Міністерство освіти Російської Федерації
Федеральне агентство у справах освіти і науки
Південно-Уральський державний університет
Факультет Економіки та Підприємництва
Кафедра Інформаційної безпеки
Курсова робота
з дисципліни «Інформаційна безпека складних систем»
на тему: «Створення комплексної системи захисту інформації» (Інтернет-провайдер)
Челябінськ
2007
Зміст
Опис інформаційної системи організації. 5
Стан фактичної захищеності організації. 6
Резюме проекту. 8
Вимоги до захищеності інформації. 8
Об'єкти поставки. 10
Структура розбиття робіт. 12
Розрахункова вартість пропонованих заходів. 16
Оцінка ефективності та доцільності впроваджуваної комплексної системи захисту інформації 18
Діаграма Ганта. 19
Мережевий графік. 20
Ризики проекту. 21
Висновок. 24
Список використаної літератури .. 25
Додаток 1. Діаграма Ганта. 26
Введення
Створення системи захисту інформації для організацій, що займаються наданням телематичних послуг, є обов'язковою складовою діяльності організації Інтернет-провайдера.
Дана необхідність зумовлена тим, що подібні організації обробляють великий обсяг конфіденційних відомостей, у тому числі персональні дані, захист яких обов'язкова за вимогам законодавства.
Жорстка конкуренція на ринку призводить до того, що конфіденційна інформація, якою володіє організація, може дати значну конкурентну перевагу.
Також комплексна система захисту інформації дозволить забезпечити безперебійне функціонування сервісів, запобігти прямі матеріальні втрати від витоку або втрати конфіденційної інформації, а також запобігти можливому збитку репутації компанії.
Для того, щоб визначити доцільність створення КСЗІ, зону і глибину її охоплення слід провести детальний аналіз організації, що включає:
· Аналіз діяльності підприємства
· Положення організації на ринку
· Виявлення конфіденційної інформації та захищаються,
· Аналіз загроз, вразливостей і потенційного збитку від реалізації загрози
На основі отриманої інформації про діяльність організації та вразливі місця у діючій системі захисту необхідно скласти технічне завдання на створення комплексної системи захисту інформації.
Виходячи з існуючого технічного завдання, слід визначити практичні заходи для його реалізації. Сукупність цих заходів складе проект впровадження комплексної системи захисту інформації.
У ході виконання даної роботи необхідно
· Виявити вимоги, які пред'являються до створюваної комплексної системи захисту інформації
· Скласти детальний список заходів, необхідних для впровадження комплексної системи захисту інформації
· Призначити відповідальних за проведені заходи
· Провести оцінку витрат ресурсів на впроваджувані заходи
· Оцінити ефективність проведених заходів
· 1 АРМ являє собою комп'ютер Mac mini з встановленою ОС MAC OS.
· На трьох АРМ встановлена операційна система на базі Linux.
· На всіх інших встановлена ОС Windows XP.
· На всіх АРМ зберігається і обробляється конфіденційна інформація.
· На серверах встановлена операційна система на базі Linux
· На АРМ менеджерів встановлено наступне ПЗ:
o ОС на базі Windows
o Офісне програмне забезпечення
o ПЗ для роботи в мережі Інтернет: поштовий клієнт, браузер
o Антивірусне ПЗ
o Спеціалізовані програми: Дельфін, Дубль-ГІС
· На АРМ консультантів технічної підтримки встановлено наступне ПЗ:
o ОС на базі Linux
o Офісне програмне забезпечення
ПЗ для роботи в мережі Інтернет: поштовий клієнт, браузер
Стан фактичної захищеності організації
· Перелік конфіденційної інформації існує і затверджений
· Всі співробітники, при прийомі на роботу підписують зобов'язання про нерозголошення конфіденційної інформації
· У всіх приміщеннях встановлені датчики охоронної та пожежної сигналізації. У неробочий час приміщення здаються під охорону
· Охорона здійснюється приватним охоронним агентством
· Існує перелік осіб, що мають доступ в серверну кімнату
· Серверна кімната постійно закрита, крім тих випадків, коли співробітникам, які мають відповідні права доступу, необхідно проводити певні роботи
· Права доступу до локальних і мережевих ресурсів АРМ обмежуються штатними засобами операційної системи
· Немає відповідального за розмежування доступу до локальних і мережевих ресурсів АРМ. Розмежуванням доступу займається користувач АРМ.
· Доступ до ресурсів на сервері обмежується штатними засобами операційної системи
· Відповідальним за розмежування доступу до ресурсів на сервері є старший системний адміністратор
· Призначення прав користувачів проводиться за вказівкою технічного директора або заступника директора у відповідності з посадовими обов'язками співробітника
· Кожен комп'ютер підключений через джерело безперебійного живлення, що дозволяє забезпечити безперервну роботу протягом 10-15 хвилин при відсутності електрики
· У серверній кімнаті встановлено кілька джерел безперебійного живлення високої ємності, а також дизельна мініелектростанція
· Доступ в Інтернет здійснюється через проксі-сервер
· Правила поводження з конфіденційною інформацією відсутні
· Фільтрація змісту електронної пошти, відвіданих сайтів не здійснюється
· Зберігання договорів з клієнтами здійснюється у шафі.
· Розмежування доступу приміщення залежно від відділів немає.
Організаційні заходи є однією з найважливіших складових комплексної системи захисту інформації в організації.
1. Перелік конфіденційних відомостей повинен відповідати реальному стану організації і вимогам законодавства РФ
2. Повинен бути забезпечений повний пакет документів, пов'язаних із забезпеченням інформаційної безпеки в організації
3. Організаційними заходами забезпечити конфіденційність інформації при проведенні конфіденційних нарад і переговорів
4. Повинен бути підготовлений пакет документів, що регламентують правила поводження з конфіденційною інформацією
5. Розмежування прав користувачів на доступ як до локальних, так і до мережевих ресурсів повинно бути контрольованим і документують процесом.
Інженерно-технічна складова
1. Повинні застосовуватися технічні засоби контролю доступу в приміщення
2. Для захисту серверної кімнати повинні застосовуватися додаткові технічні засоби контролю доступу
3. Повинні застосовуватися технічні засоби захисту акусто-мовної інформації при проведенні конфіденційних нарад і переговорів у тому випадку, якщо неможливо забезпечити конфіденційність переговорів за допомогою організаційних заходів.
4. За допомогою технічних засобів повинна забезпечуватися захист від витоку конфіденційної інформації з каналу ПЕМВН
5. Повинна бути забезпечена безперебійна робота ПК співробітників у випадку відключення електрики не менше, ніж на 10 хвилин
6. Повинна забезпечуватися безперебійна робота основного устаткування і технічних засобів, встановлених в серверній на весь термін відсутності основного енергопостачання
Програмно-апаратна складова
1. Вміст переглядаються веб-сайтів повинно відповідати таким вимогам:
a. Не повинно містити матеріалів, заборонених законодавством Російської Федерації
b. Повинно бути безпечним (не містити віруси, шкідливі скрипти)
c. Не повинно містити матеріали, що не відносяться до робочого процесу
2. Обмін інформацією за допомогою різних програмних засобів не повинен завдавати шкоди конфіденційності, цілісності, доступності інформації
3. За допомогою програмно-апаратних засобів повинна забезпечуватися захист від НСД до конфіденційної інформації, що зберігається на АРМ співробітників і на сервері.
Об'єкти поставки
Організаційно-правова підсистема:
· Перелік конфіденційних відомостей
· Перелік конфіденційних документів
· Політика безпеки
· Технічне завдання
· Положення про конфіденційний документообіг
· Інструкції про порядок поводження з конфіденційною інформацією
Інженерно-технічна підсистема:
· Металеві двері типу «Сейф-двері»
· Датчики пожежної сигналізації
· Датчики охоронної сигналізації
· Відеокамери кольорові з системою нічного бачення
· Монітори відеоспостереження 10 "
· Відеореєстратор з об'ємом диска для зберігання відеозапису не менше 5 діб
· Генератор віброакустичного шуму Соната АВ
· Вібровипромінювач
· Акустоізлучателі
· Пристрій блокування стільникових телефонів
· Джерела безперебійного живлення Федеральне агентство у справах освіти і науки
Південно-Уральський державний університет
Факультет Економіки та Підприємництва
Кафедра Інформаційної безпеки
Курсова робота
з дисципліни «Інформаційна безпека складних систем»
на тему: «Створення комплексної системи захисту інформації» (Інтернет-провайдер)
Челябінськ
2007
Зміст
Опис інформаційної системи організації. 5
Стан фактичної захищеності організації. 6
Резюме проекту. 8
Вимоги до захищеності інформації. 8
Об'єкти поставки. 10
Структура розбиття робіт. 12
Розрахункова вартість пропонованих заходів. 16
Оцінка ефективності та доцільності впроваджуваної комплексної системи захисту інформації 18
Діаграма Ганта. 19
Мережевий графік. 20
Ризики проекту. 21
Висновок. 24
Список використаної літератури .. 25
Додаток 1. Діаграма Ганта. 26
Введення
Створення системи захисту інформації для організацій, що займаються наданням телематичних послуг, є обов'язковою складовою діяльності організації Інтернет-провайдера.
Дана необхідність зумовлена тим, що подібні організації обробляють великий обсяг конфіденційних відомостей, у тому числі персональні дані, захист яких обов'язкова за вимогам законодавства.
Жорстка конкуренція на ринку призводить до того, що конфіденційна інформація, якою володіє організація, може дати значну конкурентну перевагу.
Також комплексна система захисту інформації дозволить забезпечити безперебійне функціонування сервісів, запобігти прямі матеріальні втрати від витоку або втрати конфіденційної інформації, а також запобігти можливому збитку репутації компанії.
Для того, щоб визначити доцільність створення КСЗІ, зону і глибину її охоплення слід провести детальний аналіз організації, що включає:
· Аналіз діяльності підприємства
· Положення організації на ринку
· Виявлення конфіденційної інформації та захищаються,
· Аналіз загроз, вразливостей і потенційного збитку від реалізації загрози
На основі отриманої інформації про діяльність організації та вразливі місця у діючій системі захисту необхідно скласти технічне завдання на створення комплексної системи захисту інформації.
Виходячи з існуючого технічного завдання, слід визначити практичні заходи для його реалізації. Сукупність цих заходів складе проект впровадження комплексної системи захисту інформації.
У ході виконання даної роботи необхідно
· Виявити вимоги, які пред'являються до створюваної комплексної системи захисту інформації
· Скласти детальний список заходів, необхідних для впровадження комплексної системи захисту інформації
· Призначити відповідальних за проведені заходи
· Провести оцінку витрат ресурсів на впроваджувані заходи
· Оцінити ефективність проведених заходів
Опис інформаційної системи організації
АС організації складається з 10 автоматизованих робочих місць і 6 серверів.· 1 АРМ являє собою комп'ютер Mac mini з встановленою ОС MAC OS.
· На трьох АРМ встановлена операційна система на базі Linux.
· На всіх інших встановлена ОС Windows XP.
· На всіх АРМ зберігається і обробляється конфіденційна інформація.
· На серверах встановлена операційна система на базі Linux
· На АРМ менеджерів встановлено наступне ПЗ:
o ОС на базі Windows
o Офісне програмне забезпечення
o ПЗ для роботи в мережі Інтернет: поштовий клієнт, браузер
o Антивірусне ПЗ
o Спеціалізовані програми: Дельфін, Дубль-ГІС
· На АРМ консультантів технічної підтримки встановлено наступне ПЗ:
o ОС на базі Linux
o Офісне програмне забезпечення
ПЗ для роботи в мережі Інтернет: поштовий клієнт, браузер
Стан фактичної захищеності організації
· Перелік конфіденційної інформації існує і затверджений
· Всі співробітники, при прийомі на роботу підписують зобов'язання про нерозголошення конфіденційної інформації
· У всіх приміщеннях встановлені датчики охоронної та пожежної сигналізації. У неробочий час приміщення здаються під охорону
· Охорона здійснюється приватним охоронним агентством
· Існує перелік осіб, що мають доступ в серверну кімнату
· Серверна кімната постійно закрита, крім тих випадків, коли співробітникам, які мають відповідні права доступу, необхідно проводити певні роботи
· Права доступу до локальних і мережевих ресурсів АРМ обмежуються штатними засобами операційної системи
· Немає відповідального за розмежування доступу до локальних і мережевих ресурсів АРМ. Розмежуванням доступу займається користувач АРМ.
· Доступ до ресурсів на сервері обмежується штатними засобами операційної системи
· Відповідальним за розмежування доступу до ресурсів на сервері є старший системний адміністратор
· Призначення прав користувачів проводиться за вказівкою технічного директора або заступника директора у відповідності з посадовими обов'язками співробітника
· Кожен комп'ютер підключений через джерело безперебійного живлення, що дозволяє забезпечити безперервну роботу протягом 10-15 хвилин при відсутності електрики
· У серверній кімнаті встановлено кілька джерел безперебійного живлення високої ємності, а також дизельна мініелектростанція
· Доступ в Інтернет здійснюється через проксі-сервер
· Правила поводження з конфіденційною інформацією відсутні
· Фільтрація змісту електронної пошти, відвіданих сайтів не здійснюється
· Зберігання договорів з клієнтами здійснюється у шафі.
· Розмежування доступу приміщення залежно від відділів немає.
Резюме проекту
На підставі проведеного аналізу фактичної захищеності необхідно скласти перелік вимог до створюваної комплексної системи захисту інформації. Дані вимоги повинні відповідати реальному стану захищеності інформації в організації. Вимоги повинні бути оформлені у вигляді Технічного завдання на створення комплексної системи захисту інформації.Вимоги до захищеності інформації
Організаційно-правова складоваОрганізаційні заходи є однією з найважливіших складових комплексної системи захисту інформації в організації.
1. Перелік конфіденційних відомостей повинен відповідати реальному стану організації і вимогам законодавства РФ
2. Повинен бути забезпечений повний пакет документів, пов'язаних із забезпеченням інформаційної безпеки в організації
3. Організаційними заходами забезпечити конфіденційність інформації при проведенні конфіденційних нарад і переговорів
4. Повинен бути підготовлений пакет документів, що регламентують правила поводження з конфіденційною інформацією
5. Розмежування прав користувачів на доступ як до локальних, так і до мережевих ресурсів повинно бути контрольованим і документують процесом.
Інженерно-технічна складова
1. Повинні застосовуватися технічні засоби контролю доступу в приміщення
2. Для захисту серверної кімнати повинні застосовуватися додаткові технічні засоби контролю доступу
3. Повинні застосовуватися технічні засоби захисту акусто-мовної інформації при проведенні конфіденційних нарад і переговорів у тому випадку, якщо неможливо забезпечити конфіденційність переговорів за допомогою організаційних заходів.
4. За допомогою технічних засобів повинна забезпечуватися захист від витоку конфіденційної інформації з каналу ПЕМВН
5. Повинна бути забезпечена безперебійна робота ПК співробітників у випадку відключення електрики не менше, ніж на 10 хвилин
6. Повинна забезпечуватися безперебійна робота основного устаткування і технічних засобів, встановлених в серверній на весь термін відсутності основного енергопостачання
Програмно-апаратна складова
1. Вміст переглядаються веб-сайтів повинно відповідати таким вимогам:
a. Не повинно містити матеріалів, заборонених законодавством Російської Федерації
b. Повинно бути безпечним (не містити віруси, шкідливі скрипти)
c. Не повинно містити матеріали, що не відносяться до робочого процесу
2. Обмін інформацією за допомогою різних програмних засобів не повинен завдавати шкоди конфіденційності, цілісності, доступності інформації
3. За допомогою програмно-апаратних засобів повинна забезпечуватися захист від НСД до конфіденційної інформації, що зберігається на АРМ співробітників і на сервері.
Об'єкти поставки
Організаційно-правова підсистема:
· Перелік конфіденційних відомостей
· Перелік конфіденційних документів
· Політика безпеки
· Технічне завдання
· Положення про конфіденційний документообіг
· Інструкції про порядок поводження з конфіденційною інформацією
Інженерно-технічна підсистема:
· Металеві двері типу «Сейф-двері»
· Датчики пожежної сигналізації
· Датчики охоронної сигналізації
· Відеокамери кольорові з системою нічного бачення
· Монітори відеоспостереження
· Відеореєстратор з об'ємом диска для зберігання відеозапису не менше 5 діб
· Генератор віброакустичного шуму Соната АВ
· Вібровипромінювач
· Акустоізлучателі
· Пристрій блокування стільникових телефонів
· Генератор електромагнітного шуму
· Зчитувачі пластикових карт
· Металеві решітки
· Двері з тамбуром
Програмно-апаратна підсистема:
· Програмний комплекс для автоматизації документообігу
· Програмно-апаратний комплекс для захисту від НСД «SecretNet 5.0»
· Міжмережевий екран «Континент»
· Сервер
Структура розбиття робіт
|
|
4.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Установка систем блокування стільникових телефонів |
Установка систем контролю доступу на територію |
Монтаж огорожі |
Організація поста охорони |
АМ.02.4.3 |
АМ.02.5 |
АМ.02.5.1 |
АМ.02.5.2 |
Установка систем контролю доступу в будівлю |
Установка дверей типу «Сейф-двері» |
Установка зчитувача магнітних карт |
Установка систем контролю доступу в приміщення |
Установка зчитувача магнітних карт |
Установка систем електромагнітного зашумлення |
Установка решіток на вікнах |
АМ.02.6 |
АМ.02.6.1 |
АМ.02.6.2 |
АМ.02.7 |
АМ.02.7.1 |
АМ.02.7.2 |
АМ.02.8 |
Структурна схема організації
Комерційний директор |
Генеральний директор |
Менеджер проекту (начальник відділу ІБ) |
Технічний директор |
Адміністратор |
Документознавець |
Спеціаліст відділу кадрів |
Спеціаліст з ЗИ |
Інженер з ЗИ |
Технік з ЗИ |
Монтажник ЛВС |
ВР.01 |
ВР.01.1 |
ВР.01.1.1 |
ВР.01.1.2 |
ВР.01.2 |
ВР.01.3 |
ВР.01.2.1 |
ВР.01.2.2 |
ВР.01.2.3 |
ВР.01.3.1 |
ВР.01.3.2 |
Матриця відповідальності
Матриця відповідальності дозволяє визначити конкретних виконавців того чи іншого заходу.
| Виконавці Роботи | ВР.01 | ВР.01.1 | ВР.01.1.1 | ВР.01.1.2 | ВР.01.2 | ВР.01.2.1 | ВР.01.2.2 | ВР.01.2.3 | ВР.01.3 | ВР.01.3.1 | ВР.01.3.2 | |
| 1 | АМ.01.1 | х | х | |||||||||
| 2 | АМ.01.1.1 | х | х | |||||||||
| 3 | АМ.01.1.2 | х | х | |||||||||
| 4 | АМ.01.1.3 | х | х | |||||||||
| 5 | АМ.01.2 | х | х | х | х | |||||||
| 6 | АМ.02.1 | х | х | |||||||||
| 7 | АМ.02.2 | х | х | |||||||||
| 8 | АМ.02.3 | х | х | х | х | х | ||||||
| 9 | АМ.02.3.1 | х | х | х | ||||||||
| 10 | АМ.02.3.2 | х | х | х | ||||||||
| 11 | АМ.02.3.3 | х | х | х | ||||||||
| 12 | АМ.02.3.4 | х | х | х | ||||||||
| 13 | АМ.02.4 | х | х | х | х | |||||||
| 14 | АМ.02.4.1 | х | х | х | ||||||||
| 15 | АМ.02.4.2 | х | х | |||||||||
| 16 | АМ.02.4.3 | х | х | |||||||||
| 17 | АМ.02.5 | х | х | х | х | х | х | х | х | |||
| 18 | АМ.02.5.1 | х | х | х | ||||||||
| 19 | АМ.02.5.2 | х | х | х | х | х | ||||||
| 20 | АМ.02.6 | х | х | |||||||||
| 21 | АМ.02.6.1 | х | х | |||||||||
| 22 | АМ.02.6.2 | х | х | х | ||||||||
| 23 | АМ.02.7 | х | х | |||||||||
| 24 | АМ.02.7.1 | х | х | х | ||||||||
| 25 | АМ.02.7.2 | х | х | |||||||||
| 26 | АМ.02.8 | х | ||||||||||
| 27 | АМ.03.1 | х | х | х | ||||||||
| 28 | АМ.03.2 | х | х | х | ||||||||
| 29 | АМ.03.3 | х | х | |||||||||
| 30 | АМ.03.4 | х | х | |||||||||
| 31 | АМ.03.5 | х | х | |||||||||
| 32 | АМ.03.6 | х | х | |||||||||
Розрахункова вартість пропонованих заходів
| Заходи щодо захисту | Вартість |
| Встановлення системи охоронної сигналізації | 20 000 |
| Установка системи пожежної сигналізації | 15 000 |
| Організація відеоспостереження | |
| Закупівля відеокамер | 56 000 |
| Закупівля відеореєстраторів | 36 000 |
| Закупівля моніторів | 18 000 |
| Налагодження та запуск в експлуатацію системи відеоспостереження | 5 000 |
| Організація захисту від акустичного знімання інформації | |
| Установка систем віброакустичного зашумлення | 50 000 |
| Організація тамбура в приміщення | 3 000 |
| Установка систем блокування стільникових телефонів | 22 000 |
| Установка систем контролю доступу на територію | |
| Монтаж огорожі | 40 000 |
| Організація поста охорони | 36 000 |
| Встановлення системи контролю доступу в будівлю | |
| Установка дверей типу «Сейф-двері» | 15 000 |
| Установка зчитувача магнітних карт | 5 000 |
| Встановлення системи контролю доступу в приміщення | |
| Установка зчитувача магнітних карт | 50 000 |
| Установка решіток на вікнах | 10 000 |
| Установка систем електромагнітного зашумлення | 20 000 |
| Створення автоматизованої системи документообігу | 30 000 |
| Встановлення та налаштування програмно-апаратних засобів контролю доступу | 50 000 |
| Встановлення та налаштування брандмауера | 100 000 |
| Створення резервних серверів | 60 000 |
| Розмежування прав користувачів | 2 000 |
| Впровадження парольного політики | 1 000 |
| Розробка положення про конфіденційний документообіг | 3 000 |
| Розробка інструкцій про порядок поводження з КД | 3 000 |
| Розробка положень, що стосуються окремих аспектів забезпечення ІБ | 5 000 |
| Навчання співробітників | 20 000 |
| Підсумкова сума на створення КСЗІ | 675 000 |
Оцінка ефективності та доцільності впроваджуваної комплексної системи захисту інформації
Підсумкова сума на створення комплексної системи захисту інформації вийшла рівною 675 000 рублів.Цінність інформації, яка обробляється в організації, обчислюється кількома мільйонами рублів. Крім прямого фінансового збитку втрата конфіденційності або втрата даної інформації може завдати і непрямий збиток, пов'язаний зі збитком репутації компанії. Даний збитки виражається в ще більшій сумі - близько 20 мільйонів рублів.
За даних розрахунках враховувалося щомісячне число підключаються клієнтів компанії, вартість реалізації рекламної кампанії, а також збиток від блокування роботи інформаційної системи компанії.
Діаграма Ганта
Діаграма Ганта представляє собою відрізки (графічні плашки), розміщені на горизонтальній шкалі часу. Кожен відрізок відповідає окремого завдання або підзадач. Завдання і підзадачі, складові план, розміщуються по вертикалі. Початок, кінець і довжина відрізка на шкалі часу відповідають початку, кінця і тривалості завдання.
Діаграма Ганта дозволяє визначити терміни закінчення роботи, встановити ті моменти часу, в які певні співробітники знаходилися без роботи або навпаки були завантажені понад міру.
Діаграма Ганта знаходиться у Додатку 1.
Мережевий графік
Таблиця параметрів проекту
| Код роботи | Очікувана тривалість | Термін початку | Термін закінчення | Резерв | ||
| Раннє | Пізніше | Раннє | Пізніше | |||
| 1-2 | 45 | 0 | 0 | 45 | 45 | 0 |
| 1-3 | 7 | 0 | 73 | 7 | 80 | 73 |
| 1-4 | 14 | 0 | 66 | 14 | 80 | 66 |
| 1-5 | 14 | 0 | 50 | 14 | 64 | 50 |
| 1-6 | 14 | 0 | 66 | 14 | 80 | 66 |
| 2-7 | 14 | 45 | 45 | 59 | 59 | 0 |
| 5-8 | 5 | 14 | 75 | 19 | 69 | 61 |
| 5-9 | 5 | 14 | 75 | 19 | 80 | 61 |
| 5-10 | 5 | 14 | 64 | 19 | 80 | 50 |
| 7-11 | 3 | 59 | 59 | 62 | 62 | 0 |
| 8-12 | 5 | 19 | 69 | 24 | 74 | 50 |
| 11-13 | 1 | 62 | 62 | 63 | 63 | 0 |
| 11-14 | 1 | 62 | 74 | 63 | 75 | 12 |
| 11-15 | 5 | 62 | 75 | 67 | 80 | 13 |
| 12-16 | 1 | 24 | 74 | 25 | 78 | 50 |
| 12-17 | 2 | 24 | 78 | 26 | 80 | 54 |
| 12-18 | 6 | 24 | 74 | 30 | 80 | 50 |
| 13-19 | 5 | 63 | 63 | 68 | 68 | 0 |
| 14-20 | 5 | 63 | 75 | 68 | 80 | 12 |
| 16-21 | 1 | 25 | 79 | 25 | 80 | 54 |
| 19-22 | 5 | 68 | 68 | 73 | 73 | 0 |
| 22-23 | 7 | 73 | 73 | 80 | 80 | 0 |
Ризики проекту
Останнім етапом має стати виявлення всіляких ризиків, з якими ми можемо зіткнутися під час реалізації проекту, а також визначення заходів мінімізації цих ризиків1. Інвестиційні (економічні).
Основний ризик полягає в нестачі грошових коштів, матеріальних ресурсів на реалізацію проекту. У цьому випадку всі ті заходи, які були здійснені, не будуть приносити потрібного результату і можна вважати ефективність витрачених коштів, що дорівнює 0.
Також існує досить серйозний ризик того, що витрати на побудову комплексної системи захисту інформації виявляться вищими, ніж вигода від її впровадження на організації.
З метою запобігання ризиків даної групи слід зробити наступні заходи:
· Має бути проведена професійна оцінка вигода від впровадження комплексної системи захисту інформації
· Вартість проекту повинна бути розрахована максимально детальна з поправкою в більшу сторону.
· Кожен пункт проекту повинен бути погоджений з комерційним директором і затверджений генеральним директорам
· Впроваджувані заходи повинні бути економічно виправдані. Вигода від впровадження заходів повинна перевищувати витрати на їх впровадження.
· Впроваджувані заходи повинні здійснюватися за принципом розумної достатності. Впроваджувані заходи повинні відповідати реальним зовнішнім і внутрішнім загрозам. Не повинні бути зайві.
2. Кадрові
Персонал представляє з себе ресурс поведінка якого не завжди можливо досить точно спрогнозувати навіть фахівцям. Впровадження комплексної системи захисту інформації, а разом з нею і певного набору заборонних заходів і правил може призвести до певних негативних наслідків у роботі персоналу.
Дані наслідки можуть виражатися в таких формах:
· Свідоме невиконання обов'язкових заходів захисту
· Численні затримки в роботі, пов'язані зі складністю заходів захисту
· Випадкові помилки персоналу при роботі із засобами захисту
З метою виключення цієї групи ризиків необхідно при побудова комплексної системи захисту інформації в обов'язковому порядку враховувати наступні моменти:
· Ще до остаточного впровадження повинно проводитися навчання персоналу роботі з програмно-апаратними та технічними засобами захисту інформації
· Має бути пояснена необхідність впровадження даних заходів з точки зору, зрозумілою персоналу
· Впроваджувані заходи щодо захисту інформації повинні бути прості в експлуатації
· Впроваджувані заходи щодо захисту інформації повинні бути логічні
3. Технічні
Та частина ризиків, якої часто приділяється занадто мало уваги. Суть даної групи ризиків полягає в тому, що по-перше поточний стан інформаційної системи організації має задовольняти вимоги впроваджуваних заходів, по-друге впроваджувані технічні заходи повинні перебувати в гармонії з організаційними та програмно-апаратними заходами.
Можливі ризики:
· Конфлікт встановлюваного програмного і апаратного забезпечення зі встановленою операційною системою і апаратною частиною
· Складність в експлуатації технічних і програмних засобів
· Наявність закладних пристроїв в встановлюваних апаратних засобів
· Наявність декларованих можливостей в інсталюються програмних засобах
Основні заходи запобігання даної групи ризиків:
· Перевірка всіх поставляються програмних і апаратних засобів
· Вибір надійних постачальників
· Ретельний вибір необхідних програмних та апаратних засобів
Висновок
У ході виконання роботи ми з'ясували, які заходи необхідні для побудови комплексної системи захисту інформації в організації. За допомогою складеної структури організації була розрахована матриця відповідальності, яка дозволяє виявити відповідальних за той чи інший захід.Завдяки детальному плану заходів можна оцінити загальну підсумкову вартість побудови комплексної системи захисту інформації.
Незважаючи на досить високу вартість створення комплексної системи захисту інформації (~ 700 000 рублів), дані заходи повністю окупають себе з причини високої вартості інформації, що захищається.
Для того, щоб убезпечити проект від несподіванок, був проведений аналіз ризиків проекту, а також заходів щодо їх мінімізації.
Підсумком проекту є створення комплексної системи захисту інформації в організації.
Список використаної літератури
Способи та засоби запобігання витоку інформації технічними каналами М: ЗАТ НВЦ Нелку,Торокін А. А. Інженерно - технічний захист інформації: Учеб. посібник для вузів / А. А. Торокін. - М.: Геліос АРВ, 2005.
Федеральний закон "Про інформацію, інформаційні технології та захист інформації" (від 20.02.95 р. № 24-ФЗ). М.: Ексмо, - 1995.
Федеральний закон "Про комерційну таємницю" (від 25.07.2004 р. № 98-ФЗ). М.: Ексмо, - 2005.