Комплексная защита объекта на примере торгово развленкательного комплекса

Извещатели, блокирующие входные двери и неоткрываемые окна помещений, следует включать в разные шлейфы сигнализации, для возможности блокировки окон в дневное время при отключении охранной сигнализации дверей. Извещатели, блокирующие входные двери и открываемые окна допускается включать в один шлейф сигнализации.Вторым рубежом охранной сигнализации защищаются объемы помещений на "проникновение" с помощью объемных извещателей различного принципа действия.В помещениях больших размеров со сложной конфигурацией, требующих применение большого количества извещателей для защиты всего объема, допускается блокировать только локальные зоны (тамбуры между дверьми, коридоры, подходы к ценностям и другие уязвимые места)Третьим рубежом охранной сигнализации в помещениях блокируются отдельные предметы, сейфы, металлические шкафы, в которых сосредоточены ценности.Устанавливаемые в зданиях технические средства охраны должны вписываться в интерьер помещения и по возможности устанавливаться скрыто или маскироваться.В разных рубежах необходимо применять охранные извещатели, работающие на различных физических принципах действия.Для усиления охраны и повышения ее надежности на объектах следует устанавливать дополнительные извещатели - ловушки. Сигналы ловушек выводятся по самостоятельным или, при отсутствии технической возможности, по имеющимся шлейфам охранной сигнализации.В помещениях, где круглосуточно должен находиться персонал, охранной сигнализацией должны оборудоваться отдельные участки периметра помещения, а также сейфы и металлические шкафы для хранения ценностей и документов.Защита персонала и посетителей объектаДля оперативной передачи сообщений на ПЦО и/или в дежурную часть органов внутренних дел о противоправных действиях в отношении персонала или посетителей (например, разбойных нападениях, хулиганских действиях, угрозах) объект должен оборудоваться устройствами тревожной сигнализации (ТС): механическими кнопками, радиокнопками, радиобрелоками, педалями, оптико-электронными извещателями и другими устройствами.Система тревожной сигнализации организуется "без права отключения".Устройства ТС на объекте должны устанавливаться:в хранилищах, кладовых, сейфовых комнатах; в помещениях хранения оружия и боеприпасов; на рабочих местах кассиров; на рабочих местах персонала, производящего операции с наркотическими средствами и психотропными веществами; в кабинетах руководства организации и главного бухгалтера; у центрального входа и запасных выходах в здание; на постах и в помещениях охраны, расположенных в здании, строении, сооружении и на охраняемой территории; в коридорах, у дверей и проемов, через которые производится перемещение ценностей; на охраняемой территории у центрального входа (въезда) и запасных выходах (выездах); в других местах по требованию руководителя (собственника) объекта или по рекомендации сотрудника вневедомственной охраны. Места хранения денежных средств, драгоценных металлов, камней и изделий из них (столы операционно-кассовых работников, металлические шкафы или сейфы, кассовые аппараты, витрины, лотки, торговые прилавки), кроме того, должны быть оборудованы специальными техническими средствами (ловушками), формирующими сигналы тревоги без участия персонала при попытках нарушителя завладеть ценностями. Указанные технические средства должны включаться в шлейфы тревожной сигнализации объекта.При разработке проекта пожарной сигнализации необходимо учитывать требования НПБ 88-2001 – «Нормы и правила проектирования установок пожаротушения и сигнализации».Работа с аппаратным шифратором данныхПриведем описание действий оператора при работе с аппаратным шифратором данных RuToken. Аппаратные шифраторы должны поддерживать несколько уровней ключей шифрования. Обычно реализуется трехуровневая иерархия ключей. Большее количество уровней, не дает заметного улучшения качества защиты, а меньшего может не хватить для ряда ключевых схем. Трехуровневая иерархия предусматривает использование сеансовых или пакетных ключей (1-й уровень), долговременных пользовательских или сетевых ключей (2-й уровень) и главных ключей (3-й уровень). Каждому уровню ключей соответствует ключевая ячейка памяти шифропроцессора. Подразумевается, что шифрование данных выполняется только на ключах первого уровня, остальные предназначены для шифрования самих ключей при построении различных ключевых схем. Трехуровневую схему лучше всего иллюстрирует упрощенный пример процесса шифрования файла (рисунок 2.7). На этапе начальной загрузки в ключевую ячейку заносится главный ключ. Сеансовый ключ генерируется в результате запроса к ДСЧ шифратора на получение случайного числа, которое загружается в ключевую ячейку, соответствующую сеансовому ключу. С его помощью шифруется содержимое файла и создается новый файл, хранящий зашифрованную информацию. При расшифровке файла сначала с помощью долговременного ключа пользователя расшифровывается сеансовый ключ, а затем с его помощью восстанавливается информация. Рисунок 2.7 – Шифрование файлаПреимущества многоуровневой ключевой схемы:снижается нагрузка на долговременный ключ - он используется только для шифрования коротких сеансовых ключей; это усложняет потенциальному злоумышленнику криптоанализ зашифрованной информации с целью получения долговременного ключа. при смене долговременного ключа можно быстро перешифровать файл: достаточно перешифровать сеансовый ключ со старого долговременного на новый. разгружается ключевой носитель - на нем хранится только главный ключ, а все долговременные ключи могут храниться в зашифрованном с помощью главного ключа виде даже на жестком диске ПК.Использование аппаратного шифратора сетевых данныхУстройство SafeNetEthernetEncryptor является высокопроизводительным аппаратным шифратором 2-го уровня (до 10 Гбит/с). Шифратор прозрачен для протоколов более высокого уровня (IP, TCP, UDP, HTTP, HTTPS и т.д.), т.к. в типичной конфигурации на конечной точке каждой защищённой подсети ставится по шифратору, которые затем взаимодействуют друг с другом и передают шифрованные данные через незащищённый Ethernet-канал.При использовании канала второго уровня данные проходят по каналу в «сыром» виде, т.е. в том же виде, в каком они существуют внутри корпоративной сети. С большой вероятностью они минимально фильтруются или не фильтруются вообще, поскольку максимальная прозрачность необходима для функционирования бизнес-приложений, использующихся в корпорациях. Обычно такие приложения передают конфиденциальную или внутреннюю информацию и очень редко имеют адекватные встроенные средства защиты, поскольку были созданы для функционирования в пределах одной организации. Покинув территорию корпорации, данные могут проходить через физически общедоступную инфраструктуру, инфраструктуру провайдера услуг или через третьих лиц, к которым нет доверия(рисунок 2.8). Поэтому максимально критично, чтобы эти данные были защищены.Рисунок 2.8 – Пример работы аппаратного шифратора данныхканального уровняШифрование на втором и третьем уровне применяются в разных ситуациях, диктуемых существующей инфраструктурой. В наиболее распространённом и стандартном сценарии, когда организация арендует Интернет-канал с сервисом третьего уровня (IP, стандартный Интернет-сервис) шифрование проводится на третьем уровне напрямую между конечными машинами, либо между двумя маршрутизаторами по IPsec (если инфраструктура провайдера позволяет). Если арендуется канал с сервисом второго уровня, логично и проще использовать канальное шифрование. В том случае, когда есть возможность выбирать уровень, на котором осуществляется шифрование, следует отдать предпочтение шифрованию на втором уровне. Исследования показывают, что в то время как канальное шифрование практически не влияет на пропускную способность канала связи, шифрование на третьем уровне снижает пропускную способность до 5-40% от максимальной пропускной способности линии [1].В типичной конфигурации SafeNetEthernetEncryptor подключается к одному или нескольким таким же устройствам, находящимся в удалённых офисах организации. Провайдер должен предоставлять услугу транспорта трафика на втором уровне (канальный уровень, Ethernet).Существуют два способа внедрения SEE: линейный (рисунок 2.9) и множественный(рисунок 2.10). При линейном варианте между двумя шифраторами организуется подключение «точка-точка» и конфигурирование МАК-адресов не поддерживается. При множественном подключении не поддерживается шифрование для фрэймов типа multicast и broadcast, при линейном они возможны в некоторых конфигурациях.Рисунок 2.9 Линейный вариант подключения SafeNetEthernetEncryptorРисунок 2.10 Множественный вариант подключения SafeNetEthernetEncryptorВ сети присутствуют два типа узлов - центральный офис и филиалы предприятия. Все узлы объедены магистралью с помощью выделенных каналов. Эта центральная, связующая все объекты компании, магистраль создается на основе технологии MPLS (многопротокольной коммутации на основе меток). 2.3 Внутренний аудит системы безопасностиКак уже отмечалось выше, различают внешний и внутренний аудит. Эти виды аудита имеют как общие, так и специфические цели.Основные цели, общие для внешнего и внутреннего аудита, представлены на рисунке 2.7Рис. 2.7 – Основные цели аудитаПри проведении внутреннего аудита кроме выше указанных 5 задач следует выделить еще 4 дополнительные задачи (рисунок 2.8).Рис. 2.8 – Дополнительные задачи аудитаОчевидно, что в зависимости от вида организации и сферы ее деятельности, могут возникать и другие задачи, требующие своего разрешения при проведении аудита.Следует заметить, что дополнительные задачи, за исключением обучения персонала, по существу аудитом не являются, т.к. участие аудитора в их решении приведут к утрате им независимости и объективности. Однако, на практике аудитор, являясь наиболее квалифицированным специалистом в области обеспечения ИБ в организации, не может оставаться в стороне от решения вопросов ЗИ.Используемые стандартыАудит ИБ является неотъемлемой частью функционирования любой серьезной организации.Если раньше аудит ИБ проводился по правилам, разрабатываемых или в самой организации, или организации, специализирующейся на проведении аудита, то сейчас мировое информационное сообщество пытается установить в этом вопросе единые «правила игры».Некоторое время назад Английский институт стандартов (BSI) при поддержке группы коммерческих организаций (NationalWestminsterBank, Shell, MidlandBank, BritishTelecommunications, Unilever, Marks&Spencer, Logica и др.) приступил к разработке стандарта, получившего впоследствии обозначение BS7799. В процессе разработки стандарта целью было обеспечение государственных и коммерческих предприятий инструментом для построения эффективных систем ИБ с использованием современных методов менеджмента.В 2000 г. МОС (Международная организация по стандартизации) совместно с международной электротехнической комиссией выпустили на основе BS7799 стандарт международного образца ISO/IEC17799. В последних редакциях оба стандарта в содержательной части идентичны.Еще раньше в 1999 г., для анализа механизмов информационной безопасности программно-технических средств был создан стандарт ISO/IEC15408.Для целей бизнеса институт AICPA и Канадский Институт Общественных Бухгалтеров (CICA) разработали документ SysTrust для проведения аудита, который являлся важным дополнением к финансовому аудиту.Последовательность проведения аудита представлена на рисунке 2.9Рис. 2.9 – Последовательность проведения аудитаМожно назвать еще один документ «AICPA/CICA SysTrustPrinciplesandCriteriaForSystemsReliability» - критерии и принципы оценки надежности систем.[12]В качестве еще одного стандарта можно назвать немецкий документ BSI/IT, который дословно переводится как «Руководство по обеспечению безопасности ИТ базового уровня», разработанный Агентством Информационной Безопасности Германии.Существует и ряд ведомственных стандартов, к числу последних можно отнести спецификации ИБ консорциума X/Open «Спецификации сервисов базового уровня ИБ» и ведомственный стандарт NASA «Безопасность информационных технологий. Минимальные требования к базовому уровню защищенности».Инициирование процедуры аудитаУже отмечалось, что инициатива проведения аудита исходит от руководства организации, которая является заинтересованным лицом. Помимо самого аудитора в процессе работ задействуются представители различных отделений организации. В связи с этим, необходима четкая скоординированность действий всех участников аудита. На данном этапе аудита происходит решение проблем, обозначенных на рисунке 2.14.На данном этапе также происходит определение границ обследования, т.е. составляется список подсистем ИС, которые будут использоваться в процессе проведения аудита. Некоторые подсистемы ИС могут быть исключены из процедуры аудита из-за конфиденциальных соображений, другие – из-за того, что они не являются критичными для организации.[5]Рис. 2.10 – Основные проблемы аудитаМожно рекомендовать объем информации для определения границ аудита (рисунок 2.11).Рис. 2.11. – Определение границ аудитаПлан работы аудитора и его границы обсуждается на совещании с участием соответствующих руководителей.Сбор информации аудитаЭтот этап работы является одним из наиболее сложных. Обусловлено это тем, что, как правило, необходимая документация на ИС отсутствует. Кроме того, на этом этапе аудитору приходится взаимодействовать со многими должностными лицами предприятия.Для получения необходимой информации о предприятии и текущем состоянии системы безопасности специально организуются встречи с ответственными лицами компании; изучается техническая и организационно-распорядительная документация; безопасность исследуется с использованием специального программного инструментария.Перечень всей необходимой аудитору информации можно представить в следующем виде:Организационная структура организации и место в ней пользователей и обслуживающего персонала. Аудитора интересует схема организационной структуры пользователей. Также аудитора интересует схема организационной структуры подразделений их обслуживающих.Владельцы информации и ее пользователи, а также поставщик услуг (провайдер).Функционирование и назначение системы безопасностиПодробное представление о структуре информационной системы. Она может пригодиться для уяснения распределения способов информационной безопасности на уровнях функционирования системы безопасности и по его структурным элементам. В первую очередь аудитора должны интересовать вопросы, представленные на рисунке 2.12.Рис. 2.12 – Вопросы, интересующие аудитораВ результате решения этих вопросов у аудитора должна появиться необходимая информация (рисунок 2.12).[14]После сбора необходимой информации можно переходить к следующему этапу работы.Рис. 2.13 – Информация, интересующая аудитораРис. 2.14 – Структура отчета по проведению аудитаАнализ результатов внутреннего аудитаДля анализа данных аудиторы используют различные методы. В зависимости от этих методов, есть несколько подходов для их осуществления. Среди них можно отметить следующие три:Первый подход построен на анализе рисков. Это наиболее сложный подход. При этом подходе аудитором определяется индивидуальный набор требований безопасности для исследуемой безопасности. При этом в наибольшей степени учитываются особенности информационной системы, особенности ее функционирования и, что самое важное, какие угрозы безопасности существуют в данной среде. Следует отметить, что данный подход может использовать лишь аудитор высшей квалификации. При этом качество результата достаточно сильно зависит от используемой методики анализа и управления рисками, а также насколько она применима к данному типу системы. Учитывая важность этого подхода, ниже он будет рассмотрен подробнее.Второй подход является самым практичным и опирается на использование стандартов безопасности. В данном случае аудитор определяет набор требований стандарта, соответствие которым требуется обеспечить для поддержания ИС в нормальном состоянии. Кроме того, должна быть методика оценки данного соответствия. Из-за своей простоты этот метод наиболее распространен при проведении внешнего аудита, т.к. этот метод нересурсоемок, но в то же время позволяет достаточно хорошо оценивать состояние ИС. Результаты аудита при этом целесообразно представлять в табличной форме. Из таблицы сразу будет видно, какие из требований выбранного стандарта в данной ИС не исполнены.Третий подход, являющийся наиболее эффективным, предлагает комбинирование первых двух. Если его использовать, то набор базовых требований по информационной безопасности, которые предъявляются к информационной системе, подчиняется какому-либо стандарту. Остальные (дополнительные) требования, которые учитывают особенности функционирования системы с максимальной точностью, формируются на теории анализа рисков. Главным недостатком второго метода является то, что требования стандарта не всегда могут учитывать специфичность обследуемой информационной системы. Таким образом, рассматриваемый подход проще первого и в то же время лишен недостатков второго метода.Выработка рекомендацийПосле проведения анализов информационной системы аудитор выдает рекомендации, которые зависят от подхода к анализу безопасности, специфичности проверяемой системы, состоянием дел с ИБ, а также со степенью доскональности, используемой при аудите.Рекомендации, которые дает аудитор по окончании проверки, должны быть конкретизированы и обязательно применимыми к обследуемой информационной системе. Они должны нести в себе экономическую выгоду, быть отсортированными по степени значимости и иметь четкую аргументацию. Также следует обратить внимание на то, что проведенные исследования и мероприятия для обеспечения защиты предприятия на организационном уровне практически всегда более приоритетны по сравнению с какими-либо программно-техническими методами защиты.В то же время не стоит ожидать от проведения аудита выдачи конкретного технического проекта подсистемы информационной безопасности, а также детальных предписаний для ввода в эксплуатацию конкретных программных либо технических средств с защитой информации. Для этого необходимо более скрупулезная проработка некоторых вопросов защиты. Но никто не мешает этим активно заниматься внутренним аудиторам.Подготовка отчетных документовОсновным результатом, который должен быть после проведения аудита, является аудиторский отчет. Состав отчета зависит от характера аудита и преследуемых целей. Однако, есть разделы, которые являются обязательными (рисунок 2.15). Рис. 2.15 – Структура отчета по проведению аудита3. Обоснование экономической эффективности проекта3.1 Выбор и обоснование методики расчёта экономической эффективностиПри разработке любого проекта огромную роль играют организация производства и управление производством. Это прослеживается как в научно-исследовательской работе, так и в опытно-конструкторской разработке.В разделе построена сетевая модель выполнения дипломного проекта, определены затраты при разработке системы и при её использовании, а также рассчитаны показатели экономического эффекта.Технико-экономическое обоснованиеПроведя ценовой обзор систем защиты информации, которые пользуются наибольшим спросом на современном рынке, можно сделать вывод, что в среднем цена на такую систему составляет около 3000000 рублей, при этом значительный разброс цен является следствием различия функциональности. Экономическая выгода достигается за счет использования недорогих комплектующих и отказа от использования для управления компьютера, так как со всеми поставленными задачами может вполне справиться и микроконтроллер.Расчёт экономического эффектаПри определении затрат на разработку необходимо учитывать:затраты при разработке и производстве;все виды единовременных и текущих затрат как в производстве, так и в непроизводственной сфере (инфраструктура, объекты социального назначения и др.),нормативную эффективность всех видов производственных ресурсов (живого труда, капитальных вложений и природных ресурсов);динамику затрат в производстве и использовании мероприятий по всем годам расчетного периода;оценку используемых ресурсов, учитывающую общественно необходимые затраты на воспроизводство.Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации:Ri = 10(Si + Vi – 4), где: Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта рекомендуется использовать следующие значения коэффициентов SiиVi, приведенные в таблице 3.1Таблица 3.1Значения коэффициентов SiиViОжидаемая (возможная)частота появления угрозыПредполагаемое значениеSiПочти никогда01 раз в 1 000 лет11 раз в 100 лет21 раз в 10 лет31 раз в год41 раз в месяц (примерно, 10 раз в год)51-2 раза в неделю (примерно 100 раз в год)63 раза в день (1000 раз в год)7Продолжение таблицы 3.1Значение возможного ущербапри проявлении угрозы, руб.Предполагаемое значение Vi30030013 000230 0003300 00043 000 000530 000 0006300 000 0007Таблица 3.2Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь (руб.)Ожидаемый рискRiПроникновение злоумышленника в здание компании1-2 раза в неделю (примерно 100 раз в год) – 6До 300000 (4)1000000Заражение вирусами компьютеров сети3 раза в день (1000 раз в год)– 7До 300 000 (3)1000000Перехват информации хранимой на переносных устройствах хранения1 раз в год – 4До 300 000 (4)10000Поджог 1 раз в 10 лет – 3До 30 000 000(6)100000Суммарная величина потерь33 600 000 2 210 000Статьи затрат на проведение работ приведены в таблице 3.3. Таблица 3.3 Статьи затрат на проведение работНомер статьиНаименование статьи затратОбозначение1Материалы за вычетом отходов2Покупные изделия и полуфабрикаты3Специальное оборудование для научных и экспериментальных работ4Основная заработная плата5Дополнительная заработная плата6Отчисления в социальные фонды7Производственные командировки8Контрагентские расходы9Затраты на использование ЭВМ10Прочие прямые расходы11Прочие накладные расходыЗатраты по статье «Материалы за вычетом отходов» рассчитываются по формуле:,где – коэффициент транспортно-заготовительных расходов, ; – номенклатура используемых материалов, шт.; – расход материала i-го наименования, нат.ед.; – прейскурантная цена натуральной единицы материала i-гонаименования, руб./нат.ед.; – величина реализуемых отходов материала i-го наименования, нат.ед.; – цена единицы отходов материала i-го наименования, руб./нат.ед.Затраты по статье «Материалы за вычетом отходов» приведены в таблице 3.4..Таблица 3.4. – Затраты на материалы для выполнения заказа№ п/пНаименованиеЕд. изм.Цена за ед., руб.Кол-воСумма, руб1Доступ в интернет1002200,002Бумага для принтераупак.1851185,003Тонер для принтерашт.3001300,004Транспортно заготовительные расходы42,6Итого:752,6Итого, затраты по статье «Материалы за вычетом отходов» составили .Затраты по статье «Содержание и объем разового ресурса, выделяемого на защиту информации» приведены в таблице 3.3.Итого, затраты по статье «Покупные изделия и полуфабрикаты» составили .Затраты по статье «Специальное оборудование для научных и экспериментальных работ» отсутствуют, так как используем уже имеющуюся аппаратно-техническую материальную базу предприятия, поэтому Таблица 3.5 – Содержание и объем разового ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.час)Стоимость, всего (руб.)2Заключен договор об охране помещения и территории (действует пропускной режим)2404096003Разработан режим и правила противопожарной безопасности2101633604Положение о конфиденциальном документообороте21081680Стоимость проведения организационных мероприятий, всего14820Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (тыс.руб)Кол-во (ед.измерения)Стоимость, всего (тыс.руб.)1Извещатель пассивный оптико-электронный объёмный Фотон-9345745502Извещатель акустический Стекло-3375633003Извещательмагнитоконтактный ИО 102-54574554Тревожная кнопка Астра-32121012105Приемно-контрольный прибор Сигнал 203500270006Фильтр питания «ФСП-1Ф-7А»5001050007Камера уличная AV3130M180003560008Камера офисная PVCD-0121C56006336009ПО ISS+ “Securos”25000125000Продолжениеталицы 3.510Плата видеозахвата TVISS 1-4 HL480002160011Модуль защиты телефонойлинии"SEL SP-17/D"1310011310012Электромагнитный замок7805390013Оповещательсветовой Молния300390014Оповещательречевой, звуковой Флейта250375015SafeNetEthernetEncryptor27000410800016eToken540603240017ESET EndpointSecurity12000560000Стоимость проведения мероприятий инженерно-технической защиты355815Организационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел.час)Стоимость, всего (тыс.руб.)1Физическая охрана помещений120210252002Пропускной режим12017020400Стоимость проведения организационных мероприятий, всего45600В статью «Основная заработная плата» включается прямая заработная плата (ПЗП) инженерно-технических работников, непосредственно участвующих в выполнении работ по данной теме. В эту статью включаются доплата по поясному коэффициенту (ДПК=15% от ПЗП) и премии (20% от [ПЗП+ДПК]). Величина расходов по заработной плате определяется, исходя из трудоемкости работ согласно сетевому графику и действующей системы окладов. При расчёте фонда заработной платы принимаем, что в месяце 22 рабочих дня, длительность рабочего дня составляет 8 часов.Расчет основной заработной платы приведем в таблице 3.6. Таблица 3.6Затраты по статье «Основная заработная плата»ДолжностьОклад, руб.Трудоёмкость, чел./дн.Однодневная заработная плата, руб.Прямая заработная плата, руб.Уральский коэф., руб.Основная заработная плата, руб.1234567Руководитель проекта21 50030977,329318,24397,740459,3Инженер16 500238750,0178500,026775,0246330,7Итого:286 789В статью «Дополнительная заработная плата» включается оплата сдельщикам и повременщикам очередных и дополнительных отпусков; времени, связанного с выполнением государственных обязанностей, выплаты вознаграждения за выслугу лет и так далее.Дополнительная заработная плата определяется в размере 9% от основной. Таким образом, фонд дополнительной заработной платы составляет:.В статью «Отчисления в социальные фонды» включаются отчисления, величина которых составляет 26% от суммы основной и дополнительной заработной платы:В статью «Производственные командировки» включаются расходы по командировкам научного и производственного персонала, связанного снепосредственным выполнениям заказа. При выполнении данного проекта в командировках нет необходимости, поэтому .В статью «Контрагентские расходы» включается стоимость работ, выполняемых сторонними организациями и предприятиями по заказу данной организации, результаты которых используются при разработке защиты. При выполнении данного проекта контрагентские расходы отсутствуют, поэтому .В статью «Затраты на использование ЭВМ» включаются все расходы связанные с использованием ЭВМ. С учётом того, что стоимость машино-часа составляет 7 рублей, а в день сотрудники работают с ЭВМ по 4 часа. Расчёт стоимости используемого машинного времени приведён в таблице 3.7. Таблица 3.7Затраты по статье «Затраты на использование ЭВМ»Вид работы на ЭВМСтоимость машино-часа, руб.Требуемое машинное время, часовСумма эксплуатационных расходов, руб.1234Использование программных средств72001400Оформление текстовых документов768476Оформление графических документов748336Итого:2212В статью «Прочие прямые расходы» включаются расходы, связанные с размножением технической документации, затраты на услуги транспорта и т.д. Принимаются равными 3% от суммы затрат по предыдущим статьям.В статью «Накладные расходы» включаются затраты на управление и хозяйственное обслуживание, которые не могут быть отнесены прямым счётом на конкретную тему. Накладные расходы равны 5% от суммы затрат по предыдущим статьям., Таблица 3.8Смета затрат на проведение исследованияНомер статьиНаименование статьи затратОбозначение1Материалы за вычетом отходов752,62Покупные изделия и полуфабрикаты3200,003Основная заработная плата2867894Дополнительная заработная плата28812,15Отчисления в социальные фонды81276,36Затраты на использование ЭВМ22127Прочие прямые расходы12001,28Прочие накладные расходы21561,73.2 Расчёт показателей экономической эффективности проектаТакже необходимо оценить динамику величин потерь за период не менее 1 года и внести данные в таблицу 3.9Таблица 3.9 Оценка динамики величин потерь1 кв.2 кв.3 кв.1 год1 кв.2 кв.3 кв.2 годДо внедрения СЗИ10002000300040005000600070008000После внедрения СЗИ100200300400500600700800Снижение потерь9001800270036004500540063007200После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определить срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:Ток = R∑ / (Rср – Rпрогн) == (247815+14820)/(4000 000-400 000) =0.07 год (2 мес),и графическим, как это представлено на рис. 3.1.Рисунок. 3.1 .Динамика потерьЗАКЛЮЧЕНИЕОпыт организаций занимающихся защитой информации показывает, что для достижения удачных решений по организации системы безопасности необходимо сочетание правовых, организационных и технических мер. Это сочетание определяется характером опасности и наличием средств защиты. В общем случае технические меры безопасности составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности.Целью данного дипломного проекта является разработка комплексной системы безопасности на примере торгово-развлекательного комплекса.Задачи, которые были решены:Проанализирован объект защиты;Выявлены угрозы, уязвимости ключевых объектов защиты;Выработаны и внедрены меры защиты от выявленных угроз.В ходе выполнения данного дипломного проекта поставленные задачи были выполнены в полном объеме. В первой части работы был проведен анализ уязвимостей и угроз как физическим, так и информационным активам торгово-развлекательного комплекса. На основе проведенного анализа был составлен перечень аппаратно-технических средств, использование которых позволит обеспечит должный уровень безопасности.Данный перечень включает в себя как аппаратные средства контроля и ограничения доступа(СКУД), так и программные средства ограничения доступа и средства криптозащиты персональных данных.Во второй части проекта на основе разработанного перечня аппаратно-технических средств был произведен выбор конкретных экземпляров, а также а также рассмотрена методика их установки и использования. В заключительной части было проведено экономическое обоснование эффектности данного проекта. Анализ показал, что проект разработки системы безопасности торгово-развлекательного комплекса экономически выгоден, а срок окупаемости составляет несколько месяцев.Таким образом, можно считать, что система безопасностикомплекса, в результате модернизации теперь соответствует предъявленным требованиям для используемой системы.СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫДомарев В.В. Безопасность информационных технологий. Методология создания систем защиты. - М.: ДиаСофт, 2002. - 693 с.Досмухамедов Б.Р. Анализ угроз информации систем электронного документооборота // Компьютерное обеспечение и вычислительная техника. - 2009. - № 6. - С. 140-143.ГОСТ Р ИСО 15489-1-2007 «Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования» - М.: Госстандарт России: Издательство стандартов, 2007.Информационные технологии в обеспечении нового качества высшего образования : сб. науч. статей / Всероссийская научно-практическая конференция «Информационные технологии в обеспечении нового качества высшего образования». - М. :МИСиС, 2010. - 312 с.ИСО 15489-2001 «Информация и документация - Управление документацией».Каменева Е. ЭЦП и электронное согласование проектов документов с использованием ЛВС / Екатерина Каменева // Делопр-во и документооборот на предприятии. -- 2009. -- № 9. -- C. 48-56.Ларин, М.В. Проблемы совершенствования документационного обеспечения управления в современных условиях / М.В. Ларин // Сайт «АКДИ Экономика и жизнь». [Электронный ресурс]. - http://www.akdi.ru.Ловцов, Д.А. Проблемы правового регулирования электронного документооборота / Д.А. Ловцов // Делопроизводитель. - 2008. - № 5.Малофеев С.О применении электронной цифровой подписи в электронном документообороте / С. Малофеев // Секретарское дело. -- 2009. -- № 7. -- C. 24-28.Макарова Н.В. Компьютерное делопроизводство: учеб. курс / Н.В. Макарова, Г.С. Николай-чук, Ю.Ф. Титова. - СПб.: Питер, 2005. - 411 с.Матвиенко А. Основы организации электронного документооборота: Учебное пособие. / А. Матвиенко, М. Цывин. К.: Центр учебной литературы, 2008. - С. 112.Сабанов А. А. Некоторые аспекты защиты электронного документооборота // Connect! Мир связи. - 2010. - № 7. - С. 62-64.Система электронного документооборота// Информационные сегменты веб-сайта. - 2010 [Электронный ресурс]. URL: http://www.evfrat.ru/about/e-docs/SafeNetEthernetEncryptor [Электронный документ] URL: http://www.datasec.ru/products/kanalnoe_shifrovanie/safenet_ethernet_encryptor/ESET EndpointSecurity [Электронный документ] URL: http://www.esetnod32.ru/business/products/СЗИ от НСД SecretNet [Электронный документ] URL: http://www.securitycode.ru/products/secret_net/Интегрированная система охраны «Орион» [Электронный документ] URL: http://bolid.ru/production/orion/Титоренко, Г.А. Информационные системы в экономике : учебник для студентов вузов / Г.А. Титоренко. - М. : ЮНИТИ-ДАНА, 2008. - 463 с.Цывин М.Н. Терминологические проблемы изучения дисциплины "Электронный документооборот" / М.Н. Цывин // Библиотековедение. Документоведение. Информология. - 2010. - № 1. - C. 7 - 11.Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. - М.: Наука и техника, 2003. - 384 с.Янковая В.Ф. Документ на бумажном носителе, электронный документ / В.Ф. Янковая // Справ.секретаря и офис-менеджера. -- 2011. -- № 2. -- C. 39 - 44.