплощению политики безопасности информации и выработки комплекса
согласованных мер нормативно-правового, технологического и организационнотехнического характера, направленных на выявление,
отражение и ликвидацию последствий реализации различных видов угроз
безопасности информации;
18
координации деятельности структурных подразделений при проведении
работ по созданию, развитию и эксплуатации АС с соблюдением требований
обеспечения безопасности информации;
разработки предложений по совершенствованию правового, нормативного,
методического, технического и организационного обеспечения безопасности АС.
Правовой основой концепции является Конституция РФ. Так же является
Гражданский и Уголовный кодексы, законы, указы, и другие нормативно –
правовые акты, относящиеся к защите информации [15, c. 97].
При разработке такой концепции должны учитываться основные принципы
создания
комплексных
систем
обеспечения
безопасности
информации,
возможности организационно – технических методов и современных программных
средств защиты и противодействия различным угрозам. Так же учитывается
текущее состояние и перспективы развития информационных технологий [37].
Основные положения должны базироваться на качественном осмыслении
вопросов защиты информации и не должны концентрировать свое внимание на
экономическом или количественном анализе рисков и обосновании затрат на
обеспечение безопасности информации [42].
Положения
относительно
концепции
самостоятельных
предусматривают
существование
нескольких
направлений, которые объединены
одним
замыслом. Это защита информации от утечки по техническим каналам и защита
информации в автоматизированных системах от несанкционированного доступа [7,
c. 11].
В Концепции информационной безопасности должны быть отражены
следующие вопросы:
характеристика АС организации, как объекта информационной безопасности
(объекта защиты):
назначение, цели создания и эксплуатации АС организации
структура, состав и размещение основных элементов ас организации,
информационные связи с другими объектами
категории информационных ресурсов, подлежащих защите
19
категории пользователей ас организации, режимы использования и уровни
доступа к информации
интересы затрагиваемых при эксплуатации ас организации субъектов
информационных отношений;
уязвимость основных компонентов АС организации
цели и задачи обеспечения информационной безопасности организации и
основные пути их достижения (решения задач системы защиты)
перечень основных опасных воздействующих факторов и значимых угроз
информационной безопасности:
внешние и внутренние воздействующие факторы, угрозы безопасности
информации и их источники [14].
Этапы разработки концепции информационной безопасности.
Разработка концепций по защите информации требует значительные
трудовые и финансовые затраты.
Этап 1. Принятие решения и формирование рабочей группы. На этом этапе
руководство организации должно принять решение о разработке концепции
информационной безопасности, а так же целей, преследуемых данной разработкой.
Цели могут быть следующие: получение целостной системы взглядов на состояние
информационной безопасности в организации; сокращение потерь вследствие
ненадлежащего состояния системы информационной безопасности; создание
новой системы информационной безопасности; и тд. Посте того как цели
определены, формируется рабочая группа. В состав рабочей группы могут входить:
службы безопасности организации, подразделение ответственное за защиту
информации, ИТ – департамент, служба эксплуатации сети связи, отдел
экономической безопасности, тех.служба, финансовая служба. Итак, на 1 этапе
принимается решение о разработке концепции, определяются цели и формируется
рабочая группа.
Этап 2. На данном этапе формируется план мероприятий по разработке
концепций. Так же формируются сами мероприятия и стоимость их проведения.
Перечень мероприятий по разработке включает: сбор и обработку данных, выбор
20
варианта концепции и формирование подгруппы по разработке контура
информационной безопасности. Так же формирование подгруппы по разработке
проекта информационной безопасности и группы по проектированию в
дальнейшем. Самым затратным на этом этапе является сбор и обработка
информации. Поэтому прежде чем перейти к работам по сбору необходимо сперва
задействовать подразделения в организации по сбору и предоставлению данных,
необходимых для концепции. Потом нужно определить объем финансирования и
уже приступать к следующему этапу. Итог по 2 этапу: составление плана
разработки концепции и определение объемов финансирования.
Этап 3. На 3 этапе осуществляется сбор данных посредством привлеченной
из внешней сферы организацией или же силами рабочей группы. На этом этапе
необходимо провести полный аудит информационной безопасности организации.
Аудит лучше проводить по упрощенным методикам, так как после реализации
концепции его придется проводить снова.
Этап 4. На основании собранных данных осуществляется разработка
нормативной части концепции информационной безопасности. В этом документе
будут отражены основные требования к системе информационной безопасности.
Стоимость
разработки
проектирования
информационной
безопасности
обуславливаются следующими факторами: полнотой собранных данных, уровнем
безопасности, требованием к технике, сложностью информационной системы и
структурой сети связи. Итог по 4 этапу это
разработка контура информационной безопасности и определение затрат на
проектирование.
Этап 5. На данном этапе разрабатывается техническая часть концепции
проектирования информационной безопасности. Требования сформулированы в
нормативно – правовой части. Исходные данные могут уточняться по мере
разработки проекта информационной безопасности. Помимо разработки проекта
проводится разработка нормативных документов, инструкций, положений. Так как
проект
информационной
безопасности
конкретизирует
технические
характеристики системы, то на данном этапе документы будут наполнены
21
соответствующим материалом и оптимизированы под бизнес – процессы
организации. Итог по 5 этапу - это разработка проекта информационной
безопасности и нормативных документов.
Этап 6. После разработки проекта информационной безопасности, которая
содержит требования к технике, к помещениям, к условию эксплуатации можно
оценить стоимость реализации контура информационной безопасности, владения
информационной безопасности и других переменных и постоянных затрат. На
основании предложенной в данной работе методики нужно рассчитать
окупаемость вложений и если это необходимо, то произвести корректировку
концепции. Итог 6 этапа это разработка экономической части концепции.
Этап 7. На этом этапе проводится корректировка концепции. Она проводится
в зависимости от того, необходимы ли снижения затрат на реализацию. На этом
этапе можно выделить 2 вида информационной безопасности: базовый и
повышенный. В базовый уровень необходимо включить те мероприятия, которые
минимально необходимы для организации и выгода от них превышала бы затраты.
В повышенный уровень включаются мероприятия, которые необходимы для
ограниченного вида информационных ресурсов, а для других желательны. При
этом необходимо обеспечить сопоставимость ценности ресурсов, защищаемых по
повышенным требованиям к затратам на защиту. Коррекция проводится до тех пор
пока стоимость системы не станет ниже выгоды. Итог по 7 этапу это корректировка
концепции.
Этап 8. Этот этап является завершающим в разработке концепции.
Концепция должна быть принята руководящим кругом лиц, затем утверждена и
введена посредством приказа. Сотрудники должны быть осведомлены и
ознакомлены с концепцией и документацией, прилегающей к ней. Итог 8 этапа это
утверждение концепции и ознакомление сотрудников организации с ней [49, 50].
Выделяют следующие виды типы стратегий безопасности:
Стратегии,
ориентированные
предотвращение возможных угроз.
на
устранение
существующих
или
22
Стратегии, нацеленные на предотвращение воздействия существующих или
возможных угроз на предмет.
Стратегии, направленные на восстановление или компенсацию наносимого
ущерба.
Первые 2 типа стратегий предусматривают такую деятельность по
обеспечению безопасности, в ходе которой не происходит угрозы или же создается
заслон ее влиянию. В третьем виде стратегии ущерб допускается, но он
компенсируется различными действиями, которая предусматривает эта стратегия.
Стратегии этого типа могут разрабатываться и реализовываться в ситуациях, где
ущербы могут быть покрыты. Или же тогда когда не могут осуществить программы
реализаций стратегий первого и второго типа [13, c. 4].
Сегодня на рынке информационной безопасности существует множество
программ, которые в той или иной степени поддерживают ведение проектов и
обеспечивают защиту информации в строительных организациях. Однако
большинство из них рассчитаны не на проектную деятельность (выпуск проектной
документации в сфере строительства), а на проекты как метод управления
компанией [8, c. 314].
Схема реализации проекта по обеспечению безопасности в строительной
организации должна работать четко и отлажено. Информационная защита данных
должна происходить таким образом, чтобы не мешать сотрудникам компании
заниматься повседневными задачами.
Для обеспечения информационной безопасности и управляемости сети в
строительных предприятиях используются следующие приемы. Системный
администратор сети имеет возможность добавлять, менять и уничтожать
параметры учетных записей пользователей для самых разных платформ,
операционных систем и приложений. Такой подход, называется «единой точкой
регистрации».
Система информационной безопасности выявляет подозрительные действия
со стороны как внутренних, так и внешних пользователей. Для этого используются
программы специального назначения [33].
23
Внедрение DLP-системы. Данная система защиты от утечек данных призвана
обеспечивать контроль над распространением конфиденциальной информации за
пределы предприятия по доступным каналам передачи информации. DLP –
решение предотвращает несанкционированные операции с конфиденциальной
информацией (копирование, изменение и т.д.) и ее перемещение (пересылку,
передачу за пределы организации и т.д.). Функционал DLP направлен в первую
очередь на защиту от случайных утечек, которые, как мы уже видели, из
приведенной выше статистики, происходят чаще.
Основная задача DLP-системы заключается в том, чтобы обезопасить
общество от нежелательных элементов и их пропагандистских заявлений.
Рассмотренное нами явление носит именно социальный характер.
DLP – системы это довольно дорогостоящее оборудование. Экономическая
эффективность применения средств, для защиты конфиденциальной информации,
понятие, можно сказать, абстрактное.
Об экономических аспектах применения средств защиты информации и
безопасности в целом, вспоминают обычно или в период формирования бюджета
на следующий год или, когда произошло ЧП, например, утечка информации,
проникновение в сеть или просто инцидент с нарушением безопасности [39].
Как правило, для оценки доходной части сначала анализируют те цели,
задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения
или реорганизации существующих проектов в области информационной
безопасности. Далее используют некоторые измеримые показатели эффективности
бизнеса для оценки отдельно по каждому решению. Указанные показатели не надо
выдумывать, они существуют в избыточном виде.
Подводя итоги данного пункта, можно сказать, что в данном пункте была
разобрана концепция информационной безопасности в строительно – монтажной
компании. Были приведены причины разработки концепции, правовые аспекты
концепции, вопросы которые должны быть определены в концепции, были
приведены этапы разработки концепции информационной безопасности, а так же,
были приведены основные стратегии организации информационной безопасности.
24
Таким образом, в данной главе были описаны основные понятия
экономической информационной системы, включающие в себя: принципы ЭИС,
классификацию ЭИС, функции управления ЭИС, типы ЭИС, ЭИС в строительно монтажных организациях. Так же была изучена концепция информационной
безопасности в строительно–монтажной компании. Были приведены причины
разработки концепции, описаны правовые аспекты концепции, разобраны вопросы
которые должна конкретизировать концепция информационной безопасности,
были приведены и описаны восемь этапов разработки концепции информационной
безопасности, так же, были приведены основные стратегии организации
информационной безопасности, а так же, была описана причина разработки
концепции информационной безопасности для строительно-монтажной компании.
В данной главе, так же, была приведена классификация возможных угроз
безопасности
информации
для
строительно-монтажных
предприятий.
Классификация включает в себя описание возможных угроз безопасности для
экономических информационных систем, а так же,
конкретизацию наиболее
значимых угроз для исследуемого предприятия, включая описание возможных
последствий влияния на информационную систему организации.
25
2. АНАЛИЗ АРХИТЕКТУРЫ СМП-2
2.1 Организационная структура СМП-2 и описание финансово-хозяйственной
деятельности
ООО Строительно-монтажное предприятие – 2 выполняет огромный спектр
услуг связанных с ремонтом, монтажом, наладкой и техническим обслуживанием
любого промышленного оборудования.
Юридический адрес: 302040 г. Орел ул. Лескова, 19
Электронный адрес: http://smp-2.ru
Телефон: (4862) 47 – 18 – 82
Спектр услуг предприятия очень велик. Условно его можно разделить на 4
подгруппы:
1.
Монтаж, модернизация, ремонт и пусконаладка. Данная подгруппа
включает в себя следующие виды работ:
Работы по котельному оборудованию:
— Работы по паровым котельным установкам.
— Работы по водогрейным и теплофикационным котельным установкам.
— Работы по котельно-вспомогательному оборудованию.
— Работы по приборам учета расхода тепловой энергии.
— Работы по дымовым трубам, футеровка.
— Работы по сосудам работающим под давлением, резервуарам.
— Работы по обмуровке и футеровке котлов, промышленных печей.
Работы по газоснабжению:
— Работы по наружным сетям газоснабжения ( кроме магистральных ).
— Работы по внутренним инженерным системам и оборудованию.
Работы по сетям и системам отопления:
— Работы по отопительному электрическому оборудованию.
— Работы по отопительному газовому оборудованию, в т.ч. по газовым
инфракрасным излучателям.
— Работы по отопительному жидкотопливному оборудованию.
26
— Работы по отопительному твердотопливному оборудованию.
— Работы по приборам учета расхода тепловой энергии.
Работы по сетям и системам водопровода:
— Работы по сетям горячего и холодного водоснабжения.
— Работы по приборам учета расхода воды.
— Работы по санитарно-техническим приборам.
Работы по системам вентиляции и кондиционирования воздуха.
Работы по технологическому оборудованию и металлоконструкциям:
— Оборудование сооружений связи, в т.ч. вышки, мачты.
— Подъемно-транспортное оборудование.
— Компрессорное оборудование.
— Оборудование предприятий пищевой, текстильной, полиграфической
промышленности, предприятий промышленности строительных материалов и др.
Системы пожарной и охранной сигнализации.
Электроснабжение и защита:
— Работы по сетям электроосвещения.
— Работы по силовому электрооборудованию.
— Работы по электромонтажу и приборам.
— Заземление и молниезащита.
2.
Автоматизация. Подгруппа автоматизация состоит из следующие
реализуемых услуг:
Автоматизация и диспетчеризация котельных, насосных и компрессорных
станций.
Автоматизация и диспетчеризация инженерного и технологического
оборудования.
Автоматизация систем отопления, водоснабжения, систем очистки.
Автоматизация систем управления процессом горения в технологическом
оборудовании.
3.
Мониторинг, техническое обслуживание и ремонт. Данная подгруппа
включает в себя следующие работы:
27
Оборудование теплоэнергетики:
— Обеспечение работоспособности котельных.
—
Обеспечение
работоспособности
промышленных
утилизационных
установок.
— Обеспечение работоспособности электрокотлов.
—
Обеспечение
работоспособности
сетей
отопления
и
горячего
водоснабжения.
Оборудование газораспределения и газопотребления:
— Обеспечение работоспособности газопотребляющего оборудования.
—
Обеспечение
работоспособности
сетей
газораспределения
и
газопотребления.
Оборудование электроэнергетики:
— Обеспечение работоспособности систем электроснабжения.
Оборудование перерабатывающих производств:
— Обеспечение работоспособности оборудования промышленных печей.
—
Обеспечение
работоспособности
оборудования
промышленных
работоспособности
оборудования
промышленных
сушильных установок.
—
Обеспечение
компрессорных установок.
— Обеспечение работоспособности технологического оборудования
Ремонт средств автоматики:
— Замена и ремонт электронных плат систем автоматического управления и
регулирования технологическими процессами.
4.
Услуги специализированные, данная подгруппа состоит из следующих
услуг:
Режимно-наладочные
испытания
паровых,
теплофикационных
и
водогрейных котлов, котлов-утилизаторов; наладка водно-химического режима
котлов.
Предпусковая
и
эксплуатационная
теплообменников, тепловых сетей.
химической
очистка
котлов,
28
Подбор
и
комплектация
котельного
оборудования,
оборудования
водоподготовки, средств автоматизации и контрольно-измерительных приборов,
оборудования и средств очистки;
— Подбор аналогов автоматики, КИП и оборудования взамен утраченных и
устаревших.
Определение технического состояния котлов, сосудов работающих под
давлением, трубопроводов пара и газа, металлоконструкций и резервуаров
неразрушающими методами контроля.
Изготовление поверхностей нагрева котлов, нестандартного оборудования и
металлоконструкций, приспособлений и техоснастки.
Разработка технического задания на проектирование котельных с паровыми
и водогрейными котлами, проектирование печных, сушильных и компрессорных
установок, систем автоматизации технологических процессов.
Анализ проектной, технической и технологической документации с выдачей
рекомендаций
по
усовершенствованию
проекта
водоподготовительных,
котельных, сушильных и других газоиспользующих установок.
Подготовка сметной документации на строительно-монтажные, пусконаладочные и ремонтные работы.
Проведение оценки качества выполненных строительно-монтажных, пусконаладочных, режимно-наладочных и ремонтных работ.
Выполнение функций заказчика по приемке выполненных работ.
Разработка и корректировка эксплуатационной документации.
В вышеуказанном перечне приведены все виды услуг, которые оказывает
данное предприятие, но на данный момент, из за сложившейся тяжелой ситуации
на рынке, примерно 90% деятельности предприятия связано с поддержанием
работоспособности котлоагрегатов, иначе говоря техническим обслуживанием
котлоагрегатов на предприятиях.
Примерно 7 лет назад, когда предприятие было довольно большое, в нем
была организована линейно функциональная структура управления. В связи со
сложившейся тягостной ситуацией на рынке, начиная с введения Федерального
29
закона № 44-ФЗ от 5 апреля 2013 года, происходили большие сокращения штата,
но линейно функциональная структура управления сохранила свое место на
предприятии, хоть и существенно изменилась. В целом,
такая организация
управления обеспечивает оперативность принятия и реализации управленческих
решений, единство и четкость распорядительства и исключает дублирование
полномочий и противоречивость распоряжений. Кроме этого, обеспечивается
повышение
ответственности
руководителя
за
результаты
деятельности
возглавляемого им подразделения, получение исполнителями увязанных между
собой
распоряжений
и
заданий,
обеспеченными
ресурсами
и
личная
ответственность за конечные результаты деятельности своего подразделения.
Организационная структура представлена многоуровневой иерархией
управления Всего на предприятии работает 15 человек. Подробнее изучить
организационную структуру можно на схеме ниже.
Директор
Главный инженер
Производственнотехнический
отдел
Бухгалтерия
Административнохозяйственный
отдел
Персонал на
аутсорсинге
Рисунок 1 – Структура управления предприятием
Перейдем к рассмотрению обязанностей персонала предприятия.
Директор – в обязанности директора входит очень много функций
предприятия. В первую очередь он является лицом предприятия и выполняет
представительские функции. Так же директор контролирует все процессы,
проходящие на предприятии, утверждает сметную стоимость проекта. Если на
предприятии образуется много участков работы, то директор может выполнять
функции главного инженера и даже прораба. Так же директор напрямую
30
взаимодействует и наемным персоналом. Директор к тому же отвечает за набор
кадров на предприятие и работу с клиентами.
Бухгалтерия – всю бухгалтерию предприятия ведет один бухгалтер,
работающий на 0.5 ставки. В обязанности бухгалтера входит правильное ведение
бухгалтерского и налогового учета, в соответствии с законодательством.
Административно хозяйственный отдел состоит из уборщицы, которая так
же работает на 0.5 ставки и кладовщика, работающего на 0.5 ставки. В обязанности
уборщицы входит поддержание чистоты офисного помещения, а в обязанности
кладовщика входят контроль за помещением склада, и организация хранения
производственных ресурсов.
Персонал на аутсорсинге – это относительно новая тенденция поддержания
работоспособности предприятия. Это подразделение состоит из монтажников
котельного оборудования от 3 до 6 разрядов, электросварщиков, так же от 3го до
6го разрядов, водителя категории В,С, команды промышленных альпинистов,
газосварщиков тех же разрядов и иного персонала который может быть
востребован для определенного вида работ. Юридический консультант, так же
входит в аутсорсинговый персонал и играет очень важную роль в существовании
предприятия, он следит за правильностью составления договоров и принимает
участие в судебных разбирательствах предприятия. Не так давно, все должности,
что были перечислены выше, входили в постоянный штат предприятия, но из за
сложившейся ситуации на рынке, просто напросто, экономически нецелесообразно
содержать такой штат на постоянной основе.
Главный инженер – в обязанности главного инженера входит контроль за
технической базой оказываемых услуг: обеспечить эффективность проектных
решений, своевременную и качественную подготовку производства, техническую
эксплуатацию, ремонт и модернизацию оборудования, достижение высокого
качества продукции в процессе ее разработки и производства.
Собственно, производственно – технический отдел и есть тот отдел,
благодаря которому предприятие осуществляет свою основную экономическую
деятельность. Он состоит из производителя работ и мастеров.
31
Производитель работ - прораб отвечает за обеспечение выполнения заданий
в установленные сроки, организация производства, ведение учета выполненных
работ.
Мастера – выполняют все работы, связанные с заказом в пределах своей
компетенции.
В табл. 1, ниже представлено соответствие должностных полномочий трем
уровням управления.
Таблица1. Соответствие должностных полномочий уровням управления
Уровни управления
Стратегический
Функциональные управления
Директор, Главный инженер
Функциональный
Бухгалтерия, производитель работ,
юридический консультант
Операционный
Мастера, уборщица, кладовщик, прочий
аутсорсинговый персонал
В табл. 2, в свою очередь, представлены выполняемые персоналом функции.
Таблица 2. Выполнение функций персоналом
Структурное
подразделение,
исполнитель
№
Функция
Уровни
подразделения
1
Общее руководство деятельностью
предприятия.
Стратегический
Директор
2
Контроль технической базы
оказываемых услуг.
Стратегический
Главный инженер
3
Отражение на счетах бухгалтерского
учета всех осуществленных
хозяйственных операций,
представление оперативной
информации о финансовом
состоянии компании.
Функциональный
Бухгалтер
4
Обеспечение выполнения заданий,
организация работ.
Функциональный
Производитель
работ
32
Продолжение таблицы 2
1
2
3
4
5
Правовое обеспечение деятельности
предприятия.
Функциональный
Юридический
консультант
6
Осуществление уборки помещений.
Операционный
Уборщица
7
Организация хранения
производственного оборудования.
Операционный
Кладовщик
8
Осуществления работ в соответствии
с поставленной задачей.
Операционный
Мастера
9
Осуществления работ в соответствии
с поставленной задачей.
Операционный
Прочий
аутсорсинговый
персонал
Ниже, на рис. 2а и 2б, можно увидеть взаимосвязь предприятия с внешней средой.
Рисунок 2а - Взаимосвязь предприятия с внешней средой
34
Рисунок. 2б - Взаимосвязь предприятия с внешней средой
Исходя из приведенный выше рисунков, следует отметить что предприятие в
относительно
большой
степени
взаимодействует
с
организационными
структурами, выдающими нормативно правовую базу для осуществления
деятельности. Взаимодействие с поставщиками носит непостоянный характер, так
как
организация
заказчик,
может
самостоятельно
организовать
закупку
оборудования и необходимых производственных материалов. Взаимодействие с
тендерными площадками, пожалуй, самое важное в существовании предприятия.
Если отказаться от данного мероприятия, то предприятию будет крайне трудно
выйти на действительно крупный контракт. Следует отметить, что, из-за
сложившихся рабочих отношений в фирме, взаимодействие с тендерными
площадками сконцентрировано как в руках директора, так и главного инженера,
причем даже обычный мастер может участвовать в обсуждении подачи заявки на
участие в тендере. Взаимодействие, с клиентом как правило, ограничивается на
согласовании условий, выполнении работ и послегарантийных обязательствах.
Далее, целесообразно приступить к анализу финансово-хозяйственной
деятельности СМП-2. Для проведения данного анализа будут приведены
коэффициенты финансовой устойчивости и ликвидности предприятия, а так же
коэффициенты
рентабельности.
Таблица
с
коэффициентами
финансовой
устойчивости и ликвидности СМП-2 приведена ниже:
Таблица 3. Коэффициенты финансовой устойчивости и ликвидности
предприятия
№
1
2
3
4
Название
коэффициента
коэффициент
концентрации
собственного капитала
коэффициент текущей
ликвидности
коэффициент быстрой
ликвидности
коэффициент
абсолютной
ликвидности
2017
2016
2015
Нормативное
значение
0,154
0,314
0,492
0,4-0,7
0,999
1,158
1,543
1
0,921
0,948
1,245
0,7-1
0,779
0,650
0,631
0,2-0,5
36
Рассмотрев показатели, приведенные в вышестоящей таблице, можно
сделать вывод о финансовой устойчивости и ликвидности предприятия.
Рассмотрев первый коэффициент: концентрации собственного капитала, можно
сделать вывод о том, что на предприятии, доля финансовых средств
принадлежащих владельцам фирмы достаточно мала, что говорит о том что
значительная доля активов принадлежит заемным источникам. Динамику
изменений данного показателя в сторону зависимости можно отследить так же по
строке 1520 бухгалтерской отчетности. В данной строке видно, что кредиторская
задолженность на предприятии выросла почти в 5.5 раз относительно 2015 года. Но
нельзя забывать про специфику отрасли и масштабы предприятия, в случае СМП2 зачастую обслуживаются бюджетные учреждения, что заведомо предусматривает
оплату услуги только после её выполнения и оплату с хорошей задержкой, так что
такой коэффициент может быть обоснован значительными задержками по оплате
деятельности и не говорит о полной финансовой зависимости СМП-2.
Коэффициент текущей ликвидности на момент 2017 года находится в
пределах нормативного показателя, что говорит о том, что общее значение
оборотных активов СМП-2 больше чем сумма краткосрочных обязательств, иначе
говоря на данный момент предприятие полностью платежеспособно. В показателе
2015 года явно просматривается замедление оборотных активов, что говорит о
неэффективности использования денежных средств.
Показатель коэффициента быстрой ликвидности говорит нам о том, что
предприятие в состоянии быстро погасить все свои текущие задолженности за счет
собственных средств. В 2015 году значение расчетного коэффициента было больше
единицы, что свидетельствовало о том, что при погашении долгов у предприятия
еще остались бы денежные средства, на момент 2017 года предприятие, так же в
состоянии погасить все свои обязательства, в виду того, что крайней границей
коэффициента является 0,7, а имеющееся значение лишь говорит о том, что
предприятие будет иметь небольшой долг, что в современной практике, является
вполне нормальным явлением. Не стоит забывать, что само предприятие оказывает
37
услуги «в долг», и возможно быстрое наращивание платежеспособности за счет
неучтенной оплаты деятельности.
Значение коэффициента абсолютной ликвидности в пределах нормативных
0,2-0,5 говорит о том, что предприятие способно в кратчайшие сроки погасить 2050% краткосрочных долгов по первому требованию кредиторов, в нашем случае
77%. Исходя из данных таблицы, можно сказать о том, что предприятие с каждым
годом наращивает платежеспособность, имея возможность использовать эти
активы. Данное состояние говорит о том, что предприятие придерживается
политики накопления денежных активов, во избежании непредвиденных рисков
пренебрегая возможностями быстроликвидных активов.
Далее следует рассмотреть коэффициенты рентабельности. Рассчитанные
значения этих коэффициентов приведены в таблице ниже.
Таблица 4. Коэффициенты рентабельности СМП-2
№
1
2
3
4
Название коэффициента
Коэффициент рентабельности активов
Коэффициент рентабельности
собственного капитала
Коэффициент рентабельности продаж
Коэффициент рентабельности
производства
2017
20,9%
2016
-21%
23,3%
-20%
3,6%
-0,8%
2,8%
-1,2%
Коэффициент рентабельности собственного капитала в 2017 году находится
в пределах среднего показателя ROE на территории РФ, а именно 20-25%. В 2016
году этот показатель был сильно ниже адекватного значения и требовал
немедленного наращивания собственного капитала, в нашем случае, за счет оплаты
услуг, оказанных ранее.
Коэффициент рентабельности продаж имеет значение в 3,6% на 2017 год. В
среднем предприятие с коэффициентом рентабельности ниже 5%, но больше 0
являются
низкорентабельными,
из
чего
следует
вывод,
что
СМП-2
низкорентабельное предприятие, но все же рентабельное. Следует отметить что
рентабельность продаж имеет собственный нормативный коэффициент для каждой
38
отрасли и для строительной организации он равен 6,8%, но СМП-2 со
строительством сталкивается крайне редко.
Исходя из того, что рентабельность производства на СМП-2 так же имеет
показатель отличный от 0 на 2017 год, можно сделать вывод, что предприятие ведет
вполне нормальную деятельность и не является убыточным, а все возможные
отклонения от безубыточной деятельности связаны как правило с несвоевременной
оплатой деятельности, что так же является просто-напросто нормой у бюджетных
организаций и всей имеющейся системой деятельности.
Таким образом, в данном разделе работы было приведено системное
представление предприятия, его организационной структуры с описанием
полномочий и обязанностей, описана внешняя среда организации. Так же в данном
разделе работы были рассчитаны и проанализированы показатели рентабельности
и коэффициенты финансовой устойчивости и ликвидности предприятия.
2.2 Анализ бизнес-архитектуры СМП-2
Анализ бизнес архитектуры традиционно включает в себя описание
основных бизнес процессов на предприятии. Модель архитектуры предприятия
аккумулирует
знания
о
его
процессах,
поведении,
информационных
и
материальных потоках, ресурсах и организационных единицах, инфраструктуре и
архитектуре систем. При этом главной целью моделирования должно являться не
только повышение интегрированности предприятия, но и поддержка его анализа в
самых различных разрезах (экономических, организационных, качественных,
количественных и т.д.) для совершенствования деятельности по принятию
решений, контролю, координации и мониторингу различных его частей.
Для наглядности представления следует описать главный функциональный
бизнес процесс СМП-2 в нотации IDEF0. Соответственно графическое
представление представлено на рисунках ниже:
Рисунок 3 – Главный функциональный бизнес процесс СМП-2
На приведенный выше материалах видно, что на главный функциональный
процесс оказывается управленческое воздействие со стороны руководств, правил и
нормативов. Данное воздействие четко прослеживается на всех уровнях
декомпозиции
главного
бизнес
процесса,
а
так
же
на
большинстве
функциональных блоков.
Механизмами деятельности на предприятии являются персонал и средства
обработки и хранения информации. Эти механизмы используются на этапах
функционирования бизнес процесса. Благодаря персоналу организации, СМП-2
может выполнять услуги связанные с обслуживанием и монтажом котельного
оборудования, а так же с некоторыми другими задачами поступающими от
заказчика. Так же с помощью персонала ведутся и все документационные работы
на предприятии.
Входом главного функционального бизнес процесса являются входящие
контракты. Именно от этой переменной зависит вся деятельность СМП-2. На
поступление контрактов можно оказать относительное влияние так как
присутствует тендерная система организации деятельности. Таким образом на
входящие контракты невозможно повлиять путем комплекса маркетинга и своей
деловой
репутацией. СМП-2
может только
предлагать свои
услуги
и
корректировать их в соответствии с возможностями и желаниями заказчика.
Выходом из главного функционального блока будут являться выполненные
контракты и экономическая отчетность.
На рисунке - 4 приведен первый уровень декомпозиции главного
функционального процесса. Рассмотреть рисунок можно ниже:
Рисунок 4 – Декомпозиция главного функционального блока
Таким образом, можно отследить, что для успешного функционирования
предприятия и поддержания функционирования главного бизнес процесса, он
должен быть разделен на 3 уровня или блока. Первый блок это управление
организацией. Помимо вышеописанных входов в главный функциональный
процесс в управление организацией входят многочисленные отчеты, а так же
информация о персонале организации. Выходами этого блока, в свою очередь
будут являться управленческие решения, финансовые средства и инструкции.
Второй блок – закупать оборудование имеет во входе список оборудования и
комплектующих, а так же финансовые средства из первого блока. Как в
управляющем воздействии к нему добавятся управленческие решения из первого
блока. Выходами из данного блока будут оборудования которое закупает СМП-2
для выполнения контрактов и отчеты о закупках.
Третий блока – выполнять контракты имеет в управляющих механизмах три
стартовых механизма и полученный в процессе деятельности управляющий
механизм из первого блока – управленческие решения. Входами в данный блок
будут инструкции из первого блока и купленное оборудование из второго.
Выходами будут различные отчеты и информация о необходимом персонале и
оборудовании которая, в свою очередь, идет в первый и второй блоки.
Далее представлена декомпозиция вышеперечисленный блоков в порядке
вышеописанного повествования.
Рисунок 5 – декомпозиция блока «управлять предприятием»
44
Рисунок 6 – декомпозиция блока «закупать оборудование и комплектующие»
45
Рисунок 7 – декомпозиция блока «выполнять контракты»
Таким образом, проанализировав главный функциональный бизнес процесс,
можно сделать вывод, что на предприятии этот процесс построен на основе
многолетнего опыта и адаптирован ко всем изъянам организации и сферы
деятельности в целом. Процессы не дублируются, принятие управленческого
решения или устранение сложной проблемы не заставит себя долго ждать.
Логическая цепочка процессов отслеживается легко, так же легко её можно
отследить посмотрев на вышеизложенную декомпозицию бизнес процесса СМП-2.
Единственное что вызывает вопрос это стрелка «инструкции» на рисунке - 4.
Может показаться, что процесс инструкции не имеет четкой обоснованности к
существованию, так как он подразумевает введение персонала организации в
предстоящую задачу, соответственно возникает вопрос корреляции этого процесса
с управленческими решениями. Отвечая на возможный вопрос следует
разграничить
эти
процессы.
Инструкции
подразумевают
можно
сказать
стандартный рабочий инструктаж, где работники получают сведения о
предстоящей работе и об условиях деятельности. Управленческие решения в
большей степени, попадая в блок А34, носят характер нормативного инструктажа
работников, о том, как следует взаимодействовать с заказчиком и его
подчиненными.
СМП-2 выполняет множество различных услуг, связанных с поддержанием
работоспособности котлоагрегатов. Описать каждую возможно, но в рамках
данной работы как недопустимо, так и нецелесообразно. Для предоставления
графической интерпретации технологический процессов СМП-2, более действенно
будет представить типовой технологический процесс в нотации IDEF3.
Уровень
процесса
Главный производственный технологический процесс
«СМП - 2"
Ответственный за процесс: Главный инженер
Дата
изменения
24.07.2017
Выполнять ТО
котлоагрегатов
Связаться с
заказчиком услуги
1.1
Организация
персонала оценки
работы
Определение
технического
состояния объекта
1.2
Оценка возможных
решений
1.3
1.4
Принятие решения
1.5
Х
J1
Закупка
необходимых
комплектующих
Ремонт
оборудования
1.6
1.7
O
J2
Организация
ремонтного
персонала
O
&
J3
1.8
Устранение
проблемы
Закупка нового
оборудования
1.13
1.10
Замена
оборудования
1.9
O
J4
Организация
монтажного
персонала
1.11
O
&
J5
Организация пусконаладочного
персонала
1.12
Осуществлять ТО котлоагрегатов
Рисунок 8 – Типовой технологический процесс предприятия
Версия
На приведенном выше рисунке, представлен типовой процесс выполнения
услуги, связанной с обслуживанием или запуска нового котельного оборудования.
Данная схема довольно проста и не представляет, сложности к пониманию
технологического процесса. Видно, что процессы не обременяют друг друга и
происходят одновременно. В свою очередь одновременность процессов может
повлечь простой работы при нарушении одной из функций, но как уже отмечалось
ранее такие простои решаются стабильно быстро из-за четко-отлаженной
структуры организации и выполнения всех процессов.
Таким образом, в данном разделе работы бил описан основной бизнес
процесс СМП-2. Для наглядности представления бизнес процесса он был описан в
соответствии с методологиями IDEF0, включая несколько уровней декомпозиции
главного функционального бизнес процесса и его основных составляющих, и
IDEF3
в
которой
был
представлен
типовой
технологический
процесс
осуществления технического обслуживания котлоагрегатов. Следует так же
отметить, что бизнес архитектура, является хорошо-организованной и не
нуждается
в
существенных
корректировках,
все
процессы
гармонично
взаимодействуют и не дублируют друг друга. Технологический процесс так же
вполне прост и сбалансирован и может подвергнуться корректировки, только при
внедрении дополнительного массива специализированных работ.
2.3 Описание информационно-технологической архитектуры СМП-2
Как и на любом предприятии, на СМП-2 информация играет ключевую роль
в существовании организации. Благодаря огромным массивам, проходящей
информации, предприятие может правомерно осуществлять деятельность. Под
словом правомерно выделяется именно та информация, которая определяет
нормативно-правовую базу выполняемых работ и правила выполнения работ. К
такой информации относится техника безопасности, правила проведения
техобслуживания, ремонта или пуско-наладки котельного оборудования, порядок
действий при возникновении незапланированных ситуаций и так далее.
Пренебрежение этой информацией может привести к непоправимым последствия,
49
например, нарушение техники безопасности, в лучшем случае, может привести к
финансовым потерям, а в худшем к гибели работников предприятия заказчика или
исполнителя.
К правовой информации можно так же отнести налоговую информацию. Эта
информация
играет
немаловажную
роль
в
обеспечении
непрерывности
деятельности организации, а соответственно в поддержании её нормальной
жизнедеятельности. Неправильное использование налоговой информации может
привести к заморозке счетов предприятия, что повлечет за собой приостановку как
текущей деятельности, так и невозможность взаимодействия с тендерными
площадками, а соответственно приведет к отсутствию новых контрактов. Как
правило,
с
помощью
налоговой
информации
можно
контролировать
и
юридическую чистоту сделки. На портале налоговой можно по ИНН проверить кто
в праве заключать договора на проведение работ, такая проверка поможет избежать
неприятных финансовых потерь.
Информация, поступающая от поставщиков важна для выполнения
контрактов, а так же для формирования условий новых контрактов. Предприятие
не может взяться за контракт, не зная хотя бы примерную объем финансовых
ресурсов который потребуется для выполнения этого контракта. Таким образом,
предприятие весьма тесно коррелирует с поставщиками тех или иных ресурсов.
Взаимодействие выделяется как минимум в периодическом мониторинге цен на те
или иные материальные ресурсы, которые, наиболее часто, встречаются при
выполнении работ. Примеров может послужить то, что если имеется заявка на
ремонт котельного оборудования, то перед формированием заявки на участие в
тендере, на СМП-2 уже имеется приблизительная информация о том во сколько
обойдется качественный ремонт и примерную цену оборудования, которое может
потребоваться для выполнения проекта.
Информация бухгалтерского учета и информация о контрактах, носят весьма
важный экономический характер. Роль бухгалтерской информации вполне понятна
каждому человеку и заострять на ней внимание, нецелесообразно. Роль
информации
о
выполнении
работ
как
о
существенной
экономической
50
составляющей, объясняется тем, что, в первую очередь, от этой информации
зависит получении прибыли после выполнения услуги. После выполнения той или
иной услуги предприятию заказчику предоставляется вся сметная документация, в
которой отражается движение денежных средств по мере выполнения заказа. При
неправильном составлении этой документации, предприятие исполнитель рискует
получить финансовые взыскания, или даже полный отказ от уплаты заказчиком
финансового вознаграждения за выполненные услуги.
Таблица 5. Архитектура информации СМП-2
№
1
2
3
4
5
Назначение
информации
Владелец
информации
(должность)
Доступность
информации
Бухгалтерский учет
Бухгалтер
Директор, бухгалтер
Налоговый учет
Бухгалтер
Директор, бухгалтер
Планирование
Директор
Планирование
Директор
Контроль деятельности
предприятия
Производитель
работ
Сущность
информации
Бухгалтерская
информация
Налоговая
информация
Информация о
поставщиках
Информация о
тендерах
Информация о
выполнении
контрактов
6
Информация о
нормах
производства
7
Юридическая
информация
В
приведенной
Контроль соблюдения
правил техники
безопасности и
нормативов
Правовой контроль
деятельности
предприятия
выше
таблице
Директор, главный
инженер
Директор, главный
инженер
Директор, главный
инженер,
производитель работ
Главный инженер
Директор, главный
инженер,
производитель работ
Директор
Директор, главный
инженер, бухгалтер,
производитель работ
можно
наблюдать
классификацию,
используемой на предприятии, информации. Так же в ней указаны владельцы
конкретной информации и лица имеющие допуск к ней. Следует отметить, что
многопрофильность деятельности директора отчетливо прослеживается на,
приведенной выше, таблице. Директор принимает участие непосредственно во всех
процессах организации, а так же контролирует все эти процессы. Главный инженер,
51
так же участвует во многих процессах организации, и помогает принимать
управленческие решения. Такой подход говорит о сплоченности коллектива
организации в поддержании успешного функционирования организации.
Движение внутренних информационных потоков предприятия представлено
на рисунках 6 с помощью программы RAMUS в соответствии с методологией DFD.
52
Рисунок 9а – Архитектура информации СМП-2
53
Рисунок 9б – Архитектура информации СМП-2
54
Как уже было представлено выше на предприятии обрабатываются немалые
массивы
информации.
Несомненно,
практически
вся информация
носит
ценностный характер и важна для непрерывного функционирования организации.
Соответственно, для всех потоков информации должны быть организованны и
мероприятия, обеспечивающие безопасность этих потоков. Следует отметить, что
в СМП-2 все меры защиты информации можно назвать отсутствующими. На
предприятии никаким образом не предусмотрена защита от несанкционированного
воздействия на информацию. Документация никак не защищена от внутренних и
тем более внешних угроз безопасности. На компьютерах просто-напросто
отсутствую даже бесплатные антивирусные программы, нет фаирволов, не
предусмотрены мероприятия резервного копирования, и даже нет средств защиты,
которые
направлены
на
сохранность
данных
при
непреднамеренных
обстоятельствах, например, при резких перепадах электроэнергии.
Далее необходимо описать архитектуру приложений на СМП-2. Для этого
будут приведены используемые приложения и их характеристики, а так же
требования к системе, так же будет приведен перечень аппаратуры, используемой
на предприятии для работы с приложениями, к каждой единице аппаратуры будет
дано техническое описание.
Таблица 6. Архитектура информационно-технологических ресурсов СМП-2
№
1
Наименование
информационнотехнологическог
о ресурса
OKLICK Keyboard
& Optical Mouse
<600M> Black
(Кл-ра,
USB,+Мышь 6кн,
Roll, USB)
<337142>
Технические
характеристики
ресурса
Технические
характеристики
аппаратуры
Кол-во
Стоимость
ресурсов
Проводная клавиатура
и мышь комплектом
3 штуки
Проводная клавиатура и
мышь комплектом
3 штуки
4
1470
55
Продолжение таблицы 6
1
2
3
2
3
4
5
6
18.5" ЖК монитор
Viewsonic
VA1901-A (LCD,
Wide, 1366x768,
D-Sub)
Макс. частота
обновления
кадров 75 Гц
Тип матрицы
экрана TFT TN
Тип ЖК-монитор,
широкоформатный
Подсветка WLED
Диагональ 19"
Разрешение
1366x768 (16:9)
Подсветка без
мерцания (Flicker-Free)
есть
3 штуки
Макс. частота
обновления кадров
75 Гц
Тип матрицы
экрана TFT TN
Тип
ЖК-монитор,
широкоформатный
Подсветка
WLED
Диагональ 19"
Разрешение 1366x768
(16:9)
Подсветка без мерцания
(Flicker-Free) есть
3 штуки
4
17100
Системный блок
ASUS H110M-K (RTL)
LGA1151 <H110> PCIE Dsub+DVI GbLAN
SATA MicroATX
2DDR4
CPU Intel Core i3-7100
3.9 GHz/2core/SVGA
HD Graphics 630/0.5+
3Mb/51W/8 GT/s
LGA1151
DEEPCOOL <DPMCAL-GA> GAMMA
ARCHER (3пин,
AM4/775/1155, 21дБ,
1600об/мин, Al)
Crucial
<CT4G4DFS824A>
DDR4 DIMM 4Gb
<PC4-19200> CL17
HDD 500 Gb SATA
6Gb/s Toshiba P300
<HDWD105UZSVA>
3.5" 7200rpm 64Mb
Корпус Minitower
Codegen "M105-A11",
mATX, черно-серебр.
(450Вт)
ASUS H110M-K (RTL)
LGA1151 <H110> PCI-E
Dsub+DVI GbLAN
SATA MicroATX
2DDR4
CPU Intel Core i3-7100
3.9 GHz/2core/SVGA HD
Graphics 630/0.5+
3Mb/51W/8 GT/s
LGA1151
DEEPCOOL <DPMCAL-GA> GAMMA
ARCHER (3пин,
AM4/775/1155, 21дБ,
1600об/мин, Al)
Crucial
<CT4G4DFS824A>
DDR4 DIMM 4Gb <PC419200> CL17
HDD 500 Gb SATA
6Gb/s Toshiba P300
<HDWD105UZSVA>
3.5" 7200rpm 64Mb
Корпус Minitower
Codegen "M105-A11",
mATX, черно-серебр.
(450Вт)
2
19068
56
Продолжение таблицы 6
1
4
5
6
2
Системный блок
Системный блок
МФУ Pantum
"M6500"
3
GIGABYTE GAE3800N rev1.0/1.1
(AMD athlon2 x2-1.8
onboard) (RTL)
Dsub+HDMI GbLAN
SATA Mini-ITX
2DDR2
HYUNDAI/HYNIX
DDR3 DIMM 1Gb
HDD 500 GB SATA
6Gb/s Toshiba
<DT01ACA050> 3.5"
7200rpm 32Mb
Miditower D-Computer
<Q1B> Black ATX
350W (24+4пин)
ASUS H110M-K (RTL)
LGA1151 <H110> PCIE Dsub+DVI GbLAN
SATA MicroATX
2DDR4
CPU Intel Pentium
G4400 3.3
GHz/2core/SVGA HD
Graphics
510/0.5+3Mb/54W/8
GT/s LGA1151
DEEPCOOL <DPMCAL-GA> GAMMA
ARCHER (3пин,
AM4/775/1155, 26.1дБ,
1600об/мин, Al)
Crucial
<CT4G4DFS824A>
DDR4 DIMM 4Gb
<PC4-19200> CL17
HDD 500 Gb SATA
6Gb/s Toshiba P300
<HDWD105UZSVA>
3.5" 7200rpm 64Mb
Корпус Minitower
Codegen "M105-A11",
mATX, черно-серебр.
(450Вт)
Тип Многофункциона
льное
устройство
(лазерный
принтер,
планшетный сканер,
копир)
4
5
6
GIGABYTE GA-E3800N
rev1.0/1.1 (AMD athlon2
x2-1.8 onboard) (RTL)
Dsub+HDMI GbLAN
SATA Mini-ITX 2DDR2
HYUNDAI/HYNIX
DDR2 DIMM 1Gb
HDD 500 GB SATA
6Gb/s Toshiba
<DT01ACA050> 3.5"
7200rpm 32Mb
Miditower D-Computer
<Q1B> Black ATX 350W
(24+4пин)
1
7900
ASUS H110M-K (RTL)
LGA1151 <H110> PCI-E
Dsub+DVI GbLAN
SATA MicroATX
2DDR4
CPU Intel Pentium G4400
3.3 GHz/2core/SVGA HD
Graphics
510/0.5+3Mb/54W/8
GT/s LGA1151
DEEPCOOL <DPMCAL-GA> GAMMA
ARCHER (3пин,
AM4/775/1155, 26.1дБ,
1600об/мин, Al)
Crucial
<CT4G4DFS824A>
DDR4 DIMM 4Gb <PC419200> CL17
HDD 500 Gb SATA
6Gb/s Toshiba P300
<HDWD105UZSVA>
3.5" 7200rpm 64Mb
Корпус Minitower
Codegen "M105-A11",
mATX, черно-серебр.
(450Вт)
1
14180
Тип Многофункциональ
ное
устройство
(лазерный
принтер,
планшетный
сканер,
копир)
3
14846
57
Продолжение таблицы 6
1
7
8
9
10
2
Microsoft Windows
7 Professional (Pro
Профессиональна
я)
SP1
32-bit
Russian
CIS
Georgia 1pk DSP
OEI Not to China
DVD LCP
Пакет Microsoft
Office 2010
3
НазначениеОперационная
система, Версия Microsoft Windows
Professional 7 SP1 32bit, Платформа десктоп, Срок
использования бессрочное, Форма
поставки- конверт с
диском, Количество
лицензируемых
объектов – 1, Вес
брутто - 54 г
Операционная
система: Microsoft
Windows XP с пакетом
обновления 3 (SP3)
или более поздняя
версия или Microsoft
Windows Server 2003
или более поздняя
версия; Компьютер и
процессор: ПК с
процессором 500 МГц
или более, 256 или
более МБ ОЗУ;
дисковод для DVDдисков;Жесткий диск.
4
5
6
НазначениеОперационная система,
Версия - Microsoft
Windows Professional 7
SP1 32-bit, Платформа десктоп, Срок
использования бессрочное, Форма
поставки- конверт с
диском, Количество
лицензируемых
объектов – 1, Вес брутто
- 54 г
1
2490
1
7950
Процессор Intel Pentium
III, 500 МГц
ОЗУ 256 МБ PC100
SDRAM
Windows XP Professional
с пакетом обновлений 3
(SP3)
Пакет Microsoft
Office 2003
Поддержка Windows 7,
Windows Vista,
Windows XP, Windows
2000, Windows Server
2003, Windows 2000
Server
Pentium 233 МГц или
выше, RAM 128 Мб,
свободные 290 Мб на
жестком диске, монитор
и видеокарта с
поддержкой режима
SVGA (800 x 600)
1
-
1 – С бухгалтерия
Операционная
система: MS Windows
98/Me, MS Windows
NT 4.0/2000/XP/Server
2003 (рекомендуется
MS Windows
2000/XP/Server 2003);
процессор Intel
Pentium II 400 МГц и
выше (рекомендуется
Intel Pentium III 866
МГц); оперативная
память 128 Мбайт и
выше.
Операционная система:
Windows XP; процессор:
Intel Pentium III 500
МГц; оперативная
память: 512 Мбайт;
жесткий диск: 100 Гб.
1
8210
58
Продолжение таблицы 6
1
11
2
«ГРАНД-Смета»
7.3, 8.0
3
ПК с процессором
семейств Intel®
Pentium®/Celeron®/Ita
nium®/ Xeon™, AMD
Athlon™/Duron™ или
совместимым с ними
процессором, частотой
не ниже 1 Ггц.
Операционная система
Windows XP и выше
(для работы с
локализованным
интерфейсом
операционная система
должна обеспечивать
необходимую
языковую поддержку).
MS Office 2003 и
выше.
DirectX 6.0 и выше.
Оперативная память не
менее 1 Гб.
Файловая система FAT
32/NTFS.
Рекомендуется NTFS.
Установка сервера ПК
«ГРАНД-Смета»
производится только
на файловую систему
NTFS.
Свободное место на
жестком диске не
менее 600 Мб.
4
5
6
1
25000
Видеоплата и монитор с
разрешением не менее
1024 х 768 точек.
Клавиатура, мышь или
другое указательное
устройство.
59
Продолжение таблицы 6
1
12
13
2
AutoCAD
Интернет ресурс
связь ДС
3
Microsoft® Windows®
7 Enterprise, Ultimate,
Professional или Home
Premium), Microsoft®
Windows® XP
Professional, Home
edition (SP3 или выше)
Для Windows 7:
процессор Intel®
Pentium® 4 или
двухъядерный
процессор AMD
Athlon™ с тактовой
частотой 3 ГГц или
выше, с поддержкой
SSE2
2 ГБ оперативной
памяти (для лучшей
производительности
желательно 4 ГБ)
6 ГБ дискового
пространства для
установки
Microsoft® Internet
Explorer® 7.0 или
выше
Потребуется
подключение к
Интернету или DVDпривод
Предоставление
доступа к сети
интернет
Итого
4
Монитор с разрешением
не менее 1024 x 768 и
поддержкой режима true
color (рекомендуется
разрешение 1600 х 1050
и выше)
5
6
1
30000
1
500
Клавиатура, мышь или
другое указательное
устройство.
Сетевая плата
253184
Исходя из приведенной выше таблицы, можно сделать вывод о
несбалансированности, используемой аппаратуры. В таблице указан один
системный блок, характеристики которого утратили актуальность еще в далеком
прошлом. Этим компьютером оперирует делопроизводитель, именно для него на
предприятии до сих пор содержится пакет офиса 2003 года, так как офис 10 года на
нем существенно «тормозит», но тем не менее этого достаточно для выполнения
своих обязанностей делопроизводителю. В приведенной выше таблице, так же
можно заметить и полное отсутствие антивирусного ПО, что говорит о полной
пренебрежении данным видом ПО на предприятии.
60
В приведенной ниже таблице будут описаны результаты применения ИТ
ресурсов на предприятии, а так же взаимосвязь этих ресурсов.
Таблица 7. Результат применения ИТ ресурсов
№
1
2
3
4
Наименование
информационнотехнологического
ресурса
Результат применения
ресурса
Взаимосвязь результатов
применения ресурсов
MS Office
Преобразование
документов из
электронного вида в
бумажный. Создание
удобных таблиц для
работы непосредственно в
MS Office, так и в других
программных продуктах.
Взаимосвязь с 1С: Предприятие 8
и Гранд Смета. За счет
совместной работы программных
продуктов регламентированную
отчетность можно выгрузить в
формате doc. docx., что позволяет
без труда исправить, выбрать
интересующую информацию и
распечатать.
1С: Бухгалтерия 8
Ведение контроль
финансовой деятельности
предприятия.
Взаимосвязь с MS Office.
Точнейшие инженерные
чертежи в 2D или 3D
генерации, наглядно
демонстрирующие объем
работы по контракту.
Взаимодействие с программами
MS Office и ГРАНД-Смета. В
Office составляется отчет
который в последующем
используется для составления
сметной документации в
программе ГРАНД-Смета.
Составление и проверка
сметных отчетов,
составление актов
выполненных работ по
различным формам
справок, составление всех
видов сметной
документации.
Взаимодействие со всеми
вышеперечисленными
программами. В MS Office из
этой программы поставляется
информация доя печати и
корректировки отчетности или
справок, из AutoCAD мы
получаем план проекта и
составляем по нему сметную
документацию, в 1С: Бухгалтерия
AutoCAD
ГРАНД-Смета
Как уже отмечалось каждая программа тесно взаимосвязана друг с другом.
Результаты деятельности одной программы является стартом или ресурсом для
деятельности другой программы. Следует заметить, что на СМП-2 нет никакого
61
приложение отвечающего за сохранность информации или её копирование хотя бы
облачное.
На рисунках ниже представлена архитектура информационных технологий в
контексте IDEF0. Таким образом, можно наблюдать принципы и результаты
использования программ на предприятии, а так же, информационные потоки и
документы которые получаются от использования приложений. На данных
рисунках так же видно каким образом информация перерабатывается программами
и оказывает влияние как на внешнюю среду архитектуры предприятия, так и на
внутреннем уровне архитектуры приложений. Все вышеперечисленное можно
наблюдать на рис. 10 и 11, представленных ниже:
62
Рисунок 10 – Архитектура технологий СМП-2
63
Рисунок 11 – Декомпозиция архитектуры технологий
Таким образом в третьем пункте данной главы дипломной работы были
описаны
информационные
ресурсы
СПМ-2.
В
данном
разделе
была
классифицирована используемая предприятием информация с указание владельцев
информации и круга лиц, имеющим доступ к этой информации. Были описаны
информационные потоки в контексте Data flow diagram. Была описана архитектура
приложений СМП-2. Описаны все используемые приложения, описаны требования
этих приложений к аппаратуре, описаны результаты использования приложений, а
так же указано возможное направление взаимодействия этих приложений. Так же
для описания архитектуры приложений, был приведен перечень всей аппаратуры
предприятия, с указанием технических характеристик и стоимостью. Так же в
данном разделе был описан процесс, показывающий, что дает предприятию
использование приведенного перечня приложений.
Вывод: в данной главе дипломной работы была изучена архитектура
предприятия. Изучение АП СМП-2 проводилось в три этапа. Первым этапом было
изучение организационной архитектуры предприятия и описание его финансовохозяйственной деятельности. В процессе изучения была описана внешняя среда
предприятия, соответствия должностных полномочий выполняемым процессам и
сами выполняемые процессы.
Вторым этапом стал анализ бизнес-архитектуры СМП-2. В данном анализе
был описан бизнес процесс предприятия в нотации IDEF0 и типовой
технологический процесс в нотации IDEF3.
В третьем этапе производился анализ информационно технологической
архитектуры предприятия с указанием проблем в данной архитектуре. Были
описаны приложения, используемые на предприятии, аппаратура на которой
реализуются
приложения
и
был
смоделирован
результат
использования
приложений в нотации IDEF0, смоделировано движение потоков информации.
65
3. РАЗРАБОТКА КОНЦЕПЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ
ООО СМП-2
3.1 Разработка концепции информационной безопасности СМП-2
Как уже отмечалось ранее на СМП-2 циркулирует множество различной
информации. Это и сметная документация, и экономическая документация, и
конфиденциальная информация о юридических лицах, которые пользуются
нашими
услугами,
нормативы и
законы которым подчиняется СМП-2,
конфиденциальная информация о работниках нашего предприятия, и еще много
различных видов информации. Вся эта информация, должна быть сохранена в
целостности, быть всегда доступной для пользования по назначению и не быть
доступной для посторонних лиц. Эти три принципа являются основой при работы
с информацией и всегда должны быть четко обеспечены на любом объекте.
Исходя из анализа архитектуры СМП-2, а именно его информационной
архитектуры, можно сделать вывод о том, что на данном предприятии полностью
отсутствует какая-либо система защиты и хранения информации. Данная ситуация
недопустима так как это полное пренебрежение законами Российской Федерации и
возможными экономическими рисками, связанными с эксплуатацией такой
информационной системы. Несмотря на то, что предприятие уже несло
экономические потери, связанные с отсутствием мер защиты информации, оно все
равно продолжает эксплуатировать такую систему.
Для решения сложившийся проблемы, в рамках данной работы, мною будет
разработана концепция информационной безопасности. Стоит сразу отметить, что
данная концепция будет предложена к внедрению на СМП-2. Данная концепция
будет регулярно дорабатываться уже во время эксплуатации на предприятии. Стоит
отметить, что при разработки концепции информационной безопасности в первую
очередь формируется рабочая группа разработчиков, что в рамках данной работы
невыполнимо.
В рамках данной концепции будут описаны объекты защиты, цели и задачи
разработки концепции, основные актуальные угрозы безопасности информации на
66
СМП-2, принципы построения системы защиты информации, меры, методы и
средства решения поставленных задач и первоочередные мероприятия.
1 Объекты защиты. Для определения объектов защиты в первую очередь
необходимо классифицировать информацию, которая используется в СМП-2, во
время его обычной жизнедеятельности. Таким образом в СМП-2 используется:
-
нормативная
информация
–
включает
в
себя
законодательную,
инструктивную, методическую и стандартную информацию, а так же всю
необходимую документацию, необходимую для целостного отображения и
обработки данной информации;
- техническая информация – проектно-сметная документация, экспертная
документация, дефектные ведомости по ремонту, сертификаты на материалы и
изделия, документация на технологическое оборудование и т.д.;
- организационно – технологическая информация – проекты производства
работ, тендерно – договорная информация, акты выполнения и приемки работ;
-
экономико
–
управленческая
информация
–
организационно
–
распорядительная информация, информация бухгалтерского учета, документы по
труду, отчетно – статистические документы.
Все вышеперечисленные виды информации создаются и используются на
предприятии во время выполнения тех или иных работ связанных с выполнением
контрактов
или
просто
поддержанием
функционирования
предприятия.
Информация и возникающая из неё документация обрабатывается под действием
следующих нормативов:
ГОСТ Р 7.0.8-2013
(ДЕЛОПРОИЗВОДСТВО И
АРХИВНОЕ ДЕЛО. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ.) [53], ОК «УД» 011—93
(ОБЩЕРОССИЙСКИЙ
КЛАССИФИКАТОР
УПРАВЛЕНЧЕСКОЙ
ДОКУМЕНТАЦИИ) [54].
Так же вся вышеперечисленная информация должна быть надежно защищена
в соответствии с Федеральным законом «Об информации, информационных
технологиях и о защите информации» от 27.07.2006 N 149-ФЗ [55] и Федеральный
закон «О персональных данных» от 27.07.2006 N 152-ФЗ [56], но в виду
неопределенных факторов, как уже отмечалось ранее, этого не происходит.
67
Существует еще множество нормативно – правовых аспектов информационной
безопасности, но в рамках данной работы, да и в рамках строительно-монтажной
компании, приводить эти документы и разрабатывать концепцию информационной
безопасности, которая будет включать и приведенные там угрозы, и методы
защиты информации, просто-напросто нецелесообразно.
Вся информация на предприятии хранится в виде бумажных и электронных
документов, бумажные документы хранятся в сейфе, и на рабочих местах
персонала, который занимается производством и обработкой того или иного
массива информации. С электронным документооборотом все обстоит куда
сложнее. Если рассматривать хранение электронной информации со стороны
одного документа, например сметы, то она может храниться на компьютере, на
котором она была создана, на компьютере на котором, её получили из внешней
среды организации, на компьютере адресате, на который она была отправлена
после создания для проверки или уточнения данных, или еще для какие либо целей.
Таким образом один документ, смета, может храниться как на многих компьютерах
сразу, так еще и передаваться через корпоративную электронную почту. Зачастую
из-за простоты и удобства такой передачи информации, через корпоративный
почтовый ящик могут проходить немыслимые, с точки зрения обеспечения защиты
информации, информационные потоки.
Уровни доступа информации уже были представлены в таблице - 1 пункта
2.1 второй главы данной работы. Но стоит отметить, что уровень доступа понятие
относительно – нестабильное учитывая, что к корпоративной почте имеет доступ
весь персонал, занимающийся обработкой информации. Это и бухгалтер, и главный
инженер, и делопроизводитель, и, наконец, директор, который только единолично
может иметь доступ ко всей информации на предприятии.
Таким образом, объектом защиты будет вся информация производимая, и
обрабатываемая предприятием.
2 Цели и задачи информационной безопасности. В первую очередь, для
конкретизации целей разработки концепции информационной безопасности, стоит
понимать какими интересами обладают субъекты информационных отношений. От
68
лица СМП-2 как субъекта, главной целью будет поддержание жизнедеятельности
и получение прибыли за выполнение контрактов. Со стороны поддержания
жизнедеятельности, главной угрозой является приостановка деятельности,
связанная с невыполнением нормативов и законодательства, а со стороны
получения прибыли, угроза будет заключаться в непреднамеренных финансовых
потерях, вызванных брежью в информационной безопасности предприятия. Так же
к внутренним субъектам информационных отношений можно отнести весь
персонал организации, независимо от того связан ли он с обработкой и
производством информации или нет. Например, каждый работник заинтересован в
конфиденциальности предоставленных, им персональных данных и не хочет,
чтобы они попали в руки злоумышленникам, что так же подкрепляется
законодательством ст. 152 ФЗ.
Со стороны внешней среды организации субъектами информационных
отношений будут как заказчики услуг, которые заинтересованы в получении
качественной рабочей документации и конфиденциальности предоставленной
информации, так и контролирующие организации, которые заинтересованы в
получении исключительно достоверной отчетной документации и соблюдении
законодательства по обработке и хранению информации.
Таким образом, целью разработки концепции информационной безопасности
можно
назвать
выполнение
вышеперечисленных
требований,
а
если
сформулировать более точное определение, то основной целью разработки
концепции
информационной
информационных
безопасности
отношений,
интересы
является
которых
защита
субъектов
затрагиваются
при
функционировании информационной системы, от возможного нанесения им
ощутимого
посредством
материального,
случайного
физического,
или
морального
преднамеренного
или
иного
ущерба
несанкционированного
вмешательства в процесс функционирования ИС или несанкционированного
доступа к циркулирующей в ней информации и ее незаконного использования.
69
Данная
цель
может
быть
достигнута
только
при
соблюдении
вышеупомянутых признаков информации, а именно, конфиденциальности,
доступности и целостности.
Для достижения поставленной цели так же нужно решить ряд задач:
- разграничение прав доступа к компьютерам, установленным на них
средствам защиты;
- организация методов копирования и архивирования информации;
-
реорганизация
устоявшейся
системы
внутриорганизационного
документооборота на предприятии;
- минимизация рисков механического вредоносного воздействия на
компьютеры;
- организация программных мер защиты информации;
- организация мер минимизации потерь информации и застоев в обработке
информации при непредвиденных обстоятельствах.
3 Основные актуальные угрозы безопасности информации на СМП-2.
Существует огромное множество угроз информационной безопасности, но в
рамках рассматриваемого предприятия выделять их все просто нецелесообразно,
из за масштабов предприятия и его рыночного веса. Следует отметить что в рамках
данной работы не будут рассматриваться методы утечки информации, за счет
акустических сигналов с стенах и перекрытиях, съем информации с принтера, съем
информации с помощью видеозакладок, съем информации с окон, утечка по цепям
заземления и т.д. Несомненно, все вышеперечисленной может послужить
носителем огромного экономического риска для СМП-2, но в рамках данной
организации, заниматься такими шпионскими делами, действительно, не имеет
смысла.
Как уже отмечалось ранее, для СМП-2 важно предотвратить кражу
информации, её несанкционированное изменение и минимизировать риски потери
информации. Все вышеперечисленные угрозы могут как лишить предприятия
финансовой прибыли, так и вовсе приостановить его деятельность на
неопределенный срок со штрафными санкциями. Таким образом в данном разделе
70
концепции следует указать какие именно виды угроз безопасности могут привести
к таким последствиям.
В данной организации к актуальным угрозам безопасности можно отнести в
первую очередь ошибки обслуживающего персонала и пользователей, а именно на
СМП-2 есть риск потери информации, связанный с отсутствием системы
резервного копирования данных, при отсутствии такой практики любое, даже
случайное, уничтожение данных может обернуться для предприятия серьезным
последствием. Второй немаловажной угрозой для предприятия остается потеря или
искажение информации связанная с действием вредоносного ПО. Так же стоит
отметить то, что существует огромное количество видов вредоносного ПО во всем
мире, но с каждым годом такие программы устаревают и на их место приходят
новые. Отзываясь последним тенденциям в разработке вирусов, следует заметить,
что наиболее распространены в настоящее время вирусы типа TROJAN.
Троянская программа
— это вредоносный код, совершающий не
санкционированные пользователем действия (например, кража информации,
уничтожение или модификация информации, использование ресурсов машины в
злонамеренных целях и т.д.). Троянские программы являются наиболее
распространенными в киберсреде, так как существует множество конструкторов,
позволяющих даже неопытному пользователю создавать собственные программы
данного типа.
Из современных вирусов следует отметить два вируса, которые могут
нанести колоссальный вред СМП-2. Стоит так же отметить что данные вирусы
были обнаружены весной 2018 года лабораторией касперского и на данный момент
являются вполне молодыми. Первый из опасных молодых троянов это MEZZO.
Данный вирус способен похищать материальные средства у разных фирм при
помощи подмены реквизитов во время обмена файлов между бухгалтерским
программным обеспечением «1C» и банковскими механизмами. Как считают
эксперты, вирус пока мало кому навредил, но ведущая часть заражений происходит
в РФ, что страшит отечественных пользователей. Вирус собирает нужные ему
данные, что подразумевает подготовку к акции по краже денег. Именно с такой
71
версией происходящего выступают в «Лаборатории Касперского». Новый троян
отличается от своих предшественников тем, что у него значительно более
упрощенный алгоритм поиска и проверки нужных ему файлов. Программисты
считают, что спустя время вирус может продвинуться и за рубежи бухгалтерских
систем. Второй вирус относится к категории шифровальщиков и
называется
SamSam. Суть этого вируса заключается в том что он способен генерировать свой
собственный алгоритм шифрования. Вирус работает на операционных системах не
ниже Vista. При зашифровке файлов он создает html файл с требованием выкупа за
расшифровку и инструкциями как и куда оплачивать, так же в записке указано, что
файлы нельзя изменять никаким образом иначе в дальнейшем их будет невозможно
расшифровать. На данный момент цена выкупа и дешифровки составляет 870
тысяч рублей.
Выше были приведены всего два новейших троянских вируса, честно говоря,
не хватает фантазии, представить какие последствия будут при действии хотя бы
первого вируса MEZZO. Можно с уверенностью сказать то, что финансовые потери
будут колоссальные. Несмотря на то что описанные выше вирусы и без того
опасны, стоит помнить о все еще функционирующем вирусе bad rabbit. Данный
вирус так же относится к категории шифровальщиков и все еще может
распространяться различными интернет ресурсами, стоит отметить что на старте
массового заражении он распространялся через порталы СМИ, и неизвестно какие
порталы продолжают его распространение сегодня.
Сбои
электропитания
так
же
являются
большими
угрозами
для
информационной безопасности. Сбой электропитания может закончиться тем, что
всю несохраненную информацию придется обрабатывать или создавать заново или
же, такой сбой может закончиться восстановлением всей информации на
сгоревшем носителе.
В рабочее время, на территорию предприятия через кпп может пройти любой
желающий, в короткое время он может нанести непоправимый ущерб
оборудованию персонала, или же как угодно изменить проектную документацию.
72
Данное обстоятельство так же может привести к серьезным финансовым потерям
предприятия. И это несмотря на то что на территории предприятия есть КПП.
Выше приведены основные источники угроз безопасности информации на
СМП-2, в задачах были указаны аспекты, которые не упоминаются в списке угроз,
но так или иначе устранение вышеперечисленных угроз позволить решить
практически все изложенные задачи на предприятии.
4
Принципы
разработки
концепции.
Концепция
информационной
безопасности должна разрабатываться в соответствии следующим принципам:
Принцип законности – предполагает осуществление защитных мероприятий
и разработку системы безопасности информации ИС организации в соответствии с
действующим законодательством.
Принцип преемственности и совершенствования – предполагают постоянное
совершенствование мер и средств защиты информации.
Принцип разумной достаточности (экономическая целесообразности) –
предполагает
соответствие
уровня
затрат
на
обеспечение
безопасности
информации, ценности информационных ресурсов и величине возможного ущерба.
Принцип персональной ответственности – предполагает возложение
ответственности за обеспечение безопасности информации и системы ее обработки
на каждого сотрудника в пределах его полномочий.
Принцип
минимизации
полномочий
–
означает
предоставление
пользователям минимальных прав доступа в соответствии с производственной
необходимостью.
Принцип взаимодействия и сотрудничества – предполагает создание
благоприятной атмосферы в коллективах подразделений.
Принцип гибкости системы защиты – для обеспечения возможности
варьирования уровня защищенности, средства защиты должны обладать
определенной гибкостью.
Принцип простоты применения средств защиты – механизмы защиты
должны быть интуитивно понятны и просты в использовании, без значительных
дополнительных трудозатрат.
73
Принцип научной обоснованности и технической реализуемости
–
информационные технологии, технические и программные средства, средства и
меры защиты информации должны быть реализованы на современном уровне
развития науки и техники, научно обоснованы с точки зрения достижения
заданного
уровня
безопасности
информации
и
должны
соответствовать
установленным нормам и требованиям по безопасности информации.
Принцип обязательности контроля – предполагает обязательность и
своевременность выявления и пресечения попыток нарушения установленных
правил безопасности.
Еще один принцип необходимый для разработки полноценной концепции
информационной безопасности это принцип специализации и профессионализма.
Данный принцип предполагает привлечение к разработке средств и реализаций мер
защиты
информации
специализированных
организаций,
имеющих
опыт
практической работы и государственную лицензию на право оказания услуг в этой
области. Реализация административных мер и эксплуатация средств защиты
должна осуществляться профессионально подготовленными специалистами. Как
уже писалось ранее данная работа не предполагает привлечение дополнительных
специалистов, соответственно не сможет обладать полнотой данных присущей
профессиональной разработке концепции.
5 Меры, методы и средства решения поставленных задач. Как уже отмечалось
ранее, для выполнение цели разработки концепции информационной безопасности
необходимо решить 6 задач.
Первая задача - это разграничить права доступа к компьютерам и
установленным на них средствам защиты. Доступ к компьютерам ограничивается
простым образом: разграничением учетных записей и установлением уникального
пароля на каждую. Таким образом на каждом компьютере создается две учетные
записи обладающие практически одинаковыми уровнями доступа, но разными
паролями для входа. Одна учетная запись будет принадлежать директору, а другая
пользователю компьютера, например, бухгалтеру. Директор организации так же
имеет доступ к компьютеру пользователя в связи с тем, что ему подвластны все
74
массивы информации на предприятии. Так же в непредвиденных ситуациях, когда
может срочно понадобиться бухгалтерская информация, а бухгалтера не будет на
месте директор будет в праве извлечь необходимую ему информацию, а так же
оперативно
её
редактировать.
В
случае
повреждения,
удаления,
или
незапланированного копирования, передачи информации, а так же нанесения вреда
системы, каким либо ошибочным действием, будет использоваться просмотр
журнала windows, а именно просмотра журнала безопасности, журнала
приложений, журнала времени изменения файлов. Таким образом, в случае
необходимости, можно с легкостью отследить какие файлы были изменены и кем
они были изменены, а так же в какое время они были изменены. Данный подход
поможет моментально выявить нарушителя, а так же выявить какие файлы
подлежат восстановлению и за какой период времени их восстанавливать, что
может
сэкономить
большой
период
времени
который
может
занимать
восстановление системы. Далее все системные папки и программы, которые не
должны
использоваться
рядовым
пользователем
компьютера,
например,
антивирусные приложения и межсетевые экраны, будут закрыты через программу
Flash crypt. Данная программа бесплатна и предлагает защиту папок и файлов с
помощью пароля, с возможностью отказа от архивирования данных. На мой взгляд
функционала этой программы достаточно для избежания случайных или
преднамеренных повреждений системы и системных файлов.
Следующей задачей, которая существенно повлияет на целостность
информации, является создание единой системы резервного копирования и
архивирования данных. Само по себе отсутствие этой практики на СМП-2 является
огромным упущением, и должно быть устранено в ближайшее время.
Резервное копирование данных предлагается делать полным с графиком
копирования раз в неделю. Выбор данного метода обусловлен тем, что делать
дифференциальное или инкрементальное копирование на предприятии не
предоставляется возможным в виду, частичной необученности персонала. В
дальнейшем, полное копирование возможно будет изменено на другую
методологию. Резервные копии предлагается хранить на четырех внешних дисках,
75
привязанных к каждому рабочему компьютеру. На носителе будет храниться 3
копии системы, соответствующие каждой неделе записи. Таким образом, если
вредоносная программа будет долгое время разрушать или забивать систему
мусорными файлами, то откатиться можно будет на менее испорченную копию
системы, с возможностью выгрузки более новых файлов. Программой для создания
резервных копий была выбрана стандартная программа windows. Копии должны
создаваться в конце рабочей недели каждым работником компьютера персонально,
за 1 час до окончания рабочего дня. Жесткие диски будут размером по 500 ГБ
(Western Digital Elements Portable 500 Гб), таким образом памяти будет достаточно
чтобы хранить 3 полные копии файловой системы каждого компьютера.
Так же на предприятии требуется ввести плановое архивирование данных.
Архивирование данных, на этапе внедрения концепции и первоначального периода
её использования, планируется проводить 1 раз в пол года. Архивирование должно
проходить без потери целостности файлов с предельным сжатием в 50%. Для
такого архивирования отлично подходят winrar или 7zip, что говорит о том, что для
организации планового архивирования отлично подойдет стандартный архиватор
windows. Архивы планируется хранить на отдельном винчестере, который будет
использоваться исключительно как архивный. Так же как и при резервировании,
при архивировании будут задействованы все файлы компьютера.
В отличие от архивирования, резервирование данных будет настроено
автоматически, но каждому работнику нужно будет в определенное время
подключить внешний жесткий диск к своему компьютеру, для того чтобы система
провела резервное копирование, после чего диск требуется извлечь и отложить до
конца следующей недели. Данная последовательность действий направлена на то,
чтобы
минимизировать
возможность
повреждения
внешних
носителей
информации от возможного перепада напряжения и последующей потери
работоспособности, которая может произойти во время подключения носителя к
компьютеру пользователя.
Таким образом, разработка двух вышеприведенных систем, поможет
предприятию существенно минимизировать риски потери информации как в
76
краткосрочном так и в долгосрочном периоде. Для того чтобы не нагружать
персонал дополнительным объемом обязанностей, на предприятии можно
организовать новую должность, в обязанности которой будет входить исполнение
комплекса мер предусмотренных данной концепцией.
Следующая
проблема
это
сложившийся
внутриорганизационный
документооборот.
На предприятии все произведенные документы двигаются между персоналом
посредствам корпоративной электронной почты. При потере почтового ящика,
который в свою очередь еще и взаимодействует со внешней средой, вся
конфиденциальная информация попадет в руки, которые вообще не должны видеть
эту информацию, еще хуже если эта информация попадет к злоумышленникам. Но
данный тип документооборота очень экономит время затрачиваемое на
предприятии для уточнения направления обработки информации, например с
начальником или с главным инженером. Для решения данной задачи, можно
предложить создание корпоративного облачного хранилища. Воспользоваться
можно бесплатным доступным хранилищем от яндекса или гугла. Данное
хранилище будет отделено от аккаунта корпоративной почты, что полностью
оградит его от внешней среды. Доступ к диску будет предоставлен только четырем
компьютерам, которые находятся на территории предприятия, таким образом будет
снижен риск несанкционированного доступа к информации. Если пользоваться,
например, яндекс диском, то на каждый компьютер возможна установка диска,
таким образом, данное действие даже сократит время внутриорганизационного
документооборота, так как процесс обмена информацией будет требовать только
переноса файла в другую папку внутри компьютера. На дальнейших этапах
функционирования хранилища, возможна разработка системы разграничений
доступа к информации, путем предоставления различного уровня доступа
пользователей к различным файлам и папкам, находящимся в облаке.
Задача минимизации рисков механического вредоносного воздействия на
компьютеры может пониматься с различных сторон. В данном случае понимается
то, что против компьютеров будут совершены преднамеренные действия,
77
направленные повредить их. К таким действиям можно отнести вандализм или
целенаправленные действия других лиц, которые хотят нанести вред СМП-2.
Данная проблема решается простым путем. На территории предприятия
организован КПП. Так как КПП есть, но не функционирует должным ему образом,
то следует организовать это функционирование, в частности следует в обязать
охранника запрашивать назначение визита со стороны всех посетителей
территории. При запросе следует уточнить имя и фамилию посетителя и светить
данные с листом запланированных посетителей. Если данного посетителя нет в
плане, то следует позвонить в офис и уточнить, ожидают ли они такого человека
или нет. По результатам звонка следует пропуск посетителя или отказ в таковом.
Задачу организации программных мер защиты информации, можно решить
следующим образом. Программная часть может зависеть от того, какое решение
будет принято к аппаратной части. Точнее говоря если директор организации
посчитает нецелесообразным обновление аппаратной составляющей организации,
то на слабые компьютеры невозможно будет поставить действительно хорошее
антивирусное ПО. Например, компьютер делопроизводителя, даже на старом ПО в
виде windows XP, при открытии офиса 2003 года начинает демонстрировать всю
свою «работоспособность». В данном случае не может быть и речи чтобы
установить на него, хотя-бы, просто, хороший антивирус. Таким образом, как и для
уменьшения времени обработки информации, увеличения работоспособности
работника, да и просто в плане морального устаревания техники, организации
лучше обновить компьютер делопроизводителя. Данное решение позволит
отказаться от пакета офиса 2003 года и перевести все компьютеры на единую
систему. Так же обновление данного компьютера позволит установить на
предприятии единый пакет антивируса с покупкой лицензии сразу на 4
компьютера. Данное решение необходимо для создания нормальной среды,
необходимой для функционирования антивирусного ПО и одновременного
пользования компьютером. В качестве антивирусного ПО был выбран DR.Web
Security Space. Лицензия будет приобретаться на 4 компьютера и её стоимость
будет 2790 рублей за 1 год. Установка системы не требует специальных навыков и
78
интуитивно проста, таким образом не требуется дополнительный персонал для
установки и пуско-наладке системы. Сам по себе данный антивирус предлагает
следующие возможности:
-антивирус не допустит вход в защищаемую систему вирусам и
вредоносному ПО, вылечит от уже проникших вирусов;
-веб антивирус обеспечит проверку веб-страниц в режиме реального
времени, блокирует фишинговые и другие опасные интернет-ресурсы;
-превентивная защита обеспечит защиту от новейших активных угроз,
целевых атак и попыток проникновения, в том числе через уязвимости «нулевого
дня»;
-защита от потери данных убережет от повреждения файлы, зашифрованные
троянцем-шифровальщиком, создавая регулярно их резервные копии;
-антиспам с высокой долей вероятности распознает спам независимо от языка
сообщения, при близком к нулю проценте ложных срабатываний;
- брандмауэр возведет заслон на пути попыток хакеров вторгнуться в ваш
компьютер;
- блокировка съемных устройств блокировки доступа к съемным носителям
— флеш-картам и любым устройствам, которые используют USB-порт для
подключения к ПК, включая веб-камеры, фотоаппараты и MP3-плееры;
-облако Dr.Web проверяет URL в режиме реального времени на серверах
компании «Доктор Веб»;
-антивирусная
сеть
позволяет
управлять
антивирусами
Dr.Web,
установленными на компьютерах в пределах одной локальной сети, в удаленном
режиме.
Данное решение полностью удовлетворяет всем запросам организации и что
немаловажно, является наиболее дешевым чем его популярный аналог: антивирус
Касперского. При том что функционал данных программ относительно схож,
касперский дороже более чем на 2 тысячи рублей.
Следует отметить что Dr.Web соответствует реестру российского ПО и
сертифицирован ФСТЭК России.
79
Внедрение Dr.Web позволить решить сложившуюся задачу в организации
программных мер защиты информации, в той степени в которой это первостепенно
необходимо.
Последняя задача на данном этапе разработки концепции это организация
мер минимизации потерь информации и застоев в обработке информации при
непредвиденных обстоятельствах.
Решение данной задачи подразумевает обеспечение оптимальной защиты
информации при совершенно различных обстоятельствах, которые крайне трудно
предугадать. Это могут быть и наводнения, и землетрясения, и другие природные
катаклизмы, и даже простые перепады напряжения электросети. От природных
катаклизмов уберечься гораздо труднее чем от других угроз, но тоже реально. Но в
рамках данной концепции первостепенную важность имеет защита компьютеров
от сбоев в сети электропитания. К счастью данная проблема имеет довольно
простое решение заключающееся в покупке 4х стабилизаторов напряжения Ippon
AVR-1000. Данные стабилизаторы позволят забыть о проблемах перепада
напряжения на весь срок их эксплуатации примерно 5 лет. Для решения данной
задачи можно было выбрать ИБП, ведь они имеют и более привлекательный
функционал, но все дело в том, что срок службы ИБП существенно сокращается
при неправильном их использовании. Проблема заключается в том, что для
длительного срока службы ИБП, ему нужно часто проводить цикл полной разрядки
и зарядки, не реже одного раза в неделю. Данная рекомендация преследуется
практически всеми производителями ИБП на рынке и действительно помогает
ощутимо продлить срок службы ИБП. На СМП-2 создавать еще и норматив по
проведению цикла зарядки АКБ ИБП, совсем загрузит персонал предприятия или
нового работника, при организации соответственной должности. Стоит так же
отметить что данная процедура, требует дополнительных затрат времени на свою
реализацию, что не носит какой-либо существенной необходимости.
Если проблема с электроэнергией относительно решаема, то проблема с
природными катаклизмами, не теряет своей силы, хоть и на данном этапе
разработки концепции не является первостепенной. Для решения данной проблемы
80
в дальнейших итерациях концепции возможно предложить организацию
архивирования данных в облачных хранилищах. Плюсы данного решения
очевидны, это и доступ к архиву из любого места с доступом к сети, и отсутствие
рисков, связанных с физическими носителями.
Для более качественного выполнения поставленных задач, на предприятии
потребуется ввести должность специалиста по информационной безопасности.
Введение
данной
должности
будет
сопровождаться
изменениями
в
организационной структуре. Само внедрение должности должно начинаться с
внесением таковой в штатное расписание предприятия. Должностное лицо должно
быть оформлено на 0.5 ставки, несмотря на то, что реальный объем рабочих часов
будет существенно ниже. Это сделано для того чтобы избавиться от
переоформления документации при возникновении необходимости уделять работе
более 20ти часов в неделю. Одновременно с реорганизацией штатного расписания,
требуется
проведение
разработки
должностных
инструкций
для
нового
сотрудника. Должностные инструкции должны содержать в себе следующие
разделы:
- общие положения;
- функции;
- должностные обязанности;
- права;
- ответственность.
Пример составленной инструкции можно увидеть в приложении 2.
Для решения задачи организации программной защиты, а именно
организации работы приложения Dr.Web, потребуется закупить это ПО. Закупку
необходимо проводить только на официальном сайте и с возможностью отправки
пакета установщика по email. Данный способ позволит сэкономить массу времени
на покупку и доставку ПО, а что самое главное ускорит решение поставленной
задачи. Оплату в размере 2790 рублей можно провести по карте прямо на сайте
производителя. Немаловажно и то, что данная задача может быть решена без
участия нового сотрудника, силами персонала организации, например, директора.
81
Другое По упоминаемое в тексте данной концепции, Flash Crypt, или облачное
хранилище, следует дать под контроль новому сотруднику. Он, в свою очередь,
проведет установку, пуско-наладку, и обучение персонала в соответствии со
своими должностными обязанностями.
Покупку аппаратного решения проблем концепции стоит организовать
незамедлительно. Новый системный блок должен соответствовать современным
требованиям в каталоге магазина «багира» такого рода блок находится под
номером 037-2 в разделе «системные блоки – техникс». Покупка данного агрегата
обойдется предприятию в 19 749 рублей. Забрать его можно в любой день в одном
из магазинов сети. С помощью магазина «Багира» следует осуществить и
приобретение стабилизаторов напряжения. Как уже отмечалось ранее в роли
стабилизатора был выбран Ippon AVR-1000. Приобретать следует 4 стабилизатора,
в соответствии с количеством рабочих мест и компьютеров на них. Цена одного
будет 1876 рублей, соответственно 4 стабилизатора обойдутся в 7504 рубля. Так же
требуется осуществить покупку 5ти внешних жестких дисков. Из всего модельного
ряда были выбраны накопители фирмы Western Digital, серии Elements Portable,
модель диска WDBUZG5000ABK. Стоимость одного диска равна 3150 рублей, а
5ти – 15 750 рублей. Данное решение, как уже отмечалось ранее позволить
организовать целую систему резервного копирования и архивации данных, которая
будет функционировать не 1 и не 2 года, поэтому затраты на него единовременные
и, относительно планируемого жизненного цикла системы, не такие великие.
Еще одним требованием, которое должно начать осуществляться с первый
моментов внедрения концепции, это поддержание постоянного контроля состояния
информационной системы, а именно актуальности, принятых к защите
информации, мер. Должна оцениваться общая работоспособность системы защиты
и возможные пути её улучшения. Отчеты о анализе с новыми требования
поддержания системы будут передаваться директору будут передаваться
директору в виде специализированных актов оценки состояния системы. Следует
установить организационно распорядительный документ, который ограничивает
сферу ответственности. Главным фокусом данного документа должны быть
82
специальные условия при которых специалист по информационной безопасности
перестает нести ответственность за безопасность информации на предприятии.
Главным ограничивающим ответственность фактором будет являться отказ
директора от выполнения требований безопасности информации.
Таким образом, если директор необоснованно откажется от условий
поддержания функционала защиты, специалист по ИБ в праве не нести
ответственность за возможные угрозы безопасности связанные с отказом
директора.
Таким образом в данном разделе концепции были описаны меры решения
поставленных задач. Следует отметить, что сама концепция должна и будет
дорабатываться, соответствуя требованиям внешней среды организации.
Несмотря на важность всех поставленных задач, следует выделить те задачи,
выполнение которых возможно, а так же необходимо, реализовать в кратчайшие
сроки. На мой взгляд одной из таких задач является организация мер копирования
и архивирования информации, так как купить внешние ЖД и сделать на них первые
копии и архивы не представляет особой трудности и не носит существенных
финансовых затрат, так же может быть выполнено силами сотрудников
организации в разово-распорядительном порядке, без внесения дополнительной
обязанности в нормативные документы работников.
Второй легкодоступной задачей является организация программных средств
защиты информации. Покупка специализированного ПО занимает несколько
минут в условиях стабильного доступа к сети интернет, а установка такого По
занимает максимум 30 минут на все 4 компьютера организации. Следует отметить
что резервное копирование следует проводить после установки антивирусного ПО,
так как при восстановлении системы уже не будет затрачиваться дополнительное
время на повторную установку антивируса.
И последней первостепенной мерой является ввод в эксплуатацию
стабилизаторов напряжения, эта задача выполняется практически так же просто,
как и установка антивирусного ПО, но носит значительно большие затраты
83
времени на реализацию, хотя, реализуема в процессе одного рабочего дня
неспешной работы.
Заключение в данном разделе дипломной работы была разработана
концепция информационной безопасности для СМП-2. Данная концепция
включает в себя объекты защиты, цели и задачи разработки концепции, основные
актуальные угрозы безопасности информации на СМП-2, принципы построения
системы защиты информации, меры, методы и средства решения поставленных
задач и первоочередные мероприятия. В данном разделе концепции описываются
так же и конкретные действия, которые должны осуществляться для решения
поставленных задач для реализации данной концепции.
3.2 Предполагаемые изменения бизнес архитектуры СМП-2
Реализация мероприятий данной концепции несомненно приведет к
реорганизации
архитектуры
предприятия. Изменятся многие
аспекты её
функционирования, в частности изменениям подвергнется организационная
структура предприятия. Сам по себе, тип организационной структуры останется
неизменным, нов его структуре возможно добавится дополнительный отдел в лице
одного нового сотрудника. Отдел будет называться отдел обеспечения
информационной безопасности и будет состоять из одной единицы персонала.
Должность возможно будет оформить на 0.5 ставки, чтобы он выполнял
обязанности поддержания системы безопасности без постоянного присутствия на
территории СМП-2. В обязанности данного работника будет входить обеспечение
работоспособности компьютеров на предприятии, организация проведения
копирования и архивирования данных в соответствии с выбранной методикой
проведения данных мероприятий, а так же периодический анализ актуальности
системы информационной безопасности.
Сама по себе организационная структура предприятия примет вид,
представленный на рисунке ниже:
84
Директор
Главный инженер
Бухгалтерия
Производственнотехнический
отдел
Административнохозяйственный
отдел
Персонал на
аутсорсинге
Отдел
ИБ
Рисунок 1 – Структура управления предприятием
Контур нового отдела на рисунке представлен пунктиром, так как на данный
момент трудно предсказать решение директора предприятия. Это связанно с тем,
что на предприятии такие решения принимаются не единолично директором, а
только после собрания коллектива организации и поднятия проблемы на общее
обозрение,
если
коллектив
согласится
выполнять
данные
обязанности
собственноручно, то об организации нового отдела можно не думать, и выполнение
задач концепции ляжет на руки сотрудников, для которых в нормативных
документах организации будут отражены новые обязанности.
Таблица соответствия должностных полномочий уровням управления, в
смою очередь практически не изменится. В строку функционального уровня
управления при организации новой должности добавится специалист обеспечения
информационной безопасности.
В таблице «выполнение функций персоналом» добавится новая строка,
которая будет называться, организация мероприятий осуществления защиты
информации,
выполнение
будет
функциональным
подразделением,
а
исполнителем будет назначен или отдельный новый работник. Увидеть данную
таблицу можно в приложении 3.
К внешней среде предприятия, наконец, законно добавится взаимодействие
законодательными аспектами обеспечения информационной безопасности. На
нулевом уровне декомпозиции, в связи с этим, появится новый блок Правила
обеспечения безопасности информации. На первом уровне декомпозиции так же
85
появится новый блок который будет отвечать проводимым мероприятиям
обеспечения ИБ на предприятии. Изменение внешней среды можно увидеть в
приложениях 4 и 5.
В бизнес архитектуре предприятия изменения начнут появляться сразу при
моделировании главного функционального процесса. Для предотвращение
захламления схемы диаграммы главного функционального бизнес процесса
смоделированный
методологией
IDEF0,
нулевой
уровень
декомпозиции
изменяться не будет, но следует понимать, что интерфейсные дуги «правила и
нормативы» приобретают дополнительные значения, связанные с обеспечением
информационной
безопасности
на
предприятии.
Заметным
изменениям
подвергнется модель декомпозиции блока А1 «управлять предприятием». В данной
модели будет добавлен еще один функциональный блок связанный с обеспечением
информационной
безопасности,
который
в
последствии
тоже
будет
декомпозирован для наглядности представления внедряемых процессов.
Новый функциональный блок будет называться обеспечение защиты
информации. Управляющее воздействие на данный блок все так же будут
оказывать интерфейсные дуги правила и руководства. Из блока управлять
стратегиями и целями будет исходить связь которая несет в себе новые требования
и цели, связанные с работой системы безопасности. Из блока управления
персоналом, в новый блок будет входить связь, связанная с созданием новой
должности. Выходами из данного блока будут отчеты об анализе системы, отчеты
контролирующим органам, и отчеты о финансовых затратах на реализацию
концепции.
86
Рисунок 2 – Декомпозиция функционального блока Управлять компанией
87
Рисунок 3 – Декомпозиция функционального блока Обеспечение защиты информации
88
На приведенном выше рисунке изображена декомпозиция функционального
блока «организовать защиту информации». Блок А15 был декомпозирован еще на
4 функциональных блока. Входами в каждый блок являются новые обязанности.
Управляющее воздействие оказывают все те же правила и нормативы, механизмы
воздействия будут персонал и средства обработки и хранения информации. Блоку
А154 входом будет являться еще и требование анализа системы. Выходами от всех
блоков будет отчеты о реализации концепции, отчеты контролирующим
организациям и отчеты о финансовых результатах применения концепции.
Выходом из блока А154, дополнительно, будет отчет об анализе системы. Таким
образом на приведенных выше рисунках наглядно отражается изменение бизнес
архитектуры предприятия.
Изменения в ИТ архитектуре будут отражены в табл. 1:
Таблица 1. Изменения архитектуры информационно-технологических
ресурсов СМП-2
№
1
Наименован
ие ИТ
ресурса
Системный
блок
Технические
характеристики
ресурса
Технические
характеристики
аппаратуры
Кол-во
Стоимость
ресурсов
ASUS H110M-K (RTL)
LGA1151 <H110> PCIE Dsub+DVI GbLAN
SATA MicroATX
2DDR4
CPU Intel Core i3-7100
3.9 GHz/2core/SVGA
HD Graphics 630/0.5+
3Mb/51W/8 GT/s
LGA1151
DEEPCOOL <DPMCAL-GA> GAMMA
ARCHER (3пин,
AM4/775/1155, 26.1дБ,
1600об/мин, Al)
Crucial
<CT4G4DFS824A>
DDR4 DIMM 4Gb
<PC4-19200> CL17
HDD 1 Tb SATA 6Gb/s
Western Digital Blue
<WD10EZEX> 3.5"
7200rpm 64Mb
Корпус 3Cott 5004
mATX, 450Вт, USB,
Audio, черный.
ASUS H110M-K (RTL)
LGA1151 <H110> PCIE Dsub+DVI GbLAN
SATA MicroATX
2DDR4
CPU Intel Core i3-7100
3.9 GHz/2core/SVGA
HD Graphics 630/0.5+
3Mb/51W/8 GT/s
LGA1151
DEEPCOOL <DPMCAL-GA> GAMMA
ARCHER (3пин,
AM4/775/1155, 26.1дБ,
1600об/мин, Al)
Crucial
<CT4G4DFS824A>
DDR4 DIMM 4Gb
<PC4-19200> CL17
HDD 1 Tb SATA 6Gb/s
Western Digital Blue
<WD10EZEX> 3.5"
7200rpm 64Mb
Корпус 3Cott 5004
mATX, 450Вт, USB,
Audio, черный.
1
19749
89
Продолжение таблицы 1
1
2
3
2
3
Стабилизатор
напряжения
Ippon AVR1000
4 розетки
евростандарт с
заземлением
Автоматическое
отключение
нагрузки при
входном
напряжении выше
253В.
Автоматическое
отключение в
течение 5 минут
при нагреве выше
120°С.
Выключатель
питания с
функцией
автоматического
предохранителя.
Макс выходная
мощность 1000ВА
Эффективная
мощность 600Ватт
Внешний
жесткий диск
Western
Digital
Емкость- 500гб
Пропускная
способность 5
гбит/сек
Пробная версия
программы
резервного
копирования
Интерфейс
внешнего HDD Usb
3.0
Разъем
подключения к ПК
Usb type A
4
4 розетки
евростандарт с
заземлением
Автоматическое
отключение
нагрузки при
входном
напряжении выше
253В.
Автоматическое
отключение в
течение 5 минут
при нагреве выше
120°С.
Выключатель
питания с
функцией
автоматического
предохранителя.
Макс выходная
мощность 1000ВА
Эффективная
мощность 600Ватт
Емкость- 500гб
Пропускная
способность 5
гбит/сек
Пробная версия
программы
резервного
копирования
Интерфейс
внешнего HDD Usb
3.0
Разъем
подключения к ПК
Usb type A
5
6
4
1850
5
3116
90
Продолжение таблицы 1
1
4
2
3
Антивирус
Dr.Web
Антивирус, веб
антивирус,
превентивная
защиат, зашита от
потери данных,
антиспам,
брандмауэр,
облако.
Flash crypt
256-битный
алгоритм
шифрования
данных AES
4
Windows
10/8/7/Vista (64битные системы) и
Windows
10/8/7/Vista/XP SP2
(32-битные
системы)
Свободная
оперативная
память: не менее
512 МБ
Свободное
пространство на
жестком диске:
~750 МБ.
Временные файлы,
создаваемые в ходе
установки,
потребуют
дополнительного
места.
Windows vista – X
(32)
Озу 512 мб
Свободное место
на ЖД не менее 500
МБ
Наличие устройств
ввода
5
6
1
2790
1
бесплатно
Итого
На
приведенной
выше
45519
таблице
отражены
все
информационно
технологические ресурсы которые будут функционировать на предприятии после
внедрения
концепции.
Подробное
описание
информационных
ресурсов
проводилось в прошлых разделах данной работы, поэтому далее на рис. 4 и 5 будет
описан процесс применения приложений в контексте построения диаграмм IDEF0.
91
Рисунок 4 – Декомпозиция функционального блока Применять информационные технологии
92
Рисунок 5 – Декомпозиция функционального блока Применять приложения защиты информации
93
На рисунке - 4 изображена декомпозиция главного функционального блока –
применять информационные технологии, включающая применение нового
функционального блока применять приложения защиты информации. Для данного
блока управленческое воздействие будет оказываться посредствам наставлений
руководства, лицензионных соглашений, правил и нормативов. Входными
параметрами будут: электронная документация из блока применять MS office, т.к.
практически все отчеты, которыми приходится обмениваться с другими
субъектами окружения организации, обрабатываются этим пакетом офиса.
Входами так же будут внешняя и внутренняя информация. Вся эта информация
может влиять на характер использования приложений защиты. Выход из данного
блока будет внутриорганизационная отчетность. Механизмами стандартно будут
оборудование и персонал.
Далее на рисунке - 5 изображена декомпозиция блока применять приложения
защиты информации. Декомпозиция проводилась разделением верхнего уровня на
3 блока, обозначающие приложения. Интерфейсные дуги, взаимодействующие с
блоками отражают какие данные оказывают активное и пассивное влияние на
данные блоки – приложения.
Заключение в данном разделе дипломной работы были описаны изменения в
архитектуре исследуемого предприятия. Для наглядной демонстрации изменений
были построены диаграммы в нотации IDEF0, показывающие как изменятся бизнес
процессы
организации
и
как
изменяются
процессы
использования,
специализированного ПО. Так же были показаны результаты использования новых
функциональных блоков. В данном разделе так же демонстрируется изменение в
организационной структуре предприятия. И наконец представляются изменения в
ИТ
архитектуре
предприятия
с
указанием
технических
характеристик,
характеристик аппаратуры, и ценой новых элементов, которые дополнят систему
во время реализации данной концепции.
94
3.3 Анализ экономической эффективности применения концепции
Для анализа экономической эффективности было принято использовать
систему оценки защищенности персональных данных. Методика была предложена
ФСТЭК России и направлена на оценку степени защиты и актуальности угроз
персональным данным. Несмотря на то, что система оценки разработана для
персональных данных, её можно интерпретировать, в целях изучения общего
состояния защищенности системы. Таким образом, для оценки степени защиты
целой
системы,
можно
изучить
показатели
исходной
защищенности
информационной системы персональных данных (ИСПДН).
Данные показатели покажут общий числовой уровень защищенности,
определяемый методикой, которая приведена ниже таблицы.
Характеристика защищенности ИСПДН представлены в таблице ниже.
Таблица 2. Общий уровень защищенности ИСПДН
Структурно-функциональные характеристики информационной системы,
условия ее эксплуатации
1. По структуре информационной системы:
автономное автоматизированное рабочее место;
2. По наличию соединения с сетями общего
пользования:
ИСПДн, имеющая многоточечный выход в сеть
общего пользования
3. По встроенным (легальным) операциям с записями
баз персональных данных:
чтение, поиск, запись, удаление, сортировка
копирование, модификация, передача
4. По разграничению доступа к персональным
данным:
ИС к которой имеют доступ все сотрудники
организации
6. По режимам разграничения прав доступа:
без разграничения.
7. По размещению технических средств:
расположенные в пределах одной контролируемой
зоны;
Уровень защищенности
Высокий
Средний Низкий
+
+
+
+
+
+
+
95
Уровень защищенности определяется следующим образом. Данному
показателю присваивается обозначение Y1. Данное обозначение принимает
числовую характеристику в зависимости от удовлетворения следующим условиям:
ИС имеет высокий уровень защищенности, если не менее 70% приведенных
характеристик ИС соответствуют уровню «высокий» Если данное условие
выполняется, то Y1= 0. В нашем случае числовое выражение получилось равным
28%.
ИС имеет средний уровень защищенности, если не выполняются условия по
пункту 1 и не менее 70% характеристик СЗКДн соответствуют уровню не ниже
«средний» (берется отношение суммы положительные решений по второму
столбцу, соответствующему среднему уровню защищенности, к общему
количеству решений), а остальные - низкому уровню защищенности. Если данное
решение выполняется то Y1= 5. В нашем случае числовое выражение получилось
равным 1/7*100=14%
Если первое и второе условия не выполняются, то в дело ИСПДн признается
низкозащищенной и Y1 получается равным 10.
Таким образом, информационную систему СМП-2 так же можно признать
низкозащищенной, что говорить, если до разработки концепции не было ничего
связанного с защитой информации, даже от её потери. Персональные данные так
же могли быть безвозвратно утрачены, или предоставлены злоумышленникам, что
говорит о возможной корреляции анализа ИСПдн и общей ИС на СМП-2.
Далее, для проведения анализа защищенности ИС или ИСПДн, требуется
провести анализ вероятности реализации угрозы безопасности. Под частотой
(вероятностью) реализации угрозы понимается определяемый экспертным путем
показатель,
характеризующий, насколько
вероятным является
реализация
конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся
условиях обстановки. Вводятся четыре вербальных градации этого показателя:
маловероятно – отсутствуют объективные предпосылки для осуществления
угрозы (например, угроза хищения носителей информации лицами, не имеющими
легального доступа в помещение, где последние хранятся);
96
низкая вероятность – объективные предпосылки для реализации угрозы
существуют, но принятые меры существенно затрудняют ее реализацию
(например, использованы соответствующие средства защиты информации);
средняя вероятность - объективные предпосылки для реализации угрозы
существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
высокая вероятность - объективные предпосылки для реализации угрозы
существуют и меры по обеспечению безопасности ПДн не приняты.
При составлении перечня актуальных угроз безопасности ПДн каждой
градации вероятности возникновения угрозы ставится в соответствие числовой
коэффициент, а именно:
0 – для маловероятной угрозы;
2 – для низкой вероятности угрозы;
5 – для средней вероятности угрозы;
10 – для высокой вероятности угрозы.
Далее следует перейти к составлению таблицы коэффициентов вероятности
реализации угроз. Составленную таблицу можно увидеть ниже:
Таблица 3. Вероятности реализации угроз безопасности СМП-2
Тип угроз безопасности ПДн
Коэффициент
вероятности
реализации (Y2)
Вербальная
Градация
1. Угрозы от утечки по техническим каналам
1.1. Угрозы утечки акустической
информации
0
Маловероятно
1.2. Угрозы утечки видовой информации
0
Маловероятно
1.3. Угрозы утечки информации по
0
Маловероятно
каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей
информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
0
Маловероятно
2.1.2. Кража носителей информации
0
Маловероятно
97
Продолжение таблицы 3
1
2.1.3. Кража ключей и атрибутов доступа
2.1.4. Кражи, модификации, уничтожения
информации
2.1.5. Вывод из строя узлов ПЭВМ,
каналов связи
2
0
3
Маловероятно
2
Низкая вероятность
2
Низкая вероятность
2
Низкая вероятность
2.1.6. Несанкционированный доступ к
информации при техническом
обслуживании (ремонте, уничтожении)
узлов ПЭВМ
2.1.7. Несанкционированное отключение
средств защиты
10
Высокая
вероятность
2.2. Угрозы хищения, несанкционированной модификации или блокирования
информации за счет несанкционированного доступа (НСД) с применением
программно-аппаратных и программных средств (в том числе программноматематических воздействий)
2.2.1. Действия вредоносных программ
(вирусов)
10
2.2.2. Недекларированные возможности
системного ПО и ПО для обработки
10
персональных данных
2.2.3. Установка ПО, не связанного с
исполнением служебных обязанностей
10
Высокая
вероятность
Высокая
вероятность
Высокая
вероятность
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности
функционирования ИСПДн и систем защиты КДн в ее составе из-за сбоев в
программном обеспечении, а также от сбоев аппаратуры, из-за ненадежности
элементов, сбоев электропитания и стихийного (ударов молний, пожаров, наводнений
и т.п.) характера
2.3.1. Утрата ключей и атрибутов доступа
10
2.3.2. Непреднамеренная модификация
(уничтожение) информации
сотрудниками
5
Высокая
вероятность
Средняя
вероятность
98
Продолжение таблицы 3
1
2.3.3. Непреднамеренное отключение
средств защиты
2.3.4. Выход из строя аппаратнопрограммных средств
2
10
10
2.3.5. Сбой системы электроснабжения
10
2.3.6. Стихийное бедствие
10
3
Высокая
вероятность
Высокая
вероятность
Высокая
вероятность
Высокая
вероятность
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации,
копирование, модификация,
уничтожение, лицами, не допущенными к
10
Высокая
вероятность
ее обработке
2.4.2. Разглашение информации,
копирование, модификация, уничтожение
сотрудниками, допущенными к ее
10
Высокая
вероятность
обработке
2.5.Угрозы несанкционированного доступа по каналам связи
2.5.1.Угроза «Анализ сетевого трафика» с
перехватом передаваемой из СЗКДн и
принимаемой из внешних сетей
0
Маловероятно
2
Низкая вероятность
2
Низкая вероятность
0
Маловероятно
информации:
2.5.1.1. Перехват за переделами с
контролируемой зоны
2.5.1.2. Перехват в пределах
контролируемой зоны внешними
нарушителями
2.5.1.3.Перехват в пределах
контролируемой зоны внутренними
нарушителями.
99
Продолжение таблицы 3
1
2.5.2.Угрозы сканирования, направленные
2
3
2
Низкая вероятность
на выявление типа или типов
используемых операционных систем,
сетевых адресов рабочих станций
ИСПДн, топологии сети, открытых
портов и служб, открытых соединений и
др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного
маршрута сети
2.5.5.Угрозы подмены доверенного
объекта в сети
2.5.6.Угрозы внедрения ложного объекта
как в ИСПДн, так и во внешних сетях
2.5.7.Угрозы удаленного запуска
приложений
2.5.8.Угрозы внедрения по сети
вредоносных программ
Высокая
10
вероятность
Высокая
10
вероятность
Высокая
10
вероятность
Высокая
10
вероятность
Высокая
10
вероятность
Высокая
10
вероятность
Далее следует перейти к оценке возможности реализации угрозы. По итогам
оценки уровня защищенности (Y1) и вероятности реализации угрозы (Y2),
рассчитывается
коэффициент
реализуемости
угрозы
(Y)
и
определяется
возможность реализации угрозы. Коэффициент реализуемости угрозы Y будет
определяться соотношением, представленным в формуле (1).
Y = (Y1 + Y2)/20 (1).
Результат подсчетов представлен в табл. 4.
100
Таблица 4. Возможность реализации угроз безопасности СМП-2.
Коэффициент
Тип угроз безопасности ПДн
реализуемости
угрозы (Y)
Возможность
реализации
1. Угрозы от утечки по техническим каналам
1.1. Угрозы утечки акустической
информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по
каналам ПЭМИН
0,5
Средняя
0,5
Средняя
0,5
Средняя
2. Угрозы несанкционированного доступа к информации
2.1. Угрозы уничтожения, хищения аппаратных средств СЗКДн носителей информации
путем физического доступа к элементам СЗКДн
2.1.1. Кража ПЭВМ
0,5
Средняя
2.1.2. Кража носителей информации
0,5
Средняя
2.1.3. Кража ключей и атрибутов доступа
0,5
Средняя
0,6
Высокая
0,6
Высокая
0,6
Высокая
1
Очень высокая
2.1.4. Кражи, модификации, уничтожения
информации
2.1.5. Вывод из строя узлов ПЭВМ,
каналов связи
2.1.6. Несанкционированный доступ к
информации при техническом
обслуживании (ремонте, уничтожении)
узлов ПЭВМ
2.1.7. Несанкционированное отключение
средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования
информации за счет несанкционированного доступа (НСД) с применением
программно-аппаратных и программных средств (в том числе программноматематических воздействий)
2.2.1. Действия вредоносных программ
(вирусов)
1
Очень высокая
101
Продолжение таблицы 4
1
2.2.2. Недекларированные возможности
2
3
системного ПО и ПО для обработки
1
Очень высокая
1
Очень высокая
персональных данных
2.2.3. Установка ПО, не связанного с
исполнением служебных обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности
функционирования СЗКДн и систем защиты ПДн в ее составе из-за сбоев в
программном обеспечении, а также от сбоев аппаратуры, из-за ненадежности
элементов, сбоев электропитания и стихийного (ударов молний, пожаров, наводнений
и т.п.) характера
2.3.1. Утрата ключей и атрибутов доступа
1
2.3.2. Непреднамеренная модификация
(уничтожение) информации
0,75
Высокая
1
Очень высокая
1
Очень высокая
2.3.5. Сбой системы электроснабжения
1
Очень высокая
2.3.6. Стихийное бедствие
1
Очень высокая
сотрудниками
2.3.3. Непреднамеренное отключение
средств защиты
2.3.4. Выход из строя аппаратнопрограммных средств
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации,
копирование, модификация,
уничтожение, лицами не допущенными к
1
Очень высокая
1
Очень высокая
ее обработке
2.4.2. Разглашение информации,
копирование, модификация, уничтожение
сотрудниками, допущенными к ее
обработке
2.5.Угрозы несанкционированного доступа по каналам связи
102
Продолжение таблицы 4
1
2.5.1.Угроза «Анализ сетевого трафика» с
перехватом передаваемой из СЗКДн и
принимаемой из внешних сетей
2
3
0,5
Средняя
0,6
Высокая
0,6
Высокая
0,5
Средняя
0,6
Высокая
1
Очень высокая
1
Очень высокая
1
Очень высокая
1
Очень высокая
1
Очень высокая
1
Очень высокая
информации:
2.5.1.1. Перехват за переделами с
контролируемой зоны
2.5.1.2. Перехват в пределах
контролируемой зоны внешними
нарушителями
2.5.1.3.Перехват в пределах
контролируемой зоны внутренними
нарушителями.
2.5.2.Угрозы сканирования, направленные
на выявление типа или типов
используемых операционных систем,
сетевых адресов рабочих станций СЗКДн,
топологии сети, открытых портов и
служб, открытых соединений и др.
2.5.3.Угрозы выявления паролей по сети
2.5.4.Угрозы навязывание ложного
маршрута сети
2.5.5.Угрозы подмены доверенного
объекта в сети
2.5.6.Угрозы внедрения ложного объекта
как в СЗКДн, так и во внешних сетях
2.5.7.Угрозы удаленного запуска
приложений
2.5.8.Угрозы внедрения по сети
вредоносных программ
103
Рассчитанный по формуле (1) коэффициент реализуемости угрозы
определяется по следующим диапазонам: 0>Y>0,3 – низкая; 0,3>Y>0,6 – средняя;
0,6>Y>0,8 – высокая; Y>0,8 – очень высокая.
Таким образом, проанализировав состояние защищенности ИСПДн, можно
сделать вывод о том, что вся система организации является совершенно
незащищенной. Если говорить о типах угроз, то 53% изложенных типов угроз
имеют высокую возможность реализации на данном предприятии, в течении
одного года и это с учетом вредя для персональных данных, таким образом можно
сказать что действующая система защиты ИС является недопустимой, а вернее
сказать отсутствующей. Если рассматривать конкретный пример действия
вирусный программ, то вероятность их реализации очень высокая и равна 1 по
таблице. Таким образом, расчет экономических потерь зависит от типа вируса. Для
примерной
оценки
степени
риска
можно
воспользоваться
составлением
стандартной модели заражения.
Представим, что на СМП-2 попадает вирус MEZZO, который меняет
банковские реквизиты во время платежных операций. Само СМП-2 выступает в
роли субподрядчика на установку котельного оборудования в новый детский сад.
При
подготовки
документации
для
расчета
с
подрядчиком
проводятся
определенные операции в 1-C, которые активируют работу вируса. При
осуществлении банковской операции, вирус просто меняет данные на нужные.
Таким образом оплата прошла, но подрядчик своих денег не увидел. Если, для
оценки потерь, взять только стоимость котельного оборудования, то потери будут
составлять 360 тысяч рублей. Именно такой котел используется при создании
котельной для детских садов компанией ЯРИНЖКОМ. Типовой проект создания
системы отопления детского сада был найден на сайте данной компании. Таким
образом СМП-2 потеряет 360 тысяч рублей за котел и еще сумму которая отсудит
компания подрядчик за не вовремя оплаченную работу.
Данный
пример
рассматривает
реализация
всего
одной
угрозы
информационной безопасности, вероятность наступления которой, при данном
уровне защиты, по адаптированным методам оценки ФСТЭК очень высока.
104
Вероятность возникновения финансовых потерь может существенно
снизится при применении разработанной в прошлых пунктах концепции.
Таким образом таблица исходной защищенности примет значение
коэффициента Y равное 5, что означает среднюю защищенность системы.
При внедрении концепции информационной безопасности среднее значение
коэффициента реализуемости примет значение равное 0,35 что означает средний
уровень защищенности система, при том, что до внедрения концепции среднее
значение этого коэффициента по типам угроз было равно 0,81, что приравнивается
к очень высокому уровню реализуемости угроз по системе в целом. Увидеть, как
изменятся таблицы вероятности реализации и возможности реализации можно в
приложениях 6,7,8 соответственно.
Таким образом коэффициент реализуемости действия вирусных программ
упадет с 1 очень высоко, до 0,35 средне, по таблице реализации угроз. Если
руководствоваться
все
тем
же
примером,
то
реализовав
концепцию
информационной безопасности коэффициент вероятности того, что вирус MEZZO
выполнит свое предназначение снизится на 65% что делает возможность
реализации угрозы практически низкой по нормативам ФСТЭКА. Только
избежание этой угрозы поможет сократить предприятию больше 360 000 рублей.
Далее для расчета эффективности вложения средств в информационную
безопасность можно воспользоваться методикой расчета ожидаемых потерь. Для
этого вначале нужно рассчитать Единовременные затраты на систему и
периодические затраты. К единовременным затратам в случае нашей концепции
можно отнести стоимость стабилизаторов напряжения, так же сюда можно отнести
стоимость жестких дисков и нового компьютера для делопроизводителя. К
периодическим затратам будут относиться такие параметры как стоимость
лицензии Dr.Web, заработная плата сотруднику отдела информационной
безопасности, дополнительные расходы на электроэнергию и, возможно, другие
расходы которые не проявляют себя на начальном этапе внедрения концепции.
Таким образом в первый год владения системой затраты будут выглядеть таким
образом как на табл. 5:
105
Таблица 5. Стоимость использования концепции ИБ на СМП-2
Наименование статьи затрат
Затраты, руб.
Единовременные затраты
Покупка нового системного блока
19749
Покупка стабилизаторов напряжения
7400
Покупка внешних жестких дисков
15580
Периодические затраты
Заработная плата работнику отдела информационной безопасности
Продление лицензии антивируса Dr.Web
12000 в месяц
2790
Дополнительные расходы на электроэнергию
3456 в год
Что касается электроэнергии, то её расходы подсчитать достаточно просто.
Новый системный блок максимум потребляет 450 вт в режиме пиковых нагрузок,
в нашем случае он будет переносить примерно 40% от максимальных рабочих
нагрузок. Таким образом потребление составит 180 вт в час. За восемь часов
потребление достигнет 1440 вт. В среднем за 21 рабочий день в месяц потребление
составит 30 240 вт., перевести это все в квт, получится 30,24 квт в месяц. По тарифу
5.95 рублей за квт получаем: 30,24*5,95=180 рублей в месяц. Современный
стабилизатор
потребляемой
напряжения
компьютером
в
среднем
расходует
электроэнергии.
дополнительно
Таким
образом,
10-20%
используя
стабилизатор к прошлым расчетам можно уверенно добавить еще 15%, точнее еще
27 рублей. Итого данный компьютер будет обходиться 207 рублей в месяц, или
2484 в год. Собственно, остальные стабилизаторы напряжения отдельно будут
обходиться 27*3*12= 972 рубля в год. За первый год стоимость применения
концепции будет составлять: 19749+7400+15580+(12000*12)+2790+3456=192 975
рублей. За второй и последующие года стоимость составит 150 246 рублей.
Уменьшение стоимость владения будет происходить за счет отсутствия новых
единовременных затрат на владения системой.
Чтобы определить эффект от внедрения системы ИБ, нужно вычислить
показатель ожидаемых потерь (Annualised Loss Expectancy – ALE). По оценкам
экспертов, правильно установленная и настроенная система защиты дает 85%
106
эффективности в предупреждении или уменьшении потерь от нарушений политики
безопасности. Следовательно, финансовая выгода обеспечивается ежегодными
сбережениями, которые получает компания при внедрении системы ИБ.
AS = ALE*E –AC (2),
где:
AS – ежегодные сбережения (Annual Saving),
ALE – показатель ожидаемых потерь (Annualised Loss Expectancy),
E – эффективность системы защиты (около 85%),
AC – ежегодные затраты на безопасность (Annual Cost).
Показатель ALE может быть также рассчитан по формуле:
ALE = ARO * SLE (3),
где:
ARO (Annualized Rate of Occurrence) – ожидаемая годовая частота
реализации угрозы;
SLE (Single Loss Expectancy) – ожидаемый единичный ущерб.
Расчеты будет проводить все с тем же примером о котельном оборудовании.
Следует напомнить, что ожидаемые потери или ожидаемый единичный ущерб
составит минимум 360 000 рублей (SLE). ARO: ожидаемую годовую частоту
реализации будем считать равную 1, то есть 1 раз в год угроза реализуется. Таким
образом ALE равен 360 000. Соответственно AS=360000*0.85-192 975= 113 025
составит экономия в первый год владения системой, при условии возможности
реализации угрозы вирусных программ. За второй год сумма сбережения составит
уже 155754 рублей.
Методики, основанные на показателях ALE и AS, в своей деятельности
используют Microsoft и Risk Watch.
Если брать во внимание, что предлагаемая концепция снизит риск действия
вирусного ПО практически то его полной ликвидации, то срок окупаемости
концепции, например, будет ограничен одной попыткой вируса MEZZO
пробраться на компьютер организации и изменить банковские реквизиты.
107
Вывод в данном разделе дипломной работы была проанализирована
экономическая эффективность внедрения разрабатываемой концепции. Так же
была рассчитана стоимость владения новыми элементами системы за два года её
использования. Для проведения анализа эффективности были использованы
методики ФСТЭК и Майкрософт, а так же упрощенная форма методики оценки
стоимости владения ТСО, без учета сравнительного анализа вариантов владения
системой.
108
ЗАКЛЮЧЕНИЕ
Современный мир характеризуется такой интересной тенденцией, как
постоянное повышение роли информации. Как известно, все производственные
процессы имеют в своём составе материальную и нематериальную составляющие.
Первая – это необходимое для производства оборудование, материалы и энергия в
нужной форме (то есть, чем и из чего изготавливается предмет). Вторая
составляющая – технология производства (то есть, как он изготавливается).
Информационная компонента в любом производстве с течением времени
возрастает. С повышением значимости и ценности информации соответственно
растёт и важность её защиты.
С одной стороны, информация стоит денег. Значит утечка или утрата
информации повлечёт материальный ущерб. С другой стороны, информация – это
управление. Несанкционированное вмешательство в управление может привести к
катастрофическим последствиям в объекте управления
С ростом роли информационных технологий в жизнедеятельности всех сфер
общественной жизни, растут и попытки незаконного заработка на используемой
информации. Избежание данного риска и является предназначением данной
работы. Фактической целью данной работы является разработка концепции
информационной безопасности для строительно-монтажной компании.
Для выполнения поставленной цели, был поставлен ряд задач. Все
поставленные задачи были выполнены в полном объеме, а именно описаны
теоретические аспекты разработки концепции электронной безопасности для
защиты
экономической
информации
строительно-монтажной
компании,
проанализирована архитектура предприятия СМП-2, выявлены пробелы в
информационно-технологической архитектуре. В заключительной главе данной
выпускной-квалификационной
работы
была
разработана
концепция
информационной безопасности, смоделирована модель изменения архитектуры
объекта исследования в соответствии с нотациями IDEF0, DFD и приведено
экономическое обоснование применения концепции посредствам совместного
109
использования нескольких методик направленных на оценку инвестиций в
информационную безопасность.
Так же в данной работе были предложены конкретные мероприятия для
обеспечения первоначального функционирования разработанной концепции. Для
ускорения организации защиты информации были выделены первоочередные
мероприятия. Суть этих мероприятий заключается в возможной быстроте
реализации, менее недели, что несомненно ускорит процесс организации самых
необходимых мер защиты обрабатываемых массивов информации.
110
СПИСОК ЛИТЕРАТУРЫ
1.
Авдеев, В.В. Теория управления: Учебник. / В.В. Авдеев. - М.: Изд-во
РАГС, 2011. - 558 с.
2.
Активные угрозы безопасности: [Электронный ресурс]. – Режим
доступа: http://studbooks.net/2196991/informatika/vidy_umyshlennyh_ugroz_bezopas
nosti_informatsii. - Дата доступа: 3.10.17.
3.
Активные угрозы безопасности: [Электронный ресурс]. – Режим
доступа: https://studopedia.ru/3_174091_vidi-ugroz-bezopasnosti.html. - Дата доступа:
10.10.17.
4.
компаний:
Актуальность информационной безопасности для строительных
[Электронный
ресурс].
–
Режим
доступа:
http://news.derev-
grad.ru/chto_za_rubezhom/836-stroitelstvo-i-kiberbezopasnost.html. - Дата доступа:
25.11.2017.
5.
Бабаш, А.В. Информационная безопасность: Учебное пособие / А.В.
Бабаш, Е.К. Баранова, Ю.Н. Мельников. — М.: КноРус, 2013. — 136 c.
6.
Балдин, К.В. Информационные системы в экономике / К.В Балдин //
Информационные системы: учеб. пос. / В.Б. Уткин. - М.: Дашков и К, 2015. - 395 c.
7.
Белов, E.Б. Основы информационной безопасности: учебное пособие /
Е.Б.Белов. - М.: Горячая линия - Телеком, 2013. – 76 с.
8.
Бирюков, А.А. Информационная безопасность: защита и нападение /
А.А. Бирюков. - М.: ДМК Пресс, 2013. - 474 c.
9.
Вязовой, В.А. Системы календарного планирования проектов для
строительно – монтажных компаний: [Электронный ресурс]. - Режим доступа:
https://www.itweek.ru/idea/article/detail.php?ID=53570. - Дата доступа: 3.10.17.
10.
Гатчин
Ю.А.
Введение
в
комплексную
защиту
объектов
информатизации: учебное пособие / Ю.А. Гатчин. – СПб.: НИУ ИТМО, 2013. – 112
с.
11.
Гафнер, В.В. Информационная безопасность: учебное пособие /
В.В.Гафнер. — Д.: Феникс, 2014. — 324 c.
111
12.
ГОСТ
строительства
Р21.1003-2009
(СПДС).
Учет
Система
и
проектной
хранение
документации
проектной
для
документации:
[Электронный ресурс]. – Режим доступа: http://docs.cntd.ru/document/1200075973. Дата доступа: 15.11.2017.
13.
Громов, Ю.Ю. Информационная безопасность и защита информации:
Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. — Ст. Оскол: ТНТ,
2013. — 384 c.
14.
Доктрина
ИБ:
[Электронный
ресурс].
-
Режим
доступа:
http://www.studfiles.ru/preview/4288474. - Дата доступа: 4.11.17.
15.
Зайцев,В.А. Правоведение: учебное пособие / В.А. Зайцев, В.И.
Иванов, И.Ю. Устинов; под общ. ред. Г.В. Зиброва. – В.: ВАИУ, 2013. - 266 с.
16.
Касперский, Е.В. Компьютерные вирусы в MS-DOS / Е.В.Касперский.
- М.: Русская редакция, 2015. - 176 c.
17.
Киселев,
Г.М.
Информационные
технологии
в
экономике
и
управлении: учебное пособие / Г.М. Киселев, Р.В. Бочкова, В.И. Сафонов. – М.:
Дашков и Ко, 2013. – 450 с.
18.
Классификация
[Электронный
угроз
ресурс].
информационной
безопасности:
Режим
доступа:
-
https://studfiles.net/preview/5785046/page:5/. - Дата доступа: 8.10.17.
19.
Климентьев, К.Е. Компьютерные вирусы и антивирусы. Взгляд
программиста / К.Е. Сычев. – Москва: ДМК Пресс, 2013. - 656 c.
20.
Компрометация информации: [Электронный ресурс]. – Режим
доступа: https://ru.wikipedia.org/wiki/Компрометация_(криптограф). - Дата доступа:
11.10.17.
21.
доступа:
Концепция электронной безопасности: [Электронный ресурс]. – Режим
http://securitypolicy.ru/шаблоны/концепция_обеспечения_иб.
-
Дата
доступа: 15.11.2017.
22.
Малое предпринимательство России, организация, экономика,
управление: материалы конф. малых предпринимателей, Москва, 25 августа 2017
г. – Москва: Феникс, 2017. – 254 с.
112
23.
Михайлов А. В. Компьютерные вирусы и борьба с ними /
А.В.Михайлов. – М.: Диалог-МИФИ, 2013. - 104 c.
24.
Мостовой, Д.Ю.
Компьютерные вирусы (Russian Edition) /
Д.Ю.Мостовой. – Москва: Подвиг, 2013. - 132 c.
25.
Несанкционированное
использование
компьютерных
ресурсов:
[Электронный ресурс]. – Режим доступа: http://helpiks.org/5-22291.html. - Дата
доступа: 11.10.17.
26.
Новейшие компьютерные вирусы: [Электронный ресурс]. – Режим
доступа: http://mirinfi.info/news/sovremennye_kompjuternye_ugrozy_novejshie_virus
y_i_ataki/2012-02-16-68. - Дата доступа: 25.10.17.
27.
Особенности алгоритма работы вирусов: [Электронный ресурс].
– Режим доступа: http://virussid.narod.ru/alg.htm. - Дата доступа: 16.10.17.
28.
Пассивные угрозы безопасности: [Электронный ресурс]. – Режим
доступа: http://textarchive.ru/c-2710393-p3.html. - Дата доступа: 8.10.17.
29.
Патрушина, С.М. Информационные системы в экономике: Учебное
пособие / С.М. Патрушина, Н.А. Аручиди. - М.: Мини Тайп, 2014. - 144 c.
30.
Последствия нарушения правил информационной безопасности:
[Электронныйресурс]. – Режим доступа: https://studme.org/57532/pravo/ugrozy_risk
i_pravonarusheniya_oblasti_informatsionnoy_bezopasnosti. - Дата доступа: 11.10.17.
31.
Применение вычислительной техники и автоматизированных систем
управления на предприятиях и в отраслях промышленности: [Электронный
ресурс]. - Режим доступа: https://scibook.net. – Дата доступа: 25.10.2017.
32.
Теоретическая основа концепции ИБ: [Электронный ресурс]. – Режим
доступа: http://atexplus.net/assets/uploads/2014/05/1. - Дата доступа: 25.11.2017.
33.
Разработка системы информационной безопасности для строительно -
монтажной компании: [Электронный ресурс]. - Режим доступа: https://researchjournal.org/technical/razrabotka-sistemy-informacionnoj-bezopasnosti-dlya-stroitelnojkompanii/. - Дата доступа: 15.11.2017.
113
34.
Система поддержки принятия решений: [Электронный ресурс]. –
Режим доступа: https://ru.wikipedia.org/wiki/Система_поддержки_принятия_решен
ий. - Дата доступа: 30.09.17
35.
Научные
труды
Санкт-Петербургского
политехнического
университета Петра Великого. Серия: сметное ПО. Выпуск 40-6(74) 2013. – 157 с.
36.
Смирнова,
Г.Н.
Понятие
и
классификация
ЭИС:
учебник
«Проектирование ЭИС» / Г. Н. Смирнова, А. А. Сорокина, Ю. Ф. Тельнова:
[Электронный ресурс]. - Режим доступа: http://diploms.biz/materials_2.php. - Дата
доступа: 30.09.17.
37.
Современная концепция И.Б.: [Электронный ресурс]. – Режим доступа:
https://studfiles.net/preview/5852002/page:2/. - Дата доступа: 25.11.2017.
38.
Стрункина, М.М., Воробьева А.В. Информационная безопасность в
строительно – монтажной компании / М.С. Стрункина, А.В. Воробьева // Е.:
Соколова М.В. – 2016. - №10-2. – С. 166-118.
39.
Тихонов
В.
«Технические
средства
защиты
информации»:
[Электронный ресурс]. - Режим доступа: http://citforum.ru/security/articles/. - Дата
доступа: 30.10.17.
40.
Точки входа вируса: [Электронный ресурс]. - Режим доступа: http://w
ww.viruslab.ru/security/types_malware/virus/technical_data/date_1.php.
-
Дата
доступа: 16.10.17.
41.
Угрозы экономической безопасности функционирования строительной
организации: [Электронныйресурс]. – Режим доступа: http://studbooks.net/1750138/
ekonomika/ugrozy_ekonomicheskoy_bezopasnosti_funktsionirovaniya_stroitelnoy_org
anizatsii_uralspetsstroy. - Дата доступа: 25.11.2017.
42.
Федеральный закон "Об информации, информационных технологиях и
о защите информации" от 27.07.2006 N 149-ФЗ (последняя редакция):
[Электронныйресурс]. – Режим доступа: http://www.consultant.ru/document/cons_do
c_LAW_61798/. - Дата доступа: 30.10.17.
114
43.
Функции
программного
обеспечения
для
календарного
планирования: [Электронный ресурс]. – Режим доступа: https://studfiles.net/previe
w/400057/page:15/. - Дата доступа: 3.10.17.
44.
Функции сметного ПО: [Электронный ресурс]. - Режим доступа:
http://www.smeta.ru/static/55_945.html. - Дата доступа: 3.10.17.
45.
Экономическая информационная система: [Электронный ресурс]. -
Режим доступа: http://dic.academic.ru/dic.nsf/ruwiki/703833. - Дата доступа:
30.09.17.
46.
Экономическая информация её виды и функции: [Электронный
ресурс]. - Режим доступа: http://lib.ssga.ru/fulltext/UMK/080507%20МО/5%20семес
тр/Информационные%20технологии%20управления/080507%20Конспекты%20ле
кций%20ИТУ%202011/1-2.htm. - Дата доступа: 30.10.17.
47.
Экономическая
информация
и
её
свойства:
[Электронный
ресурс]. - Режим доступа: https://studfiles.net/preview/1957755/page:3/. - Дата
доступа: 30.10.17.
48.
Режим
Экономические информационные системы: [Электронный ресурс]. доступа:
http://mirznanii.com/a/163683/ekonomicheskie-informatsionnye-
sistemy. - Дата доступа: 4.11.17.
49.
Этапы
разработки
Режимдоступа:
-
концепции
ИБ:
[Электронныйресурс].
http://www.audit-ib.ru/protection-company/concept-
development/stages-development/. - Дата доступа: 25.11.2017
50.
Этапы разработки концепции ИБ: [Электронныйресурс]. Режим досту
па: http://www.nestor.minsk.by/sr/2006/07/sr60713.html. - Дата доступа: 25.11.2017
51.
Power
D.J.
A
Brief
History
of
Decision
Support
Systems:
[Электронный ресурс]. - Режим доступа: http://DSSResources.COM/history/dsshisto
ry.html. - Дата доступа: 30.09.17.
52.
Thomas J Holt. Legal challanges in dealing with malware: сybercrime and
Digital Forensics / Thomas J Holt, Adam M Bossler, Kathryn C. — New York:
Routledge, 2015. — 103 p.
115
53.
ГОСТ Р 7.0.8-2013 (ДЕЛОПРОИЗВОДСТВО И АРХИВНОЕ ДЕЛО.
ТЕРМИНЫ
И
ОПРЕДЕЛЕНИЯ.)
[Электронныйресурс].
-
Режимдоступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n
=163800&rnd=20AF40A9719B56D87AB299CD3E338B67&dst=100007&fld=134#04
2826247567401166. - Дата доступа: 1.06.2018
54.
ОК
«УД»
УПРАВЛЕНЧЕСКОЙ
011—93
(ОБЩЕРОССИЙСКИЙ
ДОКУМЕНТАЦИИ)
КЛАССИФИКАТОР
[Электронныйресурс].
-
Режимдоступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n
=293459&fld=134&dst=1000000001,0&rnd=0.11826033314306628#04251550803780
0775. - Дата доступа: 1.06.2018
55.
«Об
информации»
информации, информационных технологиях и о
от
27.07.2006
N
149-ФЗ
защите
[Электронныйресурс].
-
Режимдоступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n
=296555&fld=134&dst=1000000001,0&rnd=0.2586406201261462#096505040626391
18. - Дата доступа: 1.06.2018
56.
Федеральный закон «О персональных данных» от 27.07.2006 N
152 - ФЗ[Электронныйресурс]. - Режимдоступа: http://www.consultant.ru/cons/cgi/o
nline.cgi?req=doc&base=LAW&n=221444&fld=134&dst=1000000001,0&rnd=0.2782
423975287587#05471418046647265. - Дата доступа: 1.06.2018
116
ПРИЛОЖЕНИЕ 1
117
118
119
120
121
122
ПРИЛОЖЕНИЕ 2
Общество с ограниченной
ответственностью «Строительномонтажное предприятие – 2»
Утверждаю
Директор ООО «СМП-2» _____________
Стрелков А.А.
«___» ________ 20__.
Должностная инструкция
специалиста по защите информации Общества с ограниченной ответственностью «СМП-2»
Настоящая должностная инструкция разработана и утверждена в соответствии с положениями
Трудового кодекса Российской Федерации и иных нормативных актов, регулирующих трудовые
правоотношения в Российской Федерации.
I. Общие положения
1.1. Специалист по защите информации относится к категории специалистов, принимается на работу и
увольняется с нее приказом руководителя предприятия по представлению начальника отдела по защите
информации.
1.2. На должность специалиста по защите информации I категории назначается лицо, имеющее высшее
профессиональное (техническое) образование и стаж работы в должности специалиста по защите
информации не менее 1 года.
1.3. Специалист по защите информации непосредственно подчиняется директору СМП-2.
1.4. В своей деятельности специалист по защите информации руководствуется:
- законодательными и нормативными документами по вопросам обеспечения защиты информации;
- методическими материалами, касающимися соответствующих вопросов;
- уставом предприятия;
- правилами трудового распорядка;
- приказами и распоряжениями директора предприятия;
- настоящей должностной инструкцией.
1.5. Специалист по защите информации должен знать:
- законодательные акты, нормативные и методические материалы по вопросам, связанным с
обеспечением защиты информации;
- специализацию предприятия и особенности его деятельности;
- технологию производства в отрасли;
- оснащенность вычислительных центров техническими средствами, перспективы их развития и
модернизации;
123
- систему организации комплексной защиты информации, действующей в организации;
- методы и средства контроля охраняемых сведений, выявления каналов утечки информации,
организацию технической разведки;
- методы планирования и организации проведения работ по защите информации и обеспечению
государственной тайны;
- технические средства контроля и защиты информации, перспективы и направления их
совершенствования;
- методы проведения специальных исследований и проверок, работ по защите технических средств
передачи, обработки, отображения и хранения информации;
- порядок пользования реферативными и справочно-информационными изданиями, а также другими
источниками научно-технической информации;
- достижения науки и техники в стране и за рубежом в области технической разведки и защиты
информации;
- методы и средства выполнения расчетов и вычислительных работ;
- основы экономики, организации производства, труда и управления;
- основы трудового законодательства Российской Федерации;
- правила и нормы охраны труда, техники безопасности, производственной санитарии и
противопожарной защиты.
1.6. Во время отсутствия специалиста по защите информации (командировка, отпуск, болезнь и пр.) его
обязанности исполняет лицо, назначенное в установленном порядке. Данное лицо приобретает
соответствующие права и несет ответственность за надлежащее выполнение возложенных на него
обязанностей.
II. Функции
На специалиста по защите информации возлагаются следующие функции:
2.1. Обеспечение комплексной защиты информации, соблюдения государственной тайны.
2.2. Участие в обследовании, аттестации и категорировании объектов защиты.
2.3. Разработка организационно-распорядительных документов, регламентирующих работу по защите
информации.
2.4. Определение потребности в технических средствах защиты и контроля.
2.5. Проверка выполнения требований нормативных документов по защите информации.
III. Должностные обязанности
Для выполнения возложенных на него функций специалист по защите информации обязан:
3.1. Выполнять сложные работы, связанные с обеспечением комплексной защиты информации на основе
разработанных программ и методик, соблюдения государственной тайны.
124
3.2. Проводить сбор и анализ материалов учреждений, организаций и предприятий отрасли с целью
выработки и принятия решений и мер по обеспечению защиты информации и эффективному
использованию средств автоматического контроля, обнаружения возможных каналов утечки сведений,
представляющих государственную, военную, служебную и коммерческую тайну.
3.3. Анализировать существующие методы и средства, применяемые для контроля и защиты
информации, и разрабатывать предложения по их совершенствованию и повышению эффективности
этой защиты.
3.4. Участвовать в обследовании объектов защиты, их аттестации и категорировании.
3.5. Разрабатывать и готовить к утверждению проекты нормативных и методических материалов,
регламентирующих работу по защите информации, а также положений, инструкций и других
организационно-распорядительных документов.
3.6. Организовывать разработку и своевременное представление предложений для включения в
соответствующие разделы перспективных и текущих планов работ и программ мер по контролю и
защите информации.
3.7. Давать отзывы и заключения на проекты вновь строящихся и реконструируемых зданий и
сооружений и другие разработки по вопросам обеспечения защиты информации.
3.8. Участвовать в рассмотрении технических заданий на проектирование, эскизных, технических и
рабочих проектов, обеспечивать их соответствие действующим нормативным и методическим
документам, а также в разработке новых принципиальных схем аппаратуры контроля, средств
автоматизации контроля, моделей и систем защиты информации, оценке технико-экономического
уровня и эффективности предлагаемых и реализуемых организационно-технических решений.
3.9. Определять потребность в технических средствах защиты и контроля, составлять заявки на их
приобретение с необходимыми обоснованиями и расчетами к ним, контролировать их поставку и
использование.
3.10. Осуществлять проверку выполнения требований межотраслевых и отраслевых нормативных
документов по защите информации.
IV. Права
Специалист по защите информации имеет право:
4.1. Знакомиться с проектами решений руководства предприятия, касающимися его деятельности.
4.2. Вносить на рассмотрение руководства предложения по совершенствованию работы, связанной с
обязанностями, предусмотренными настоящей инструкцией.
4.3. Получать от руководителей структурных подразделений, специалистов информацию и документы,
необходимые для выполнения своих должностных обязанностей.
4.4. Привлекать специалистов всех структурных подразделений предприятия для решения возложенных
на него обязанностей (если это предусмотрено положениями о структурных подразделениях, если нет - с
разрешения руководителя предприятия).
4.5. Требовать от руководства предприятия оказания содействия в исполнении своих должностных
обязанностей и прав.
V. Ответственность
125
Специалист по защите информации несет ответственность:
5.1. За неисполнение (ненадлежащее исполнение) своих должностных обязанностей, предусмотренных
настоящей должностной инструкцией, в пределах, определенных трудовым законодательством
Российской Федерации.
5.2. За совершенные в процессе осуществления своей деятельности правонарушения - в пределах,
определенных административным, уголовным и гражданским законодательством Российской
Федерации.
5.3. За причинение материального ущерба - в пределах, определенных трудовым, уголовным и
гражданским законодательством Российской Федерации.
Должностная инструкция разработана в соответствии с _________________________.
Руководитель структурного подразделения
А.А. Стрелков _________________
«__»________20___г.
Согласовано:
Юридический консультант
___ _________ ________________
«__»________20___г.
С инструкцией ознакомлен:
___ _________ ________________
«__»________20___г.
126
ПРИЛОЖЕНИЕ 3
Таблица. Выполнение функций персоналом.
№
Функция
Уровни
подразделения
Структурное
подразделение,
исполнитель
Стратегический
Директор
Общее руководство деятельностью
предприятия.
Контроль технической базы
оказываемых услуг.
Отражение на счетах бухгалтерского
учета всех осуществленных
хозяйственных операций,
представление оперативной
информации о финансовом
состоянии компании.
Обеспечение выполнения заданий,
организация работ.
Правовое обеспечение деятельности
предприятия.
Стратегический
Главный инженер
Функциональный
Бухгалтер
6
Осуществление уборки помещений.
Операционный
Уборщица
7
Организация хранения
производственного оборудования.
Операционный
Кладовщик
8
Осуществления работ в соответствии
с поставленной задачей.
Операционный
Мастера
9
Осуществления работ в соответствии
с поставленной задачей.
Операционный
Прочий
аутсорсинговый
персонал
10
организация мероприятий
осуществления защиты информации
Функциональный
Специалист по ИБ
1
2
3
4
5
Функциональный
Функциональный
Производитель
работ
Юридический
консультант
127
ПРИЛОЖЕНИЕ 4
128
ПРИЛОЖЕНИЕ 5
ПРИЛОЖЕНИЕ 6
Таблица – общий уровень защищенности ИСПДН
Структурно-функциональные характеристики информационной системы,
условия ее эксплуатации
1. По структуре информационной системы:
автономное автоматизированное рабочее место;
2. По наличию соединения с сетями общего
пользования:
ИСПДн, имеющая одноточечный выход в сеть
общего пользования
3. По встроенным (легальным) операциям с записями
баз персональных данных:
чтение, поиск, запись, удаление, сортировка
копирование, модификация, передача
4. По разграничению доступа к персональным
данным:
ИС к которой имеют доступ определенные перечнем
сотрудники организации
6. По режимам разграничения прав доступа:
С фиксированными разграничениями.
7. По размещению технических средств:
расположенные в пределах одной контролируемой
зоны;
Уровень защищенности
Высокий
Средний Низкий
+
+
+
+
+
+
+
130
ПРИЛОЖЕНИЕ 7
Таблица. Вероятности реализации угроз безопасности СМП-2.
Тип угроз безопасности ПДн
Коэффициент
вероятности
реализации (Y2)
Вербальная Градация
1. Угрозы от утечки по техническим каналам
1.1. Угрозы утечки акустической
0
Маловероятно
информации
1.2. Угрозы утечки видовой
0
Маловероятно
информации
1.3. Угрозы утечки информации по
0
Маловероятно
каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации
путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
0
Маловероятно
2.1.2. Кража носителей информации
0
Маловероятно
2.1.3. Кража ключей и атрибутов
0
Маловероятно
доступа
2.1.4. Кражи, модификации,
2
Низкая вероятность
уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ,
2
Низкая вероятность
каналов связи
2.1.6. Несанкционированный доступ
к информации при техническом
2
Низкая вероятность
обслуживании (ремонте,
уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное
2
Высокая вероятность
отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за
счет несанкционированного доступа (НСД) с применением программно-аппаратных и
программных средств (в том числе программно-математических воздействий)
2.2.1. Действия вредоносных
2
Высокая вероятность
программ (вирусов)
2.2.2. Недекларированные
возможности системного ПО и ПО
2
Высокая вероятность
для обработки персональных данных
2.2.3. Установка ПО, не связанного с
исполнением служебных
5
Высокая вероятность
обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности
функционирования ИСПДн и систем защиты КДн в ее составе из-за сбоев в программном
обеспечении, а также от сбоев аппаратуры, из-за ненадежности элементов, сбоев
электропитания и стихийного (ударов молний, пожаров, наводнений и т.п.) характера
2.3.1. Утрата ключей и атрибутов
2
Высокая вероятность
доступа
2.3.2. Непреднамеренная
модификация (уничтожение)
5
Средняя вероятность
информации сотрудниками
2.3.3. Непреднамеренное отключение
5
Высокая вероятность
средств защиты
2.3.4. Выход из строя аппаратно5
Высокая вероятность
программных средств
131
2.3.5. Сбой системы
2
Высокая вероятность
электроснабжения
2.3.6. Стихийное бедствие
2
Высокая вероятность
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации,
копирование, модификация,
2
Высокая вероятность
уничтожение, лицами, не
допущенными к ее обработке
2.4.2. Разглашение информации,
копирование, модификация,
5
Высокая вероятность
уничтожение сотрудниками,
допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи
2.5.1.Угроза «Анализ сетевого
трафика» с перехватом передаваемой
0
Маловероятно
из СЗКДн и принимаемой из
внешних сетей информации:
2.5.1.1. Перехват за переделами с
2
Низкая вероятность
контролируемой зоны
2.5.1.2. Перехват в пределах
контролируемой зоны внешними
2
Низкая вероятность
нарушителями
2.5.1.3.Перехват в пределах
контролируемой зоны внутренними
0
Маловероятно
нарушителями.
2.5.2.Угрозы сканирования,
направленные на выявление типа или
типов используемых операционных
систем, сетевых адресов рабочих
2
Низкая вероятность
станций ИСПДн, топологии сети,
открытых портов и служб, открытых
соединений и др.
2.5.3.Угрозы выявления паролей по
5
Высокая вероятность
сети
2.5.4.Угрозы навязывание ложного
2
Высокая вероятность
маршрута сети
2.5.5.Угрозы подмены доверенного
2
Высокая вероятность
объекта в сети
2.5.6.Угрозы внедрения ложного
объекта как в ИСПДн, так и во
2
Высокая вероятность
внешних сетях
2.5.7.Угрозы удаленного запуска
0
Высокая вероятность
приложений
2.5.8.Угрозы внедрения по сети
5
Высокая вероятность
вредоносных программ
132
ПРИЛОЖЕНИЕ 8
Таблица. Возможность реализации угроз безопасности СМП-2.
Коэффициент
Возможность
реализуемости
реализации
угрозы (Y)
1. Угрозы от утечки по техническим каналам
1.1. Угрозы утечки акустической
0,25
Средняя
информации
1.2. Угрозы утечки видовой
0,25
Средняя
информации
1.3. Угрозы утечки информации по
0,25
Средняя
каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации
2.1. Угрозы уничтожения, хищения аппаратных средств СЗКДн носителей
информации путем физического доступа к элементам СЗКДн
2.1.1. Кража ПЭВМ
0,25
Средняя
2.1.2. Кража носителей информации
0,25
Средняя
2.1.3. Кража ключей и атрибутов
0,25
Средняя
доступа
2.1.4. Кражи, модификации,
0,35
Высокая
уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ,
0,35
Высокая
каналов связи
2.1.6. Несанкционированный доступ
к информации при техническом
0,35
Высокая
обслуживании (ремонте,
уничтожении) узлов ПЭВМ
2.1.7. Несанкционированное
0,35
Очень высокая
отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования
информации за счет несанкционированного доступа (НСД) с применением
программно-аппаратных и программных средств (в том числе программноматематических воздействий)
2.2.1. Действия вредоносных
0,35
Очень высокая
программ (вирусов)
2.2.2. Недекларированные
возможности системного ПО и ПО
0,35
Очень высокая
для обработки персональных данных
2.2.3. Установка ПО, не связанного с
исполнением служебных
0,5
Очень высокая
обязанностей
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности
функционирования СЗКДн и систем защиты ПДн в ее составе из-за сбоев в
программном обеспечении, а также от сбоев аппаратуры, из-за ненадежности
элементов, сбоев электропитания и стихийного (ударов молний, пожаров,
наводнений и т.п.) характера
2.3.1. Утрата ключей и атрибутов
0,35
доступа
2.3.2. Непреднамеренная
модификация (уничтожение)
0,5
Высокая
информации сотрудниками
Тип угроз безопасности ПДн
133
2.3.3. Непреднамеренное отключение
0,5
Очень высокая
средств защиты
2.3.4. Выход из строя аппаратно0,5
Очень высокая
программных средств
2.3.5. Сбой системы
0,35
Очень высокая
электроснабжения
2.3.6. Стихийное бедствие
0,35
Очень высокая
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации,
копирование, модификация,
0,35
Очень высокая
уничтожение, лицами не
допущенными к ее обработке
2.4.2. Разглашение информации,
копирование, модификация,
0,5
Очень высокая
уничтожение сотрудниками,
допущенными к ее обработке
2.5.Угрозы несанкционированного доступа по каналам связи
2.5.1.Угроза «Анализ сетевого
трафика» с перехватом передаваемой
0,25
Средняя
из СЗКДн и принимаемой из
внешних сетей информации:
2.5.1.1. Перехват за переделами с
0,35
Высокая
контролируемой зоны
2.5.1.2. Перехват в пределах
контролируемой зоны внешними
0,25
Высокая
нарушителями
2.5.1.3.Перехват в пределах
контролируемой зоны внутренними
0,25
Средняя
нарушителями.
2.5.2.Угрозы сканирования,
направленные на выявление типа или
типов используемых операционных
систем, сетевых адресов рабочих
0,25
Высокая
станций СЗКДн, топологии сети,
открытых портов и служб, открытых
соединений.
2.5.3.Угрозы выявления паролей по
0,5
Очень высокая
сети
2.5.4.Угрозы навязывание ложного
0,35
Очень высокая
маршрута сети
2.5.5.Угрозы подмены доверенного
0,35
Очень высокая
объекта в сети
2.5.6.Угрозы внедрения ложного
объекта как в СЗКДн, так и во
0,35
Очень высокая
внешних сетях
2.5.7.Угрозы удаленного запуска
0,25
Очень высокая
приложений
2.5.8.Угрозы внедрения по сети
0,35
Очень высокая
вредоносных программ
134
1/--страниц
Пожаловаться на содержимое документа