Отчет антиплагиат (полный) (1198830), страница 9
Текст из файла (страница 9)
Такие средства нужно отделять от средств эксплуатации и разработки.2.11 Приобретение, разработка и эксплуатация информационных систем2.11.5 Требования к безопасности информационных системПри разработке новых информационных систем в организации, должныбыть определены требования к защите информационной системы.2.11.6 Обработка в прикладных программах2.11.6.1 Подтверждение корректности введенных данных и контрольвнутренней обработки54В прикладных программах необходимо вести протоколирование действийпользователя, в целях подтверждения ввода и обработки данных.
Проверкивведенных данных нужно проводить при вводе имен или параметров(например, валюта).Данные, которые были введены 75 корректно, могут быть искаженывследствие ошибок в 75 программном обеспечении или при обработке. В целяхустранения ошибок такого вида, программное обеспечение нужноразрабатывать таким образом, чтобы минимизировать вероятность нарушенияцелостности данных. Следует учесть:– возможность редактирования уже существующих данных;– использование программ для восстановления после сбоев;– защиту от переполнения буфера.Кроме входных данных, должна осуществляться проверка выходныхданных.2.11.7 Меры защиты, связанные с криптографической защитой информацииВ организации следует определить, нужно ли использоватькриптографические средства защиты, и если нужно, то определить для какойинформации она должна использоваться.
Нужно учесть следующее:– нормативно-правовые акты, регламентирующие работу скриптографическими средствами защиты;– управление криптографическими ключами, включая их защиту;– роли и обязанности сотрудников по отношению ккриптографическим ключам.Криптографические ключи должны быть защищены отнесанкционированного доступа, модифицирования и уничтожения.2.11.8 Безопасность системных файлов55В организации должен быть обеспечен контроль внедрения программногообеспечения во избежание повреждения систем, находящихся в эксплуатации.Для этого нужно:– обновление программного обеспечения должен производитьспециалист, которые имеет соответствующий уровеньквалификации;– программное обеспечение должно содержать только исполняемыйкод, не должно быть установлено средств разработки и компиляции;– программное обеспечение перед установкой в эксплуатационныесистемы, должно быть протестировано в отдельной среде (п.2.8.2);– предыдущие версии программного обеспечения должны бытьсохранены для восстановления работоспособности системы в случаенепредвиденных ошибок при обновлении.Программное обеспечение может перестать поддерживатьсяпоставщиком или может не поддерживаться, поэтому этот фактор нужноучитывать при применении такого программного обеспечения.
Если дляпрограммного обеспечения выпускается исправление, то целесообразно егоустановить.Новые версии программного обеспечения стоит устанавливать только вслучае, если старое программное обеспечение не удовлетворяет требованиямдеятельности.2.11.8.1 Защита тестовых данныхПри тестировании новых средств могут понадобиться большие объемыданных, которые используются в эксплуатационной среде. Нужно избегатьиспользования баз данных из эксплуатируемой среды. Если такие базыданных приходится использовать, то конфиденциальные данные,содержащиеся в них нужно изменить или удалить.
Для этого нужно:56– применять процедуры управления доступом для средытестирования;– при каждом использовании информации из эксплуатационной средынужно применять авторизацию;– информацию из эксплуатируемой среды нужно удалять позавершению тестирования.2.11.8.2 Управление доступом к исходному коду программДоступ к исходному коду программ должен быть ограничен во избежаниемодификаций.
Исходный код и документация, связанная с ними, должнахраниться централизованно и доступ к ней должен иметь ограниченный круглиц. Исходный код не должен храниться в эксплуатируемой системе, всеизменения исходного кода должны записываться в журнал.2.11.9 Безопасность в процессах разработки и поддержки2.11.9.1 Контроль изменений в информационных системахВ организации нужно ввести строгий контроль изменений винформационных системах, чтобы минимизировать возможные поврежденияинформационной системы при применении нового программногообеспечения или оборудования. Контроль изменений должен включать:– процесс одобрения изменений информационной системыруководством;– выявление всего программного обеспечения, оборудованиятребующего изменений;– обновление всей документации по информационной системе.После внедрения нового программного обеспечения в эксплуатируемуюсреду, нужно проанализировать влияние этого программного обеспечения насреду для обеспечения уверенности в том, что программное обеспечение не57оказывает негативного влияния на функционирование и безопасностьорганизации.2.11.9.2 АутсорсингПри применении сторонних организаций для разработки программногообеспечения нужно принимать следующие меры:– контролировать выполнение лицензионных соглашений (п.
2.10);– осуществлять правильность выполнения работы;– обеспечить права доступа для проверки работоспособностипрограммного обеспечения;– тестирование программ на обнаружение вредоносного кода.2.11.10 Технические уязвимостиНужно получать информацию об уязвимостях в информационныхсистемах и принимать меры для устранения этих уязвимостей.Инвентаризация активов (п.
2.3) позволит увеличить эффективностьуправления техническими уязвимостями, поскольку вся необходимаяинформация находится в описании актива, что позволит быстро выявитьактивы, подверженные уязвимости.3 Экономическая часть. Оценка экономической эффективности внедрениянорм и правил менеджмента информационной безопасности58В данном разделе дипломного проекта будут рассчитаны затраты наразработку норм и правил и оценена экономическая эффективность от ихвнедрения.Создание норм и правил имеет свои особенности. Одной из такихособенностей является изменение требований в процессе разработки.Поскольку при их написании возможно изменение требований нормативноправовых актов или уровня безопасности в Учреждении в целом.
Этаособенность оказывает наибольшее влияние именно на стадии разработки.Цель выпускной квалификационной работы заключается в разработкенорм и правил менеджмента информационной безопасности Учреждения,удовлетворяющей требованиям руководящих документов и другихнормативно-правовых актов в области информационной безопасности.Для того чтобы оценить экономическую эффективность внедренияполитики безопасности, необходимо вычислить:чистый дисконтированный доход (NPV);индекс доходности (PI).Для расчета данных показателей необходимо вычислить следующиевеличины:капиталовложение (К) – средства, необходимые на разработку правилинформационной безопасности;выгода (R) – средства, которые удастся сохранить после внедренияправил информационной безопасности;периодические затраты (З) – средства, необходимые для поддержанияполитики безопасности (зарплата администратора безопасности и прочее);ставка дисконтирования (N) – показатель, позволяющий учестьнеравноценность денежных потоков, возникающих в различные моментывремени.593.1 Расчет затрат на создание норм и правил менеджмента информационнойбезопасностиМетоды нормирования затрат на 26 разработку документации отличаютсяот затрат, сложившихся в традиционных отраслях.Метод – анализ статистических данных о фактически завершенныхразработках, выявление факторов, определяющих разнообразие затрат,классификация этих факторов и предоставление пользователю нормативныхматериалов, возможности выбора наиболее близкого ему аналога икорректировки затрат, которые произошли при разработке аналога с помощьюнабора коэффициентов, учитывающих факторы разнообразия.
Особенно этосущественно для затрат живого труда. 26Затраты на создание 26 политики безопасности складываются из расходовпо оплате труда администратора безопасности и расходов по оплатеэлектроэнергии потраченного на освещение, компьютер, принтер и затраты нанакладные расходы по формуле (3.1):(3.1)где Зрпб – затраты на разработку политики безопасности;Заб – затраты на оплату труда администратора безопасности;Зэ – затраты на электроэнергию;Знакл – накладные затраты.Затраты на разработку включают в себя следующее:– заработная плата специалисту с отчислениями на социальныенужды;– энергетические затраты;– накладные затраты.60К накладным затратам относятся затраты на необходимыематериальные ресурсы для выполнения работы.
Расчет затрат наиспользуемые в процессе разработки материальные ресурсы представлены втаблице 1:Таблица 1 Расчет накладных затратМатериалыРасходматериаловЦена заединицу,руб.Затраты наматериал, руб.ИсточникБумага дляпринтера1 пачка 520 520http://www.dnsshop.ru/product/576c650b975f3120/bumaga-xerox--colotechplus/Картридждляпринтера1 штука 1800 2199http://www.dnsshop.ru/product/86fd2d1e4554526f/kartridz-lazernyj-xerox106r02181/Итого 2719Расчет энергетических затрат производится в зависимости отиспользуемого оборудования и его электропотребления.
Стоимость затратприведена в таблице 2:61Таблица 2 Расчет энергетических затратНаименованиеоборудованияУстановленнаямощность,кВтКоличество часовработы вденьКоличество днейработыПотребностьвэлектроэнергии, кВт/часСтоимостьэлектроэнергии, руб.Монитор 0,021 8 22 13,24,11Системныйблок1 8 22 264Принтер 3 8 22 0,06Освещение 0,5 8 22 153,12Итого 1768,86Средняя зарплата администратора безопасности в современныхрыночных условиях может варьироваться в широком диапазоне. Для расчёта 26необходимо взять среднюю заработную плату по России, которая составляетЗзп = 40000 руб.На заработную плату администратора безопасности необходимо сделатьотчисления во внебюджетные государственные фонды, которые составляют30% (22% ( 26 ПФР)+2,9%(ФСС)+5,1%(ФОМС)) от заработной платы.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
