ОЦЕНКА УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРИМЕРЕ ОРГАНИЗАЦИИ ООО «ОБРАЗЦОВАЯ ТИПОГРАФИЯ» И РАСЧЕТ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
ОЦЕНКА УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРИМЕРЕ ОРГАНИЗАЦИИ ООО «ОБРАЗЦОВАЯ ТИПОГРАФИЯ» И РАСЧЕТ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Научная статья
ORCID: 0000-0002-1825-0023,
Поволжский государственный технологический университет, Йошкар-Ола, Россия
* Корреспондирующий автор (lenchik281287[at]mail.ru)
Аннотация
В статье проведена оценка информационной безопасности (ИБ) на предприятии ООО «Образцовая типография», которая необходима для минимизации ущерба риска направления целостности, конфиденциальности и доступности информации в организации. Рассмотрена классификация угроз информационной безопасности ООО «Образцовая типография» и предложены мероприятия по их устранению, а также использование программно-аппаратных и инженерно-технических средств для защиты информации. Описана экономическая эффективность внедрения средств защиты информации и рассчитана стоимость использования средств защиты информации в ООО «Образцовая типография», которая позволит целесообразно сэкономить организации и тем самым предприятие получит дополнительную выгоду.
Ключевые слова: информационная безопасность, угрозы информационной безопасности, средства защиты информации, уязвимости, комплексная система защиты информации, экономическая эффективность.
ASSESSMENT OF THREATS TO INFORMATION SECURITY ON EXAMPLE OF ORGANIZATION OF EXEMPLARY TYPOGRAPHY LLC AND CALCULATION OF ECONOMIC EFFICIENCY OF INFORMATION PROTECTION MEANS
Research article
Chekulaeva E.N.*
ORCID: 0000-0002-1825-0023,
Volga State Technological University, Yoshkar-Ola, Russia
* Corresponding author (lenchik281287[at]mail.ru)
AbstractThe paper assesses information security (IS) at Exemplary Printing House, required to minimize the damage from the risk of directing the integrity, confidentiality, and availability of information in the organization. The author considers the classification of threats to information security of LLC Exemplary Printing House and proposes measures to eliminate them, as well as the software and hardware and engineering tools to protect information. The economic efficiency of the implementation of information security means is described, and the cost of using information security means at Exemplary Printing House LLC is calculated. It allows us to save the recourses of the organization, and thereby to receive additional benefits for the organization.
Keywords: information security, information security threats, information security tools, vulnerabilities, integrated information security system, economic efficiency.
ВведениеВ связи со стремительным развитием информационных технологий, большое количество организаций занимается обработкой информации ограниченного доступа в рамках своей информационной системы.
В результате высокой конкурентности, возрастет интерес сторонних компаний к информации ограниченного доступа своих конкурентов. Несанкционированный доступ, служит одним из методов для получения сторонними организациями информации ограниченного доступа. Несанкционированный доступ представляет собой противоправное действие, в результате которого злоумышленник получает доступ к защищаемой информации для сторонних лиц.
Теоретической и методологической базой исследования послужили труды авторов, рассмотревшие основу информационной безопасности, какие угрозы влияют на информацию и как ее защитить, таких как: Е.В. Вострецова, С.И. Макаренко, В.Н. Ясенев.
В работах вышеперечисленных авторов, необходимо, учесть недостаточную изученность экономической эффективности применения средств защиты информации. Отсутствие конкретного расчета стоимости на установку СЗИ на предприятии обусловили актуальность выбранной темы, что позволило сформулировать цель и задачи работы.
Целью исследования является оценка угроз информационной безопасности и значимость экономической эффективности средств защиты информации
В соответствии с поставленной целью в статье определены следующие задачи:
- Рассмотреть классификацию угроз информационной безопасности в ООО «Образцовая типография» и предложить меры по их устранению;
- Описать основные средства защиты информации в ООО «Образцовая типография»;
- Провести расчет экономической эффективности внедрения средств защиты в ООО «Образцовая типография».
Угроза информационной безопасности (ИБ) – это совокупность условий и факторов, создающих опасность нарушения информационной безопасности в организации [1].
Классификация угроз в ООО «Образцовая типография»
Для оценки ИБ на предприятии ООО «Образцовая типография» мы рассмотрели следующую классификацию угроз, а именно:
- Угрозы, связанные с нарушением свойства информации
Данный тип угрозы реализуется посредством акустического, оптического и материального каналов утечки информации.
Для устранения данного типа угроз нами было предложено следующее:
- необходимо установить средство контроля и управления доступом. Данное средство позволит организовать пропускной режим, благодаря которому ограничим доступ сотрудникам, не имеющим доступ к защищаемой информации.
- необходимо через определённый промежуток времени проводить мероприятия по повышению информационной грамотности.
- Составлении инструкции по работе с АРМ и серверным оборудованием.
- Нанести на материальные носители, содержащие информацию, составляющую тайну, грифа с указанием обладателя такой информации.
- произвести опломбировку системных блоков АРМ сотрудников и сервера,
Данный тип угрозы характеризуется: отсутствием регламента доступа к АРМ, отсутствием видеонаблюдения, отсутствием средств защиты от НСД.
Для устранения данного типа угроз нами было предложено следующее:
- Внедрить на объект видеонаблюдение, которое будет предназначено для контроля сотрудников, имеющих доступ к информации ограниченного доступа, а также для выявления несанкционированного проникновения в помещение с конфиденциальной информацией.
- Необходимо установить специальное программно-аппаратное средство защиты информации. Для этого необходимо сравнить сертифицированные СЗИ от НСД. Сравнение средств защиты представлено в таблице 1.
Таблица 1 – Сравнение средств защиты от НСД
Критерии сравнения | Secret Net 7 | Dallas Lock8.0–K | Страж NТ 4.0 | СЗИ Аура1.2.4 |
Класс защи-щенности | 5-й класс защищенности СВТ от НСД | 5-й класс защищенности СВТ от НСД | 3-й класс защищенности СВТ от НСД | 5-й класс защищенности СВТ от НСД |
Уровень контроля НДВ | 4-й уровень контроля отсутствия НДВ | 4-й уровень контроля отсутствия НДВ | 2-й уровень контроля отсутствия НДВ | 4-й уровень контроля отсутствия НДВ |
Класс автоматизи-рованных систем | АС до класса 1Б включительно (защита гостайны с грифом «совершенно секретно») | АС до класса 1Б включительно | АС до класса 1Б включительно | Класс 1Г, 1Д |
Совместимость с Windows10 Professional | Совместимо | Совместимо | Совместимо | Совместимо |
Наличие сертификата ФСТЭК (дата окончания) | Действителен до: 07.09.2021 | Действителен до: 16.08.2024 | Действителен до: 20.04.2024 | Действителен до: 26.12.2020 |
Стоимость(руб.) | Совокупная стоимость бессрочных лицензий (15 клиентов без модуля централи-зованного управления): 118 775 руб. (Модули Защита от НСД + Контроль устройств, Базовая техподдержка, Установочный комплект СЗИ) | Совокупная стоимость бессрочных лицензий (15 клиентов без модуля централи-зованного управления): 103500 руб. | Совокупная стоимость бессрочных лицензий (15 клиентов без модуля централи-зованного управления): 103500 руб. | Совокупная стоимость бессрочных лицензий (15 клиентов без модуля централи-зованного управления): 91800 руб. |
Таким образом, на основании данного анализа СЗИ от НСД было выбрано СЗИ "Аура 1.2.4". Данный выбор был связан с низкой стоимостью продукта и удовлетворением функциональными возможностями продукта. СЗИ "Аура 1.2.4" позволяет обеспечить идентификацию и аутентификацию автоматизированных рабочих мест сотрудников, а также разграничить доступ к устройствам и защищаемой информации, путем применения политики доступа.
2.2 Угрозы несанкционированного доступа по каналам связи
У данного вида угрозы выявлены следующие уязвимости (проблемы):
- анализ сетевого трафика;
- сканирование сети;
- выявление паролей;
- отказ в обслуживании.
Для устранения данного типа угроз нами было предложено следующее:
- Первые две проблемы, связанные с анализом сетевого трафика и сканированием сети имеют малую вероятность реализации. Это связано с тем, что в организации ООО «Образцовая типография» установлен антивирус, включающий в себя защиту от данных уязвимостей.
- Проблему, связанную с выявлением паролей можно устранить путем реализации одноразовых паролей. Данный способ является эффективным от подсматривания паролей другими сотрудниками.
- Четвёртая уязвимость может быть ликвидирована путём грамотной настройки управлением доступа. Уязвимость типа отказа в обслуживании могут сделать сеть организации недоступной. Таким образом, во избежание этого необходимо настроить виртуальную внутреннюю сеть, позволяющей ликвидировать выявленную уязвимость.
Основные средства защиты информации в ООО «Образцовая типография»
Рассмотрев классификацию угроз, необходимо при защиты информации приобрести и внедрить следующие программно–аппаратные и инженерно–технические средства, представленные в таблице 2.
Таблица 2 – Средства защиты информации
Наименование СЗИ | Предприятие – поставщик |
СЗИ от НСД«Аура 1.2.4» | ООО «Сети-Телеком» |
Комплект видеонаблюдения «ЭкоЛайн Dome-204», включающий в себя: 1. 4 внутренние AHD видеокамеры 2 Мп(Berger BVD-2036R-MF); 2.Видеорегистратор CTV-HD924A Lite; 3.Блок питания 3 А; 4.Кабель КВК-П-2 2х0,5; 5.Коннекторы BNC под винт; 6.Коннектор питания с клеммной колодкой "мама"; 7.Коннектор с клеммной колодкой "папа" | ООО «Системы видеонаблюдения» |
Средство контроля управления доступом включающее в себя: 1.Считыватель Matrix-II; 2.Автономный контроллер Z-5R; 3.Кнопка выхода Optimus; 4.Электромагнитный замок Optimus EM-180. | ООО «Секьюрити Эксперт» |
В результате обследования системы защиты ООО «Образцовая типография» были выявлены уязвимости, которые подлежат устранению.
Данные проблемы, возможно, устранить с помощью создания комплексной системы защиты информации.
Экономическая эффективность средств защиты информации для ООО «Образцовая типография»
Для этого необходимо произвести расчёт экономической эффективности системы, который ответит на вопрос о целесообразности реализации мер по созданию комплексной системы защиты информации. Стоимость программных и технических средств, представлена в таблице 3. Стоимость услуг по обеспечению защиты представлена в таблице 4.
Таблица 3 – Стоимость программных и технических средств
Наименование | Количество | Цена за шт. (руб.) | Сумма (руб.) |
СЗИ НСД «Аура 1.2.4» | 3 | 6120 | 18360 |
Комплект видеонаблюдения «ЭкоЛайн Dome-204» | 1 | 13880 | 13880 |
Считыватель карт Matrix-II | 1 | 1024 | 1024 |
Карта Optimus EM-marine | 5 | 29 | 145 |
Кнопка выхода Optimus | 1 | 666 | 666 |
Автономный контроллер Z –5R | 1 | 670 | 670 |
Электромагнитный замок Optimus EM –180 | 1 | 2306 | 2306 |
Итого | 37051 |
Таблица 4 – Стоимость услуг по обеспечению защиты
Наименование | Стоимость |
Разработка и описание бизнес-процессов компании с точки зрения ИБ | 10600 |
Разработка организационно-распорядительной документации | 4900 |
Установка и настройка средства защиты от НСД «Аура 1.2.4» | 8500 |
Установка и настройка комплекта видеонаблюдения «ЭкоЛайн Dome-204» | 7800 |
Установка средства контроля управления доступом | 5000 |
Обучение пользователей | 2900 |
Итого | 39700 |
По результатам расчета стоимости создания СЗИ в ООО “Образцовая типография”, и ее обслуживания была произведена оценка эффективности. По данным оценки суммарные затраты на реализацию проекта составляют 76751 рублей. С точки зрения экономической целесообразности позволит сэкономить организации, ликвидировать угрозы и тем самым предприятие получит дополнительную выгоду.
ЗаключениеВ ходе работы были рассмотрены классификация угроз информационной безопасности, которая оказалась необходимой для минимизации ущерба риска направления целостности, конфиденциальности и доступности информации в организации.
Предложены основные средства защиты информации в ООО «Образцовая типография», которые необходимы для защиты их информации. Проведен расчет экономической эффективности внедрения средств защиты в ООО «Образцовая типография». экономической целесообразности позволит сэкономить организации, ликвидировать угрозы и тем самым предприятие получит дополнительную выгоду.
Конфликт интересов Не указан. | Conflict of Interest None declared. |
Список литературы / References
- Щеглов А.Ю. Компьютерная безопасность. Как выбрать средство для борьбы с внутренними угрозами? [Электронный ресурс] / Щеглов А.Ю. [Электронный ресурс] URL: http://www.npp-itb.spb.ru/publications/14.html (дата обращения: 09.09.2020)
- ЗАО «Лаборатория Касперского», Руководство по настройке и использованию программы KasperskyPasswordManager. [Электронный ресурс] URL: https://kaspersky.antivirus.lv/files/26021_kpm5.0_ru.pdf (дата обращения: 09.09.2020)
- Чечуга О.В. Угрозы безопасности информационной системы предприятия / О.В. Чечуга. [Электронный ресурс] URL: https://cyberleninka.ru/article/n/ugrozy-bezopasnosti-informatsionnoy-sistemy-predpriyatiya (дата обращения: 09.09.2020)
- Васильева О.М. Информационная безопасность в организации, [Электронный ресурс] / О.М. Васильева URL: http://nirit.org/wp-content/uploads/2019/03/46-49.pdf (дата обращения: 09.09.2020)
- Личихина А.Б. Модели противодействия угрозам нарушения информационной безопасности при эксплуатации баз данных в защищенных корпоративных информационных системах [Электронный ресурс] / А.Б. Личихина URL: https://clck.ru/RHit3 (дата обращения: 09.09.2020)
- Чекулаева Е.Н. Основные виды и важность факторов угроз информации в информационной и экономической безопасности: сборник статей Международной научно-практической конференции (23 мая 2019 г.) / Е.Н. Чекулаева– Петрозаводск: МЦНП «Новая наука», 2019. – 221 с.: ил. —Коллектив авторов.
- Чекулаева Е.Н. Основные виды и важность факторов угроз информации в информационной и экономической безопасности // Сб. Международного научно-практического конкурса / Е.Н. Чекулаева. - Петрозаводск: МЦНП «Новая наука», 2019.
- Официальный сайт ФСТЭК России [Электронный ресурс]. –URL: www.fstek.ru (дата обращения: 25.08.2020).
Список литературы на английском языке / References in English
- Shcheglov A.Yu. Komp'yuternaya bezopasnost'. Kak vybrat' sredstvo dlya bor'by s vnutrennimi ugrozami? [Computer security. How to choose a means to deal with internal threats?] [Electronic resource] / A.Yu. Shcheglov URL: http://www.npp-itb.spb.ru/publications/14.html (accessed: 25.08.2020). [in Russian]
- CJSC "Kaspersky Lab", Guide for configuring and using the application Kaspersky Password Manager. [Electronic resource] URL: https://kaspersky.antivirus.lv/files/26021_kpm5.0_ru.pdf (accessed: 25.08.2020). [in Russian]
- Chechuga O. V. Ugrozy bezopasnosti informatsionnoy sistemy predpriyatiya [Security threats to the enterprise information system]. [Electronic resource] URL: https://cyberleninka.ru/article/n/ugrozy-bezopasnosti-informatsionnoy-sistemy-predpriyatiya (accessed: 25.08.2020). [in Russian]
- Vasilyeva O.M. Informatsionnaya bezopasnost' v organizatsii [Information security in the organization] [Electronic resource] / Vasilyeva OM. URL: http://nirit.org/wp-content/uploads/2019/03/46-49.pdf (accessed: 25.08.2020). [in Russian]
- Lichikhina A.B. Modeli protivodeystviya ugrozam narusheniya informatsionnoy bezopasnosti pri ekspluatatsii baz dannykh v zashchishchennykh korporativnykh informatsionnykh sistemakh [Models of counteracting threats to infringement of information security during operation of databases in protected corporate information systems] [Electronic resource] / Lichikhina A.B. URL: https://www.dissercat.com/content/modeli-protivodeistviya-ugrozam-narusheniya-informatsionnoi-bezopasnosti-pri-ekspluatatsii-b (accessed: 25.08.2020). [in Russian]
- Chekulaeva E.N. Osnovnyye vidy i vazhnost' faktorov ugroz informatsii v informatsionnoy i ekonomicheskoy bezopasnosti [Main types and importance of information threat factors in information and economic security] // Sbornik statey Mezhdunarodnoy nauchno-prakticheskoy konferentsii [Collection of articles of the International Scientific and Practical Conference] (May 23, 2019) - Petrozavodsk: ICNP "New Science," 2019. – 221 p.: Ill. —The group of authors. [in Russian]
- Chekulaeva E.N. Osnovnyye vidy i vazhnost' faktorov ugroz informatsii v informatsionnoy i ekonomicheskoy bezopasnosti [Main types and importance of information threat factors in information and economic security] // Sb. Mezhdunarodnogo nauchno-prakticheskogo konkursa [Coll. of International scientific and practical competition]. - Petrozavodsk: ICNP "New Science," 2019. [in Russian]
- Official site of FSTEC of Russia [Electronic resource]. – Electron. text. Dan. – URL: www.fstek.ru - (accessed: 25.08.2020). [in Russian]