Усов636329261709751498 (1209981), страница 10

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 10)

Обеспечение целостности информационной системы и информации (О 7 ЦЛ)ОЦЛ.3Обеспечение возможности восстановленияпрограммного обеспечения, включая программноеобеспечение средств защиты информации, привозникновении нештатных ситуа 10 ций 4Secret Net StudioXII. Защита технических средств (ЗТС)63Продолжение таблицы 2.4NoмерыСодержание мер по обеспечению безопасностиперсональных дан 10 ных 8Реализация мерЗТС.2Организация контролируемой зоны, в пределахкоторой постоянно размещаются стационарныетехнические средства, обрабатывающиеинформацию, и средства защиты информации, атакже средства обеспечения функционирова 10 нияОрганизационныем 15 ерыЗТС.2Организация контролируемой зоны, в пределахкоторой постоянно размещаются стационарныетехнические средства, обрабатывающиеинформацию, и средства защиты информации, атакже средства обеспечения функционирова 10 нияОрганизационныем 15 ерыЗТС.3Контроль и управление физическим доступом ктехническим средствам, средствам защитыинформации, средствам обеспеченияфункционирования, а также в помещения исооружения, в которых они установлены,исключающие несанкционированный физическийдоступ к средствам обработки информации,средствам защиты информации и средствамобеспечения функционирования информационнойсистемы, в помещения и сооружения, в которыхони установленыОрганизационныемерыЗТС.4Размещение устройств вывода (отображения)информации, исключающее еенесанкционированный просмотрОрганизационныем 15 ерыПрофиль системы защиты персональных данныхТаким образом, установка и настройка средств защиты информации должнапроизводиться в соответствии со схемой, приведенной на рисунке 2.1.

СписокАРМ пользователей и АРМ администратора, в котором указаны средства64защиты для установки и настройки представлены в таблице Г.1 приложения Г.6566Рисунок 2.1 – Профиль защиты персональных данных672 Экономика. Оценка экономической эффективности внедрения системызащиты персональных данныхЦель выпускной квалификационной работы заключается в разработкепрофиля защиты информации, обрабатываемой в ИС Комитета поприватизации и управлению имуществом администрации Ванинскогомуниципального района Хабаровского края (далее – Комитет), который будетудовлетворять всем требованиям руководящих документов и другихнормативно-правовых актов в области безопасности информации.Для оценки эффективности внедрения разрабатываемой системы защитыс экономической стороны вопроса следует рассчитать:чистый дисконтированный доход (NPV);индекс доходности (PI).Для расчета вышеупомянутых показателей, будет необходимо рассчитатьследующие величины:капиталовложение (К) – средства, которые потребуются для разработки,внедрения и необходимых аттестационных испытаний системы защитыинформации защищаемого объекта;выгода (R) – средства, которые будут сохранены при вводе системызащиты в работу;периодические затраты (З) – средства, которые необходимо расходоватьдля поддержания разработанной и внедренной системы защиты вработоспособном состоянии (продление лицензий на средства защитыинформации, оплата труда лицам, обеспечивающим выполнение данныхмероприятий и прочее);ставка дисконтирования (N) – показатель, позволяющий учестьнеравноценность денежных потоков, которые могут возникнуть в различныемоменты времени.682.1 Расчет капиталовложенияКапиталовложение (К) – средства, которые потребуются для разработки,внедрения и необходимых аттестационных испытаний системы защитыинформации защищаемого объекта.Общие затраты на выполнение работ по созданию системы защитыинформации, ее внедрению и проведение аттестационных мероприятий (S)рассчитаем по формуле (3.1):S = SСЗ + SА, (3.1)где SСЗ – затраты на закупку технических средств защиты информации;SА – затраты на оплату труда специалиста, чья квалификацияпозволяет разработать проектную документацию и провести ряднеобходимых аттестационных работ.В таблице 3.1 представлен перечень технических средств защитыинформации с указанием розничной цены и общих затрат на закупку данногосредства.

Цены были взяты с официальных сайтов разработчиков ипоставщиков данных средств защиты информации и являются актуальнымина май 2017 года.Таблица 3.1 – Перечень технических средств с указанием стоимостиПродукт Кол-воЦенарозничная, 1шт., руб.Общаястоимость,руб.Право на использование комплекса"Максимальная защита" средствазащиты информации Secret Net Studio8, срок 1 год.11 4700,00 54 725,00Программно-аппаратный комплекс( 49 ПАК) ViPNet Coordinator HW1000 49версии 31 233800,00 233800,00Право на использование ПО VipNetАдминистратор (КС2)1 77880,00 77880,00Продолжение таблицы 3.169Продукт Кол-воЦенарозничная, 1шт., руб.Общаястоимость,руб.Право на использование ПО VipNetClient (КС2)10 7400,00 74000,00Дистрибутив ПО VipNetАдминистратор1 300,00 300,00Дистрибутив ПО VipNet Client 1 300,00 300,00XSpider 7.8, лицензия на 16 хостов,гарантийные обязательства в течение1 года1 29100,00 29100,00ИТОГО (SСЗ), руб.

470105,00В таблице 3.2 представлена стоимость работ по разработке проектнойдокументации и проведении аттестационных испытаний по требованиямбезопасности информации..70Таблица 3.2 – Работы, проводимые специалистами органа по аттестацииNoп/пПродукт Кол-воЦенарозничная,1 шт.,рублейОбщаястоимость,рублей1.Предварительное обследование ИС( изучение технологического процессаобработки и хранения 25 защищаемойинформации, анализ информационныхпотоков, определение состава 45использованных для обработкиперсональных данных средств).1 22000,00 22000,002.Анализ исходных данных, необходимыхдля изучения и анализа циркулирующейинформации.1 12000,00 12000,003.Анализ организационной структуры ИСи условий ее эксплуатации, фиксациясостава технических средств, входящихв аттестуемый объект, системы ЗИ наобъекте, разработанной документации иеё соответствия требованиямнормативной документации по ЗИ.1 12000,00 12000,004.Разработка программы и методикаттестационных испытаний1 15000,00 15000,005.Проверка состояния организации работи выполнения организационнотехнических требований по защитеинформации, 25 оценка правильностиклассификации ИС, оценка уровняразработки организационнораспорядительной, проектной иэксплуатационной документации,оценка уровня подготовки кадров ираспределения ответственности завыполнение требований по обеспечениюбезопасности информации в ИС.1 21000,00 21000,006.Комплексные испытания насоответствие требованиям по защите 45 отнесанкционированного доступа (НСД) к 45информации, обрабатываемой в ИС (за 1АРМ)11 2700,00 29700,0071Продолжение таблицы 3.2Noп/пПродукт Кол-воЦенарозничная,1 шт.,рублейОбщаястоимость,рублей7.Контрольные испытания ИС насоответствие требованиям по защитеинформации от несанкционированногодоступа в 76 соответствии с определеннымклассом защищенности от НСД длямежсетевого обмена11 1500,00 16500,008.Подготовка отчетной документации(протоколы испытания и заключения порезультатам аттестационных испытаний,аттестат соответствия)1 17000,00 17000,00ИТОГО: 145 200,00Таким образом, общая сумма затрат, которые необходимо будетпроизвести для разработки, внедрения и аттестационные мероприятийсистемы защиты информации, обрабатываемой в информационной системе,составляет:S = 470105,00 + 145 200,00 = 615 305,00 рублей.2.2 Расчет выгодыВыгода (R) – средства, которые будут сохранены при вводе системызащиты в работу.Выгоду составляют денежные средства, которые будут сэкономлены ноотсутствии необходимости оплаты штрафов, назначенных за невыполнениетребований законодательства Российской Федерации в областиинформационной безопасности.Органами, которые контролируют безопасность информации являются: 3672– 36 Федеральная служба по техническому и экспортному контролю(ФСТЭК);– 36 Федеральная служба в 41 сфере связи, информационных технологий имассовых коммуникаций (Роскомнадзор);– 47 Федеральная служба безопасности (ФСБ).В 36 соответствии со статьей 24 Федерального закона No 152-ФЗ «Оперсональных данных» за нарушение требований настоящего Федеральногозакона не 9 сут 9 уголовную, административную, дисциплинарную и 29 другуюответственность, предусмотренную законодательством 29 РФ.Для расчета выгоды будет рассмотрена исключительно административнаяответственность, так как иные виды ответственности не несут в себефинансовых затрат.В соответствии со статьей 13.12 « Нарушение правил защитыинформации» 71 Кодекса об административных правонарушениях[9] заиспользование информационных систем, не имеющих соответствующейсертификации, баз и банков данных, а также 55 сред 55 ств защиты информации,обрабатываемо 22 й в информационной системе, 22 не имеющих соответствующихсертификатов соответствия, если они подлежат обязательной сертификации,на юридических лиц налагается штраф до 20 тысяч рублей с конфискациейнесертифицированных средств защиты информации.

55Ввиду того, что операционная система, которая функционирует нарабочих станциях, на которых ведется обработка и хранение защищаемойинформации, имеет встроенные функции безопасности, каждый компьютерявляется средством защиты информации. Такие средства обязаны проходитьсоответствующие испытания и быть сертифицированы в соответствии стребованиями в области безопасности информации, обрабатываемой винформационной системе. А ввиду того, что ОС Windows компании Microsoftне является сертифицированной, наступает ответственность по указаннойстатье Кодекса об административных правонарушениях[9].В информационной системе «Комитет» обработка защищаемой73информации производится на 11 компьютерах, средняя стоимость каждого ихкоторых приблизительно составляет 22 тысячи рублей.

Из этого можносделать вывод, что в случае конфискации данных технических средствобработки информации предприятие понесет следующие убытки(конфискация компьютеров, наложение административного взыскания):У1 = 22000 * 11 + 20000 = 262000 руб.Не стоит забывать, что в случае конфискации оборудования,предназначенного для работы ИС, «Комитет» будет неспособен выполнятьсвои прямые обязанности, что негативно отразиться не только на финансовойстороне вопроса, но и на репутации предприятия.В случае обнаружения нарушений при обработке информации,включающей в себя персональные данные и информацию, составляющуюслужебную тайну, соответствующими органами будут выданы постановленияи предписания, обязывающие устранить все найденные нарушения.

В случаеигнорирования данных предписаний и невыполнение необходимыхтребований по созданию защищенной системы обработки информации,наступает ответственность по статье 19 .5 « 7 Невыполнение в срок законногопредписания (постановления, представления, решения) органа,осуществляющего государственный надзор (контроль)» 71 Кодекса обадминистративных правонарушениях [9]. В следствии чего организация также понесет убытки на оплату административных взысканий от 200 до 500тысяч рублей.С учетом того, что организация защищенной системы обработкиинформации на предприятии имеет ряд сложностей, срок, предоставляемыйна выполнение выданных предписаний, может варьироваться от 4 до 6месяцев. По истечению назначенного срока будет организована повторнаяпроверка, целью которой будет являться определение выполнения илиотсутствия выполнения указанных ранее предписаний.

Характеристики

Список файлов ВКР