Защита локальной сети. Часть 3

1 2 3

---

ГЛАВА 4. АНАЛИЗ ЗАТРАТ НА ОРГАНИЗАЦИЮ И ОБСЛУЖИВАНИЕ ЛОКАЛЬНОЙ КОМПЬЮТЕРНОЙ СЕТИ И ЭФФЕКТИВНОСТИ СИСТЕМЫ БЕЗОПАСНОСТИ

Фирма понесет затраты на приобретение недостающего для организации локальной информационной сети оборудования и программного обеспечения, в таблицах 4 и 5 приведен расчет необходимых денежных средств.

Таблица 4

Расчет затрат на приобретение оборудования

Общая стоимость внедрения сети составит 105843 рубля.

Произведем расчет эффективности от внедрения ЛВС:

, где

Сi^э  — основная и дополнительная зарплата с отчислениями на соцстрах (принимается равным 6% от суммы основной и дополнительной зарплаты),

— амортизация, ремонт (3-4% от стоимости ТС),

— затраты на аренду КС, прочие расходы (принимаются в размере 0,7

— 1% от стоимости ТС варианта КТС).

Заработная плата — 40840 руб. * 6% = 2450 руб.

40840 – 2450 = 38390 руб.

Амортизация основных фондов = 12688 руб.

Электроэнергия = 530 руб.

Ремонт = 3167 руб.

Прочие = 1058 руб.

С_э = 58283 руб.

Затраты на приобретение средств ВТ для одного АРМ:

Кивс = К1 + К2 + К3, где

К1 — производственные затраты;

К2 — капитальные вложения;

К3 — остаточная стоимость ликвидированного оборудования.

, где

Ki — затраты на приобретение ЭВМ, АП, Т, помещений, прокладку КС, служебных площадей и т.д.

, где

Ki^b — первоначальная стоимость действующего i — го вида оборудования;

a — годовая норма амортизации (12% от стоимости ТС);

Ti^э — длительность эксплуатации i — го вида оборудования.

К_з = 105843(1-0,12*5) = 42337 руб.

К₂ = 105843 руб.

К_ивс= 105843+42337+20833 = 169013 руб.

Затраты на приобретение средств ВТ для одного АРМ:

, где

Кивс — общие затраты на проектирование и создание ИВС;

Тн — нормативный срок жизненного цикла технического обеспечения (6 -8 лет);

Сэ — текущие ежегодные эксплуатационные расходы;

Сn — текущие ежегодные расходы на развитие программных средств.

R = 5067 руб.

Ежегодный экономический эффект определяется по формуле:

, где

Х — число ИТР и служащих, пользующихся одним АРМ (обычно 2-4);

К — средневзвешенное число смен (1 — 2,5);

С — средние ежегодные затраты на одного сотрудника;

Р — относительная средняя производительность сотрудника, пользующегося АРМом (140 — 350%).

Н = 3458*250/100 = 8645 руб.

Экономические эффект от внедрения одного АРМ

Z = H — R, где

H — ежегодный экономический эффект;

R — приведенные к одному АРМ затраты на приобретение средств ВТ и системы передачи данных и т.д.

Z = 8645 – 5067 = 3578 руб.

Годовая экономия от внедрения ЛВС определяется по формуле:

Э = N * Z, где

N — количество автоматизированных рабочих мест (АРМ);

Z — прямой экономический эффект от внедрения одного АРМ.

Э = 4*3578 = 14312 руб.

 

Срок окупаемости:

169013/14312 = 12 месяцев

Выводы:

• внедрение ЛВС целесообразно;
• срок окупаемости составит 1 год.

На данный момент получены следующие результаты:

• спроектирована, смонтирована и введена в эксплуатацию исследуемая корпоративная сеть;
• намечены мероприятия по организации информационной безопасности.

Планируется получение математической модели универсальной корпоративной сети, оснащенной современными средствами защиты от внешних и внутренних угроз, которая могла бы удовлетворить самым требовательным запросам.

Проектирование сети проходило в следующем порядке:

1) Сделан выбор среды передачи. Проведенные исследования возможных сред передачи (витая пара, оптоволокно, беспроводные технологии) показали, что оптоволокно обладает наилучшими показателями по надежности, скорости и помехозащищенности. В качестве среды передачи был выбран одномодовый оптоволоконный кабель.

2) Сделан выбор топологии сети. Были проанализированы различные топологии (звезда, кольцо, общая шина), и в качестве физической выбрана гибридная топология двойное кольцо, а в качестве логической – топология звезда. Для большей надежности проброшен линк от крайнего узла сети в центральный.

3) Выбрана технология передачи. Технология Gigabit Ethernet отвечает всем требованиям по скорости и надежности передачи. Эта технология является наиболее распространенной и поддерживается оборудованием всех производителей. Но в этом есть и свои недостатки: чем популярнее технология, тем легче злоумышленнику организовать вторжение или нарушить работу сети. Для предотвращения вторжения необходимо правильно подобрать средства защиты периметра сети, а также продумать комплекс мер по защите от внутренних угроз.

4) Выбраны активные компоненты сети. В качестве вендора выбрана фирма Cisco Systems, т.к. они предлагают комплексный подход к организации сетей различной степени сложности.

Для организации подсистемы защиты выбраны следующие основные средства:

1) Средства разграничения доступа. Будут организованы виртуальные локальные сети (VLAN). Кроме того, будут настроены права доступа индивидуально каждому работнику (рисунок 13).

Рисунок 13. Организация виртуальных локальных сетей

2) Установка межсетевых экранов. Firewall (брендмауэр) будет установлен на границе между внутренней сетью и Интернет для противодействия несанкционированному межсетевому доступу.

3) Система обнаружения вторжений Intrusion Detection System, IDS — служит для обнаружения попыток несанкционированного доступа путем фонового сканирования трафика.

4) Защита информация при передаче по каналам связи, которые не контролируются или контролируются лишь частично (например — Интернет). Распространенные способы защиты — криптография, физические средства защиты.

5) Системы идентификации, аутентификации и авторизации.

Идентификация – процедура предоставления субъектом (пользователем, компьютером) своего уникального идентификатора

Аутентификация – процедура подтверждения субъектом предоставленного идентификатора

Авторизация – процедура определения прав доступа субъекта

Способы аутентификации:

• программные;
• парольные;
• аппаратно-программные;
• с предоставлением уникального идентификатора (смарт-карты, token);
• биометрические (отпечатки пальцев, радужная оборочка глаза);

6) организация системы поиска уязвимостей следующими путями:

• выявление уязвимостей путем:
• анализа настроек (пассивный поиск);
• имитацией атак (активный поиск).
• область сканирования:
  • сетевой сканер;
  • системный сканер;
  • сканер уязвимости приложений (СУБД, WEB-сервер).
• результат сканирования:
  • выдача списка уязвимостей;
  • выдача рекомендаций (экспертные системы);
  • устранение уязвимостей в автоматическом/полуавтоматическом режиме.

7) Антивирусная защита. Для защиты сети от всевозможных вредоносных программ, червей и спама наряду с техническими средствами (активное оборудование фирмы Cisco Systems имеет функции обнаружения вредоносного кода) используются стандартные антивирусные программы.

При создании математической модели надежной и безопасной корпоративной сети использована реальная сеть предприятия ООО «АйТиЭл». На ее примере рассмотрены аспекты технической надежности топологии сети, а также аспекты информационной безопасности корпоративной сети предприятия.

Будет выбран комплекс средств по организации средств защиты.

Для самого предприятия ООО «АйТиЭл» данная разработка будет важным шагом по автоматизации процесса производства и по защите конфиденциальной информации от злоумышленников.

Кроме того, данная модель может быть использована для определения степени защищенности любого предприятия, а также для организации подсистемы защиты информации на предприятии.

Задача оценки эффективности контрмер является не менее сложной, чем оценка рисков.

Причина в том, что оценка эффективности комплексной подсистемы безопасности, включающей контрмеры разных уровней (административные, организационные, программно-технические), в конкретной информационной системе – методологически чрезвычайно сложная задача. По этой причине обычно используются упрощенные, качественные оценки эффективности контрмер.

Примером является следующая таблица типичных значений эффективности контрмер, применяемых в методе анализа рисков RiskWatch.

Таблица 6

Ориентировочная эффективность мероприятий в области защиты информации по критерию ROI (Return of Investment – возврат вложений)

Указанные в таблице значения являются ориентировочными оценками эффективности вложений в различные классы мероприятий в области защиты информации.

В ряде случаев используются более сложные таблицы, в которых эффективность зависит от определенных факторов. На основе подобных таблиц делаются качественные оценки эффективности контрмер.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности компании. При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами (например, при определении стоимостных характеристик), так и качественными (например, учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды). Таким образом, анализ и управление информационными рисками позволяет обеспечить экономически оправданную безопасность компании.

 ЗАКЛЮЧЕНИЕ

Анализ и управление информационными рисками позволяет обеспечивать экономически оправданную информационную безопасность в любой отечественной компании. Для этого необходимо сначала определить, какие информационные активы компании нужно защищать, воздействию каких угроз эти активы подвержены, а затем выработать рекомендации по защите данных.

В любой методике управления рисками необходимо идентифицировать риски, как вариант – их составляющие (угрозы и уязвимости). Естественное требование к списку — его полнота. Сложность задачи составления списка и доказательство его полноты зависит от того, какие требования предъявляются к детализации списка. На базовом уровне безопасности, как правило, не предъявляется специальных требований к детализации классов и достаточно использовать какой-либо подходящий в данном случае стандартный список классов рисков. Оценка величины рисков не рассматривается, что приемлемо для отдельных методик базового уровня. Списки классов рисков содержатся в некоторых руководствах, в специализированном ПО анализа рисков. Примером является немецкий стандарт BSI (www.bsi.de, — в нем имеется каталог угроз применительно к различным элементам информационной технологии.

При оценивании рисков рекомендуется рассматривать следующие аспекты:

• шкалы и критерии, по которым можно измерять риски;
• оценка вероятностей событий;
• технологии измерения рисков.

Обеспечение безопасности сети требует постоянной работы и пристального внимания к деталям. Эта работа заключается в предсказании возможных действий злоумышленников, планировании мер защиты и постоянном обучении пользователей. Если же вторжение состоялось, то администратор безопасности должен обнаружить брешь в системе защиты, ее причину и метод вторжения

Формируя политику обеспечения безопасности, администратор прежде всего проводит инвентаризацию ресурсов, защита которых планируется; идентифицирует пользователей, которым требуется доступ к каждому из этих ресурсов, и выясняет наиболее вероятные источники опасности для каждого из этих ресурсов. Имея эту информацию, можно приступать к построению политики обеспечения безопасности, которую пользователи будут обязаны выполнять.

Политика обеспечения безопасности — это не обычные правила, которые и так всем понятны. Она должна быть представлена в форме серьезного печатного документа. А чтобы постоянно напоминать пользователям о важности обеспечения безопасности, можно разослать копии этого документа по всему офису, чтобы эти правила всегда были перед глазами сотрудников.

Хорошая политика обеспечения безопасности включает несколько элементов, в том числе следующие:

• Оценка риска. Что именно мы защищаем и от кого? Нужно идентифицировать ценности, находящиеся в сети, и возможные источники проблем;
• Ответственность. Необходимо указать ответственных за принятие тех или иных мер по обеспечению безопасности, начиная от утверждения новых учетных записей и заканчивая расследованием нарушений;
• Правила использования сетевых ресурсов. В политике должно быть прямо сказано, что пользователи не имеют права употреблять информацию не по назначению, использовать сеть в личных целях, а также намеренно причинять ущерб сети или размещенной в ней информации;
• Юридические аспекты. Необходимо проконсультироваться с юристом и выяснить все вопросы, которые могут иметь отношение к хранящейся или генерируемой в сети информации, и включить эти сведения в документы по обеспечению безопасности;
• Процедуры по восстановлению системы защиты. Следует указать, что должно быть сделано в случае нарушения системы защиты и какие действия будут предприняты против тех, кто стал причиной такого нарушения.

В данной работе были рассмотрены вопросы организации локальных информационных систем в разрезе деятельности коммерческого предприятия.

В частности, были рассмотрены такие важные и интересные вопросы, как удаленный доступ к сети, подключение локальных информационных систем к глобальным сетям типа Internet, технология защиты сетей от несанкционированного использования информации и роль информационных сетей в процессе управления предприятием и повышения эффективности управленческого процесса.

Рассмотренные вопросы представляют большой интерес. На сегодняшний день разработка и внедрение локальных информационных систем является одной из самых интересных и важных задач в области информационных технологий. Все больше возрастает стоимость информации и зависимость предприятий от оперативной и достоверной информации. В связи с этим появляется потребность в использовании новейших технологии передачи информации. Сетевые технологии очень быстро развиваются, в связи с чем они начинают выделяться в отдельную информационную отрасль. Ученные прогнозируют, что ближайшим достижением этой отрасли будет полное вытеснение других средств передачи информации (телевидение, радио, печать, телефон и т.д.). На смену этим «устаревшим» технологиям придет компьютер, он будет подключен к некоему глобальному потоку информации, и из этого потока можно будет получить любую информацию в любом представлении.

Ведь интенсивное использование информационных технологий уже сейчас является сильнейшим аргументом в конкурентной борьбе, развернувшейся на мировом рынке.

В качестве предложения по повышению политики корпоративной безопасности можем предложить следующий образец.

Образец политики корпоративной безопасности

Цель: гарантировать использование по назначению компьютеров и телекоммуникационных ресурсов Компании ее сотрудниками, независимыми подрядчиками и другими пользователями. Все пользователи компьютеров обязаны использовать компьютерные ресурсы квалифицированно, эффективно, придерживаясь норм этики и соблюдая законы.

Следующая политика, ее правила и условия касаются всех пользователей компьютерных и телекоммуникационных ресурсов и служб компании, где бы эти пользователи ни находились. Нарушения этой политики влечет за собой дисциплинарные воздействия, вплоть до увольнения и/или возбуждения уголовного дела.

Данная политика может периодически изменяться и пересматриваться по мере необходимости.

Руководство компании имеет право, но не обязано проверять любой или все аспекты компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение данной политики. Компьютеры и бюджеты предоставляются сотрудникам Компании с целью помочь им более эффективно выполнять свою работу.

Компьютерная и телекоммуникационная системы принадлежат Компании и могут использоваться только в рабочих целях. Сотрудники Компании не должны рассчитывать на конфиденциальность информации, которую они создают, посылают или получают с помощью принадлежащих Компании компьютеров и телекоммуникационных ресурсов.

Пользователям компьютеров следует руководствоваться перечисленными ниже мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя (но не ограничиваются) следующее: хост-компьютеры, серверы файлов, рабочие станции, автономные компьютеры, мобильные компьютеры, программное обеспечение, а также внутренние и внешние сети связи (интернет, коммерческие интерактивные службы и системы электронной почты), к которым прямо или косвенно обращаются компьютерные устройства Компании.

Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, касающиеся интеллектуальной собственности.

Неверные, навязчивые, непристойные, клеветнические, оскорбительные, угрожающие или противозаконные материалы запрещается пересылать по электронной почте или с помощью других средств электронной связи, а также отображать и хранить их на компьютерах Компании. Пользователи, заметившие или получившие подобные материалы, должны сразу сообщить об этом инциденте своему руководителю.

Все, что создано на компьютере, в том числе сообщения электронной почты и другие электронные документы, может быть проанализировано руководством Компании.

Пользователям не разрешается устанавливать на компьютерах и в сети Компании программное обеспечение без разрешения системного администратора.

Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя.

Электронная почта от юриста Компании или представляющего ее адвоката должна содержать в колонтитуле каждой страницы сообщение: «Защищено адвокатским правом/без разрешения не пересылать».

Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов.

Запрещается использование без предварительного письменного разрешения компьютерных и телекоммуникационных ресурсов и служб Компании для передачи или хранения коммерческих либо личных объявлений, ходатайств, рекламных материалов, а также разрушительных программ (вирусов и/или самовоспроизводящегося кода), политических материалов и любой другой информации, на работу с которой у пользователя нет полномочий или предназначенной для личного использования.

Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. Пользователи несут ответственность за все транзакции, которые кто-либо совершит с помощью их пароля.

Возможность входа в другие компьютерные системы через сеть не дает пользователям права на подключение к этим системам и на использование их без специального разрешения операторов этих систем.

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ

1. Абрамов В.А. «Введение в теорию систем детерминиро­ванного, стохастического и нечеткого типа». МИЭТ.- Мос­ква, 2016.
2. Аккорд 1.95. Описание применения. 1143195.4012-003 31, ОКБ САПР.- Москва, 2016.
3. Баутов А. Стандарты и оценка эффективности защиты информации. Доклад на Третьей Всероссийской практической конференции «Стандарты в проектах современных информационных систем».- Москва, 23-24 апреля 2018 г.
4. Баутов А., Экономический взгляд на проблемы информационной безопасности. //Открытые системы.- 2002.- № 2. –с.12-23
5. Валда Хиллей. Секреты Windows NT Server0./ – К.: Диалектика, 2017.
6. Виноградов С.М. и др. Информационное общество: Информационные войны. Информационное управление. Информационная безопасность. Изд. СПбУ, 2016.
7. Вихорев С., А. Ефимов, Практические рекомендации по информационной безопасности. Jet Info, № 10-11, 2016.
8. Вихорев С., Р. Кобцев, Как определить источники угроз.// Открытые системы.- 2018.- № 7-8. –с.9-16
9. Галатенко В.А., Информационная безопасность — основы. Системы управления базами данных, 2016, № 1.
10. Галатенко В.А. Основы информационной безопасности Интернет-университет информационных технологий — ИНТУИТ.ру, 2018
11. Галатенко В.А. Стандарты информационной безопасности Интернет-университет информационных технологий — ИНТУИТ.ру, 2017.
12. Герасименко В.А. Проблемы защиты данных в систе­мах их обработки.// Зарубежная радиоэлектроника.- №12.- 2017

---

1 2 3