Знание своих клиентов и служащих. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.

Персонификация и адекватное разделение ролей и ответственности.

Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.

Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.

Доступность услуг и сервисов. Организация должна обеспечить доступность для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами.

Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

В настоящее время на ОАО «ПЭМЗ» «Молот» разработана и действует политика безопасности, которая определяет такие вопросы, как общее видение организации информационной безопасности, обязанности сотрудников и их ответственность за нарушение правил информационной безопасности, а также порядок работы с документами общества.

Однако меры по обеспечению информационной безопасности при работе на средствах, входящих в локальную вычислительную сеть, не разработаны и не определены. К таким относятся:

- меры защиты информации при работе на серверном оборудовании;

- меры защиты информации при работе на АРМ пользователей;

- меры защиты информации при работе в сети Интернет.

Следовательно, необходимо такие локальные документы разработать и включить в состав политики безопасности предприятия в виде отдельных документов.

4.4.2 Мероприятия по повышению защищенности ЛВС

Таким образом, определимся с конкретными мероприятиями, необходимыми для обеспечения безопасности информации, обрабатываемой в ЛВС ОАО «ПЭМЗ» «Молот».

В сети отсутствует система резервирования данных, что ставит под угрозу сохранность информации в случае возникновения нештатной ситуации (перепад напряжения, неисправность рабочей станции или сервера ит. д.).

Поэтому необходимо спроектировать в ЛВС систему резервного копирования.

Простейшим и оправданным в нашем случае способом защиты данных от потерь в сетях офисных ПК является централизованное копирование данных на высокопроизводительном стримере большой емкости, подключенном к серверу с использованием интерфейса SCSI. В такой схеме представлены следующие основные компоненты: клиент системы резервного копирования и сервера. Клиент системы резервного копирования - компьютерная система, данные из которой подлежат резервному копированию. Система в данном случае должна быть представлена файловым сервером, сервером приложений и баз данных, а также программным компонентом, который считывает данные из устройств хранения и отправляет их на сервер резервного копирования. Такое программное обеспечение обычно поставляется в комплекте систем резервного копирования. Серверы резервного копирования - системы, которые копируют данные и регистрируют выполненные операции.

Технологически сервера резервного копирования делятся на два типа: Master- сервер и Media - сервер.

Master-сервер - сервер управления системой резервного копирования. В его задачу входит планирование операций резервного копирования и восстановления, а также ведения каталога резервных копий. Программный компонент сервера управления резервным копированием, выполняющий функции, менеджера резервного копирования.

Media - сервер - сервер копирования резервируемых данных. Его основной задачей является выполнение команд поступающих от Master-сервера, по копированию данных. К серверам данного типа подключаются устройства хранения резервных копий. Устройство хранения резервных копий - накопители на лентах, магнитных или оптических дисках. Процедура создания резервных копий представляется собой трехстороннее взаимодействие между клиентом, Master-сервером и Media-сервером. Клиент отправляет список файлов, подлежащих резервному копированию, на Master- сервер, а данные со своих томов на Media-сервер. В свою очередь менеджер резервного копирования инициирует и контролирует выполнение заданий в соответствии с заданным расписанием. Media-сервер выбирает одно или несколько устройств хранения, загружает носители информации, принимает от клиента по сети и записывает их на носители резервных копий. Аналогичным образом только в обратном направлении происходит восстановление данных из резервных копий.

Согласно данным РАО «ЕЭС Россия», как указывалось выше, пропадания энергоснабжения носят кратковременный характер (не более получаса), но происходят довольно часто - до 100 раз в год или раз в три- четыре дня, то есть вероятность пропадания питания каждый рабочий день может достигать 10 %. Возможный ущерб от таких перебоев будет складываться из стоимости оборудования, которое может выйти из строя, стоимости времени восстановления нормальной работы и утерянных данных, а также убытков от упущенного бизнеса. Более длительное отсутствие питания происходит около 1 раза в 5 лет и приравнивается к чрезвычайной ситуации. Поэтому в данном случае необходимо и достаточно будет оснастить оборудование сети ИБП малой мощности. В случае пропадания питания ИБП будут поддерживать работу станций на время, необходимое для корректного ее завершения. Так будет решена проблема возможной утраты данных в случаях с перебоями в электропитании на предприятии.

Брандмауэры целесообразно расположить на стыках сети Интернет и DMZ, DMZ и внутренней сети, как это уже указывалось выше. Во втором случае будет использоваться встроенный сетевой экран системы Windows Server плюс настроенные списки разграничения ACL маршрутизатора, который должен быть настроен по запретительному принципу - администратор задает только те параметры (адреса, протоколы, порты, службы, бюджеты пользователей и т. д.), функционирование которых разрешено, все остальные службы запрещены, в первом - аппаратный межсетевой экран.

Для выбора такого экрана необходимо учитывать следующие требования:

- это должно быть решение от известного производителя;

- должно присутствовать достаточное количество портов Fast Ethernet;

- осуществление контроля на прикладном уровне с учетом состояния, контроля прикладного протокола;

- проверка пакетов на соответствие заданным условиям;

- поддержка Exchange;

- обнаружение и предотвращение несанкционированного доступа;

- высокая производительность.

- Распространение вредоносных программ имеет цель:

- воровство частной и корпоративной банковской информации (получение доступа к банковским счетам персональных пользователей и организаций);

- воровство номеров кредитных карт;

- распределенные сетевые атаки (DDoS-атаки) с последующим требованием денежного выкупа за прекращение атаки;

- создание сетей троянских прокси-серверов для рассылки спама (и коммерческое использование этих сетей);

- создание зомби-сетей для многофункционального использования;

- создание программ, скачивающих и устанавливающих системы показа нежелательной рекламы;

Выбор конкретной антивирусной программы зависит от многих факторов (стоимость, результаты тестирований и др.), к числу которых относится и его популярность. К примеру, доли основных участников рынка антивирусной защиты в России на 2016 - 2017 год распределились следующим образом (рисунок 5).

Рисунок 5. Распределение рынка антивирусных компаний

Задача обеспечения антивирусной защиты корпоративной сети - одна из первоочередных задач в процессе построения комплексной защиты ЛВС.

Большая часть информации в банке является конфиденциальной, поэтому экономия средств для покупки антивирусного пакета является сомнительной. При выборе антивирусных программ необходимо учитывать результаты независимых тестирований.

Одним из первых тестировать антивирусные продукты начал британский журнал Virus Bulletin, первые тесты, опубликованные на их сайте, относятся к далекому 1998 году. Основу теста составляет коллекция вредоносных программ WildList. Для успешного прохождения теста необходимо выявить все вирусы этой коллекции и продемонстрировать нулевой уровень ложных срабатываний на коллекции “чистых” файлов журнала. Тестирование проводится несколько раз в год на различных операционных системах; успешно прошедшие тест продукты получают награду VB100%. В обобщенном рейтинге антивирус Касперского занимает 1 место.

После анализа состава компонентов антивирусных пакетов данной фирмы, очевидно, что для использования в корпоративной локальной сети наиболее подходит Kaspersky Security Center - решение для целостной зашиты корпоративных сетей от всех видов современных интернет-угроз.

Управление защитой рабочих мест.

Установка, настройка и управление защитой рабочих мест в решениях «Лаборатории Касперского» выполняются в Kaspersky Security Center. В единой консоли вы можете управлять безопасностью вашего бизнеса и защищать его от известного и нового вредоносного программного обеспечения, предотвращать риски для IT-безопасности и уменьшать издержки на защиту.

4.4.3 Антивирусная защита и сетевой экран

Позволяет администратору производить аудит использования приложений, разрешать или блокировать их запуск.

Белые списки Kaspersky Security Center предоставляет гибкие возможности управления средствами защиты от вредоносного программного обеспечения:

- возможность задавать политику защиты для нескольких платформ, включая Windows, Linux и Mac, и управлять ими;

- настраивать параметры защиты для отдельных устройств, групп серверов и рабочих станций;

- выполнять антивирусные проверки по требованию и по расписанию;

- выполнять обработку объектов, помещенных в карантин;

- управлять обновлениями антивирусных баз;

- управлять облачной защитой Kaspersky Security Network;

- настраивать сетевой экран и систему предотвращения вторжений (HIPS) и управляйте ими.



4.4.4 Контроль программ, устройств и Веб-Контроль

Централизованное управление IT-инфраструктурой позволяет создать политики безопасности и обеспечить дополнительную защиту ценных данных, Можно устанавливать правила для групп и отдельных пользователей.

ограничивать запуск нежелательных приложений в сети с помощью Контроля программ;

- создавать правила доступа для устройств, которые пользователи подключают к сети, на основании типа или серийного номера устройства, а также на основании способа подключения устройства;

- отслеживать и контролировать доступ в интернет для всего предприятия или групп пользователей.

4.4.5 Защита файловых серверов

Единственный зараженный объект из сетевого хранилища способен инфицировать большое число компьютеров. Чтобы избежать этого, Kaspersky Security Center дает возможность настроить все функции защиты для файловых серверов и управлять ими.

4.4.6 Средства системного администрирования.

Помимо детального контроля над обеспечением безопасности IT-инфраструктуры, Kaspersky Security Center предоставляет средства системного администрирования, которые упрощают задачи управления инфраструктурой и позволяют повысить производительность и сократить операционные издержки.

Развертывание ОС и программ Kaspersky Security Center дает возможность управлять образами ОС и программ: создавать, оперативно копировать и развертывать.



4.4.7 Установка программного обеспечения

Функция удаленной установки программного обеспечения в Kaspersky Security Center экономит время администраторов и помогает снизить объем трафика, передаваемого по корпоративной сети.

Развертывание программного обеспечения по требованию или по расписанию.

4.4.8 Использование выделенных серверов обновлений

Управление лицензиями и учет аппаратных и программных средств Kaspersky Security Center позволяет управлять аппаратным и программным обеспечением, а также отслеживать лицензии на программное обеспечение в пределах вашей IT-инфраструктуры:

- отслеживать все устройства в сети с помощью функции автоматического учета аппаратного обеспечения;

- наблюдать за использованием программ и отслеживать проблемы обновления лицензий с помощью сводных отчетов, создаваемых Kaspersky Security Center.

4.4.9 Мониторинг уязвимостей.

После инвентаризации аппаратного и программного обеспечения можно выполнить поиск уязвимостей в операционных системах и приложениях, для которых не были установлены исправления:

- формирование подробных отчетов об уязвимостях;

- выполнение оценки уязвимостей и расставление приоритетов для установки исправлений.

Обнаружив уязвимости, вы сможете эффективно организовать распространение самых важных исправлений с помощью Kaspersky Security Center:

- управление загрузкой исправлений с серверов «Лаборатории Касперского»;

- управление установкой обновлений и исправлений Microsoft на компьютеры сети.

Для обеспечения управляемости и безопасности сети также необходимо обеспечить разграничение полномочий доступа пользователей к достаточно большому количеству сетевых ресурсов. Традиционным решением этого вопроса является создание доменов сети.

Домен есть одно из основных средств формирования пространства имён каталога Active Directory (АД). Наряду с доменами таковыми средствами формирования являются административная иерархия и физическая структура сети. В настоящее время используются три основных способа построения АД и создания доменов:

- создание в ЛВС одного домена, обслуживающего всю сеть в целом - целесообразно применять при относительно небольшом размере фирмы и отсутствии ее разделения на отдельные подразделения;

- создание леса доменов с глобальным каталогом (или корнем леса), в роли которого выступает основной домен - применяется при географическом разнесении отделов фирмы. В этом случае свои домены существуют у головного офиса фирмы и ее филиалов, связаны они через сеть Интернет;

- создание некоторого количества независимых доменов с глобальным каталогом - применяется при жестком административном разделении фирмы на несколько отделов.

Таким образом, вариант построения АД и домена зависит, прежде всего, от административной модели предприятия.

В данном случае, так как отсутствует географическое и строгое иерархическое разделение фирмы, оптимальным вариантом является создание сети с единым доменом.

Основой домена станет сервер с установленной серверной операционной системой MS Windows Server - основной контроллер домена (PDC).

Путем создания доменной структуры будут решены следующие задачи:

- создание областей административной ответственности - возможно деление корпоративной сети на области, управляемые отдельно друг от друга.

- создание областей действия политики учетных записей - политика учетных записей определяет правила применения пользователями учетных записей и сопоставленных им паролей. В частности задается длина пароля, количество неудачных попыток ввода пароля до блокировки учетной записи, а также продолжительность подобной блокировки.

- разграничение доступа к объектам - каждый домен реализует собственные настройки безопасности (включая идентификаторы безопасности и списки контроля доступа).

- изоляция трафика репликации - для размещения информации об объектах корпоративной сети используются доменные разделы каталога. Каждому домену соответствует свой раздел каталога, называемый доменным. Все объекты, относящиеся к некоторому домену, помещаются в соответствующий раздел каталога. Изменения, произведенные в доменном разделе, реплицируются исключительно в пределах домена.

- ограничение размера копии каталога - каждый домен Active Directory может содержать до миллиона различных объектов. Тем не менее, реально использовать домены такого размера непрактично. Следствием большого размера домена является большой размер копии каталога.

Соответственно, огромной оказывается нагрузка на серверы, являющиеся носителями подобной копии.

В целом создание доменной структуры сети позволит упростить и автоматизировать администрирование сети, повысить ее управляемость, масштабируемость и безопасность.

Основной контроллер домена содержит копию АД, которая описывает всю ЛВС и политики взаимодействия между ее элементами. Такая информация является исключительно важной для функционирования всей сети, при ее потере ЛВС превращается просто в совокупность рабочих станций, серверов, другого оборудования и утрачивает возможность исполнять свои функции.

Поэтому необходимо предусмотреть создание резервного контроллера домена сети (BDC) - копии основного и работающего параллельно с ним. Наличие резервного контроллера домена оправдано и в других случаях, к примеру, обновления аппаратного обеспечения основного сервера.

В качестве сетевого оборудования нам необходимо произвести выбор устройства резервного копирования.

В качестве устройства резервирования данных будем использовать дисковую систему IBM System Storage DS3200, которая имеет собственное программное обеспечение управления резервированием информации. Основные характерисуноктики этой системы приведены ниже.

- масштабируемость до 3,6 Тб при использовании дисков SAS объемом 300 Гб с возможностью горячей замены.

- упрощение развертывания и управления с помощью DS3000 Storage Manager.

- возможность дополнительного подключения до трех дисковых полок EXP3000 общим объемом 14,4 Тб.

- доступная цена для малых и средних предприятий.

- интерфейс - Serial Attached SCSI

- цена - 96 873 рубля.

- стандартная гарантия: 3 года с обслуживанием на месте.



4.5 Внедрение комплексной системы защиты информации

Выше нами были рассмотрены мероприятия, позволяющие обеспечить информационную защищенность системы от посягательств третьих лиц, а также от злонамеренных или просто неосознанно вредоносных действий сотрудников предприятия.

Однако, так как предусмотренные средства в основном защищают существующую сеть от посягательств из сети Интернет, необходимо также защитить информацию, которая циркулирует внутри организации.

В этом направлении нами уже предусмотрены такие мероприятия, как аутентификация пользователей с помощью службы AD, однако, как показывает практика, этого недостаточно. Поэтому необходимо рассмотреть средства, которые бы могли:

1. осуществить дополнительную идентификацию пользователей;

2. защитить внутренний трафик в сети.

Кроме того, необходимо подобрать такое решение, с помощью которого можно было бы реализовать обе функции.

Одной из таких наиболее популярных систем является комплексная система защиты информации «Панцирь».

С ее использованием решаются следующие задачи:

- реализация разграничительной политики внешнего доступа к ресурсам локальной вычислительной сети;

- реализация разграничительной политики доступа к ресурсам в корпоративной ПС, в локальной, либо в распределенной корпоративной сети;

- шифрование трафика в локальной вычислительной сети;

- ключи eToken PRO/32K и eToken PRO/64K (в форм факторе USB ключа и смарт-карты);

- криптопровайдер «КриптоПро CSP» версий 3.0 (и 3.6), сертифицирован по требованиям к шифрованию конфиденциальной информации ФСБ России.

СЗИ содержит в своем составе следующие компоненты:

- Клиентскую часть. Устанавливается на компьютеры в составе ЛВС. Реализует прозрачное для пользователя шифрование трафика на стеке протоколов TCP/IP и разграничительную политику доступа субъектов к объектам;

- Криптопровайдер «КриптоПро CSP» версия 3.0 - применяется при необходимости использования сертифицированного по требованиям безопасности решения. Устанавливается вместе с клиентской частью на компьютеры в составе корпоративной сети и на серверную часть;

- Серверную часть (основную). Устанавливается на выделенном компьютере в составе корпоративной сети. Идентифицирует компьютеры в составе корпоративной сети, автоматически генерирует и предоставляет клиентским частям сеансовые ключи шифрования, формирует разграничительную политику доступа к ресурсам, осуществляет аудит идентификации субъектов и объектов доступа в корпоративной сети.

- АРМ администратора безопасности. Устанавливается на выделенном компьютере в составе корпоративной сети. Предоставляет администратору безопасности интерфейс настройки VPN, инструментальные средства обработки аудита.

В СЗИ «Панцирь» для идентификации субъектов и объектов доступа введена отдельная логическая сущность «Идентификатор субъекта/объекта» (ID), которая, в общем случае, никак не связана ни с конкретным компьютером, ни с учетной записью пользователей, заведенных на компьютере.

При создании на сервере VPN субъекта/объекта доступа администратор безопасности создает его идентификатор, и, в соответствии с тем, что эта сущность идентифицирует (пользователя или компьютер) размещает данный идентификатор при установке клиентской части СЗИ в соответствующем ресурсе компьютера (объект реестра или файловый объект) для его последующей идентификации, либо предоставляет данный идентификатор на внешнем носителе пользователю (Flash-устройство, электронный ключ или смарт-карта).

Данная сущность не является секретной информацией, передается по каналам связи в открытом виде, служит для идентификации субъекта/объекта на сервере VPN и взаимной идентификации субъектов/объектов в составе корпоративной VPN.

При назначении идентификатора субъекту/объекту на сервере VPN администратор безопасности относит его либо к корпоративным, либо к доверенным (присваивая идентификатору соответствующую дополнительную логическую сущность «тип субъекта/объекта»).

Корпоративные субъекты/объекты смогут взаимодействовать только с корпоративными субъектами/объектами (на которых устанавливаются клиентские части СЗИ), весь трафик между ними будет шифроваться).

Доверенные субъекты/объекты смогут взаимодействовать, как с корпоративными субъектами/объектами (на которых устанавливаются клиентские части СЗИ), весь трафик между ними будет шифроваться, так и с внешними по отношению к корпоративной VPN субъектами/объектами по открытым каналам связи.

Решение по реализации ключевой политики в СЗИ основано на использовании двух типов симметричных ключей шифрования: ключ шифрования трафика между клиентской и серверной частями (технологический ключ) и сеансовые ключи шифрования между парами клиентских частей.

При создании субъекта/объекта доступа на сервере VPN, вместе с назначением идентификатора и его типа (корпоративный или доверенный), администратором безопасности генерируется технологический ключ (для каждого субъекта/объекта генерируется свой технологический ключ). В зависимости от того, что представляет собою сущность субъект/объект (пользователя или компьютер), администратор размещает технологический ключ при установке клиентской части СЗИ в ресурсе компьютера (объект реестра или файловый объект), либо предоставляет технологический ключ на внешнем носителе пользователю (Flash- устройство, электронный ключ или смарт-карта), на этом же носителе должен располагаться идентификатор пользователя

Технологический ключ является секретной информацией, возможность несанкционированного доступа к которой должна предотвращаться, ключ не должен передаваться по каналу связи в открытом виде.

Технологический ключ используется для получения в зашифрованном виде клиентской частью VPN таблицы сеансовых ключей субъекта/объекта для обмена информацией с другими субъектами/объектами из состава VPN (для каждой пары субъектов/объектов свой сеансовый ключ), и при сеансовой идентификации субъекта/объекта на сервере VPN при запросе таблицы сеансовых ключей.

Сеансовая идентификация субъекта/объекта на сервере VPN осуществляется следующим образом. Клиентская часть СЗИ автоматически при включении компьютера, если идентифицируется субъект/объект компьютер, либо по запросу пользователя - при подключении пользователем к компьютеру носителя с идентифицирующей его информацией - ID и технологическим ключом шифрования, если идентифицируется субъект/объект пользователь, обращается к серверу VPN, высылая ему в открытом виде соответствующий идентификатор (ID) и хэш (необратимое шифрование) технологического ключа. Сервер VPN, получив запрос от субъекта/объекта, определяет его ID, определяет корректность соответствия технологического ключа и ID. Если они соответствуют, сеансовая идентификация субъекта/ объекта считается успешной (об этом, и в случае некорректной идентификации, на сервере VPN откладывается соответствующая информация в аудите).

В СЗИ реализовано три иерархических уровня реализации разграничительной политики доступа к ресурсам корпоративной VPN.

Первый уровень - уровень контроля доступа к сетевым ресурсам. Состоит в полном запрете доступа к сетевым ресурсам не идентифицированных субъектов/объектов. Реализуется следующим образом. Вне зависимости от того, как определен субъект/объект доступа, на котором установлена клиентская часть СЗИ, кроме, как к серверу VPN, до осуществления его успешной идентификации на сервере VPN (что подтверждается загрузкой с сервера таблицы сеансовых ключей шифрования), невозможен.

Второй уровень - уровень контроля доступа к корпоративным ресурсам. Состоит в реализации различных возможностей доступа к сетевым ресурсам для корпоративных и доверенных субъектов/объектов. Корпоративным субъектам/объектам разрешается взаимодействие только с корпоративными субъектами/объектами, при этом их трафик шифруется соответствующими сеансовыми ключами (для каждой пары субъект/объект свой сеансовый ключ шифрования). Доверенным субъектам/объектам разрешается взаимодействие, как с корпоративными субъектами/объектами, при этом их трафик шифруется соответствующими сеансовыми ключами (для каждой пары субъект/объект свой сеансовый ключ шифрования), так и с внешними по отношению к корпорации субъектами/объектами, при этом их трафик не шифруется. Это реализуется следующим образом. При сетевом взаимодействии в рамках VPN, взаимодействующие клиентские части взаимно идентифицируют друг друга (обмениваются своими ID). Результатом подобной взаимной идентификации является принятие сторонами решения о возможности взаимодействия, при возможности - выбор способа взаимодействия, при выборе защищенного способа - выбор сеансового ключа шифрования. Так, если к корпоративному субъекту/объекту обращается корпоративный субъект/объект, будет осуществлена взаимная идентификация субъектов/объектов клиентскими частями СЗИ, взаимодействие сторонам будет разрешено, каждой стороной будет однозначно определен сеансовый ключ шифрования (он свой для каждой пары идентифицированных субъектов/объектов). То же произойдет, если к доверенному субъекту/объекту обращается доверенный субъект/объект (их взаимодействие будет разрешено по защищенному сеансовым ключом каналу). В случае если к корпоративному субъекту/объекту обращается некий внешний по отношению к VPN субъект/объект, не будет осуществлена взаимная идентификация субъектов/объектов взаимодействие будет запрещено. В случае если к доверенному субъекту/объекту обращается некий внешний по отношению к VPN субъект/объект, не будет осуществлена взаимная идентификация субъектов/объектов - взаимодействие будет разрешено по открытому каналу связи. То же произойдет и в случае, если доверенный субъект/объект обращается к некому внешнему по отношению к VPN субъекту/объекту.

Третий уровень - уровень разграничения доступа к корпоративным ресурсам в составе VPN. К корпоративным ресурсам VPN имеют доступ корпоративные и доверенные субъекты/объекты (доступ к ним осуществляется по защищенным сеансовыми ключами каналам связи), каждый из которых идентифицируется своим ID. Реализация разграничений доступа состоит в возможности задания администратором безопасности (разграничительная политика реализуется с сервера VPN) разграничений (разрешений или запретов) по взаимодействию корпоративных и доверенных субъектов/объектов между собою - задается какой ID с каким ID может (либо не может) взаимодействовать. При задании разграничительной политики доступа к корпоративным ресурсам на сервере VPN, после успешной идентификации субъекта/объекта на сервере, с сервера ему будет передана таблица сеансовых ключей шифрования (и идентификаторов субъектов/объектов) только тех субъектов/объектов, с которыми разрешено взаимодействие идентифицированному субъекту/объекту в рамках реализации заданной разграничительной политики доступа к ресурсам VPN.

Идентифицировавшийся субъект/объект сможет взаимодействовать только с теми субъектами/объектами VPN, для взаимодействия с которыми им будут получены с сервера VPN сеансовые ключи шифрования.

Таким образом, для внедрения данной системы в ОАО «ПЭМЗ» «Молот» необходимо установить сервер VPN, серверную часть системы, а также клиентские части.

Итак, для рассматриваемой локальной вычислительной сети система безопасности будет состоять из следующих элементов:

- разграничение доступа к ресурсам (парольное, служба AD);

- разграничение доступа к ресурсам с помощью e-Toking (в составе КСЗИ «Панцирь»);

- размещение внутренних сегментов сети в демилитаризованной зоне;

- использование брандмауэров;

- использование системы резервного копирования и источников бесперебойного питания;

- использование антивирусного программного обеспечения;

- шифрование внутрисетевого трафика (КСЗИ (Панцирь»).

Применение данного комплекса мер позволяет надежно обезопасить обрабатываемую в локальной вычислительно сети информацию от атак из сети Интернет и внутренних атак.



4.6 Экономическая часть. Оценка стоимости предлагаемых мер. Расчет затрат

Для создания системы защиты информации в рассматриваемой сети необходимы материальные издержки на:

- закупку программного обеспечения

- закупку персонального компьютера для организации АРМ администратора VPN сервера

Стоимость издержек указана в таблице 20:

Таблица 20. Материальные издержки

№ пп	Наименование	Стоимость за единицу, руб	Потребное количество	Итого, руб
1	Клиентская часть СЗИ “Панцирь”	3 000	49	147 000
2	Серверная часть СЗИ «Панцирь» (до 200 защищаемых ПК)	110 000	1	110 000
3.	ПК для АРМ администр атора 060MHz Intel Celeron D S775 ОЗУ 512 Mb DDR- II, 160 Gb	10 800	1	10 800
4	Монитор ViewSonic VE920m	7 000	1	7 000
5	ИБП PowerMan BackPro 1000 Plus	2 600	1	2 600
Итого:	277 400



5. ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ

В данной главе разработан календарный план проведения научно-исследовательских работ по разработке АС для комплексной автоматизации деятельности службы безопасности приборостроительного предприятия, построена диаграмма Ганта, а также проведены расчеты по трудозатратам. Рассмотрены основные статьи затрат, проведен расчет стоимости работ.

5.1 Расчет стоимости проведения НИР

Техническое задание на организационно-экономическое обоснование приведено в таблице 21.

Таблица 21- Техническое задание

№ п/п	Наименование	Значение
1.	Срок окончания проекта	31мая 2015 г.
2.	Кол-во листов проекта	90
3.	Норматив рентабельности	10%
4.	Тип конечного носителя разрабатываемого проекта	Электронный информационный носитель (компакт-диск), к которому прилагается описание проекта в виде отчета объемом 81 страниц формата А4
5.	Планируемое число копий	Тиражирование данной продукции не планируется

5.2 Расчет стоимости исследовательских работ

Стоимость, как экономическая категория, определяется по формуле:

Ст = С + Пр

где Ст - стоимость проектных работ,

С - себестоимость проводимых работ,

Пр - прибыль.

В данной формуле оба слагаемых являются неизвестными. Для устранения этого противоречия выразим одно неизвестное через другое:

Пр = R*C,

где R - желаемый для исполнителя уровень рентабельности, зададимся им

(R = 10%), С - себестоимость, выраженная через смету затрат.

Тогда:

Ст = С( 1 + R)

Поэтому для расчета стоимости работ достаточно спрогнозировать себестоимость и подставить ее значение в формулу.

5.3 Прогнозирование себестоимости исследовательских работ

Для определения фактических или нормативных затрат на выполнение работы необходимо рассчитать каждую стадию сметы затрат.

С = Сзо + Сзд + Ссс + Смз + Спр+Ссо

где С_зо - основная заработная плата;

С_зд - дополнительная заработная плата;

С_сс - отчисления на социальные нужды;С_мз - материальные затраты;

С_пр - прочие затраты;

С_со - амортизационные отчисления.

Но для целей прогнозирования целесообразнее воспользоваться статистикой затрат на аналогичные работы, например, воспользуемся данными таблице 22.

Таблица 22 - Структура затрат на разработку элементов системы

№ п/п	Наименование статьи затрат	Процентное соотношение
1	Материальные	10
2	Заработная плата (основная и дополнительна)	45
3	Отчисления на социальные нужды
4	Амортизация оборудования	30
5	Прочие затраты	15
Итого:	100

Практика использования таких данных и экономическая целесообразность показывает, что наилучший результат по точности прогноза получается, если в качестве искомой величины взять расчет затрат на оплату труда и уже через это значение определить всю сумму сметы.

5.4 Расчет затрат на оплату труда исполнителей

В заработную плату включается основная и дополнительная заработная плата всех исполнителей, непосредственно занятых разработкой, с учетом их должностного оклада и времени участия в разработке.

Требуемая квалификация исполнителя определяется исходя из сложности работ при выполнении стадии проектирования модели и устанавливается по ТКС.

Расчет суммы основной заработной платы ведется по формуле:

S_осн = У_iR_iраб•T_раб • N_iра

где Ri раб - среднедневный фонд оплаты труда (ФОТ) рабочих i-й специальности,

T раб - количество рабочих дней,

Ni раб - количество рабочих i-й специальности.

Время проведения работ и количество работников определяются через планирование трудоемкости. Оплата труда определяется разрядами работников. Требуемая квалификация исполнителя определяется на основе сложности работ при выполнении стадии проектирования модели и устанавливается по ТКС.

Также для определения основной заработной платы требуются следующие параметры: количество рабочих дней (часов) в месяце расчетного года, которые устанавливаются законодательно; трудоемкость и продолжительность отдельных этапов и научно-исследовательской работы в целом; а также количество исполнителей на каждом из этапов исследования.

Дополнительная заработная плата определяется формулой:

S_доп=S_осн а_д

где а_д - коэффициент отчислений на дополнительную заработную плату.

5.5 Определение трудоемкости работ

Для расчета величины заработной платы необходимо определить количество и квалификацию исполнителей, а также длительность проведения работ. Для этих целей производится планирование трудоемкости исследовательских работ.

За основу возьмем примерное соотношение трудоемкости этапов работ, характерное для данного вида работ (смотри табл. 23).

Таблица 23- Трудоемкости этапов проектных работ

№ п/п	Содержание этапа	Трудоёмкость, %
1.	Техническое задание	10
2.	Теоретические исследования	10
3.	Экспериментальные исследования	25
4.	Анализ результатов и написание отчета	20
5.	Внедрение	35
Итого:	100

Определим трудоемкость стадии рабочего проекта. Расчет трудоемкости проведем по нормативно-статистическому методу. За единицу нормирования принимается разработка одного листа технической документации формата А4.

( 20% от общей трудоемкости)

где трудоемкость рабочего проекта, чел/час;

- число ожидаемых листов, шт., = 90; норма времени на разработку одного листа формата А4, при I группе сложности, чел./час, =2 чел/час; поправочный коэффициент по группе новизны =1.14; поправочный коэффициент учитывающий объем входной информации =1.10; поправочный коэффициент учитывающий вид обработки информации (режима обработки информации) =1.75; поправочный коэффициент по степени применения типовых проектных решений, пакетов прикладных программ, типовых проектов, типовых программ и стандартных модулей =0.70; коэффициент учета уровня алгоритмического языка программирования (типа PL\L) =1.00; - коэффициент учета сложности контроля информации =1.07.

=90*2*1.14*1.10*1.75*0.70*1.00*1.07=296чел/час

Тогда общая трудоемкость проектных работ

Т_ПР = 296*5= 1479чел/час

Трудоемкость этапов, рассчитанная в соответствии с определенной общей трудоемкостью работ, приведена в таблице 24.

Таблица 24 - Трудоемкости этапов работ по выполнению НИР

№ п/п	Содержание этапа	Трудоёмкость, %	Трудоёмкость, чел/час
1	Техническое задание	10	147,93
2	Теоретические исследования	10	147,93
3	Эксперименталь- ные исследования	25	369,83
4	Анализ результатов и написание отчета	20	295,86
5	Внедрение	35	517,76
Итого:	100	1479,31

5.6 Определение численности и состава исполнителей

При выполнении разработки требуемое количество исполнителей для выполнения этапа в заданный срок определим по формуле:

где t_i - трудоемкость этапа, чел/час;- коэффициент дополнительных работ, учитывающий затраты времени на работы, не предусмотренные нормативами, = 1,15; - коэффициент, учитывающий выполнение норм, =1,15; - фонд рабочего времени исполнителя за период, определяемый сроками.

Рассчитывается из учета общего числа дней в году, числа выходных и праздничных дней:

==165 ч/мес,

где, t p - продолжительность рабочего дня, Dk - общее число дней в году, Db - число выходных дней в году, Dп - число праздничных дней в году, M - число месяцев в году. Исследовательская работа по плану длится 3,5 месяца, поэтому общий фонд рабочего времени Fп =165•3,5=578 часов.

Таким образом, при равномерном распределении работ для выполнения проекта в срок требуется 3 человека. Поэтому необходимо распределить этапы работ для целого числа исполнителей с таким расчётом, чтобы уложиться в требуемые сроки.

Длительность стадий исследовательских работ определяется по формуле:

где- принимаемое кол-во исполнителей на i-й стадии;

- кол-во часов в рабочем дне (8 часов); p = 0.2 - доля дополнительных работ;

- трудоемкость этапа;

- продолжительность стадии, раб. дни.

Для примера рассчитаем продолжительность второго этапа:

=, то есть длительность второго этапа проектных работ составит 12 рабочий дней.

Так как техническое задание сформулировано заказчиком, поэтому не будем учитывать трудоемкость на выполнение 1 этапа.

В соответствии с Единым Тарифно-Квалификационным справочником назначим квалификацию работников, выполняющих этапы проектных работ:

- инженер по защите информации (1 категории);

- специалист по защите информации (1 категории).

Планирование выполнения научно-исследовательских работ (в виде ленточного графика выполнения работ квалифицированными работниками) представлено в таблице 25.

Таблица 25 - Планирование работ по выполнению НИР

№ этапа	Содержание работ	Продолжительность, раб.дней	Исполнители	Календарные дни
			Категория	Число	12.02-20.02	21.02-02.03	03.03-12.03	13.03-22.03	23.03-01.04	02.04-11.04	12.04-21.04	22.04-01.05	02.05-11.05	12.05-21.05	22.05-31.05
					Количество рабочих дней
					7	5	7	6	8	7	7	7	4	8	6
2	Теоретические исследования	12	Ведущий инженер по защите информации I категории. Специалист по защите информации I категории.	2	7	5
3	Экспериментальные исследования	19	Ведущий инженер по защите информации I категории. Инженер по защите информации I категории. Специалист по защите информации I категории.	3			7	6	6
4	Анализ результатов и написание отчета	15	Ведущий Инженер по защите информации I категории. Инженер по защите информации I категории. Специалист по защите информации I категории.	3					2	7	6
5	Внедрение	26	Ведущий инженер по защите информации I категории. Инженер по защите информации I категории. Специалист по защите информации I категории.	3							1	7	4	8	6

Таким образом, при назначенном числе исполнителей на каждый этап, для завершения разработки модели в установленный срок работу необходимо начинать не позднее 12.02.15 г.

5.7 Расчет затрат на оплату труда

К основному фонду оплаты труда при выполнении проектных работ относится фонд оплаты труда (ФОТ) научных, инженерных и технических работников, рабочих научно-исследовательских и научно-технических отделов, принимающих непосредственное участие в разработке элементов системы защиты.

МРОТ устанавливается соответствующим постановлением Правительства РФ. Федеральный закон № 408-ФЗ от 01.12.14 г. «Статья 1. Установить минимальный размер оплаты труда с 1 января 2015 года в сумме рублей в месяц».

С учетом принятого в организации тарифного коэффициента на работы (К = 3,36), размер оплаты труда ведущего инженера по защите информации - I категории составляет:

Определяем ФОТ работников за выполнение каждой стадии разработки:

,

где - среднедневной ФОТ рабочих i-й специальности, - количество рабочих дней, - количество рабочих i-й специальности.

где оклад исполнителя за месяц; среднемесячный фонд рабочего времени за директивно установленный срок, F=18,25 дней; з/п исполнителя за день.

Рассчитанные значения заработной платы работников на каждой стадии представлены в таблице 26.

Таблица 26 - Заработная плата работников по стадиям проектных работ

Этап	Исполнители (по этапам)	Дневная з/п, руб.	Продолжительность работ, дней	С, руб.
2	Ведущий инженер по защите информации I категории Специалист по защите информации I категории	1098,21 990,35	12	25062,72
3	Ведущий инженер по защите информации I категории Инженер по защите информации I категории Специалист по защите информации I категории	1098,21 (3,36) 1026,30 (3.14) 990,35 (3.03)	19	59182,34
4	Ведущий инженер по защите информации I категории Инженер по защите информации I категории Специалист по защите информации I категории	1098,21 1026,30 990,35	15	46722,9
5	Ведущий инженер по защите информации I категории Инженер по защите информации I категории Специалист по защите информации I категории	1098,21 1026,30 990,35	26	80986,36
Всего (руб.):	211954,32

Дополнительный фонд оплаты труда научных работников учитывает расходы на очередные отпуска, выплаты за выслугу лет и т.д. Принимаем дополнительный фонд оплаты труда равным 25 %от .

Дополнительный ФОТ S_доп = S_осн*0.25 = 52 988,58 руб.

Таким образом, затраты на оплату труда составят S_доп + S_осн = 264942,9 руб.

Отчисления внебюджетные фонды формируются относительно общего фонда начисленной заработной платы в соответствии со ст. 241 Налогового кодекса РФ и Федеральными законами №125-ФЗ и №207-ФЗ состоят из компонентов, приведенных в таблице 27.

Таблица 27- Отчисления во внебюджетные фонды

№ п/п	Вид отчисления	Доля, %	Руб.
1	Единый социальный налог, из них:	30,0%	79482,87
2	· Пенсионный фонд	22,0%
3	· Фонд социального страхования	2,9%
4	· В Федеральный фонд обязательного медицинского страхования	5,1%
5	Обязательное страхование от несчастных случаев	1,5%	3974,14

Итого отчисления во внебюджетные фонды составляют

.

руб.

Исходя из таблицы 3.7.2, рассчитаем себестоимость, выраженную через смету затрат: руб.

Теперь определим итоговую смету затрат на проведение проектных работ. Полученные значения статей затрат сведем в итоговую таблицу 28.

Таблица 28 - Смета затрат на разработку модели

№ п/п	Наименование статьи затрат	Руб.
1	Материальные	77422,20
2	Заработная плата (основная и дополнительна)	348399,91
3	Отчисления на социальные нужды
4	Амортизация оборудования	232266,59
5	Прочие затраты	116133,30
Итого:	774222

Рассчитаем стоимость работ по формуле

Ст = С( 1 + R) = 774 22*(1 + 0.1) = 851 644,2 руб.

Общий объем требуемых затрат составляет 851 644,2 рублей.



5.7 Определение требуемого объема инвестиций

Инвестиции требуются на реализацию следующих этапов жизненного цикла продукта:

1. научно-исследовательская работа (разработка);

2. внедрение в производство;

3. производство;

4. модернизация;

5. снятие с производства.

В случае проведения СИ третий и пятый этапы исключается, а модернизация представляет собой дальнейшие научно-исследовательские работы.

Доли от общего объема инвестиций для каждого этапа и величина этих инвестиций сведены в таблицу 29.

Таблица 29 - Доля объема инвестиций

№	Этап	Доля инвестиций %	Объем инвестиции, руб
1	Научно-исследовательская работа (разработка)	40	851 644,2
2	Внедрение	60	1302466,3
Итого:	100	2154110,5

Общий объем требуемых инвестиций составляет 2154 110,5 рублей.

На рисунке 3.8.1 построен график окупаемости инвестиций. Для его построения использовалась формула расчета чистого дисконтированного дохода:

где CFi - величина денежного потока для i-го периода, D - ставка дисконтирования (10%).

Расчет произведен для прибыли и издержек, которые указаны на графике на рисунке 6.

Рисунок 6 - График окупаемости инвестиций

Таким образом, окупаемость инвестиций, вложенных в проект, произойдет через 5лет.

5.9 Выводы

В рамках организационно-экономической части был спланирован календарный график проведения научно-исследовательских работ по разработке АС для комплексной автоматизации деятельности службы безопасности приборостроительного предприятия, а также были проведены расчеты по трудозатратам.

Были исследованы и рассчитаны следующие статьи затрат: материальные затраты, основная заработная плата исполнителей, дополнительная заработная плата исполнителей, отчисления на социальное страхование, амортизационные отчисления, накладные расходы.

В результате расчетов было получено общее время выполнения проекта, которое составило 72 дня. Получены данные по суммарным затратам на выполнение НИР, которые составили 851 644,2 руб. В результате расчетов был определен объем инвестиций, который составил 2 154 110,5 руб. Согласно графику окупаемости инвестиций, они окупятся в течение 5 лет.



6. ОХРАНА ТРУДА И ЭКОЛОГИЯ

6.1 Организация рабочего места

Рабочее помещение имеет следующие характеристики:

- Ширина: 5 м; ?

- Длина: 7 м; ?

- Высота: 3,5 м; ?

Рабочеи? поверхностью являются 4 стола высотои? hстола = 0.85 м. Стол выполнен из массива ясеня и покрыт темным лаком, коэффициент ?отражения = 30%. ?Согласно требованиям СН 181-70. для производственных помещении? с люминесцентным освещением, стены в помещении покрашены кобальтом синим с насыщенностью краски M = 2,5 %. Коэффициент отражения таких ?стен составляет ? 50%.?Потолок покрыт побелкои?, коэффициент отражения которои? = 70% .

Схема помещения, в котором проводилась работа, приведена на рисунке 7.

Рисунок 7 - Схема помещения отдела планирован

Площадь, приходящаяся на одного человека, рассчитывается следующим образом:

Данное значение соответствует требованиям СанПин 2.2.2/2.4.1340-03, по которым площадь на одно рабочее место пользователей ПЭВМ с видеодисплейными терминалами на базе плоских дискретных экранов составляет .

На каждом рабочем месте установлено ПЭВМ. Экран каждого видеомонитора находится на расстоянии 600 мм от глаз пользователя. Клавиатура ПЭВМ располагается в 0,1 м от края стола, что позволяет запястьям рук опираться на стол.

Предусмотрено использование современных мониторов, имеющих достаточно широкий набор регулируемых параметров. В частности, для удобного считывания информации реализована возможность настройки положения монитора по горизонтали и вертикали. Мониторы оснащены специальными устройствами и средствами настройки ширины, высоты, яркости, контраста и разрешения изображения. Кроме того, в современных мониторах зерно изображения имеет размер в пределах 0,27 мм, что обеспечивает высокую четкость и непрерывность изображения. Наконец, на поверхность дисплея нанесено матовое покрытие, чтобы избавиться от солнечных бликов.

Каждое рабочее место оборудовано подъемно-поворотным креслом, регулируемым по высоте и углам наклона сиденья и спинки, а также расстоянию спинки от переднего края сиденья, при этом регулировка каждого параметра независима, легко осуществляемая и имеет надежную фиксацию. Поверхность сиденья, спинки и других элементов кресла полумягкая, с нескользящим, слабо электризующимся и воздухопроницаемым покрытием, обеспечивающим легкую очистку от загрязнений.

6.2 Анализ опасных (вредных) факторов при работе с ПО и мероприятия по их устранению

Работа сотрудников на предприятии непосредственно связанна с компьютерным оборудованием, а, соответственно, с дополнительным вредным воздействием целой группы факторов, которые существенно снижают производительность труда.

Основная цель улучшения условий труда - достижение социального эффекта, т.е. обеспечение безопасности труда, сохранение жизни и здоровья работающих, сокращение количества несчастных случаев и заболеваний на производстве. Улучшение условий труда дает и экономические результаты: рост прибыли (в связи с повышением производительности труда); сокращение затрат, связанных с компенсациями за работу с вредн...