Автоматизация процессов по защите программного обеспечения от несанкционированного использования для минимизации экономических потерь (на примере" ООО "Корабли и Люди")

При выборе комплекса технических средств для разработки системы, одним из важнейших критерием является выбор операционной системы. Операционная система управляет техническими средствами компьютера, поддерживает запуск и выполнение тех или иных программ и приложений, обеспечивает защиту данных, выполняет различные сервисные функции. Каждая программа пользуется средствами, предоставляемыми операционной системой. Таким образом, выбор операционной системы очень важен, так как он определяет набор программ и формат исполняемых файлов, а также их взаимодействие с операционной системой.

На компьютерах с архитектурой x86, используемых в качестве рабочих мест пользователей, чаще всего применяются следующие операционные системы:

- операционные системы семейства Windows от фирмы Microsoft (Windows 95/98/Me, Windows NT4.0/2000/XP),

- операционные системы Linux/BSD семейства (UNIX подобные) от различных фирм - разработчиков (Red Hat, Debian, Novel, Mandrake soft, Gentoo, Slackware, IBM, Oracle, NetBSD, OpenBSD, FreeBSD) [13].

Для разработки программного приложения автоматизированной обработки выбор той или иной операционной системы не повлияет на функциональность системы по причине того, что при реализации алгоритмов программного приложения не требуется использования каких-либо специфических функций операционной системы. Оба типа операционных систем позволяют разрабатывать программный продукт без потери его функциональности, по причине наличия программных сред (языков программирования) для обоих типов операционных систем [14].

Все из вышеперечисленных операционных систем содержат интерфейсы межсетевого взаимодействия, что позволяет использовать программное приложение в сети, для обмена данными и параллельной работы нескольких копий программного приложения с одними исходными данными. Оба типа операционных систем содержат в себе качественный интерфейс пользователя, что также позволяет производить разработку программного приложения для любой из этих операционных систем.

В качестве операционной среды для разработки и применения программы была выбрана операционная система семейства Windows, в частности операционная система Windows Vista. Этот выбор обусловлен тем, что на сегодняшний день Windows Vista является одной из наиболее распространенных операционных систем. Операционная система Windows Vista обеспечивает стабильность работы, предоставляя пользователям возможность сосредоточиться на выполняемой работе.

Одним из важных требований, предъявляемых к проектированию информационных систем, эксплуатируемых совместно на технологической базе весьма ограниченных возможностей, является большая их однородность, позволяющая обеспечить совместимость, мобильность, переносимость.

Выбор системы управления баз данных (СУБД) представляет собой сложную многопараметрическую задачу и является одним из важных этапов при разработке приложений баз данных. Выбранный программный продукт должен удовлетворять как текущим, так и будущим потребностям предприятия, при этом следует учитывать финансовые затраты на приобретение необходимого оборудования, самой системы, разработку необходимого программного обеспечения на ее основе, а также обучение персонала. Кроме того, необходимо убедиться, что новая СУБД способна принести предприятию реальные выгоды.

Наиболее простой подход при выборе СУБД основан на оценке того, в какой мере существующие системы удовлетворяют основным требованиям создаваемого проекта информационной системы. Более сложным и дорогостоящим вариантом является создание испытательного проекта на основе нескольких СУБД и последующий выбор наиболее подходящего из кандидатов. Но и в этом случае необходимо ограничивать круг возможных систем, опираясь на некие критерии отбора. В данном случае можно выделить несколько групп критериев:

· Моделирование данных

· Особенности архитектуры и функциональные возможности

· Контроль работы системы

· Особенности разработки приложений

· Производительность

· Надежность

· Требования к рабочей среде

· Смешанные критерии

2.4.5 Техническое обоснование проектных решений для технического обеспечения

Техническое обеспечение - это персональный компьютер, оргтехника, линии связи, оборудование сетей. Вид информационной технологии, зависящий от технической оснащенности (ручной, автоматизированный, удаленный) влияет на сбор, обработку и передачу информации.

Комплекс технических средств составляют:

компьютеры;

устройства сбора, накопления, обработки, передачи и вывода информации - жесткие диски, устройства хранения данных, сканеры, принтеры, факсимильные аппараты;

устройства передачи данных и линий связи - модемы;

эксплуатационные материалы - бумага, CD (DVD)- диски и т. п.

При выборе компьютера необходимо руководствоваться рядом характеристик. К таким характеристикам относятся надежность, стоимостные затраты, производительность, простота использования и др. От значения указанных параметров зависит возможность работы с требуемыми программными средствами, а следовательно, и успех создания системы.

2.5 Практическая реализация выбранной системы защиты программного обеспечения от несанкционированного использования для минимизации материального ущерба

2.5.1 Краткая характеристика исходных и результирующих данных

Исходными данными является список объектов (компьютеров, пользователей, устройств, учетных записей электронной почты), подверженных атаке с целью получения несанкционированного доступа.

Для объектов типа «Компьютер» это доменное имя компьютера, IP-адрес. Доступ к объектам данного типа может быть сетевым - по локальной сети, управляемым - через оснастки администрирования Windows.

Объект пользователь содержит имя пользователя и перечень групп безопасности, к которым он принадлежит. Имея данную информацию и доступ к службе каталогов, злоумышленник может создать своего пользователя со специальным доступом к разнообразным данным, доступ к которым не имеет даже администратор.

Объект «Устройство» больше характерен для принтеров и МФУ. Он содержит название устройства и группу безопасности, к которой принадлежит. Угроза от несанкционированного доступа к этому объекту меньше, но при этом ущерб может быть большим, так как злоумышленник получает доступ к копировальным возможностям аппарата.

Результирующими данными является список объектов с обозначенной степенью ущерба и вероятностью применения той или иной угрозы.

2.5.2 Концептуальная модель разрабатываемой системы

Рис.2.6 - Диаграмма IDEF0 задач проектируемой системы

Получив список объектов, специалист по информационной безопасности на его основе формирует список потенциально уязвимых объектов.

Далее, отдел информационных технологий анализирует этот список и создает план модернизации, для чего ему может понадобиться дополнительная информация в виде списка устаревших компьютеров (или такой техники, которая нуждается в модернизации в силу необходимости установки более требовательного ПО). Данная информация предоставляется службой технической поддержки. На выходе процесса создания также создается локальная смета, передаваемая в отдел закупок; по данной смете делаются закупки, неоприходованные комплектующие передаются в ИТ-службу и там осуществляется сам процесс обновления парка компьютерной техники и программного обеспечения.

2.5.3 Логическая и физическая модель системы, диаграммы вариантов использования, последовательности, классов для системы «КАК ЕСТЬ»

Модель противодействия угрозам изображена на рисунке ниже. Центральное место в ней занимает объект «Администратор». Данный объект представлен разнообразными функционалами, которые необходимы для успешного противодействия угрозам. Применительно к различным вариантам программного обеспечения, которое подвержено угрозам, функции устранить угрозу принимают следующий вид:

- запустить обновленную версию компонента;

- модифицировать привилегии пользователя;

- запустить утилиту очистки от угрозы;

Рис.2.5. - Диаграмма вариантов использования системы обеспечения безопасности «Как есть»

Ключевым объектом автоматизации является процесс формирования списка активных угроз для сетевой инфраструктуры. Данный процесс показан в виде диаграммы последовательности на рисунке ниже.

Главный актер этого процесса - Администратор - запускает утилиту анализа объекта, затем подает запрос на степень ущерба от данной угрозы и принимает ответ. Если степень ущерба - высокая, то данная угроза добавляется в список критических угроз и происходит переход на следующий объект, для которого процедура повторяется.

Получившийся список в ручном режиме будет обрабатываться руководителем отдела информационной безопасности и профильными специалистами отдела закупок - эти сущности являются внешними по отношению к разрабатываемой системе.

Таким образом, благодаря построенным диаграммам удалось очертить границы системы.

Рис.2.6. - Диаграмма последовательностей для основного варианта использования «Как есть»

На диаграмме классов (рис.2.7) показаны основные актеры, которые используют систему. Производные от класса Сотрудник классы Администратор и Менеджер отличаются между собой набором имплементируемых функций, что обусловлено особенностями бизнес-процессов и малой интеграцией их электронного варианта в существующую инфраструктуру ИТ.

2.5.4 Логическая и физическая модель системы, диаграммы вариантов использования, последовательности, классов для системы «Как должно быть»

Благодаря автоматизации процессов защиты от угроз несанкционированного доступа должен будет разгружен актер «Администратор». Многие его функции перейдут системе, которая становится внешним актером, что отражено в модели «Как будет» процессов автоматизации обеспечения безопасности.

Рис. 2.7 - Диаграмма классов системы «Как есть»

Рис. 2.8. - Диаграмма вариантов использования «Как будет»

Соответствующие модификации будут внесены в диаграмму последовательности. Благодаря функциональной разгрузке у администратора будет теперь больше времени не на рутинную работу по ручной, точечной установке программного обеспечения, а на анализ вышедших обновлений операционной системы.

Рис. 2.9. - Диаграмма последовательности для системы «Как будет»

Таким образом, центральным элементом становится сервер обновлений операционной системы, что показано на диаграмме классов ниже.

Данный сервер обновлений будет распространять обновления на все клиентские компьютеры, помещенные в определенную группу безопасности Active Directory. Будет существовать возможность отозвать неактуальное обновление а также настройку синхронизации сервера обновлений с компанией - производителем операционной системы.

Данная система имеет место и для клиентских компьютеров с операционными системами Linux

2.5.5 Выбор средств программирования, разработка модулей системы

Программирование ключевых функций сервера обновлений будет осуществляться на скриптовом языке PowerShell.

Рис.2.10 - Диаграмма классов для системы «Как будет»

Этот язык не требует большого списка пререквизитов для установки, компактен и вполне подходит для решения задач в масштабах предприятия ООО «Корабли и люди». Данная технология является встроенной, начиная с операционных систем Windows 7, Windows Server 2008 R2.

Для работы с сервером обновлений предусмотрена разработка следующих модулей:

- запуск по расписанию обновлений (время задается администратором);

- синхронизация обновлений с сервером;

- откат выбранных обновлений;

Код модулей синхронизации обновлений и формирования списка времени последнего обновления компьютеров приведен в приложении.

2.5.6 Тестирование системы на предмет выполнения критерия минимальности материального ущерба

Критерий минимальности материального ущерба зависит от степени защищенности системы после установки обновлений. Были проанализированы возможности злоумышленника до установки обновления безопасности, устраняющего уязвимость CVE-2019-0863 и после установки обновления. Не имея привилегированного доступа к атакуемому компьютеру, злоумышленник не смог повредить важные файлы, права доступа к которым имела учетная запись атакуемого пользователя. Таким образом, удалось предотвратить несанкционированный доступ к системным файлам, позволяющий получить широкие права доступа ко многим ресурсам операционной системы.

несанкционированный информационный безопасность автоматизация

Раздел 3. Обоснование экономической эффективности, оценка экономических показателей эффективности проекта

3.1 Выбор методики расчета экономической эффективности в зависимости от входных технико-экономических условий проекта

Ресурсы являются основой любого производства. Они формируют материальный состав изделий или продуктов и обеспечивают процесс их производства. В свою очередь, продукты отвечают потребностям общества. Поэтому благосостояние общества зависит от того, как используются физические ресурсы. Рациональное и разумное использование ресурсов является настоящей проблемой для любой компании в условиях перехода от экстенсивного к интенсивному экономическому управлению. Экономическая эффективность предприятия или отдельного продукта зависит от множества факторов, которые включают в себя либо увеличение производственного эффекта, например, рост производства, либо снижение затрат на производственный эффект за счет снижения трудовых затрат и расхода материалов.

Решающим фактором экономической эффективности является разработка и внедрение новых технологий и технологий, разработанных с учетом современных требований и обеспечивающих выбор между альтернативами процесса его создания. Одним из важных требований к методам и технологиям является экономически эффективное использование ресурсов.

В первую очередь существуют следующие ресурсы:

* материал (как природные, так и искусственные средства производства и потребления);

* труд (сочетание физических и интеллектуальных способностей, которые используются в производстве);

* финансовый (для инвестиций);

* временные ресурсы (затраченные на единицу продукции) [1].

Переход к ресурсосберегающим технологиям невозможен без передовых научных исследований.

Методика совокупной стоимости владения (ССВ) была изначально предложена аналитической компанией «Gartner Group» в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика «Gartner Group» позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д.

Данная методика может быть использована для доказательства экономической эффективности существующих систем защиты информации. Она позволяет руководителям служб информационной безопасности обосновывать бюджет на ИБ, а также доказывать эффективность работы сотрудников службы ИБ. Поскольку оценка экономической эффективности корпоративной системы защиты информации становится "измеримой", появляется возможность оперативно решать задачи контроля и коррекции показателей экономической эффективности и, в частности, показателя ССВ. Таким образом, показатель ССВ можно использовать как инструмент для оптимизации расходов на обеспечение требуемого уровня защищенности ИС и обоснование бюджета на ИБ. При этом в компании эти работы могут выполняться самостоятельно, либо с привлечением системных интеграторов в области защиты информации или совместно предприятием и интегратором. В целом методика ССВ компании «Gartner Group» позволяет:

1) Получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения системы защиты информации.

2) Сравнить подразделения службы ИБ компании, как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли.

3) Оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ССВ.

Показатель ССВ может использоваться практически на всех основных этапах жизненного цикла системы защиты информации и позволяет "навести порядок" в существующих и планируемых затратах на ИБ. С этой точки зрения показатель ССВ дает возможность объективно и независимо обосновать экономическую целесообразность внедрения и использования конкретных организационных и технических мер и средств защиты информации. Для объективности решения также необходимо дополнительно учитывать состояние внешней и внутренней среды предприятия, например, показатели технологического, кадрового и финансового развития предприятия, так как не всегда наименьший показатель ССВ системы защиты информации может быть оптимален для компании.

Сравнение определенного показателя ССВ с аналогичными показателями ССВ по отрасли (с аналогичными компаниями) и с "лучшими в группе" позволяет объективно и независимо обосновать затраты компании на ИБ. Ведь часто оказывается довольно трудно или даже практически невозможно оценить прямой экономический эффект от затрат на ИБ. Сравнение же "родственных" показателей ССВ позволяет убедиться в том, что проект создания или реорганизации системы защиты информации компании является оптимальным по сравнению с некоторым среднестатистическим проектом в области защиты информации по отрасли. Указанные сравнения можно проводить, используя усредненные показатели ССВ по отрасли, рассчитанные экспертами «Gartner Group» или собственными экспертами компании с помощью методов математической статистики и обработки наблюдений.

Основные положения данной методики:

1) ИБ обеспечивается комплексом мер на всех этапах жизненного цикла ИС, совокупная стоимость владения для системы ИБ в общем случае складывается из стоимости:

- проектных работ.

- закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и AAA (средства аутентификации, авторизации и администрирования).

- затрат на обеспечение физической безопасности.

- обучения персонала.

- управления и поддержки системы (администрирование безопасности).

- аудита ИБ.

- периодической модернизации системы ИБ.

Под показателем ССВ понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение системы защиты информации в течении года. ССВ может рассматриваться как ключевой количественный показатель эффективности организации ИБ в компании, так как позволяет не только оценить совокупные затраты на ИБ, но управлять этими затратами для достижения требуемого уровня защищенности автоматизированной системы регистрации конструкторских документов. При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или "собственностью"), так и трудозатраты, которые учитываются в категориях операций и административного управления.

В свою очередь косвенные затраты отражают влияние автоматизированной системы и подсистемы защиты информации на сотрудников компании посредством таких измеримых показателей как простои и "зависания" системы защиты информации и автоматизированной системы регистрации в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на ИБ, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту "скрытых" затрат компании на ИБ.

Существенно, что ССВ не только отражает "стоимость владения" отдельных элементов и связей корпоративной системы защиты информации в течение их жизненного цикла. "Овладение методикой" ССВ помогает службе ИБ лучше измерять, управлять и снижать затраты и/или улучшать уровни сервиса защиты информации с целью адекватности мер защиты бизнесу предприятия.

Подход к оценке ССВ базируется на результатах аудита структуры и поведения системы защиты информации и автоматизированной системы регистрации конструкторских документов в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей системы. Сбор и анализ статистики по структуре прямых (операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев. Полученные данные оцениваются по ряду критериев с учетом сравнения с аналогичными компаниями по отрасли.

Методика ССВ позволяет оценить и сравнить состояние защищенности системы компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития системы защиты информации, а именно: "сейчас мы тратим на ИБ столько-то, если будем тратить столько-то по конкретным направлениям ИБ, то получим такой-то эффект".

Проведем расчет, используя следующую эмпирическую зависимость ожидаемых потерь (рисков) от i-й угрозы информации:

R_i = 10^{(Si + Vi - 4)}

где: S_i - коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;

V_i - коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта необходимо использовать следующие значения коэффициентов S_i и V_i, приведенные в таблице 3.1.

Таблица 3.1. Значения коэффициентов Si и Vi

Ожидаемая (возможная) частота появления угрозы	Предполагаемое значение Si
Почти никогда	0
1 раз в 1 000 лет	1
1 раз в 100 лет	2
1 раз в 10 лет	3
1 раз в год	4
1 раз в месяц (примерно, 10 раз в год)	5
1-2 раза в неделю (примерно 100 раз в год)	6
3 раза в день (1000 раз в год)	7
Значение возможного ущерба при проявлении угрозы, руб.	Предполагаемое значение Vi
30	0
300	1
3 000	2
30 000	3
300 000	4
3 000 000	5
30 000 000	6
300 000 000	7

Чтобы оценить ущерб от угроз нарушения конфиденциальности данных, применяется метод экспертной оценки, результатом которого становятся данные таблицы 3.2

Таблица 3.2. Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информации

Актив	Угроза	Si	Vi	Величина потерь (руб.)
Сервера	Доступ к аутентификационной информации	4	6	1000000
БД	Несанкционированный доступ (кража)	5	6	10000000
ПО	Несанкционированный доступ (кража)	6	5	10000000
Документы	Кража, повреждения, вставка вредоносных макросов	3	7	1000000
Пользовательские компьютеры	Вход в систему под привилегированным пользователем	4	5	100000
Суммарная величина потерь	22100000

R₁=10^(S1^+V1^-4)=10^(4+6-4)=1000000

R₂=10^(S1^+V1^-4)=10^(5+6-4)=10000000

R₃=10^(S1^+V1^-4)=10^(6+5-4)=10000000

R₄=10^(S1^+V1^-4)=10^(3+7-4)=1000000

R₅=10^(S1^+V1^-4)=10^(4+5-4)=100000

Срок окупаемости (величина, обратная коэффициенту эффективности) - показатель эффективности использования капиталовложений - представляет собой период времени, в течение которого произведенные затраты на программные изделия окупаются полученным эффектом.

3.2 Расчет основных параметров экономической эффективности проекта

Данные о содержании разового ресурса, выделяемого на защиту информации, приведены в таблице ниже. В таблице 3.3 приведена информация для организационных мер защиты, в таблице 3.4 - для инженерно-технических.

Таблица 3.3 Содержание и объем разового ресурса, выделяемого на защиту информации

Организационные мероприятия
№ п\п	Выполняемые действия	Среднечасовая зарплата специалиста (тыс.руб.)	Трудоемкость операции (чел. час)	Ст-ть, всего (тыс.руб.)
1	Инструктирование сотрудников о правилах установки обновления	1,5	1	1,5
2	Разработка инструкции для системного администратора по безопасному развертыванию сервера обновлений	2,0	4	8,0
Стоимость проведения организационных мероприятий, всего	9,5

Трудовые ресурсы распределены следующим образом: часть работы выполняет специалист по ИБ, часть - системный администратор, для первого сотрудника стоимость часа составляет 1500 р., для второго - 2000 р. Ручную установку обновлений выполняет системный администратор. В таблице не включены действия системного администратора при внештатных ситуациях.

Таблица 3.4 Содержание и объем разового ресурса, выделяемого на защиту информации

Мероприятия инженерно-технической защиты
№ п\п	Номенклатура ПиАСИБ, расходных материалов	Стоимость, ед. (тыс. руб)	Кол-во (ед. изм.)	Стоимость, всего (тыс.руб.)
1	Точечное обновление системы	0,05	70	3,5
2	Установка обновления	0,02	70	1,4
3	Синхронизация обновлений с сервером	0,9	2,5	2,25
4	Развертывание контроллера домена Active Directory	2,5	8	20
5	Установка сервера DHCP	1,3	4	5,2
6	Подключение компьютера к домену	0,5	70	3
Стоимость проведения мероприятий инженерно-технической защиты	35,35
Объем разового ресурса, выделяемого на защиту информации	44,85

Также приведены данные по постоянному ресурсу, выделяемому на защиту информации

Таблица 3.5 Содержание и объем постоянного ресурса, выделяемого на защиту информации

Организационные мероприятия
№ п\п	Выполняемые действия	Среднечасовая зарплата специалиста (руб.)	Трудоемкость операции (чел. час)	Ст-ть, всего (тыс.руб.)
1	Разработка памятки пользователя об особенностях работы на ПК с устанавливаемыми обновлениями	1,5	3	4,5
2	Инструктаж системного администратора по настройке сервера обновлений	2,0	1	2,0
	6,5

Таблица 3.6 Содержание и объем постоянного ресурса, выделяемого на защиту информации

Мероприятия инженерно-технической защиты
№ п\п	Номенклатура ПиАСИБ, расходных материалов	Стоимость, ед. (тыс.руб)	Кол-во (ед. изм.)	Ст-ть, всего (тыс.руб.)
1	Сервер Dell PowerEdge R730xd (210-ADBC-41)	291,739	1	291,739
2	Регулярное обновление клиентских компьютеров	3	70	210
Стоимость проведения мероприятий инженерно-технической защиты	501,739
Объем постоянного ресурса, выделяемого на защиту информации	508,239

На основе этих данных можно рассчитать суммарный объем вложений, необходимых для модернизации и защиты системы от несанкционированного доступа:

,

где R_P- объем разового ресурса, R_П - объем постоянного ресурса

Таким образом, суммарный ресурс будет равен:

(тыс.руб.)

После проведения опроса экспертов на основании их экспертной оценки были получены следующие данные про величину потерь от разного типа угроз после введения в эксплуатацию системы защиты:

R₁=10^(S1^+V1^-4)=10^(3+6-4)=100000

R₂=10^(S1^+V1^-4)=10^(4+5-4)=100000

R₃=10^(S1^+V1^-4)=10^(3+5-4)=1000

Таблица 3.7. Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информации

Актив	Угроза	Si	Vi	Величина потерь (руб.)
Сервера	Доступ к аутентификационной информации	3	6	100000
БД	Несанкционированный доступ (кража)	4	5	100000
ПО	Несанкционированный доступ (кража)	3	5	1000
Документы	Кража, повреждения, вставка вредоносных макросов	1	5	100
Пользовательские компьютеры	Вход в систему под привилегированным пользователем	2	4	100
Суммарная величина потерь	201200

R₄=10^(S1^+V1^-4)=10^(1+5-4)=100

R₅=10^(S1^+V1^-4)=10^(2+4-4)=100

Из сравнения таблиц 3.1 и 3.6 видно, что после проведения мероприятий по защите инфраструктуры от угроз объем потерь сократился на два порядка.

Собрав вместе полученную информацию, можно выделить следующие итоговые показатели:

- суммарное значение общего ресурса, разового и постоянного, который был выделен на защиту информации, составило R_У=553,089 тыс.руб.

- среднегодовой объем потерь из-за несанкционированного доступа к программному обеспечению составил R_СР=22100 тыс.руб

- суммарный прогнозируемый объем потерь составил R_ПР=201,2 тыс.руб.

По данной информации можно построить таблицу с оценкой динамики величин потерь за два года:

Таблица 3.7. Оценка динамики величин потерь

	1 кв.	2 кв.	3 кв.	1 год	1 кв.	2 кв.	3 кв.	2 год
До внедрения СЗИ	5525	11050	16575	22100	27625	33150	38675	44200
После внедрения СЗИ	50,3	100,6	150,9	201,2	250,5	300,8	351,1	401,4
Снижение потерь	5474,7	10949,4	16424,1	21898,8	27373,5	32848,2	38322,9	43797,6

Приняв условие, что частота появления угрозы и уровень надежности созданной системы неизменны, определим срок окупаемости системы:

Подставив в данную формулу численные значения, получим:

, что составляет 8 дней и 16 часов.

Также рассчитаем данную величину графически, рис 3.1:

Следовательно, расчет экономической эффективности показал, что внедрение рассмотренной в бакалаврской работе комплексной системы защиты позволит сократить затраты и обеспечивает приемлемый уровень защищенности. Система обладает небольшой ценой внедрения относительно потерь без ее применения (составляет около 2,5% от возможных потерь).

Сокращение числа рисков (в том числе угрозы использования уязвимых версий операционной системы) привело к сокращению величины потерь с 1500 (до переоснащения) до 1000 (после переоснащения) тыс. руб в год.

Срок окупаемости при этом составил 8 дней и 16 часов, что выделяет данную систему по сравнению с другими технологиями.

Рис 3.1 - Динамика потерь

Заключение

Работа над дипломным проектом привела к решению следующих задач работы:

1) Были изучены главные бизнес-процессы предметной области.

2) Проанализированы существующие средства обеспечения информационной безопасности, показаны их достоинства и недостатки.

3) Формализована задача повышения уровня информационной безопасности с целью предотвращению несанкционированного доступа к программам, что в свою очередь ведет к минимизации экономических потерь.

4) Построен список угроз, в котором определена степень ущерба от возможного применения.

5) Запланированы инженерно-технические меры, устраняющие наиболее критичные обозначенные риски и угрозы.

6) Отобраны технологии, которые наиболее полно могут устранить угрозы из списка - обновление клиентских и серверных операционных систем, продуктов Microsoft.

7) Описаны технологии операционной системы, такие, как Active Directory и BitLocker и их сочетания с аппаратными комплексами (смарт-картами, устройствами для считывания смарт-карт).

8) Обосновано усовершенствование инфраструктуры путем введения смарт-карт и сервера обновлений WSUS.

9) Обоснована эффективность проекта по экономическим показателям.

10) Разработаны диаграммы вариантов использования «КАК ЕСТЬ» и «КАК ДОЛЖНО БЫТЬ».

В первом разделе «Аналитическое обозрение методик защиты программного обеспечения» описываются готовые методики, которые применяются на разных стадиях жизненного цикла программного продукта и в разных его модулях. Так, анализируются методы обфускации, запутывающих преобразований, шифрования на лету. Особенно уделяется внимание использованию программных и аппаратных брандмауэров, средств защищенной аутентификации, биометрических устройств.

Во втором разделе «Проектирование комплекса защиты программного обеспечения на примере" ООО "Корабли и Люди")» описывается область деятельности компании, организационная структура, схема распределения функций внутри отделов компании. Для ИТ-инфраструктуры строится модель угроз с акцентом на степень ущерба по каждой из 139 угроз. Производится обзор вспомогательных технологий (Active Directory, BitLocker), которые можно применить для повышения эффективности системы автоматизации процессов обеспечения информационной безопасности. Строятся диаграммы вариантов использования системы в разрезах «КАК ЕСТЬ» и «КАК ДОЛЖНО БЫТЬ». Обоснован переход на сервер обновлений операционной системы WSUS. Разработаны модули на языке PowerShell для выполнения задач предлагаемого сервера обновлений.

В третьем разделе «Обоснование экономической эффективности, оценка экономических показателей эффективности проекта» изложен выбор методики оценки экономической эффективности проекта, обосновано применение метода экспертных оценок при оценивании степени угроз разным компонентам инфраструктуры. Подсчитаны параметры экономической эффективности, аналитическим и графическими методами определен срок окупаемости системы.

В рамках непрерывного совершенствования инфраструктуры, увеличения степени ее защищенности, далее планируется внедрение сервера DHCP, сервиса мониторинга корпоративной сети, автоматизация административных задач путем использования возможностей языка PowerShell, написание технического задания, направленного на усовершенствование возможностей применяемой системы электронного документооборота.

Список использованной литературы

1. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. -- М.: КноРус, 2016. -- 136 c.

2. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. -- Рн/Д: Феникс, 2017. -- 324 c.

3. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. -- Ст. Оскол: ТНТ, 2017. -- 384 c.

4. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. -- М.: ЮНИТИ-ДАНА, 2016. -- 239 c.

5. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт. Монография. Гриф УМЦ «Профессиональный учебник». Гриф НИИ образования и науки. / Л.Л. Ефимова, С.А. Кочерга. -- М.: ЮНИТИ, 2016. -- 239 c.

6. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.1 -- Угрозы, уязвимости, атаки и подходы к защите / С.В. Запечников, Н.Г Милославская. -- М.: ГЛТ, 2017. -- 536 c.

7. Запечников, С.В. Информационная безопасность открытых систем. В 2-х т. Т.2 -- Средства защиты в сетях / С.В. Запечников, Н.Г. Милославская, А.И. Толстой, Д.В. Ушаков. -- М.: ГЛТ, 2018. -- 558 c.

8. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации / А.А. Малюк. -- М.: ГЛТ, 2016. -- 280 c.

9. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. -- М.: Форум, 2016. -- 432 c.

10. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. -- М.: АРТА, 2016. -- 296 c.

11. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. -- М.: МГИУ, 2017. -- 277 c.

12. Чипига, А.Ф. Информационная безопасность автоматизированных систем / А.Ф. Чипига. -- М.: Гелиос АРВ, 2017. -- 336 c.

13. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. -- М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2017. -- 416 c.

14. Шаньгин, В.Ф. Информационная безопасность и защита информации / В.Ф. Шаньгин. -- М.: ДМК, 2017. -- 702 c.

15. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. -- М.: Акад. Проект, 2018. -- 544 c.

16. Адельштайн Т., Любанович Б. Системное администрирование в Linux; Книга по Требованию - М., 2009. - 288 c.

17. Администрирование баз данных Oracle в операционной системе UNIX; СПб: ЦКТиП Газпром - М., 2016. - 300 c.

18. Администрирование баз данных Oracle под Windows NT; СПб: ЦКТиП Газпром - М., 2010. - 300 c.

19. Антипов А. В., Дубровин И. А. Диагностика и ремонт торговой холодильной техники; Academia - М., 2008. - 241 c.

20. Гифт Н. Python в системном администрировании UNIX и Linux; Символ-плюс - М., 2013. - 406 c.

21. Козлов Н.В. Компьютерное делопроизводство и работа с офисной техникой; Наука и техника - М., 2008. - 360 c.

22. Копировальная техника. Ремонт и обслуживание; ДМК - М., 2014. - 184 c.

23. Мюллер, Скотт Модернизация и ремонт персональных компьютеров; Бином - М., 2015. - 886 c.

24. Нортон, Питер; Гудмен, Джон Внутренний мир персональных компьютеров; DiaSoft; Издание 8-е - К., 2010. - 584 c.

25. Собель М. Linux. Администрирование и системное программирование; Питер - М., 2011. - 279 c.

26. Сыромятников С.П. Курс паровозов. Устройство и работа паровозов и техника их ремонта; Книга по Требованию - М., 2012. - 527 c.

27. Фултон, Дж. Модернизация и ремонт персональных компьютеров; АСТ - М., 2010. - 507 c.

28. Хант, К. TCP/IP. Сетевое администрирование; СПб: Символ-Плюс; Издание 3-е - М., 2016. - 816 c.

29. Яремчук С., Матвеев А. Системное администрирование Windows 7 и Windows Server 2008 R2 на 100%; Книга по Требованию - М., 2011. - 384 c.

30. Галатенко, В.А. Основы информационной безопасности / В.А. Галатенко ; под ред. чл.-корр. РАН В.Б. Бетелина. - М. : ИНТУИТ.РУ, 2013.-280 с.

31. Зегжда, Д.П. Основы безопасности информационных систем - М. : Горячая линия - Телеком, 2010. - 452 с.

Приложение

1. Получение списка времени обновления клиентских компьютеров

$wserv = "Sheeps.spb"

#Загрузка необходимых сборок

[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")

$ws = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer($wserv,$False)

function Get-WSUSClientCheckIn {

[cmdletbinding(

DefaultParameterSetName = 'wsus',

ConfirmImpact = 'low'

)]

Param(

[Parameter(

Mandatory = $True,

Position = 0,

ParameterSetName = 'wsus',

ValueFromPipeline = $True)]

[string]$wserv,

[Parameter(

Mandatory = $False,

Position = 1,

ParameterSetName = 'wsus',

ValueFromPipeline = $False)]

[switch]$secure

)

[void][reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")

#Соединение с сервером обновлений

$ws = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer($wserv,$False)

$computers = $ws.GetComputerTargets()

#Обход каждого компьютера для сбора времени последней проверки

ForEach ($computer in $computers) {

New-Object PSObject -Property @{

Computer = $computer.FullDomainName

LastCheckin = $computer.LastReportedStatusTime

}

}

}

2. Синхронизация обновлений

$synchro = $ws.GetSubscription()

$synchro.StartSynchronization()

Размещено на Allbest.ru

...