4.6 Планирование цены и прогнозирование прибыли

На основе данных о затратах на разработку, а также данные об исследовании рынка следует определить стоимость одного комплекта программного обеспечения.

Стоимость выставляемого на рынок ПО определяется частью стоимости разработки ПО и прибыли фирмы-разработчика.

Стоимость ПО рассчитывает по формуле, представленной ниже:

(24)

где - часть стоимости разработки, приходящаяся на одну копию программы; - стоимость внедрения; - процент прибыли, заложенный в стоимость.

Частичная стоимость разработки, приходящийся на каждый комплект ПО рассчитывается следующим образом:

(25)

В приведённой формуле есть стоимость проекта; - планируемое число копий; - ставка банковского процента по долгосрочным кредитам (более одного года).

Принимая процентную ставку банка «Уралсиб» равной 11.65% в соответствии с программой «бизнес ипотека», а планируемое число копий - 400, получаем частичную стоимость разработки: (451 184.68 * 1.1165)/ 400 = 1259. 37 рублей.

Для определения процента прибыли необходимо использовать данные анализа существующих решений. Средняя цена решений (см. раздел Исследование рынка) составляет рублей. Тем самым, сумма от продаж за год составит 400 • 5000 = 2000000 рублей, что обеспечивает срок окупаемости проекта в пределах четырех месяцев с момента старта продаж. Вычисление процента прибыли производится по следующей формуле:

(26)

Для разрабатываемого ПО она равна 297,2%.

Сумму прибыли от продажи каждого комплекта следует рассчитать, используя следующее соотношение:

(27)



Для разрабатываемого ПО , с учётом налога на добавленную стоимость в размере 18%.

Будем считать, что за каждые последующие месяцы после разработки проекта продается в среднем 33 программных средств.

Фрагмент таблицы общего баланса приведен в таблице 15.

Таблица 15. Фрагмент таблицы общего баланса.

Период расчета	Баланс начальный, руб	Сумма продаж, руб	Чистая прибыль, руб	Баланс конечный, руб
02-04. 2015	451 184.68	0.00	-451 184.68	0.00
05.2015	0.00	165000	101213.3	101213.3
06.2015	101213.3	165000	101213.3	202426.6
07.2015	202426.6	165000	101213.3	303639.9
08.2015	303639.9	165000	101213.3	404853.2
09.2015	404853.2	165000	101213.3	506066.5
10.2015	506066.5	165000	101213.3	607279.8

С учётом кредита с процентной ставкой в размере 11.65%, стоимости разработки, а также планируемым количеством продаваемых копий, разработка окупится в течение первых пяти месяцев с момента старта продаж.

Рисунок 20 - Период окупаемости



Выводы

Результаты проведённых организационно-экономических расчётов позволили оценить структуру работ, необходимое количество исполнителей, структуру затрат проекта, срок окупаемости проекта:

а) общие затраты труда для выполнения программного проекта составили 70 чел/дней или 560 чел/часов. Затраты на разработку ПО составляют 451 184.68 рублей.

б) исходя из временных требований к реализации проекта, была определена численность исполнителей: 2 человека - ведущий программист и программист-стажер. По результатам построения сетевого графика и диаграммы Гантта, можно сделать вывод, что введение дополнительных разработчиков не принесёт дополнительного эффекта, поскольку основные этапы работы должны выполняться последовательно;

в) из структуры затрат проекта видно, что основной статьёй расходов является заработная плата исполнителей - 47%.

г) источником финансирования является банк (УралСиб) предоставляющий денежные средства в размере 500 000 рублей в соответствии с процентной ставкой по программе «бизнес ипотека» равной 11,65%.

На основании вышеизложенного, а также исследовании рынка и анализа прибыли, можно сделать вывод о целесообразности проведения работ и производства данной разработки.



5. ОРГАНИЗАЦИОННО - ПРАВОВАЯ ЧАСТЬ

Разработка методики оценки защищенности беспроводных устройств ввода информации ведется в соответствии с законодательной нормативно-правовой базой Российской Федерации.

В рамках данного дипломного проекта был произведён обзор нормативно-правовых актов, непосредственно связанных с рассматриваемыми в ходе работы вопросами.

Целью дипломного проекта является проведение анализа защищенности современных беспроводных устройств ввода информации, а также создание методики оценки защищенности этих устройств на основании результатов анализа. Поэтому в проекте рассматриваются вопросы, непосредственно связанные как с информационной безопасностью в целом, так и с информационной безопасностью Российской Федерации в аспекте национальной безопасности Российской Федерации. Дипломный проект является результатом интеллектуальной деятельности, следовательно, необходимо обратить внимание на анализ проблем, связанных с авторским правом. Так же, с учетом специфики информации, передаваемой посредством беспроводных устройств, необходимо подробнее рассмотреть стороны, касающиеся персональных данных и промышленного шпионажа. Помимо этого, в некоторых исследуемых устройствах реализованы криптографические механизмы защиты, что обуславливает ознакомление с нормативно-методической документацией в области криптографии.

Таким образом, ниже представлен перечень нормативно-правовых и методических документов, затрагивающих рассматриваемые в дипломном проекте вопросы:



5.1 Перечень нормативно-правовых и методических документов

1) Конституция Российской Федерации;

2) Доктрина информационной безопасности Российской Федерации от 09.09.2000 г..

3) Федеральный Закон РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

4) Федеральный Закон РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

5) Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

6) Положение о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств в соответствии с нормативно-правовой базой в части нетарифного регулирования ЕАЭС;

7) Нотификация ФСБ;

8) Гражданский кодекс Российской Федерации, часть четвёртая.

5.2 Конституция Российской Федерации

Конституция Российской Федерации -- высший нормативный правовой акт Российской Федерации. Принята народом Российской Федерации 12 декабря 1993 года. Вступила в силу со дня официального опубликования 25 декабря 1993 года. Конституция обладает высшей юридической силой, закрепляющей основы конституционного строя России, государственное устройство, образование представительных, исполнительных, судебных органов власти и систему местного самоуправления, права и свободы человека и гражданина.

Настоящий дипломный проект выполнен в рамках статьи 23 Конституции РФ, которая гласит, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени, а также каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

В рамках Статьи 24 Конституции РФ запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия.

Также Статья 29 Конституции РФ гласит, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом.

Кроме этого, в Главе 2 гарантируется защита интеллектуальной собственности (см. Статью 44): «Каждому гарантируется свобода литературного, художественного, научного, технического и других видов творчества, преподавания. Интеллектуальная собственность охраняется законом».

5.3 Доктрина информационной безопасности РФ

Доктрина информационной безопасности Российской Федерации (Далее - Доктрина) была утверждена 9 сентября 2000 года Президентом Российской Федерации В.В. Путиным.

Доктрина является одним из основополагающих документов в области информационной безопасности и представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации.

В Доктрине даётся понятие информационной безопасности как состояние защищённости национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.

Также приводится ряд составляющих национальных интересов РФ в информационной сфере:

1) обязательное соблюдение конституционных прав и свобод человека в области получения информации и пользования ею;

2) информационное обеспечение государственной политики РФ (доведение до граждан РФ и международной общественности о государственной политике РФ, официальной позиции по значимым событиям в России и в мире) с доступом граждан к открытым государственным ресурсам;

3) развитие современных ИТ отечественной индустрии (средств информатизации, телекоммуникации и связи). Обеспечение ИТ внутреннего рынка России и выход на мировые рынки;

4) защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Доктрина приводит основные методы обеспечения информационной безопасности такие как:

1) Правовые методы:

а) разработка нормативных правовых актов, регламентирующих отношения в сфере ИТ;

б) разработка нормативных методических документов отвечающим по вопросам информационной безопасности РФ;

2) Организационно-технические методы:

а) создание системы информационной безопасности РФ и ее совершенствование;

б) привлечение лиц к ответственности, совершивших преступления в этой сфере;

в) создание систем и средств для предотвращения несанкционированного доступа к обрабатываемой информации;

г) выявление средств и устройств представляющих опасность для нормального функционирования систем, предотвращение перехвата информации с применением средств криптографической защиты как при передаче информации, так и при ее хранении (в рамках данного дипломного проекта на основании результатов анализа выявляется подверженность пользовательских беспроводных устройств ввода информации возможности перехвата информации сторонним оборудованием);

д) контроль за выполнением требований по защите информации;

е) контроль за действиями персонала, имеющих доступ к информации, подготовка кадров в области обеспечения информационной безопасности РФ;

ж) создание системы мониторинга информационной безопасности РФ.

3) Экономические методы:

а) разработка программ обеспечения информационной безопасности и их финансирование;

б) финансирование работ, связанных с обеспечением информационной безопасности РФ

5.4 Федеральный Закон «Об информации, информационных технологиях и о защите информации»

Основным законом в области защиты информации является Федеральный Закон РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», был принят Государственной Думой 8 июля 2006 года и вступил в силу 27 июля 2006 года. Настоящий Федеральный Закон в статье 16 устанавливает следующие требования к защите информации:

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статьи.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

своевременное обнаружение фактов несанкционированного доступа к информации;

2) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

3) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

4) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

5) постоянный контроль за обеспечением уровня защищенности информации.

Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

5.5 Федеральный Закон «О персональных данных»

Персональные данные сотрудников, клиентов или других физических лиц, абсолютно любой организации, являются немаловажной составляющей конфиденциальной информации и так же подлежат защите, как и любая другая информация.

Защита персональных данных регламентируется Федеральным Законом РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (Статья 2).

К персональным данным можно отнести любую информацию, которой достаточно, чтобы однозначно определить физическое лицо и получить о нём какую-либо дополнительную информацию. Любая организация, работающая с данными физических лиц, должна защитить информационные системы и получить документы, подтверждающие соответствие этих систем требованиям закона.

Согласно статье 7 настоящего закона любая компания, организация либо фирма, должна обеспечивать конфиденциальность персональных данных.

Каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым будет обеспечиваться защита этих данных. Кроме того, информационные системы могут быть типовыми или специальными, и последние требуют для эксплуатации обязательного лицензирования. Специальными, например, считаются системы, содержащие информацию о состоянии здоровья и те, на основе которых предусмотрено принятие решений, порождающих юридические последствия. Иными словами, если данные из таких информационных систем, а точнее, их анализ и обработка, могут повлиять на жизнь или здоровье субъекта персональных данных. Класс специальных информационных систем определяется на основе модели угроз безопасности персональных данных в соответствии с нормативно-методическими документами регуляторов.

В настоящем законе так же предусматриваются меры по обеспечению безопасности персональных данных при их обработке (Статья 19).

Для всех компаний, предприятий или фирм, осуществляющих обработку персональных данных для того, чтобы избежать нарушений, необходимо провести ряд мероприятий, которые включают в себя следующие работы:

1) направление уведомления об обработке персональных данных в контролирующий орган, Роскомнадзор;

2) разработка формы и получение согласия каждого субъекта на обработку его персональных данных (согласие должно содержать собственноручную подпись субъекта (либо его цифровую подпись));

3) документально описание информационных систем обработки персональных данных (назначение, состав данных, правовые основания для их обработки), а также обозначение круга лиц, работающих с персональными данными и имеющими к ним доступ;

4) разработка ряда нормативных документов, описывающих модели угроз и средства защиты от них персональных данных;

5) обеспечение защиты персональных данных техническими (программными, аппаратными) и организационными методами;

6) прохождение необходимых проверок для подтверждения соответствия систем защиты персональных данных требованиям законодательства.

Для успешного проведения данных работ необходимо, во-первых, назначить сотрудника, ответственного за вопросы защиты и обработки персональных данных, во-вторых, для всех ресурсов и подсистем, содержащих персональные данные, определить их статус, и, наконец, определить способы и сроки обработки данных, а также сроки хранения».

В первую очередь, самый действенный и не затратный подход к хранению персональных данных -- это хранение их в обезличенной форме.

Необходимо максимально обобщать, обезличивать информацию, отказываться от избыточной -- таким образом можно просто не бояться умышленной или случайной утечки информации -- она не будет представлять практически никакой ценности для злоумышленников.

5.6 Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Документ устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных для каждого из уровней защищённости персональных данных, установленных в требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утверждённых постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119.

Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

1) идентификация и аутентификация субъектов доступа и объектов доступа;

2) управление доступом субъектов доступа к объектам доступа;

3) ограничение программной среды;

4) защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

5) регистрация событий безопасности;

6) антивирусная защита;

7) обнаружение (предотвращение) вторжений;

8) контроль (анализ) защищенности персональных данных;

9) обеспечение целостности информационной системы и персональных данных;

10) обеспечение доступности персональных данных;

11) защита среды виртуализации;

12) защита технических средств;

13) защита информационной системы, ее средств, систем связи и передачи данных;

14) выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных и реагирование на них;

15) управление конфигурацией информационной системы и системы защиты персональных данных.

Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.

Поскольку в данном дипломном проекте объектом исследования являются беспроводные клавиатуры и мыши зарубежных производителей, то встает вопрос о правомерности их ввоза и использования на территории РФ. Кроме того, в технической документации некоторых моделей клавиатур заявлено о возможности шифрования передаваемых данных (как правило используется алгоритм шифрования AES 128 бит). Данные аспекты связаны с вопросами нотификации.



5.7 Положение о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств

1. Положение о порядке ввоза на таможенную территорию Таможенного союза и вывоза с таможенной территории Таможенного союза шифровальных (криптографических) средств (далее - Положение) разработано в соответствии с Соглашением о правилах лицензирования в сфере внешней торговли товарами от 9 июня 2009 года (далее - Соглашение) и Соглашением о порядке введения и применения мер, затрагивающих внешнюю торговлю товарами, на единой таможенной территории в отношении третьих стран от 9 июня 2009 года.

2. Положение действует в отношении шифровальных (криптографических) средств или продукции, содержащей в своем составе шифровальные (криптографические) средства, указанных в разделе 2.19 Единого перечня товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - членами Таможенного союза в рамках Евразийского экономического сообщества в торговле с третьими странами (далее - шифровальные средства).

3. К шифровальным средствам относятся:

а) средства шифрования - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от несанкционированного доступа при ее передаче по каналам связи и (или) при ее обработке и хранении;

б) средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;

в) средства электронной цифровой подписи - аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи, создание закрытых и открытых ключей электронной цифровой подписи;

г) средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;

д) средства изготовления ключевых документов (независимо от вида носителя ключевой информации);

е) ключевые документы (независимо от вида носителя ключевой информации);

ж) системы, оборудование и компоненты, разработанные или модифицированные для выполнения криптоаналитических функций;

з) системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов генерации расширяющегося кода для систем с расширяющимся спектром, включая скачкообразную перестройку кодов для систем со скачкообразной перестройкой частоты;

и) системы, оборудование и компоненты, разработанные или модифицированные для применения криптографических методов формирования каналов или засекречивающих кодов для модулированных по времени сверхширокополосных систем.

Примечание. Нормативно-техническая, конструкторская и эксплуатационная документация к шифровальным средствам, указанным в подпунктах "а" - "и" настоящего пункта, считается составной частью этих средств.

4. Положение распространяется на лиц, осуществляющих ввоз и вывоз шифровальных средств (далее - заявители).

5. Ввоз и вывоз шифровальных средств осуществляются на основании разовых лицензий (далее - лицензии), выдаваемых уполномоченным органом государства - члена Таможенного союза, на территории которого зарегистрирован заявитель (далее - уполномоченный орган).

6. Для получения лицензии заявитель представляет в уполномоченный орган документы, предусмотренные пунктом 3 статьи 3 Соглашения, а также:

заключение о возможности ввоза или вывоза шифровальных средств, выданное органом исполнительной власти в области обеспечения государственной безопасности государства - члена Таможенного союза (далее - согласующий орган); приложение к заявлению о получении лицензии с указанием полного наименования всех шифровальных средств в случае ввоза или вывоза нескольких видов шифровальных средств, соответствующих одному 10-значному классификационному коду в соответствии с ТН ВЭД ТС.

7. Для получения заключения в соответствии с пунктом 6 настоящего Положения заявитель представляет в согласующий орган:

заявление о выдаче заключения на ввоз или вывоз шифровального средства с указанием его полного наименования, идентифицирующих признаков;

копию лицензии на осуществление лицензируемого вида деятельности, связанного с шифровальными средствами; техническую документацию на шифровальное средство (предоставление исходных кодов не является обязательным требованием, отказ заявителя в предоставлении исходных кодов сам по себе не является основанием в отказе по заявлению);

образцы шифровального средства (по требованию согласующего органа для проведения научно-технической экспертизы); иные документы, предусмотренные законодательством государства - члена Таможенного союза.

Срок рассмотрения документов, представляемых в согласующий орган, а также необходимость проведения научно-технической экспертизы шифровального средства определяется государством - членом Таможенного союза.

Заключение на конкретное шифровальное средство выдается однократно. При этом согласующие органы определяют возможность и условия применения указанного средства.

8. Не требуется получения лицензий:

а) при ввозе и вывозе шифровальных средств для осуществления ремонта или замены в соответствии с обязательствами по договору (контракту, соглашению);

б) при временном ввозе и временном вывозе шифровальных средств в целях: проведения научно-технической экспертизы; научных исследований; экспонирования на выставках;

в) при ввозе и вывозе шифровальных средств в целях обеспечения собственных нужд организаций без права их распространения и оказания третьим лицам услуг в области шифрования;

г) при транзитных перевозках шифровальных средств через территорию государств - членов Таможенного союза. Ввоз и вывоз шифровальных средств в указанных случаях осуществляются заявителем при условии представления в таможенные органы заключения (разрешительного документа) согласующего органа.

9. Для получения заключения (разрешительного документа) в соответствии с пунктом 8 настоящего Положения заявитель представляет в согласующий орган:

заявление о выдаче заключения (разрешительного документа) на ввоз или вывоз шифровального средства с указанием его полного наименования, идентифицирующих признаков, количества и цели ввоза или вывоза;

техническую документацию на шифровальное средство.

Предоставление исходных кодов не является обязательным требованием. Отказ заявителя в предоставлении исходных кодов не является сам по себе основанием в отказе по заявлению; образцы шифровального средства (по требованию согласующего органа для проведения научно-технической экспертизы); копию внешнеторгового договора (контракта), приложения и (или) дополнения к нему и (или) копию иного документа, подтверждающего намерения сторон. При ввозе шифровальных средств для обеспечения собственных нужд организаций заявитель дополнительно указывает в заявлении реквизиты свидетельства о проведении научно-технической экспертизы образцов шифровальных средств, если ее проведение предусмотрено законодательством государства - члена Таможенного союза.

Срок рассмотрения документов, представляемых в согласующий орган, а также необходимость проведения научно-технической экспертизы шифровального средства определяются государством - членом Таможенного союза. Общий срок получения лицензии уполномоченного органа с учетом проведения экспертизы и получения заключения согласующего органа не должен превышать 90 дней со дня регистрации обращения заявителя в согласующем органе.

10. В выдаче лицензии (заключения согласующего органа), помимо оснований, указанных в пункте 6 статьи 3 Соглашения, может быть отказано в случаях: непредоставления документов в объеме, предусмотренном пунктами 6, 7 и 9 настоящего Положения; наличия ограничений в третьих странах на ввоз шифровальных средств на их таможенную территорию; возможности нанесения ущерба безопасности государствам - членам Таможенного союза, которая определяется по результатам научно-технической экспертизы шифровальных средств и (или) документации на них.

11. Ввоз и вывоз шифровальных средств, указанных в Приложении N 1 настоящего Положения, осуществляются на основании информации о зарегистрированной в согласующем органе нотификации (уведомления) без оформления иных разрешительных документов, предусмотренных настоящим Положением.

Заполнение нотификации осуществляется изготовителем продукции или лицом, уполномоченным изготовителем продукции, однократно на один тип шифровального средства на основании собственных доказательств.

Нотификация позволяет перемещать шифровальные средства через таможенную границу таможенного союза любыми лицами в любых количествах без повторных обращений заявителей и таможенных органов в согласующие органы. Форма нотификации приведена в Приложении N 2 к настоящему Положению. Положение о порядке регистрации нотификации приведено в Приложении N 3 к настоящему Положению. Срок регистрации нотификации и опубликования информации о ней на сайте Евразийской экономической комиссии не должен превышать 10 дней со дня поступления нотификации на регистрацию. Регистрация нотификации производится автоматически, если согласующий орган не свяжется с заявителем в течение 10 рабочих дней после подачи заявления по вопросам соответствия предоставленных материалов установленным требованиям. В период с даты подачи материалов на регистрацию нотификации до регистрации нотификации заявитель может внести изменения в нотификацию с визированием этих изменений лицом, подписавшим нотификацию. При этом датой отсчета срока регистрации нотификации считается дата внесения изменений в нотификацию.

12. В случае если шифровальные средства имеют в своем составе специальные технические средства, предназначенные для негласного получения информации, решение о категории товара, на который будет выдаваться лицензия, определяет согласующий орган.

13. Уполномоченный орган вправе выдавать разъяснения (заключения) по вопросам выдачи лицензий. Информация о выданных разъяснениях (заключениях) направляется в Евразийскую экономическую комиссию. 14.

При рассмотрении материалов заявителей, проведении работ по рассмотрению и регистрации нотификаций, проведении экспертиз шифровальных средств согласующие органы должны обеспечивать сохранение конфиденциальности доверенной им информации и использовать ее только в тех целях, в которых такая информация им предоставлена.

5.8 Нотификация ФСБ

Для импорта на территорию РФ большинства видов оборудования предпринимателю потребуется пройти процедуру подтверждения соответствия данных товаров требованиям особых нормативных документов, таких как ГОСТов или Техрегламентов. Однако, на шифровальные (криптографические) средства, помимо сертификатов соответствия, нужно дополнительно регистрировать другой сертификационный документ - нотификацию ФСБ.

Нотификация ФСБ - особый разрешительный документ, который оформляется на шифровальное (криптографическое) оборудование. Данный документ регистрируется в органах ФСБ России и дает право ее обладателю осуществлять действия по ввозу заявленных в документе приборов на территорию РФ.

Процедура регистрации и выдачи нотификации ФСБ регламентируется Положением о правилах ввоза на таможенную территорию ТС, а также вывоза с таможенной территории ТС криптографических (шифровальных) средств. Данное положение содержит перечень товаров (оборудования, приборов, изделий и так далее), подлежащих обязательной процедуре оформления нотификации ФСБ. Без наличия указанного разрешения импорт (ввоз) шифровального оборудования на территорию России запрещен.



5.9 Гражданский кодекс Российской Федерации, часть четвертая

Гражданский кодекс Российской Федерации -- кодекс федеральных законов Российской Федерации, регулирующих гражданско-правовые отношения. Гражданский кодекс имеет приоритет перед другими федеральными законами и иными нормативными правовыми актами в сфере гражданского права.

Четвёртая часть ГК РФ содержит статьи, регулирующие вопросы авторского и смежных прав, ранее регулировавшийся отдельным Законом, а также другие вопросы интеллектуальной собственности, в частности, сроки действия различных исключительных прав на произведения, изобретения и другие объекты интеллектуальной собственности. Регулирует права изготовителей баз данных, компьютерных программ, создателей селекционных достижений, топологий интегральных микросхем, права владельцев товарных знаков, полезных моделей, промышленных образцов, вопросы регистрации данных объектов интеллектуальной собственности.

Защита авторских, смежных прав и интеллектуальной собственности.

В рамках данного дипломного проекта проводился анализ беспроводных устройств ввода информации на предмет защищенности этих устройств от возможности перехвата и навязывания информации потенциальным злоумышленником, а также была разработана методика качественной оценки защищенности этих устройств на основании результатов анализа. Для анализа и получения результатов использовался специально разработанный программно- аппаратный модуль. В связи с этим, актуален вопрос о защите прав автора на полученные результаты.

В настоящий момент основным нормативным актом, регламентирующими вопросы защиты авторского права в области программного обеспечения и в области научных открытий, является Гражданский кодекс Российской Федерации.

Часть 4 Гражданского кодекса Российской Федерации целиком посвящена вопросам интеллектуальной собственности и прав на неё. Так, согласно Статье 1225:

«Результатами интеллектуальной деятельности и приравненными к ним средствами индивидуализации юридических лиц, товаров, работ, услуг и предприятий, которым предоставляется правовая охрана (интеллектуальной собственностью), являются:

1) произведения науки, литературы и искусства;

2) программы для электронных вычислительных машин (программы для ЭВМ)…»

Таким образом, все компоненты данного дипломного проекта подпадают под определение интеллектуальной собственности.

Согласно Статье 1228 Гражданского кодекса, «Автором результата интеллектуальной деятельности признается гражданин, творческим трудом которого создан такой результат». Также важным является вопрос прав автора, регламентируемый во втором пункте этой статьи:

«Автору результата интеллектуальной деятельности принадлежит право авторства, а в случаях, предусмотренных настоящим Кодексом, право на имя и иные личные неимущественные права. Право авторства, право на имя и иные личные неимущественные права автора неотчуждаемы и непередаваемы. Отказ от этих прав ничтожен».

«Программой для ЭВМ является представленная в объективной форме совокупность данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств в целях получения определённого результата, включая подготовительные материалы, полученные в ходе разработки программы для ЭВМ, и порождаемые ею аудиовизуальные отображения» (ст. 1261 ГК РФ)

C программами связана Статья 1262 «Государственная регистрация программ для ЭВМ и баз данных», которая содержит следующие важные сведения:

«Правообладатель в течение срока действия исключительного права на программу для ЭВМ или на базу данных может по своему желанию зарегистрировать такую программу или такую базу данных в федеральном органе исполнительной власти по интеллектуальной собственности.

Программы для ЭВМ и базы данных, в которых содержатся сведения, составляющие государственную тайну, государственной регистрации не подлежат. Лицо, подавшее заявку на государственную регистрацию (заявитель), несет ответственность за разглашение сведений о программах для ЭВМ и базах данных, в которых содержатся сведения, составляющие государственную тайну, в соответствии с законодательством Российской Федерации».

Авторские права.

«Автору результата интеллектуальной деятельности принадлежит право авторства и другие личные неимущественные права» (ст. 1228 ГК РФ)

Подробнее о том, что такое исключительные права, говориться в статье 1229 Гражданского кодекса:

«Гражданин или юридическое лицо, обладающие исключительным правом на результат интеллектуальной деятельности (правообладатель), вправе использовать такой результат или такое средство по своему усмотрению любым не противоречащим закону способом. Правообладатель может распоряжаться исключительным правом на результат интеллектуальной деятельности, если иное не предусмотрено законом.

Правообладатель может по своему усмотрению разрешать или запрещать другим лицам использование результата интеллектуальной деятельности или средства индивидуализации. Отсутствие запрета не считается согласием (разрешением)».

Интересен вопрос распределения прав в случае разработки по контракту, о котором говорится в Статье 1296 Гражданского кодекса:

«В случае, когда программа для ЭВМ или база данных создана по договору, предметом которого было ее создание (по заказу), исключительное право на такую программу или такую базу данных принадлежит заказчику, если договором между подрядчиком (исполнителем) и заказчиком не предусмотрено иное».

Однако в статье 1297 содержится следующее дополнение:

«Если программа для ЭВМ или база данных создана при выполнении договора подряда или договора на выполнение научно-исследовательских, опытно-конструкторских или технологических работ, которые прямо не предусматривали ее создание, исключительное право на такую программу или такую базу данных принадлежит подрядчику (исполнителю), если договором между ним и заказчиком не предусмотрено иное».

Также важной является способность автора, согласно статье 1234 Гражданского кодекса, передать исключительное право путём отчуждения:

«По договору об отчуждении исключительного права одна сторона (правообладатель) передает или обязуется передать принадлежащее ей исключительное право на результат интеллектуальной деятельности или на средство индивидуализации в полном объеме другой стороне (приобретателю)».

Патентные права.

Согласно статье 1345 Гражданского кодекса Российской Федерации, «интеллектуальные права на изобретения, полезные модели и промышленные образцы являются патентными правами. Автору изобретения, полезной модели или промышленного образца принадлежат следующие права:

1) исключительное право;

2) право авторства».

Статья 1349 определяет объекты патентного права:

«Объектами патентных прав являются результаты интеллектуальной деятельности в научно-технической сфере, отвечающие установленным настоящим Кодексом требованиям к изобретениям и полезным моделям, и результаты интеллектуальной деятельности в сфере художественного конструирования, отвечающие установленным настоящим Кодексом требованиям к промышленным образцам».

А, согласно статье 1350, «Не являются изобретениями:

1) открытия;

2) научные теории и математические методы;

3) решения, касающиеся только внешнего вида изделий и направленные на удовлетворение эстетических потребностей;

4) правила и методы игр, интеллектуальной или хозяйственной деятельности;

5) программы для ЭВМ;

6) решения, заключающиеся только в представлении информации».

Согласно этим законам, результаты данного дипломного проекта не могут быть объектами патентного права.

Ответственность за нарушение авторских прав

В российском законодательстве существуют разные виды ответственности за нарушение авторских и исключительных прав, как для физических, так и для юридических лиц.

В соответствии со статьёй 1253 ГК РФ, «если юридическое лицо неоднократно или грубо нарушает исключительные права на результаты интеллектуальной деятельности и на средства индивидуализации, суд может в соответствии с пунктом 2 статьи 61 настоящего Кодекса принять решение о ликвидации такого юридического лица по требованию прокурора. Если такие нарушения совершает гражданин, его деятельность в качестве индивидуального предпринимателя может быть прекращена по решению или приговору суда в установленном законом порядке».

Также, согласно статье 1301 ГК РФ, «в случаях нарушения исключительного права на произведение автор или иной правообладатель наряду с использованием других применимых способов защиты и мер ответственности, установленных настоящим Кодексом (статьи 1250, 1252 и 1253), вправе в соответствии с пунктом 3 статьи 1252 настоящего Кодекса требовать по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации:

1) в размере от десяти тысяч рублей до пяти миллионов рублей, определяемом по усмотрению суда;

2) в двукратном размере стоимости экземпляров произведения или в двукратном размере стоимости права использования произведения, определяемой исходя из цены, которая при сравнимых обстоятельствах обычно взимается за правомерное использование произведения».

Уголовный кодекс Российской Федерации также предусматривает ответственность за нарушение авторских и исключительных прав. Согласно статье 146 «Нарушение авторских и смежных прав», «незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере, наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок».

При этом те же деяния, совершённые в особо крупном размере, «наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет или без такового».

Деяния, предусмотренные данной статьей, признаются совершенными в крупном размере, «если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышают сто тысяч рублей, а в особо крупном размере - один миллион рублей».

Выводы

Законодательная база в области информационной безопасности является одной из важнейших составляющих информационной безопасности и составляет основу правовой защиты информации в Российской Федерации. Законодательство Российской Федерации в области защиты информации представляет собой совокупность целого ряда нормативно-правовых актов, направленных на достижение обеспечения информационной безопасности национальных интересов и страны в целом.

Результаты, полученные в ходе проведения дипломного проекта, соответствуют основным задачам, принципам и направлениям обеспечения информационной безопасности в РФ.

На полученные в ходе исследований результаты, проведенных в рамках данного проекта, а также на разработанное программно-аппаратные средства распространяется действие положений четвёртой части Гражданского Кодекса РФ. Интеллектуальные права на дипломный проект являются авторскими правами и подлежат защите в соответствии с законодательством РФ.



ЗАКЛЮЧЕНИЕ

В ходе выполнения дипломного проекта были рассмотрены базовые принципы построения и работы беспроводных клавиатур и мышей, основывающихся на радиоинтерфейсе 2.4 ГГц, проанализирована доступная документация протоколов и технологий информационного обмена этих устройств. В частности, был проведен подробный анализ аппаратной составляющей наиболее распространенных беспроводных клавиатур и мышей, использующих радиоинтерфейс 2.4 ГГц и выявлены их уязвимые места.

В процессе дипломного проектирования решены следующие задачи:

- Рассмотрены основные принципы конструкции и работы беспроводных устройств ввода информации, использующих частоту 2.4 ГГц выявлены их сильные и слабые стороны в отношении защищенности механизмов передачи данных.

- Сформулирована математическая постановка задачи;

- Выработаны подходы и методы решения поставленной задачи, а также приведено их обоснование;

- Разработан специальный макет устройства анализа защищенности беспроводных устройств ввода информации;

- На основании результатов испытаний макета устройства разработана методика качественной оценки защищенности беспроводных устройств ввода информации;

- Проведен технико-экономический анализ проектной разработки, оценка структуры и показателей затрат дипломного проекта;

- Проведен подробный анализ правовых актов и других нормативных документов, регулирующих общественные отношения в области обеспечения информационной безопасности в РФ с учетом специфики решаемых в проекте вопросов.

Следует отметить, что разработанный макет тестирующего устройства (тестирующий модуль) имеет весьма гибкие возможности для проведения качественного анализа защищенности беспроводных клавиатур и мышей с радиоинтерфейсом 2.4 ГГц, а принципы его функционирования являются достаточно универсальными в отношении широкого перечня моделей и производителей в рамках рассматриваемой технологии 2.4 ГГц.

Исследования, проведенные в данном дипломном проекте, показывают, что большинство производителей беспроводных клавиатур, как правило реализуют достаточно небезопасные протоколы, хотя функционал чипа nRF24LE1, на котором базируется большинство беспроводных клавиатуры имеет все, что нужно для обеспечения безопасности: аппаратное ускорение, поддержку AES, а также аппаратный генератор случайных чисел.

Причины, по которым производители не реализуют безопасные протоколы заключаются в том, что покупателей зачастую не слишком волнуют вопросы, связанные с безопасностью, а производителей в свою очередь волнуют вопросы увеличения количества продаж своей продукции при минимизации временных и денежных затрат на ее разработку и изготовление.



СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Конституция Российской Федерации: принята всенародным голосованием 12 декабря 1993 года. (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6- ФЗК, от 30.12.2008 N 7- ФЗК, от 05.02.2014 N 2- ФЗК, от 21.03.2014- N 6-ФКЗ от 21.07.2014- N 11-ФЗ) М.: Эксмо, 2014. - 32 с.

2. Гражданский кодекс Российской Федерации, часть четвертая. Официальный текст: текст Кодекса приводится по состоянию на 17.04.2015 г. М.: Омега-Л, 2015. - 585 с.

3. Положение о порядке ввоза на таможенную территорию Таможенного союза и вывоза с таможенной территории Таможенного союза шифровальных (криптографических) средств, утвержденное Решением Межгосударственного Совета ЕврАзЭС от 27.11.2009 N 19.

4. Белоусов А.И., Ткачев С.Б. Дискретная математика: Учеб. для вузов / Под ред. В.С. Зарубина, А.П. Крищенко. - М.: Изд-во МГТУ им. Н.Э.Баумана, 2001. -744 с.

5. М. Ф. Меняев. Организационно-экономическая часть дипломных проектов, направленных на разработку программного обеспечения. Учебное пособие. - М.: Изд-во МГТУ им.Н.Э.Баумана, 2009 - 30 стр.

6. Matthias Fдhnle. Analysis of unencrypted and encrypted wireless keyboard transmission implemented in GNU Radio based Software-Defined Radio. Institute of Communication Technology Ulm, Germany, 78 с.



ПРИЛОЖЕНИЕ

ИСХОДНЫЙ КОД МИКРОПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

#include <SPI.h>

#include "nRF24L01.h"

#include "RF24.h"

#include "printf.h"

RF24 radio(9,10);// настройка выводов платы для SPI интерфейса (CE, CSN)

const uint64_t kbd_addr = 0x00AA;// значение подменяющее адрес назначения

const uint64_t rcv_addr;// переменная для реального адреса после приема пакета

uint8_t payload_buff[32];// выделение буфера для чтения 32 байт поля "payload"

uint8_t check_addr_buff[5];//буфер для чтения адреса с целью его проверки

const short num_channels =76;// количество прослушиваемых частот

uint8_t pipeNum = 1;// номер прослушиваемого канала (0 - 5)

void setup(void)

{

Serial.begin(57600);

printf_begin();

radio.begin();

radio.setAutoAck(false);

// инициализация необходимых интерфейсов

radio.setRetries(15,15);

radio.setPayloadSize(32);// установка максимального размера поля данных для приема- 32 байт

radio.disableCRC();// отключение вычисления CRC последовательности

radio.write_register(0x03, 0x00);// установка ширины поля адреса в 2 байта

radio.setDataRate(RF24_2MBPS);// 2 MBPS- rate для приемников Unifying

printf("%x\n\r", radio.read_register(0x01));

radio.openReadingPipe(1, kbd_addr);// открытие канала для приема пакетов от клавиатуры

radio.printDetails();// вывод на печать блока информации о конфигурации радиомодуля

printf("Recieve packets from keyboards... \n\r");// старт прослушивания частот

int count = num_channels;// инициализация счетчика индексов частотных каналов

while (count--)// последовательное прослушивание всех каналов

{

radio.setChannel(count);// установка очередного индекса

radio.startListening();// прослушивание очередного индекса

delay(10);// пауза

if ( radio.available(&pipeNum) )// проверка приема пакета данных

{

printf("data!\n\r");// вывод информации о приеме данных

if(radio.read_register(0x17)!=17);//проверка очереди FIFO

printf("FIFO_STATUS_rx %d\n\r", radio.read_register(0x17));

printf("index of frequency channel %d\n\r", count);// фиксирование частотного канала

radio.read_payload( &payload_buff, 0x20);// чтение данных из FIFO очереди в буфер

radio.flush_rx();// чистка очереди FIFO

int i_payloadBuff = 0;

printf("0x");

while ( i_payloadBuff < 31 )

{

printf("%x ", payload_buff[i_payloadBuff]);

++i_payloadBuff;

}

printf("\n\r");

printf("\n\r");

// вывод содержимого поля «payload» принятого пакета данных на экран

}

radio.stopListening();// остановка прослушивания текущего индекса

if (count == 3)

{ printf("cycle\n\r");// вывод информации об окончании цикла

count = 76;// возобновления цикла при необходимости}

}

}

Размещено на Allbest.ur

...