Описание информационной среды предприятия
В ГУ Банка России Челябинской области работает около 1000 человек, у каждого есть свое рабочее место, оборудованное ПК. На компьютерах установлена операционная система Windows ХР, программное обеспечение на базе СУБД Oracle, пакет Microsoft Office, 1С, Консультант+, Гарант, ДубльГис, Internet Explorer, Outlook, пакет антивирусных программ в зависимости от отдела Касперский, Nod32. Оснащение современными техническими и программно-информационными средствами позволяет сегодня качественно и оперативно решать функциональные задачи, развивать и внедрять передовые технологии.
Для примера изолированной от внешней среды информационной системы рассмотрим АС ВХД, реализованной в виде типовой конфигурации (ТК) программного средства (ПС) «1С:Предприятие».
Автоматизированная система (АС) «Внутрихозяйственная деятельность» (ВХД) разработана в рамках Единой информационно-вычислительной системы Банка России, которая относится к классу информационных систем Информационно-телекоммуникационной системы Банка России.
АС ВХД предназначена для автоматизации деятельности учреждений Банка России и обеспечивает выполнение следующих основных функций:
· ведения расчетных операций и сметы расходов;
· ведения бухгалтерского учета имущества;
· расчета заработной платы.
Для обеспечения перечисленных выше функций используется база данных, общая с автоматизированной подсистемой «Управление персоналом», реализующей следующие основные функции:
· формирования и ведения штатного расписания;
· обработки персональных данных работников.
В АС ВХД обрабатывается, хранится и передается информация, содержащая сведения ограниченного распространения. Защите в АС ВХД подлежит информация, содержащая индивидуальные сведения о сотрудниках учреждений Банка России, подготавливаемая для налоговых органов и пенсионного фонда.
В целях обеспечения информационной безопасности электронных технологий с применением АС ВХД должен быть реализован описанный ниже комплекс организационных, технологических, технических и программных мер и средств защиты информации (СЗИ) от несанкционированного доступа (НСД), образующих подсистему информационной безопасности (ПИБ).
Обеспечение информационной безопасности осуществляется на этапе ввода АС в эксплуатацию (создание ПИБ) и во всех режимах штатной эксплуатации АС (сопровождение ПИБ) в учреждениях Банка России и в целом включает в себя следующие меры:
- регламентирование технологического процесса обработки данных в АС и эксплуатации программно-технических средств, в том числе процессов модификации программного обеспечения;
- возложение ответственности за информационную безопасность при обработке, передаче и хранении информации, содержащей сведения ограниченного распространения, на руководителей эксплуатирующих АС подразделений, а ответственности за обеспечение информационной безопасности - на каждого сотрудника, осуществляющего в АС обработку, передачу и хранение этой информации, в соответствии с "Порядком обеспечения сохранности сведений (информации) ограниченного распространения в системе Банка России" (рекомендуется отражать данное положение в распорядительном документе о вводе в эксплуатацию АС);
- обеспечение защиты помещений и технических средств АС;
- учет используемых технических и программных средств, в том числе машинных носителей информации, используемых для обработки сведений ограниченного распространения;
- персональный допуск пользователей к работе в АС путем использования личных идентификаторов и паролей, регламентацию полномочий пользователей АС;
- разграничение доступа к защищаемым информационным ресурсам;
- регистрацию действий пользователей, работающих в АС, в том числе пользователей со специальными привилегиями (при изменении ими полномочий пользователей или статуса защищаемых ресурсов), и других событий в АС;
- использование встроенных в компьютеры автоматизированных рабочих мест (АРМ) и серверов АС, а также в их операционные системы (ОС) механизмов защиты информации и применение специальных программно-аппаратных средств защиты информации от НСД;
- использование лицензионных программных средств и сертифицированныхСЗИ, контроль легальности и целостности используемых программных средств;
- страховое копирование программного и информационного обеспечения АС, еговосстановление после сбоев, тестирование и восстановление средств и механизмов защиты;
- изоляцию сегментов сети с техническими и программными средствами, предназначенными для разработки и отладки программного обеспечения (либо содержащих средства разработки, отладки и тестирования программно-аппаратного обеспечения), от ее сегментов, задействованных в обработке и хранении информации, содержащей сведения ограниченного распространения;
- проведение работ по установке всех технических и программных средств (в том числе средств защиты информации) на рабочих местах АС только уполномоченными на то лицами (организациями);
- антивирусный контроль программно-технических средств АС;
- наличие администраторов информационной безопасности (АИБ), контроль за работоспособностью СЗИ и выполнением требований информационной безопасности при эксплуатации рабочих мест АС.
Контроль за обеспечением информационной безопасности при использовании АС на всех этапах подготовки, обработки и хранения информации, содержащей сведения ограниченного распространения, осуществляется подразделением безопасности и защиты информации (при отсутствии такого подразделения указанные здесь и далее для него функции выполняют отдельные лица, на которых возложены соответствующие обязанности). [6]
В целях обеспечения быстрых и бесперебойных расчетов в области осуществлен постепенный переход на электронный порядок обмена документами с участниками расчетов через сеть Банка России: кредитными организациями и Федеральным казначейством. Это позволяет проводить в электронной форме почти все межрегиональные и внутрирегиональные платежи, осуществляемые через расчетную сеть Главного управления.
Отказоустойчивость сети обеспечивается дублированием всего основного сетевого оборудования, каналов связи и источников питания. Проект предусматривал прокладку новой структурированной кабельной системы (СКС) на базе оборудования компаний MOD-TAP и Legrand. Эта задача решена в комплексе: развернутая СКС охватывает телефонную разводку зданий и допускает перекоммутацию на уровне этажей и зданий. Гарантия кабельной системы - 15 лет, а каждого отдельного ее компонента - весь срок его службы.
Защита информации в сети челябинского отделения ЦБ реализована на нескольких уровнях. [7]
2. ВИДЫ ЗИ
Для структурирования информации в качестве исходных данных используются: перечень сведений составляющих государственную, ведомственную и коммерческую тайны; перечень источников информации в ЦБ РФ. Структурирование информации производится путем классификации информации в соответствии со структурой, функциями и задачами организации с привязкой элементов информации к ее источникам.
Исходя из цели курсовой защищаемой информацией будем называть конфиденциальную. Для начала приведем примеры защищаемой информации, циркулирующей в ЦБ РФ:
- информация ограниченного доступа
- информация, содержащая сведения, составляющие банковскую тайну (платежная информация (информация, предназначенная для проведения расчетных, кассовых и других банковских операций и учетных операций))
- информация, содержащая сведения, составляющие служебную тайну;
- персональные данные;
- информация, содержащая сведения, составляющие государственную тайну
- управляющая информация платежных, информационных и телекоммуникационных систем (информация, используемая для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации);
Эта информация может представлять собой:
· документ, как в бумажном, так и в электронном виде
· речевую информацию, передаваемую по телефону или при непосредственном разговоре в кабинете
· программно-аппаратное средство для защиты информации от утечки
3. Модель информационных потоков
Для лучшего отражения всех информационных взаимодействий можно построить модель информационных потоков.
На схемах ниже представлены контекстная диаграмма для Организации, а также два уровня декомпозиции.
Третья схема показывает информационные потоки, соответствующие происходящим бизнес-процессам в отделе по борьбе с преступностью при выполнении передачи информации.
Благодаря этим схемам можно проследить путь возникновения информации, требующей защиты при передаче в отделе по борьбе с преступностью. Поскольку предметом является сам процесс передачи, другие механизмы защиты, предваряющие его, рассматриваться не будут.
4. определение основных объектов защиты
5. угрозы, уязвимости информации
Моделирование угроз безопасности информации предусматривает анализ способов хищения, изменения или уничтожения защищаемой информации с целью оценки наносимого этими действиями ущерба.
Моделирование угроз включает в себя:
· Анализ возможных угроз с целью их выявления и оценки возможного ущерба от них
· Анализ типажей злоумышленника, их квалификацию, возможную техническую оснащенность и местонахождение при добывании информации и естественную мотивацию своей деятельности.
Формирование перечня источников угроз и моделей угроз проводилось с учетом положений СТО БР ИББС1.0
3.1. Анализ возможных угроз с целью из выявления и оценки возможного ущерба от них
Перечень классов, основных источников угроз ИБ и их описание
| Источник угрозы ИБ | Описание | |
| Источники угроз ИБ, связанные с деятельностью внутренних нарушителей ИБ | ||
| Хищение | Совершенное с корыстной целью противоправное безвозмездное изъятие и/или обращение имущества организации БС РФ, причинившие ущерб собственнику или иному владельцу этого имущества | |
| Выполнение вредоносных программ | Внедрение в систему и выполнение вредоносных программ: программных закладок, “троянских коней”, программных “вирусов” и “червей” и т.п. Возможные причины: беспечность, халатность, низкая квалификация персонала (пользователей), наличие уязвимостей используемых программных средств. Возможные последствия: несанкционированный доступ к информационным активам, нарушение их свойств, сбои, отказы и уничтожение программных средств, нарушение непрерывности выполнения процессов, снижение качества информационных услуг (сервисов) | |
| Использование информационных активов не по назначению | Умышленное использование информационных активов организации в целях, отличных от целей организации. Возможные причины: отсутствие контроля персонала. Возможные последствия: нехватка вычислительных, сетевых или людских ресурсов, прямой ущерб организации | |
| Источники угроз ИБ, связанные с деятельностью внешних нарушителей ИБ | ||
| Действия неавторизованного субъекта | Умышленные действия со стороны субъекта из внешней по отношению к области обеспечения ИБ среды. Возможные последствия: разрушение и уничтожение технических программных средств, внедрение и выполнение вредоносных программ, нарушение свойств, утрата информационных активов и сервисов | |
| Несанкционированный логический доступ | Несанкционированный логический доступ неавторизованных субъектов к компонентам подразделения и информационным активам. Возможные причины: компрометация пароля, предоставление пользователям/администраторам избыточных прав доступа, недостатки (отсутствие) механизмов аутентификации пользователей и администраторов, ошибки администрирования, оставление без присмотра программнотехнических средств. Одним из путей получения несанкционированного доступа к системе является умышленное внедрение вредоносных программ с целью хищения пароля для входа в систему или получения прав доступа. Возможные последствия: нарушение свойств информационных активов, сбои, отказы и аварии программных и технических средств, нарушение непрерывности процессов и/или снижение качества информационных услуг (сервисов) | |
| Несанкционированный физический доступ | Физический несанкционированный доступ неавторизованных лиц в контролируемую зону расположения технических средств и/или информационных активов. Возможные причины: может осуществляться путем обхода средств контроля физического доступа или использования утраченных/похищенных средств обеспечения доступа. Возможные последствия: разрушение и уничтожение технических и программных средств, нарушение конфиденциальности, целостности, доступности информационных активов, нарушение непрерывности процессов и/или снижение качества информационных услуг (сервисов) | |
| Промышленный шпионаж | Передача, собирание, похищение или хранение информационных активов организации БС РФ для использования их в ущерб организации БС РФ | |
| Запугивание и шантаж | Принуждение персонала организации БС РФ к осуществлению несанкционированных действий, заключающееся в угрозе разоблачения, физической расправы или расправы с близкими | |
| Социальный инжиниринг | Умышленные действия сторонних лиц, преследующих мошеннические цели, реализуемые посредством обмана, введения в заблуждение работников организации БС РФ. Возможные последствия: ошибки работников, нарушение свойств, утрата информационных активов, нарушение непрерывности процессов, снижение качества информационных услуг (сервисов) | |
6. имеющиеся меры защиты
На практике выделяют несколько групп средств и методов, используемых в системе защиты государственных и коммерческих объектов, которые также используются и в системе комплексной защиты банков:
1. Организационно-правовые
2. Инженерно-технические
3. Информационно-технологические
4. Оперативно-технические
5. Моральное-психологические
6. Специальные
Организационно-правовые средства
Организационно-правовые средства и методы регламентируют весь технологический цикл работы банка, от методики подбора кадров и приема их на работу, например, на контрактной основе, до положений о функциональных обязанностях любого банковского сотрудника. Каждая банковская инструкция или норматив должны прямо или косвенно учитывать вопросы безопасности и влиять на работоспособность и эффективность системы комплексной защиты банка. Для государственных и коммерческих банков, их отделений, на сегодняшний день разработано большое количество нормативов, инструкций, положений и рекомендаций, авторами которых являются Минфин и ЦентроБанк. Как надо банкам жить и работать - пишут сегодня различные государственные структуры: Налоговая Служба, МВД, ФАПСИ, ФСБ и др, а также негосударственные, например, Ассоциация Российских Банков.
Разобраться в большом количестве нормативов и советов достаточно сложно, тем более, что далеко не каждая рекомендация может быть применима банками на местах в "чистом" виде, без корректировки с учетом местных особенностей. Для оценки и корректировки всех регламентирующих банковскую "жизнь" документов с точки зрения комплексной системы защиты практикуется создание Совета по безопасности при руководстве банка. В экспертную группу Совета по безопасности могут входить как Высококлассные специалисты данного банка, так и опытные консультанты из других организаций. После рекомендаций Совета по безопасности руководство банка. Совет директоров утверждают инструкции, нормативы и рекомендации, которые далее приобретают форму приказов для всего персонала банка и его отделений.
Служба безопасности банка является одним из важнейших подразделений (в дальнейшем СБ), главной задачей которой является создание и поддержание условий деятельности банка, необходимых для безопасности его персонала и посетителей, сохранности всех материальных ценностей и безопасности информации в различных ее видах.
Для обеспечения таких условий, как говорилось ранее, создается комплексная система банковской защиты. Детальные задачи СБ формулируются в Положении о СБ конкретного банка, которое готовится с учетом основных направлений деятельности данного банка и его финансовых потенциалов, специфики региона и нормативов его администрации.
В настоящее время достаточно широко практикуется вовлечение СБ во все банковские направления деятельности, в том числе в кредитование, в сферу оценки рисков, в информационно-аналитическую, кадровую работу и др. Такое положение, когда на СБ возлагается слишком много функций, может привести к серьезным просчетам, к "размыванию" ответственности в принятии стратегических решений. В тех банках, где существует контроль и участие со стороны С Б в деятельности всех подразделений банка часто делает СБ трудно управляемой организацией, может быть причиной кризиса и даже банкротства. Оптимальной является ситуация, когда, например, отдел кадров или информационно-аналитическая служба банка (его внешняя разведка), ведущая в том числе и работу против конкурентов, независимы от СБ и подчиняется непосредственно руководству банка, Совету по безопасности.
Инженерно-технические средства
Инженерно-технические средства и методы - это аппаратура и коммуникации, приспособления, конструкции, а также порядок их использования для обнаружения угроз банковскому объекту, создания преград на пути их распространения и для ликвидации угроз. Инженерно-технические средства и методы составляют основу, фундамент комплексной системы защиты; их качество и надежность во многом определяют уровень безопасности банка и его помещений, каждого рабочего места в нем. Охранно-пожарная сигнализация, охранное телевидение, охранное освещение, системы контроля доступа, аппаратура зашумления помещений, генераторы радиопомех и др. должны взаимно дополнять друг друга, их сильные и слабые стороны необходимо учитывать при построении комплексной системы защиты.
Основные инженерно-технические средства, их типы и состав для банковских объектов рекомендуется правоохранительными органами и Центральным Банком. Необходимость оснащения банка дополнительными средствами, такими, например, как радиосвязь, укрытие автомашины инкассации и т.п., а также специальных средств, например, для поиска техники подслушивания, определяется на местах руководством банка по рекомендации СБ, с учетом направлений деятельности банка и вероятности соответствующих угроз, финансовых потенциалов банка и нормативов местной администрации.
Информационно-технологические средства
Информационно-технологические средства и методы относятся к сфере защиты электронной информационной сети. В настоящее время большинство служащих банка имеет в своем распоряжении электронное рабочее место - персональный компьютер с дополнительными устройствами ввода и вывода информации (сканеры, принтеры, модемы и др). С его помощью ведётся ввод, хранение, обработка и вывод необходимой информации - т.н. базы данных. Электронное рабочее место может быть подключено к локальной банковской компьютерной сети, через которую будет осуществляться выход в межбанковскую и далее в международную сеть.
Средства и методы этой группы защиты предусматривают классификацию циркулирующей в компьютерной сети информацию на:
· конфиденциальную информацию, передача или утечка которой к посторонним лицам повлечет за собой ущерб банку, его персоналу;
· критическую информацию, отсутствие или порча которой сделает невозможной повседневную работу персонала и всего банка в целом.
Безопасность информации невозможно обеспечить отдельно, без защиты всей компьютерной техники, коммуникаций и применяющихся программ. В связи с эти все технические средства обработки информацией, программное обеспечение и базы данных объединяют в понятие ресурс, безопасность которого будет зависеть от таких характеристик, как:
а) конфиденциальность - способность ресурса быть доступным только пользователям банка, имеющим на это разрешение и недоступным всем остальным;
б) целостность - способность ресурса быть полным, неизменным и работоспособным во все необходимые периоды работы пользователей банка;
в) доступность - способность ресурса быть в нужном для пользователя месте, в нужное для него время и в нужной форме. Все сотрудники банка, занимающиеся вопросами безопасности ресурса, должны иметь четкие правовые инструкции, в которых оговорены с одной стороны вся их разрешенная работы с ресурсом, а с другой стороны последствия противоправных действий с ресурсом.
Оперативно-технические средства
Оперативно-технические средства и методы предназначены для скрытого, конспиративного контроля за действиями людей и за информацией, оказывающие существенное влияние на безопасность банка, его персонала и технологий банковской работы. Использование таких средств и методов, как контроль городских телефонных линий, конспиративная запись разговоров на магнитофон или с помощью радиомикрофонов, скрытое видео наблюдение и документирование действий посетителей и персонала банка в определенные моменты времени и др. может в значительной мере способствовать раннему обнаружению и ликвидации таких угроз как хищения и шпионаж, халатное или злонамеренное не выполнение должностных инструкций, приводящих к ущербу и т.п.
Работа с оперативно-техническими средствами проводится, как правило, сотрудниками СБ банка из числа бывших офицеров спецслужб с помощью разнообразной аппаратуры и приспособлений. Правомочность таких оперативно-технических мероприятий может определяться с учетом контрактной основы работы персонала банка, наличия в банке специфических участков, таких как операционный зал, кассы, комнаты пересчета, инкассационные помещения, депозитарий, хранилища и др.
К этой группе относится и поиск техники подслушивания и съема информации. Такая работа проводится с использованием специальных, конфиденциальных методов и средств.
Морально-психологические средства
Морально-психологические средства и методы включают в себя мероприятия СБ по работе как с персоналом и посетителями банка, так и с категорией лиц вне банка, сведения и действия которых оказывают могут оказать существенное влияние на безопасность банка, его персонала, ценностей и информации. К таким мероприятиям относят:
1. Проведение периодических инструктивных совещаний с персоналом банка по различным аспектам безопасности, разбор имевших место происшествий, аварий, нарушений инструкций, ознакомление с текущей открытой и закрытой информацией о преступлениях в отношении банков.
2. Обязательное ознакомление всего персонала банка "под расписку" с основными, текущими и персональными приказами и распоряжениями руководства как по нарушениям в отношении системы защиты, так и по фактам предотвращения ущерба и поддержания должного уровня безопасности сотрудниками банк.
3. Периодическая проверка знаний должностных инструкций и рабочих нормативов сотрудниками СБ и лицами, имеющих отношение к системам безопасности и работающих с конфиденциальной информацией. Проведение периодических тестирований персонала.
4. Периодический контроль, в том числе и медицинский, психофизиологического состояния сотрудников наиболее важных и секретных участков банка.
5. Оборудование наиболее важных участков банка открытыми, демонстративными и фальшивыми (ложными) средствами безопасности, сопровождая их предупредительными надписями и рекомендациями.
Наряду с этим, существенным моментом поддержания необходимого уровня безопасности банка может быть работа руководства СБ банка с информаторами как из числа лиц, работающих в наиболее важных и секретных подразделениях банка, так и вне банка, в его окружении. Практика показывает, что информатор-осведомитель часто бывает единственным источником упреждающих (обнаруживающих) сведений об грозах, чреватых большим ущербом для банка и его руководителей.
Такая работа должна проводится сотрудниками СБ, имеющими соответствующий опыт с использованием приемов конспирации, материального поощрения, продвижения информаторов на ответственные участки системы защиты банка.
Специальные средства и методы
Специальные средства и методы используются для получения, сбора и анализа информации о конкурентах и фирмах, представляющих источник опасности для банка. Для подобного рода "разведывательной" деятельности может быть создано отдельная от банка, "независимая" фирма или "информационное бюро", укомплектованное бывшими оперативными работниками правоохранительных органов.
7. экономический расчет. анализ текущих рисков
Под рисками проекта будем понимать комплекс возможных обстоятельств, которые могут стать причиной снижения эффективности (доходности) проекта или его полной неосуществимости. По своей природе риск — это некоторое вероятностное событие, которое может случиться, и связано с неопределенностью.
Рассмотрим 4 наиболее уязвимых объекта, на которые возможно воздействие тех или иных угроз: автоматизированное рабочее место, сервер банка, конфиденциальная документация организации и комнату для проведения конфиденциальных переговоров
В качестве критичности ресурса будем рассчитывать вероятность (в %) осуществления угрозы, в результате воздействия на ресурс той или иной угрозы
Таблица 8 – Сводная таблица угроз и уязвимостей
| Угрозы | Уязвимости |
| Автоматизированное рабочее место (критичность ресурса 500000р.) | |
| 1 Антивирусная защита | 1 Антивирусное ПО рабочих станций обновляются вручную |
| 2 Не производится антивирусная проверка после установки/изменения ПО | |
| 2 Разглашение конфиденциальной информации, хранящейся на ПЭВМ (сотрудниками компании). | 1 Отсутствие документов по банковской тайне и персональных данных. |
| 2 Отсутствие разграничения доступа к аппаратным портам ПЭВМ. | |
| 3 Парольная защита | 1 Нет службы централизованной парольной защиты |
| 4 Форс-мажорные обстоятельства | 1 Затопление |
| 2 Пыль, загрязнение | |
| 5 Временные задержки при обработке данных | 1 Задержки при рассмотрении заявок на доступ к необходимым в работе сведениям нефинансового характера, вызванные отсутствием специализированного ПО и формализации форм заявок |
| Сервер хранения конфиденциальной информации (критичность ресурса 1000000р.) | |
| 6 Неавторизованное проникновение нарушителя внутрь охраняемого периметра | 1 Отсутствие системы наблюдения |
| 2 Отсутствие регламента доступа в серверную комнату | |
| 3 Расположение ее около запасного входа | |
| 7 Неавторизованная модификация, блокирование, уничтожение информации в системе электронных расчетов в режиме реального времени, обрабатывающейся и хранящейся на ресурсе | 1Отсутствие регламента доступа в серверную комнату |
| 2 Отсутствие регламента работы с системой криптографической защиты и парольного доступа | |
| 8 Форс-мажорные обстоятельства | 1 Затопление |
| 2 Пыль, загрязнение | |
| Конфиденциальная документация организации (критичность ресурса 500000р.) | |
| 9 Умышленное разглашение конфиденциальной информации сотрудниками | 1 Отсутствие комплексной системы информационно-психологической безопасности персонала |
| 2 Опасности, связанные с увольнением или выведением персонала за штат | |
| 10 Несанкционированное уничтожение или изменение конфиденциальных документов | 1Открытый сейф |
| 2 Отсутствие регламента доступа в защищенные помещения | |
| 11 Кража конфиденциальных документов | 1Отсутствие системы видеонаблюдения |
| 2 Отсутствие регламента доступа в защищенные помещения | |
| Комната проведения переговоров Центрального Банка (критичность ресурса 500000р.) | |
| 12 Неавторизованное проникновение нарушителя внутрь охраняемого периметра | 1 Отсутствие регламента доступа в защищенные помещения |
| 13 Утечка информации по техническим каналам | 1Отсутствие ИТЗИ от закладных устройств |
| 2 Отсутствие ИТЗИ от лазерного съема информации |
1. Вероятность реализации угрозы через данную уязвимость в течение года
P(V), %
2. Критичность реализации угрозы через уязвимость ER, %
3. Уровень угрозы (%), Th
4. Уровень угрозы по всем уязвимостям, через которые реализуется данная угроза (%), СTh
5. Общий уровень угроз по ресурсу СThR, %
6. Риск ресурса R, тыс.руб.[2]
Таблица 9 – Расчет угроз и уязвимостей
| Угроза/Уязвимость | P(V), % | ER, % | (%), Th | (%), СTh | СThR, % | R, тыс.руб. |
| Угроза 1 /Уязвимость 1 | 0,03 | 0,0882 | 0,60352 | 301,760 | ||
| Угроза 1 /Уязвимость 2 | 0,06 | |||||
| Угроза 2 /Уязвимость 1 | 0,03 | 0,0882 | ||||
| Угроза 2 /Уязвимость 2 | 0,06 | |||||
| Угроза 3 /Уязвимость 1 | 0,05 | 0,107 | ||||
| Угроза 4 /Уязвимость 1 | 0,06 | 0,1352 | ||||
| Угроза 4/ Уязвимость 2 | 0,08 | |||||
| Угроза 5 /Уязвимость 1 | 0,06 | 0,06 | ||||
| Угроза 6 /Уязвимость 1 | 0,07 | 0,1339 | 0,70872 | 708,720 | ||
| Угроза 6 /Уязвимость 2 | 0,03 | |||||
| Угроза 6 /Уязвимость 3 | 0,04 | |||||
| Угроза 7 /Уязвимость 1 | 0,03 | 0,10275 | ||||
| Угроза 7 /Уязвимость 2 | 0,075 | |||||
| Угроза 8 /Уязвимость 1 | 0,04 | 0,088 | ||||
| Угроза 8 /Уязвимость 2 | 0,05 | |||||
| Угроза 9 /Уязвимость 1 | 0,09 | 0,1264 | 0,63444 | 317,220 | ||
| Угроза 9 /Уязвимость 2 | 0,04 | |||||
| Угроза 10 /Уязвимость 1 | 0,02 | 0,1229 | ||||
| Угроза 10 /Уязвимость 2 | 0,105 | |||||
| Угроза 11 /Уязвимость 1 | 0,1 | 0,172 | ||||
| Угроза 11 /Уязвимость 2 | 0,08 | |||||
| Угроза 12 /Уязвимость 1 | 0,14 | 0,14 | 0,37908 | 189,540 | ||
| Угроза 13 /Уязвимость 1 | 0,05 | 0,278 | ||||
| Угроза 13 /Уязвимость 2 | 0,24 |
Общий потенциальный ущерб составляет 1517240 рублей.
8. внедряемые меры защиты
Для достижения поставленных целей и задач в проекте предлагается ряд организационно-правовых и организационно-технических мер для обеспечения защиты информации в ЦБ РФ. Проект разбит на детальные работы, каждая из которых имеет своё ответственное лицо, зафиксированное в матрице ответственности, определены основные продукты поставки.
Целями модернизации системы защиты информации ЦБ РФ являются:
· предотвращение утечки, хищения, утраты, искажения, подделке информации;
· предотвращение угроз безопасности личности, предприятия, общества, государства;
· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
· предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
· защита конституционных прав граждан на сохранение лично тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
· сохранение, конфиденциальности документированной информации в соответствии с законодательство.
Результатом проекта будет являться работоспособная усовершенствованная комплексная система защиты информации, соответствующая современным нормам и требованиям регулирующих органов в области защиты информации.
В соответствии с этим представим объекты поставки проекта:
1 Организационно-распорядительная документация
Изменение уже существующих локальных нормативных актов ЦБ РФ, а также внедрение положения о работе с персональными данными сотрудников, об участии в национальной платежной системе, и в соответствии с ними изменение должностных инструкций работников.
2 Инженерно-технические меры
· Программно-аппаратный комплекс электронный замок "Соболь" kb-sobol 3.0 k13 v1
· Программные комплексы защиты информации от НСД Dallas Lock
3 Обучение
Обучение сотрудников новым требованиям защиты информации с обоснованием их необходимости и значимости для организации по результатам внедрения новых организационно-распорядительных документов, предусмотренных проектом, а также программно-аппаратных решений.
9. расчет рисков после внедрения
Посчитаем насколько изменятся показатели после модернизации КСЗИ.
Таблица 10 – Расчет угроз и уязвимостей после внедрения проекта
| Угроза/Уязвимость | P(V), % | ER, % | (%), Th | (%), СTh | СThR, % | R, тыс.руб. |
| Угроза 1 /Уязвимость 1 | 0,01 | 0,0298 | 0,26462 | 132,310 | ||
| Угроза 1 /Уязвимость 2 | 0,02 | |||||
| Угроза 2 /Уязвимость 1 | 0,02 | 0,0592 | ||||
| Угроза 2 /Уязвимость 2 | 0,04 | |||||
| Угроза 3 /Уязвимость 1 | 0,03 | 0,0882 | ||||
| Угроза 4 /Уязвимость 1 | 0,06 | 0,1164 | ||||
| Угроза 4/ Уязвимость 2 | 0,06 | |||||
| Угроза 5 /Уязвимость 1 | 0,06 | 0,06 | ||||
| Угроза 6 /Уязвимость 1 | 0,05 | 0,09693 | 0,24959 | 249,59 | ||
| Угроза 6 /Уязвимость 2 | 0,03 | |||||
| Угроза 6 /Уязвимость 3 | 0,02 | |||||
| Угроза 7 /Уязвимость 1 | 0,015 | 0,08887 | ||||
| Угроза 7 /Уязвимость 2 | 0,075 | |||||
| Угроза 8 /Уязвимость 1 | 0,04 | 0,088 | ||||
| Угроза 8 /Уязвимость 2 | 0,05 | |||||
| Угроза 9 /Уязвимость 1 | 0,09 | 0,1264 | 0,29744 | 148,720 | ||
| Угроза 9 /Уязвимость 2 | 0,04 | |||||
| Угроза 10 /Уязвимость 1 | 0,02 | 0,0788 | ||||
| Угроза 10 /Уязвимость 2 | 0,06 | |||||
| Угроза 11 /Уязвимость 1 | 0,1 | 0,127 | ||||
| Угроза 11 /Уязвимость 2 | 0,03 | |||||
| Угроза 12 /Уязвимость 1 | 0,06 | 0,06 | 0,2856 | 142,800 | ||
| Угроза 13 /Уязвимость 1 | 0,05 | 0,24 | ||||
| Угроза 13 /Уязвимость 2 | 0,20 |
Общий потенциальный ущерб составляет 673420 рублей.
Подводя итог,можно сказать, что общий потенциальный ущерб уменьшился при модернизации КСЗИ на 55 %.
10. эффективность внедрения
Затраты на проект модернизации КСЗИ А-банка состоят из затрат на создание и затрат на эксплуатацию системы:
1) Затраты на создание усовершенствованной КСЗИ Банка включают оплату труда персонала и стоимость программного обеспечения.
За 86 дней работы затраты на оплату труда специалистов составят 433893 руб. Расчет представлен в таблице 9.
Таблица 9 – Затраты на оплату труда в проекте
| Сотрудники | Затраты |
| Руководитель проекта | 127 500,00р. |
| Начальник службы безопасности | 89 782,00р. |
| Ведущий специалист по ЗИ | 80 000,00р. |
| Специалист по ЗИ | 66 640,00р. |
| Юрист | 27 489,00р. |
| Экономист | 5 830,00р. |
| Инженер-программист | 7 497,00р. |
| Документовед | 19 159,00р. |
| Специалист отдела бюджетирования | 6 664,00р. |
| Начальники структурных подразделений | 3 332,00р. |
| Итого: | 433 893,00р. |
Стоимость программно-аппаратного комплекса электронный замок "Соболь" составляет 9730р.Стоимость программного комплекса защиты информации от НСД Dallas Lock составляет 3800р., в итоге на 10 компьютеров стоимость будет составлять 38000 р.
Таблица 10 – Затраты на совершенствование КСЗИ Банка
| Статья расходов | Сумма | |||
| 2013 г. | 2014 г. | 2015 г. | 2016 г | |
| ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ | ||||
| 47730 р. | - | - | - | |
| ОПЛАТА ТРУДА ПЕРСОНАЛА | ||||
| Размер оплаты труда | 433 893,00р. | - | - | - |
| ОБСЛУЖИВАНИЕ СИСТЕМЫ | ||||
| Обновление ПО и лицензий | - | 3000 р. | 3000 р. | 3000 р. |
| З/плата персоналу | 63000 р. | 63000 р. | 63000 р.. | 63000 р.. |
| Итого | 554623 р. | 66000 р. | 66000 р. | 66000 р. |
Таблица 11 –Поток денежных платежей по этому проекту
| Периоды | Внедрение | ||||
| Обновление ПО и Лицензии | - | - | -3000 | -3000 | -3000 |
| Выгода (разница в размерах риска) | - | 1517240-673420 | 1517240-673420 | 1517240-673420 | 1517240-673420 |
| Кэш-фло от операционной деятельности | - | ||||
| Программное обеспечение | -47730 | - | - | - | - |
| Затраты на администрирование и инфраструктуру | -63000 | - | -63000 | -63000 | -63000 |
| З/п персонала | -433893 | - | - | - | - |
| Кэш-фло от инвестиционной деятельности | -554623 | - | -63000 | -63000 | -63000 |
| Свободный поток | -554623 |
Капитальные вложения в проект комплексной системы защиты информации составили 554,623 тыс. рублей. В последующие три года затраты на обслуживание системы будут составлять 66 тыс. рублей ежегодно в течение трех лет.
Net Present Value (NPV/ЧДД, чистый дисконтированный доход) – один из самых распространенных показателей эффективности инвестиционного проекта. Это разность между дисконтированными по времени поступлениями от проекта и инвестиционными затратами на него.
NPV – показывает инвестору доход или убыток от вложений средств в проект по сравнению с доходом от хранения денег в банке. Если NPV больше 0, то инвестиции принесут больше дохода, нежели чем аналогичный вклад в банке.
Формула 1 модифицируется если инвестиционные вложения в проект осуществляются в несколько этапов (периодов).
где:
CF – денежный поток;
I — сумма инвестиционных вложений в проект в t-ом периоде;
r — ставка дисконтирования;
n — количество периодов.
Ставку дисконтирования возьмем возьмем с помощью кумулятивного подхода, тоесть как сумму ставки дохода по безрисковым ценным бумагам(6% согласно ЦБ), к которой прибавляется премия за риск инвестиций в обыкновенные акции (систематический риск рынка акций,2 %) Также к премии за риск можно добавить премию за риск изменения инфляции, так-как согласно прогнозу на 2013-2015 года уровень инфляции возрастет на 2 %.Итого получим ставку дисконтирования в 10 процентов.
NPV=-554623+843820\1.1+777820\ 
+777820\ 
+777820\ 
=
=767032.38+642479.32+584142.82+531251.06-554623=1970282.58
Раз NPV больше 0, то данный проект целесообразно внедрять в ЦБ.
Становится очевидным, что усовершенствование системы защиты эффективно, так-как величина потерь, возникающих при отсутствии усовершенствованной КСЗИ превыщает сами затраты на ее модернизацию и обслуживание.
Стоит отметить то, что для государственных служб и организаций, коим является ГУ ЦБ РФ по Челябинской области, неприменимы стандартные подходы оценки экономической эффективности, но специальных методов для этого разработано не было, поэтому был использован данный метод.
Заключение
В ходе выполнения курсового проекта мною были получены навыки управления проектом совершенствования комплексной системы защиты информации ГУ ЦБ РФ по Челябинской области.
Результатом явилось создание проекта совершенствования комплексной системы защиты информации ГУ ЦБ РФ по Челябинской области, при этом мною были выполнены все поставленные задачи.
При подсчете экономической эффективности было установлено, что проект является эффективным, так как чистая приведенная стоимость проекта совершенствования КСЗИ является положительной.
список использованной литературы
1. Информационный портал по безопасности [Электронный ресурс]. http://www.securitylab.ru/
2. Попов Л.И., Зубарев А.В. Основные принципы повышения эффективности реализации мероприятий по комплексной защите информации.
3. Рагозин А.Н. Курс лекций по дисциплине организация обеспечения информационной безопасности сложных систем.
4. Сайт компании Intelcom построение комплексной системы защиты информации в соответствии с законодательством Российской Федерации [Электронный ресурс]. http://www.rosintelcom.ru/
5. Ярочкин В.И., Информационная безопасность. - М.: Изд-во "Академический проект", 2004. - 640 с.