Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

Учитывая то, что информационная система «Комитет» не является распределенной, в ней отсутствует сегментирование и по своим масштабам она не очень велика, все обязанности по администрированию как самой информационной системы, так и моментов, касающихся безопасности обрабатываемой информации, могут быть возложены но одного человека.

Таким образом, установка и настройка средств защиты информации должна производиться в соответствии со схемой, приведенной на рисунке 2.1. Список АРМ пользователей и АРМ администратора, в котором указаны средства защиты для установки и настройки представлены в таблице Г.1 приложения Г.

2. Рисунок 2.1 – Профиль защиты информации

3. Экономика. Оценка экономической эффективности внедрения системы защиты информации

6. Цель выпускной квалификационной работы заключается в разработке профиля защиты информации, обрабатываемой в ИС Комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края (далее – Комитет), который будет удовлетворять всем требованиям руководящих документов и других нормативно-правовых актов в области безопасности информации.

7. Для оценки эффективности внедрения разрабатываемой системы защиты с экономической стороны вопроса следует рассчитать:

• чистый дисконтированный доход (NPV);

• индекс доходности (PI).

1. Для расчета вышеупомянутых показателей, будет необходимо рассчитать следующие величины:

• капиталовложение (К) – средства, которые потребуются для разработки, внедрения и необходимых аттестационных испытаний системы защиты информации защищаемого объекта;

• выгода (R) – средства, которые будут сохранены при вводе системы защиты в работу;

• периодические затраты (З) – средства, которые необходимо расходовать для поддержания разработанной и внедренной системы защиты в работоспособном состоянии (продление лицензий на средства защиты информации, оплата труда лицам, обеспечивающим выполнение данных мероприятий и прочее);

• ставка дисконтирования (N) – показатель, позволяющий учесть неравноценность денежных потоков, которые могут возникнуть в различные моменты времени.

1. Расчет капиталовложения

2. Капиталовложение (К) – средства, которые потребуются для разработки, внедрения и необходимых аттестационных испытаний системы защиты информации защищаемого объекта.

3. Общие затраты на выполнение работ по созданию системы защиты информации, ее внедрению и проведение аттестационных мероприятий (S) рассчитаем по формуле (3.1):

4. S = S_СЗ + S_А , (3.1)

5. где S_СЗ – затраты на закупку технических средств защиты информации;

6. S_А – затраты на оплату труда специалиста, чья квалификация позволяет разработать проектную документацию и провести ряд необходимых аттестационных работ.

7. В таблице 3.1 представлен перечень технических средств защиты информации с указанием розничной цены и общих затрат на закупку данного средства. Цены были взяты с официальных сайтов разработчиков и поставщиков данных средств защиты информации и являются актуальными на май 2017 года.

8. Таблица 3.1 – Перечень технических средств с указанием стоимости

   Продукт	Кол-во	Цена розничная, 1 шт., руб.	Общая стоимость, руб.
   Право на использование комплекса "Максимальная защита" средства защиты информации Secret Net Studio 8, срок 1 год.	11	4700,00	54 725,00
   Программно-аппаратный комплекс (ПАК) ViPNet Coordinator HW1000 версии 3	1	233800,00	233800,00
   Право на использование ПО VipNet Администратор (КС2)	1	77880,00	77880,00
   Окончание таблицы 3.1
   Продукт	Кол-во	Цена розничная, 1 шт., руб.	Общая стоимость, руб.
   Право на использование ПО VipNet Client (КС2)	10	7400,00	74000,00
   Дистрибутив ПО VipNet Администратор	1	300,00	300,00
   Дистрибутив ПО VipNet Client	1	300,00	300,00
   XSpider 7.8, лицензия на 16 хостов, гарантийные обязательства в течение 1 года	1	29100,00	29100,00
   ИТОГО (SСЗ), руб.			470105,00

10. В таблице 3.2 представлена стоимость работ по разработке проектной документации и проведении аттестационных испытаний по требованиям безопасности информации.

11. Таблица 3.2 – Работы, проводимые специалистами органа по аттестации

    Продукт	Кол-во	Цена розничная, 1 шт., рублей		Общая стоимость, рублей
    Предварительное обследование ИС (изучение технологического процесса обработки и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки персональных данных средств).	1	22000,00		22000,00
    Анализ исходных данных, необходимых для изучения и анализа циркулирующей информации.	1	12000,00		12000,00
    Окончание таблицы 3.2
    Продукт	Кол-во	Цена розничная, 1 шт., рублей		Общая стоимость, рублей
    Анализ организационной структуры ИС и условий ее эксплуатации, фиксация состава технических средств, входящих в аттестуемый объект, системы ЗИ на объекте, разработанной документации и её соответствия требованиям нормативной документации по ЗИ.	1	12000,00		12000,00
    Разработка программы и методик аттестационных испытаний	1	15000,00		15000,00
    Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации ИС, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в ИС.	1	21000,00		21000,00
    Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в ИС (за 1 АРМ)	11	2700,00		29700,00
    Контрольные испытания ИС на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД для межсетевого обмена	11	1500,00		16500,00
    Подготовка отчетной документации (протоколы испытания и заключения по результатам аттестационных испытаний, аттестат соответствия)	1	17000,00		17000,00
    ИТОГО:			145 200,00

13. Таким образом, общая сумма затрат, которые необходимо будет произвести для разработки, внедрения и аттестационные мероприятий системы защиты информации, обрабатываемой в информационной системе, составляет:

14. S = 470105,00 + 145 200,00 = 615 305,00 рублей.

15. 1. Расчет выгоды

17. Выгода (R) – средства, которые будут сохранены при вводе системы защиты в работу.

18. Выгоду составляют денежные средства, которые будут сэкономлены но отсутствии необходимости оплаты штрафов, назначенных за невыполнение требований законодательства Российской Федерации в области информационной безопасности.

19. Органами, которые контролируют безопасность информации являются:

• Федеральная служба по техническому и экспортному контролю (ФСТЭК);

• Федеральная служба в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);

• Федеральная служба безопасности (ФСБ).

1. В соответствии со статьей 24 Федерального закона № 152-ФЗ «О персональных данных» за нарушение требований настоящего Федерального закона несут уголовную, административную, дисциплинарную и другую ответственность, предусмотренную законодательством РФ.

2. Для расчета выгоды будет рассмотрена исключительно административная ответственность, так как иные виды ответственности не несут в себе финансовых затрат.

3. В соответствии со статьей 13.12 «Нарушение правил защиты информации» Кодекса об административных правонарушениях [9] за использование информационных систем, не имеющих соответствующей сертификации, баз и банков данных, а также средств защиты информации, обрабатываемой в информационной системе, не имеющих соответствующих сертификатов соответствия, если они подлежат обязательной сертификации, на юридических лиц налагается штраф до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации.

4. Ввиду того, что операционная система, которая функционирует на рабочих станциях, на которых ведется обработка и хранение защищаемой информации, имеет встроенные функции безопасности, каждый компьютер является средством защиты информации. Такие средства обязаны проходить соответствующие испытания и быть сертифицированы в соответствии с требованиями в области безопасности информации, обрабатываемой в информационной системе. А ввиду того, что ОС Windows компании Microsoft не является сертифицированной, наступает ответственность по указанной статье Кодекса об административных правонарушениях [9].

5. В информационной системе «Комитет» обработка защищаемой информации производится на одиннадцати компьютерах, средняя стоимость каждого их которых приблизительно составляет двадцать две тысячи рублей. Из этого можно сделать вывод, что в случае конфискации данных технических средств обработки информации предприятие понесет следующие убытки (конфискация компьютеров, наложение административного взыскания):

6. У1 = 22000 * 11 + 20000 = 262000 руб.

7. Не стоит забывать, что в случае конфискации оборудования, предназначенного для работы ИС, «Комитет» будет неспособен выполнять свои прямые обязанности, что негативно отразиться не только на финансовой стороне вопроса, но и на репутации предприятия.

8. В случае обнаружения нарушений при обработки информации, включающей в себя персональные данные и информацию, составляющую служебную тайну, соответствующими органами будут выданы постановления и предписания, обязывающие устранить все найденные нарушения. В случае игнорирования данных предписаний и невыполнение необходимых требований по созданию защищенной системы обработки информации, наступает ответственность по статье 19.5 «Невыполнение в срок законного предписания (постановления, представления, решения) органа, осуществляющего государственный надзор (контроль)» Кодекса об административных правонарушениях [9]. В следствии чего организация так же понесет убытки на оплату административных взысканий от двухсот до пятисот тысяч рублей.

9. С учетом того, что организация защищенной системы обработки информации на предприятии имеет ряд сложностей, срок, предоставляемый на выполнение выданных предписаний, может варьироваться от четырех до шести месяцев. По истечению назначенного срока будет организована повторная проверка, целью которой будет являться определение выполнения или отсутствия выполнения указанных ранее предписаний. В случае наличия факта игнорирования выставленных требований налагается повторное взыскание и устанавливаются новые сроки проверки. Такая система продолжается до тех пор, пока организация не выполнит все выставленные требования в указанные сроки. Стоит отметить, что в случае невыполнения требований, повторная сумма штрафов увеличивается.

10. Поэтому, при первой проверке «Комитет» понесет убытки от штрафов и конфискации компьютеров суммой в двести шестьдесят две тысячи рублей. После получения предписания «Комитет» будет обязан устранить все имеющиеся нарушения. Предположим, что «Комитет» найдет резервные средства обработки информации и продолжит свою деятельность, в противном случае вся работа будет прекращена и будет невозможно выполнять свою основную деятельность. При повторной проверке сумма штрафов составит 262 000 + 200000 = 462000 рублей. При следующей проверке штраф будет составлять 262 000 + 500000 = 762 000 рублей. Учитывая, что повторные проверки проводятся минимум через четыре месяца, за 2017 год «Комитет» понесет убытки в размере 262 000 + 462000 + 762 000 = 1 486 000 рублей.

11. Штрафы не будут прекращаться, пока ИС не будет приведена в соответствующий всем требованиям вид и не пройдет аттестационные проверки.

12. 1. Расчет периодических затрат

14. Периодические затраты (З) – средства, которые необходимо расходовать для поддержания разработанной и внедренной системы защиты в работоспособном состоянии (продление лицензий на средства защиты информации, оплата труда лицам, обеспечивающим выполнение данных мероприятий и прочее).

15. Лицензии на выбранные средства защиты имеют срок действия в один год, поэтому по истечении этого времени необходимо будет приобрести их заново для продолжения работоспособности системы в соответствии с требованиями к информационной безопасности.

16. Администратор безопасности уже присутствует в штате сотрудников ИС «Комитет», однако список его обязанностей увеличится, поэтому будет необходимо и увеличение его заработной платы. Размер данного увеличения найдем по формуле (3.2):

17. П = О (1 + k + N) * t, (3.2)

18. где О – оклад администратора до повышения (23000) [3];

19. k – дальневосточный и районный коэффициенты (30% и 20%);

20. N – налоговые отчисление, выплачиваемые работодателем в ПФР, ФОМС и ФСС (22%, 5,1% и 3,1%);

21. t – время, необходимое для выполнения новых обязанностей (чел/мес).

22. Среднее время, необходимое для поддержания системы безопасности в соответствии требованиям, плановые мероприятия и контроль в среднем займут у администратора один день в месяц. С учетом того, что в месяце в среднем двадцать два рабочих дня, время t составит:

24. Теперь, определим П по формуле (4.2).

26. Соответственно, сумма затрат с учетом оплаты труда и приобретения лицензий составит З = * 12 + 54 725,00 + 29100,00 = 106205,84 рублей.

1. Расчет нормы дисконта

2. Ставка дисконтирования (N) – показатель, позволяющий учесть неравноценность денежных потоков, возникающих в различные моменты времени.

3. Ставка дисконтирования, если не брать в расчет риск проекта, рассчитывается как номинальная процентная ставка по формуле Ирвинга Фишера, которая связывает реальную и номинальную ставку процента и темп инфляции по формуле (3.3):

4. , (3.3)

5. где R – реальная процентная ставка (ставка рефинансирования) (11%);

6. I – прогноз темпа инфляции на 2017 год (6,5%).

7. Данная формула является приближенной. При высоких темпах инфляции необходимо использовать более точную формулу:

8. .

10. 1. Расчет чистого дисконтированного дохода и индекса доходности

12. Чистый дисконтированный доход (NPV, Net Present Value) – показывает эффективность произведенных вложений в разрабатываемый проект: величину денежного потока в течение сроков его реализации и приведенную к текущей стоимости (дисконтирование).

13. Проект, который был инвестирован, является приносящим прибыль в том случае, когда значение показателя дисконтированного дохода (NPV) является положительным.

14. Чистый дисконтированный доход рассчитывается по следующей формуле (3.4):

15. , (3.4)

16. где R – выгода,

17. З – затраты на приобретение, введение и сопровождение средств защиты информации на защищаемом объекте,

18. N – ставка дисконтирования,

19. T – количество временных периодов, равных одному году.

20. Определим NPV за период с 2017 по 2021 год.

22. Теперь рассчитаем индекс доходности (PI).

23. Индекс доходности (PI, profitability index) – показатель эффективности инвестиции, представляющей собой отношение дисконтированных доходов к размеру инвестиционного капитала.

24. В случае, когда значение индекса доходности превышает значение, равное 1, инвестиции являются эффективными.

25. Индекс доходности рассчитывается по следующей формуле (3.5):

26. , (3.5)

27. где R – выгода,

28. З – затраты на внедрение и поддержку средства защиты информации,

29. N – ставка дисконтирования,

30. T – количество временных периодов, равных одному году.

32. В итоге получается:

35. От сюда можно сделать вывод, что внедрение разрабатываемой системы защиты информации, обрабатываемой в информационной системе «Комитет» эффективно с экономической стороны вопроса.

36. Промежуточные расчеты представлены в таблице 3.3.

37. Таблица 3.3 – Промежуточные расчеты

38. Период		2017	2018	2019	2020	2021
    Затраты	Затраты на создание СЗИ	615305	0	0	0	0
    	Промежуточные затраты	18630	106205,84	106205,84	106205,84	106205,84
    	Итого	633935	102455	102455	102455	102455
    Выгода	Штрафы	1486000	198600	198600	198600	198600
    Прогноз темпа инфляции		6.5	5,8	5,3	5,0	4,9
    Ставка дисконтирования		17,92	17,1364	16,5909	16,25	16,14
    NPVt		870695	103142,1	106401,1	108442.2	109138.2

41. Безопасность жизнедеятельности. Разработка мероприятий по пожарной безопасности в ИС «Комитет»

42. 1. Пожар. Фазы развития пожара. Физико-химические процессы, протекающие при пожаре

44. Пожар – это неуправляемое, несанкционированное горение веществ, материалов и газо-воздушных смесей вне специального очага, приносящее значительный материальный ущерб, поражение людей на объектах и подвижном составе, которое подразделяется на наружные и внутренние, открытые и скрытые.

45. Пожар опасен для организма человека как непосредственно – поражение в следствии воздействия открытого огня и высоких температур, так и косвенно – в побочных эффектах пожара (нанесение непоправимых последствий на органы дыхания или нанесение вреда здоровью человека вследствие крушения конструкция помещения из-за действия высоких температур).

46. Пожар может возникнуть ввиду неправильной работы человека с теми или иными приборами, а так же вследствие отсутствия мер, препятствующих возникновению пожароопасной ситуации, либо быть причиной внешнего воздействия на систему (землетрясение, распространение легковоспламеняющихся веществ и тому подобное). Ущерб, полученный в результате пожара, влечет за собой ряд долгих восстановительных работ и мероприятий, а может быть и невосполним.

47. Различают три фазы пожара:

• I фаза – стадия возгорания. В этой фазе наблюдается линейное распространение огня вдоль линии горючего вещества или горящего материала;

• II фаза – стадия объемного развития пожара. В данной фазе отмечается активный процесс развития пожара, в короткие сроки увеличивается среднеобъемная температура (вплоть до 50^оС/мин). Распространение огня происходит через воздушные разрывы, а не поверхностно, как это происходит в I фазе;

• III фаза – стадия затухания. В этой фазе наблюдается отсутствие сильного огня, горение протекает в виде медленного тления.

1. В основе горения лежит физико-химический процесс, в результате которого происходит превращение различных горящих материалов в продукты горения, сопровождаемое выделением огромного количества тепла и света.

2. Принцип горения основывается на реакции окисления материалов, подверженных горению, кислородом, в результате чего образовывается углекислый газ.

3. Горение подразделяется на два вида: гомогенное и гетерогенное.

4. При гомогенном (сопровождающимся пламенем) горении окислитель и горючий материал находятся газовой фазе. Данный вид горения возникает в процессе сгорания горючего газа, появление которого обусловлено образованием испарений при сгорании горючих жидкостей или твердых веществ на газообразные фракции вследствие воздействия высоких температур. При контакте с воздухом образовавшаяся газообразная среда сгорает.

5. При гетерогенном (не сопровождающимся пламенем) горении сгорающее вещество находится в твердом агрегатном состоянии, в то время как окислитель находится в газообразном состоянии. Горение протекает в результате реакций экзотермического характера в твердых веществах, проявляясь покраснением материалов.

6. При пожаре в роли окислителя обычно выступает составляющая воздуха - кислород, который окружает пространство, охваченное огнем, поэтому то, на сколько сильно и быстро развивается пожар, зависит в основном от интенсивности поступления воздуха к очагу возгорания.

7. 1. Мероприятия по обеспечению пожарной безопасности

9. В соответствии со ст. 1 Федерального закона от 22.07.2008 № 123-ФЗ «Технический регламент о требованиях пожарной безопасности» [18] здания, предназначенные для постоянного проживания и временного пребывания людей, в том числе, имеют статус объектов защиты, что предполагает установление к ним требований пожарной безопасности для предотвращения пожара и защиты людей при пожаре.

10. Пожарная безопасность защищаемого объекта – это такое состояние объекта, при котором существует возможность предотвращения возникновения пожара, его развитие в случае возникновения, а так же исключение воздействия опасности при возникновении пожара на людей и имущество.

11. Создание системы, обеспечивающей безопасность защищаемого объекта при возникновении пожара, является предотвращение ситуаций, при которых возможно образование пожара, обеспечение защиты людей и имущества от последствий пожара.

12. Разрабатываемая система защиты объекта подразумевает создание системы, нацеленной на предотвращение пожара, системы, чьей целью является противопожарная защита, а так же мероприятия организационного и технического характера, призванные обеспечить пожарную безопасность.

13. Обеспечение мер пожарной безопасности обеспечивается реализацией мероприятий, направленных на предотвращение пожароопасной ситуации, обнаружение пожара и места его локализации в случае его возникновения. Так же мероприятия нацелены на действия по информированию людей об экстренной ситуации и обеспечение быстрого и безопасного эвакуирования людей из помещения, в котором возник пожар, на применение первичных средств, применение которых способствует устранению возгорания и ликвидации пожара в начальной стадии, тушения пожара.

14. Ниже приведен перечень мероприятий, необходимых для ликвидации угроз возникновения пожароопасной ситуации:

• осмотр подвальных, технических и чердачных помещений на предмет их правильного содержания, поддержания в чистоте;

• осмотр технических и кладовых помещения на предмет соблюдения правил хранения материалов, соблюдения режима противопожарной безопасности помещений, отсутствия мусора и непригодных отходов;

• уничтожение инвентаря и бумажных документов, не являющихся пригодными для осуществления предприятием своим прямых обязанностей;

• замена деревянных дверей и отделки на иные, изготовленные из негорючих материалов;

• создание регламента хранения и применения легковоспламеняющихся жидкостей для хозяйственных нужд;

• замена дверных проемов архивного помещения на новые, прошедшие необходимый ряд проверок по пожаростойкости.

1. Для предотвращения угроз образования источников зажигания необходима организация следующих мероприятий:

• контроль и учет всех бытовых электроприборов, эксплуатирующихся в помещениях организации, установление сроков их регулярного осмотра с целью выявления наличия неисправностей, следование техническим инструкциям эксплуатации данных приборов;

• выявление факта использования самодельных нагревательных устройств, элементов проводки с оголенными участками изоляционного материала, факта эксплуатации розеток, вышедших из строя, использования светильников с отсутствующими плафонами;

• замена всего электрооборудования (проводка, выключатели, плафоны) в защищаемых помещениях на электрооборудование с соответствующей степенью защиты;

• определение правил и порядка хранения архивной документации, расположение деревянных стеллажей в помещении (приборы освещения должны располагаться на расстоянии, превышающем 0,5 м от поверхности материалов, подверженных возгоранию;

• разработка регламента, разъясняющего правила и порядок проведения в помещениях огнеопасных мероприятий, сварочных работ и работ, связанных с применением открытого огня;

• определение и оборудование мест для курения;

• определение правил и порядка прекращения подачи питания на электрооборудования по окончании рабочего дня;

• проведение специализированной организацией профилактического осмотра силовой и осветительной электросетей и электрооборудования с последующим замером сопротивления изоляции электросетей.

1. Все перечисленные мероприятия призваны обеспечить своевременное обнаружения пожара и мест его образования. Для этого используются автоматические установки пожароохранной сигнализации, которые включают в себя извещатели, размещаемые в защищаемых помещениях, приемо-контрольные станции, принимающие сигналы от извещателей, линии связи и подачи питания, световые и сигнальные приборы оповещения в случае возникновения пожара.

2. При подборе типов извещателей, контролирующих приборов и приборов управления необходимо опираться на задачи, на которые направлена работа пожарной автоматики, являющейся составной частью системы пожарной безопасности защищаемого объекта в соответствии с ГОСТ 12.1.004 [31]:

• обеспечение пожарной безопасности людей;

• обеспечение пожарной безопасности предметов, представляющих материальную ценность;

• обеспечение пожарной безопасности людей и предметов, представляющих материальную ценность.

1. Технические средств, предназначенные для обнаружения пожара и отправки сигнала должны формировать и передавать сигналы управления для активации включения средств информирования и организации эвакуации за время, необходимое для эвакуации людей до наступления необратимых последствий в результате наступления предельных значений опасных факторов пожара.

2. Пожарные извещатели делятся на ручные и автоматические. В свою очередь автоматические подразделяются на тепловые, дымовые, световые, ультразвуковые и комбинированные.

3. Тепловые извещатели созданы для реагирование, в случае изменения температуры выше установленного значения. В их основе лежат биметаллические пластины или спирали, терморезисторы, термопары и т д.

4. В дымовых извещателях элементами, отвечающими за обнаружение факта возгорания являются фотоэлементы или ионизационные камеры с радиоактивными веществами. Что касается фотоэлементных извещателей, их работа основывается на эффекте отражения света от частиц дыма. Принцип действия ионизационного извещателя базируется на изменении электрической проводимости среды.

5. Принцип работы световых извещателей основывается на реакции фотоэлемента на ультрафиолетовую или инфракрасную часть спектра пламени.

6. Ультразвуковые извещатели срабатывают при появлении сигналов возмущения активного ультразвукового поля в закрытом помещении при возникновении открытого пламени или турбулентных тепловых потоков.

7. Ручные пожарные извещатели в свою очередь подразделяются на кнопочные и кодовые и чаще применяются для дублирования извещателей автоматического действия.

8. В случае возникновения пожара действия людей должны быть в соответствии с установленными инструкциями и алгоритмами поведения при пожаре.

9. В случае обнаружения пожара или признаков его наличия руководитель учреждения, сотрудники и обслуживающий персонал, а также лица, находящиеся в организации по деловым вопросам обязаны:

• немедленно известить об этом по телефону пожарную охрану (при этом необходимо назвать адрес объекта, место возникновения пожара, а также сообщить свою фамилию);

• принять меры по эвакуации людей и ликвидации пожара.

1. Информирование и управление эвакуацией людей в случае возникновения опасной для жизни ситуации, связанной с возникновением пожара должно осуществляться одним из следующих способов или несколькими из них одновременно:

• подачей звуковых или световых сигналов во все помещения здания с в которых могут находиться люди;

• трансляцией текстов о необходимости срочной эвакуации, возможных путях эвакуации и направлении движения к местам выхода из опасной зоны;

• организация различных мероприятий, призванных снизить уровень паники и не допустить усугубления ситуации под ее влиянием;

• размещением эвакуационных знаков безопасности на путях эвакуации;

• включением эвакуационных знаков безопасности;

• включением эвакуационного освещения;

• немедленным открыванием эвакуационных и штатных выходов;

• оборудованием дверей эвакуационных выходов запорами, предоставляющими возможность открыть дверь не используя ключ.

1. Для обеспечения реализации задач, которые возложены на систему оповещения и управления эвакуацией людей при возникновении пожара, необходимо произвести следующие действия организационного характера:

• согласно условиям безопасности людей при возникновении пожара, нормировать их численность в помещениях организации;

• разработать и выполнять регламент ежедневного контроля состояния эвакуационных путей и выходов, информационных знаков, необходимых при пожаре, исправность огнетушителей и контроль их присутствия в специально определенных доступных местах;

• определение ответственного лица, в чьи обязанности будет включен ежедневный контроль, а так же приобретение в положенные сроки огнетушителей и средств, необходимых для ликвидации пожара специальными службами;

• организацию перезарядки (создание резервного фонда огнетушителей) и их технического обслуживания в специализированных организациях.

1. 1. Обеспечение учреждения первичными средствами пожаротушения. Действия персонала при возникновении пожара

3. Расчет требуемого количества ручных огнетушителей для зданий осуществляется по общим правилам, изложенным в приложении №1 к Правилам противопожарного режима Российской Федерации. Ввиду того, что в основном горячая нагрузка с защищаемом здании состоит из твердых горючих веществ, помещения необходимо снабдить преимущественно порошковыми огнетушителями из расчета один огнетушитель вместимостью пять литров на двести квадратных метров площади, либо вместимостью три литра на сто квадратных метров площади, но не менее двух огнетушителей на этаж. Расстояние от предполагаемого очага пожара до места размещения огнетушителя не должно превышать двадцать метров.

4. Мероприятия, целью которых является оборудование объекта защиты первичными средствами пожаротушения, становятся обязательными к исполнению, если их реализация направлена на предотвращение развития пожара до значений, превышение предела которых опасно для людей, и для применения первичных средств пожаротушения имеются необходимые резервы времени.

5. Категорически запрещается осуществлять тушение водой мест возгорания, в которых присутствуют легковоспламеняющиеся вещества и жидкости (натрий, бензин, керосин), а также электрооборудование, находящегося под напряжением.

Заключение

3. Разработанный профиль защиты информации, обрабатываемый в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края соответствует требованиям нормативно-правовых актов, стандартов и другим документам и обеспечивает безопасность обрабатываемой информации при ее обработке.

4. Предложенные к внедрению технические средства и системы имеют необходимые сертификаты соответствия по классу защищенности средства и уровню контроля недекларированных возможностей.

5. Таким образом, подобранные технические средства, а так же разработанные организационные меры обеспечивают поддержание установленного уровня защищенности информации, обрабатываемой в информационной системе.

Список использованных источников

1. Меры защиты информации в государственных информационных системах // Методический документ ФСТЭК от 11.02.2014 г. // [сайт] URL: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/805-metodicheskij-dokument.

2. Требования к средствам контроля съемных машинных носителей информации // Приказ ФСТЭК от 28.07.2014 № 87.

3. Требования к средствам доверенной загрузки // Приказ ФСТЭК от 27.09.2013 № 119.

4. Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах // Приказ ФСТЭК от 11.02.2013 г. № 17. // [сайт] URL:

5. Требования к защите персональных данных при их обработке в информационных системах персональных данных от 01.11.2012 г. № 1119 // Справочная правовая система КонсультантПлюс: [сайт]. URL: http://www.consultant.ru/document/cons_doc_LAW_137356/.

6. Кодекс РФ об Административных правонарушениях. М. : Издательство «Омега-Л», 2012. 368 с.

7. О противопожарном режиме // Правила противопожарного режима в РФ от 25.04.2012 №390 // Справочная правовая система Гарант: [сайт]. URL: http://www.garant.ru/products/ipo/prime/doc/70070244/.

8. Системы противопожарной защиты. Установки пожарной сигнализации и пожаротушения автоматические. Нормы и правила проектирования // Приказ МЧС РФ от 25.03.2009 г. № 175 // Справочная правовая система Гарант: [сайт]. URL: http://base.garant.ru/195658/.

9. Системы противопожарной защиты внутренний противопожарный водопровод. Требования пожарной безопасности // Приказ МЧС от 25.03.2009 г. № 180// Справочная правовая система Гарант: [сайт]. URL: http://base.garant.ru/195653/

10. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных : 15.02.2008 г // URL: http://fstec.ru/component/attachments/download/289.

11. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах // Методика ФСТЭК 14.02. 2008 г.

12. Технический регламент о требованиях пожарной безопасности ФЗ от 20.07.2008 г. № 123-ФЗ // Справочная правовая система КонсультантПлюс: [сайт]. URL: http://www.consultant.ru/document/cons_doc_LAW_78699/.

13. Об информации, информационных технологиях и о защите информации : ФЗ от 27.07.2006 г. № 149-ФЗ // Справочная правовая система КонсультантПлюс:[сайт]. URL:

1. http://www.consultant.ru/document/cons_doc_LAW_61798/.

1. О персональных данных : ФЗ от 27.07.2006 г. № 152-ФЗ // Справочная правовая система КонсультантПлюс: [сайт]. URL: http://www.consultant.ru/document/cons_doc_LAW_61801/.

2. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)» // Приказ Гостехкомиссии от 30.08.2002 г. №282.

3. Доктрина информационной безопасности РФ от 09.09.2000 г. № Пр-1895 // Справочная правовая система КонсультантПлюс: [сайт]. URL: http://www.consultant.ru/document/cons_doc_LAW_28679/.

4. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов : РД 50-34.698-90. Введ. 27.12.1990 г.

5. О пожарной безопасности ФЗ от 21.12.1994 г. № 69-ФЗ // Справочная правовая система КонсультантПлюс: [сайт]. URL:

1. http://www.consultant.ru/document/cons_doc_LAW_5438/.

1. Система стандартов безопасности труда. Пожарная безопасность. Общие требования : ГОСТ 12.1.004. Введ. 14.12.1991 г. № 875.

2. URL: https://www.securitycode.ru– официальный сайт средства защиты от несанкционированного доступа и средства контроля съемных машинных носителей Secret Net компании ООО «Код безопасности».

3. URL: http://www.ptsecurity.ru/ - официальный сайт средства анализа защищенности XSpider 7.8.24 компании ООО «Позитив Технолоджис».

4. URL: http://www.infotecs.ru/ - официальный сайт средства криптографической защиты и межсетевого экранирования VipNet Coordinator HW1000 и VipNet Custom 3.2 компании ОАО «ИнфоТеКС».

Принятые сокращения

2. АРМ	–	автоматизированное рабочее место
   ИС	–	информационная система
   ГОСТ	–	государственный стандарт
   ЛВС	–	локальная вычислительная сеть
   НДВ	–	не декларированные возможности
   НСД	–	несанкционированный доступ
   ОС	–	операционная система
   ПДн	–	персональные данные
   ПК	–	программный комплекс
   ПО	–	программное обеспечение
   ПЭВМ	–	персональная электронно-вычислительная машина
   РД	–	руководящий документ
   СЗИ	–	система защиты информации
   СКЗИ	–	средства криптографической защиты информации
   СрЗИ	–	средства защиты информации
   ФСБ	–	Федеральная служба безопасности
   ФСТЭК	–	Федеральная служба технического и экспортного контроля

5. Приложение А

8. Заключение по результатам аудита информационной системы комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края

9. (выписка)

12. В информационной системе обрабатывается два вида информации: персональные данные различных категорий нескольких видов субъектов ПДн и информация, составляющая служебную тайну.

13. Информация, обрабатываемая в процессе работы, хранится на жестких дисках АРМ пользователей ИС «Комитет», а так же на удаленном сервере БД, находящемся в пределах КЗ, но относящемуся к другому юридическому лицу – Муниципальному казённому учреждению «Комитет по содержанию объектов муниципальной собственности» Администрации Ванинского муниципального района Хабаровского края (далее КСОМС).

14. Параметры информационной системы «Комитет» представлены в таблице А.1.

15. Таблица А.1 – Параметры ИС «Комитет»

Структурно-функциональные характеристики ИС, условия ее эксплуатации	Уровень проектной защищенности ИС (Y1П)
	высокий	средний	низкий
По структуре ИС: локальная ИС;		+
По архитектуре информационной системы: файл-серверные системы; использование прикладных программ, независимых от операционных систем;		+	+
По архитектуре информационной системы: файл-серверные системы;			+
Окончание таблицы А.1
Структурно-функциональные характеристики ИС, условия ее эксплуатации	Уровень проектной защищенности ИС (Y1П)
	высокий	средний	низкий
По наличию (отсутствию) взаимосвязей с иными информационными системами: взаимодействующая с системами;			+
По наличию (отсутствию) взаимосвязей (подключений) подключенная к сетям связи общего пользования:			+
По размещению технических средств: расположенные в пределах одной контролируемой зоны;	+
По режимам обработки информации в ИС: многопользовательский;			+
По режимам разграничения прав доступа: с разграничением		+
По режимам разделения функций по управлению информационной системой: без разделения;			+
По подходам к сегментированию ИС: без сегментирования;			+

2. Размещение элементов информационной системы относительно границ контролируемой зоны представлено на рисунке А.1.

1. Рисунок А.1 – Размещение элементов информационной системы относительно границ контролируемой зоны

2. Приложение Б

5. Модель вероятного нарушителя и угроз безопасности информации, обрабатываемых в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края

6. (выписка)

9. По наличию права постоянного или разового доступа в пределы границ контролируемой зоны (КЗ) ИС нарушители делятся на два типа:

• внешние нарушители – физические лица, не обладающие правами доступа на территорию контролируемой зоны;

• внутренние нарушители – физические лица, обладающие правами доступа на территорию контролируемой зоны.

1. Возможности внешних и внутренних нарушителей зависят от действующих мер защиты.

2. В качестве внешнего нарушителя ИБ, рассматривается нарушитель, не имеющий непосредственного доступа к техническим средствам и ресурсам системы, располагающимся в пределах КЗ.

3. Исходя из особенностей функционирования и расположения ОТСС ИС «Комитета», к внешним нарушителям могут относиться:

• бывшие сотрудники «Комитета»;

• лица, находящиеся в здание «Комитета» по деловым вопросам;

• лица, находящиеся в здании «Комитета» в связи со своими должностными обязанностями, но не являющиеся сотрудниками «Комитета».

1. Предполагается, что данный круг лиц имеет возможность:

• осуществлять несанкционированный доступ к каналам связи, выходящим за пределы КЗ;

• осуществлять несанкционированный доступ через АРМ сотрудников «Комитета», подключенные к сетям связи общего пользования;

• осуществлять несанкционированный доступ к информации с использованием специальных программных продуктов посредством программных вирусов, вредоносных программ, программных закладок;

• осуществить несанкционированный доступ через элементы информационной инфраструктуры ИС, которые в процессе нормальной работы покидают пределы КЗ.

1. Возможности внутреннего нарушителя зависят от действующих в пределах КЗ ограничений, методов и правил, из которых основными являются реализация организационно-технических мер, мер по подбору кадров, допуску лиц в пределы КЗ и контролю за соблюдением установленных мер безопасности.

2. В соответствии с принятой политикой разграничения доступа, все сотрудники имеют равные права доступа ко всем данным.

3. К внутренним нарушителям могут быть отнесены:

• сотрудники «Комитета»;

• лица, работающие в здании Комитета в других подразделениях;

• разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств ИС.

1. Предполагается, что сотрудники ИС «Комитет»:

• имеют доступ к информации, передаваемой по внутренним каналам связи ИС;

• обладают сведениями о топологии ИС и об используемых коммуникационных протоколах и их сервисах;

• могут изменять конфигурацию технических средств ИС, устанавливать программно-аппаратные закладки, производить съем информации, путем непосредственного подключения к техническим средствам ИС.

• знают, как минимум, одно легальное имя доступа в ИС;

• имеют доступ к данным в соответствии со своими прямыми обязанностями.

1. Внутренним нарушителем может являться лицо, обладающее правами и полномочиями администратора ИС. Данный нарушитель:

• имеет полное представление о системном и прикладном программном обеспечении, используемом в ИС;

• обладает полным перечнем сведений о технических средствах и конфигурации ИС, а так же обладает доступом к ним;

• имеет полный доступ ко всем данным ИС.

1. Беря в расчет предполагаемую компетентность, ресурсы и мотивацию возможного нарушителя, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками, был определен потенциал нарушителя – базовый (низкий).

2. Для того, чтобы была уверенность в совершенстве системы защиты, предполагается, что нарушитель обладает всеми необходимыми знаниями касательно ИС, а также имеет в своем распоряжении необходимые средства реализации угроз безопасности информации, обрабатываемой в исследуемой информационной системе.

3. Предполагается, что к внутренним нарушителям относятся лица, обеспечивающие установку, настройку и сопровождение средств защиты информации.

4. Такие лица:

• обладают информацией об алгоритмах обработки информации на ИС;

• могут обладать полной информацией о топологии ИС и о технических средствах обработки и защиты ПДн, обрабатываемых в ИС.

1. Приложение В

4. Аналитическое обоснование необходимости создания системы защиты информации, обрабатываемой в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края

5. (выписка)

8. Затраты на технические и программные средства защиты

9. Ориентировочная стоимость подобранных средств защиты информации, имеющих необходимые сертификаты соответствия, представлена в таблице В.1

10. Таблица В.1 – Ориентировочная стоимость предлагаемых технических средств

    Продукт	Кол-во	Цена розничная, 1 шт., руб.	Общая стоимость, руб.
    Право на использование комплекса "Максимальная защита" средства защиты информации Secret Net Studio 8, срок 1 год.	11	4700,00	54 725,00
    Программно-аппаратный комплекс (ПАК) ViPNet Coordinator HW1000 версии 3	1	233800,00	233800,00
    Право на использование ПО VipNet Администратор (КС2)	1	77880,00	77880,00
    Право на использование ПО VipNet Client (КС2)	10	7400,00	74000,00
    Дистрибутив ПО VipNet Администратор	1	300,00	300,00
    Окончание таблицы В.1
    Продукт	Кол-во	Цена розничная, 1 шт., руб.	Общая стоимость, руб.
    Дистрибутив ПО VipNet Client	1	300,00	300,00
    XSpider 7.8, лицензия на 16 хостов, гарантийные обязательства в течение 1 года	1	29100,00	29100,00
    ИТОГО (SСЗ), руб.			470105,00

12. Осуществлять настройку и установку средств защиты информации имеют право только специалисты в области защиты информации, разработчики информационной системы и специалисты сторонних организаций, прошедших соответствующие аттестационные проверки. Расчет стоимости работ по установке СЗИ приведен в таблице В.2

13. Таблица В.2 – Затраты работа на установку и настройки СрЗИ

    Продукт	Примерная стоимость, руб.
    Установка и настройка средств защиты от несанкционированного доступа на 11 рабочих машин и 2 сервера	25000,00
    Установка и настройка средства анализа защищенности	5000,00
    Установка и настройка средства межсетевого экранирования	90000,00
    ИТОГО, руб.	130 000,00

15. Оценка соответствия всем требованиям руководящих документов проводится соответствующими организациями, имеющими на данную деятельность соответствующие лицензии. Стоимость работ приведена в таблице В.3

18. Таблица В.3 – Работы, проводимые специалистами органа по аттестации

    Продукт	Кол-во	Цена розничная, 1 шт., рублей	Общая стоимость, рублей
    Предварительное обследование ИС (изучение технологического процесса обработки и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки персональных данных средств).	1	22000,00	22000,00
    Анализ исходных данных, необходимых для изучения и анализа циркулирующей информации.	1	12000,00	12000,00
    Анализ организационной структуры ИС и условий ее эксплуатации, фиксация состава технических средств, входящих в аттестуемый объект, системы ЗИ на объекте, разработанной документации и её соответствия требованиям нормативной документации по ЗИ.	1	12000,00	12000,00
    Разработка программы и методик аттестационных испытаний	1	15000,00	15000,00
    Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации ИС, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в ИС.	1	21000,00	21000,00
    Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в ИС (за 1 АРМ)	11	2700,00	29700,00
    Окончание таблицы В.3
    Продукт	Кол-во	Цена розничная, 1 шт., рублей	Общая стоимость, рублей
    Контрольные испытания ИС на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД для межсетевого обмена	11	1500,00	16500,00
    Подготовка отчетной документации (протоколы испытания и заключения по результатам аттестационных испытаний, аттестат соответствия)	1	17000,00	17000,00
    ИТОГО:			145 200,00

1. Приложение Г

2. 		УТВЕРЖДАЮ
   		Председатель комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края _________________ Н. Г. Канчина « ___ » _______________ 2017 г. М.П.

4. Информационная система

5. наименование вида

6. Информационная система комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края

7. наименование объекта информатизации

8. ИС «Комитет»

9. сокращенное наименование ИС

11. ТЕХНИЧЕСКИЙ ПРОЕКТ

12. на создание системы защиты информации, обрабатываемой в информационной системе комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края

13. (выписка)

16. Ванино, 2017 г.

17. Таблица Г.1 – Перечень АРМ и средств защиты

18. № кабинета	Элемент ИС	Средства защиты
    213	АРМ 1	Secret Net Studio; VipNet Client 3.2 VipNet Administrator 3.2 XSpider 7.8.24.
    215	АРМ 2	Secret Net Studio; VipNet Client 3.2.
    215	АРМ 3
    208	АРМ 4
    208	АРМ 5
    210	АРМ 6
    210	АРМ 7
    210	АРМ 8
    212	АРМ 9
    214	АРМ 10
    214	АРМ 11

Характеристики

Список файлов ВКР