Модернизация системы антивирусной защиты на предприятии «AllurAuto».

МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»  
Факультет электронного обучения_



Направление
09.03.02
Кафедра
ЭО

(код)

(аббревиатура)



ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
      
      
      на тему

    Модернизация системы антивирусной защиты на предприятии «AllurAuto»
    



Обучающийся 

   
_____________

(Ф.И.О. полностью)

подпись
Руководитель 
Алехина Гелена Васильевна
   
_____________

(Ф.И.О. полностью)

подпись
Рецензент 

   
_____________

(Ф.И.О. полностью)

подпись
Консультант 

   
_____________

(Ф.И.О. полностью)

подпись

Декан ФЭО
Гриценко Анатолий Григорьевич
  
_____________

(Ф.И.О. полностью)

подпись


МОСКВА 2015 г.
         

Факультет Электронного обучения
Кафедра __ЭО_______________
Направление _________________________________



ЗАДАНИЕ НА ДИПЛОМНЫЙ ПРОЕКТ

Студент (ка) __________________________________________________________________
					(Фамилия Имя Отчество)

1. Тема дипломного проекта: Модернизация системы антивирусной защиты на предприятии «AllurAuto»

Утверждена приказом университета         № ___________ от «____»_____________ 2015 г.

2. Срок сдачи студентом законченного проекта   «11» января 2016 г.

3.   Исходные данные по дипломному проекту: 
Сведения о компании, Методические указания к дипломному проектированию; ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; 
ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Научная литература, источники интернета.

4. Содержание разделов дипломного проекта 

Введение
I Аналитическая часть
1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения).
      1.1.1. Общая характеристика предметной области.
      1.1.2. Организационно-функциональная структура предприятия.
   1.2. Анализ рисков информационной безопасности
      1.2.1 Идентификация и оценка информационных активов.
      1.2.2. Оценка уязвимостей активов.
      1.2.3. Оценка угроз активам.
      1.2.4. Оценка существующих и планируемых средств защиты.
      1.2.5. Оценка рисков.
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии
1.3.1. Выбор комплекса задач обеспечения информационной безопасности.
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.
   1.4. Выбор защитных мер
      1.4.1. Выбор организационных мер.
      1.4.2. Выбор инженерно-технических мер.
II Проектная часть
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.
2.2.2. Контрольный пример реализации проекта и его описание.
III Обоснование экономической эффективности проекта
3.1 Выбор и обоснование методики расчёта экономической эффективности
3.2 Расчёт показателей экономической эффективности проекта
Заключение
Приложения

5. Основные вопросы, подлежащие разработке
    В главе 1 необходимо представить обоснование актуальности выбора задачи обеспечения информационной безопасности, обосновать и изложить используемую стратегию действий по защите информационных ресурсов, результаты анализа предметной области, а также обоснование и результаты выбора административных и инженерно-технических мер.
    В разделе 1.1. необходимо привести краткое описание компании и таблицу показателей ее деятельности, рисунок организационной структуры и его описание.
    В разделе 1.2 следует провести анализ рисков информационной безопасности, для чего необходимо:
* идентифицировать информационные активы;
* ранжировать их по степени важности;
* определить активы, которые относятся к конфиденциальным;
* оценить уязвимость активов;
* оценить степень угроз выбранным информационным активам;
* дать характеристику действующей системе защиты информации на предприятии на предмет полноты и адекватности реагирования на угрозы информационной безопасности. 
* провести обоснование выбора методики оценки рисков с последующим проведением оценки.
    Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
    В разделе 1.3 необходимо кратко специфицировать комплекс задач, подлежащих дальнейшему решению. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.
    В разделе 1.4 необходимо провести анализ и обоснование выбора:
* стратегии обеспечения информационной безопасности
* организационных и инженерно-технических мер обеспечения информационной безопасности;
* необходимых документов, регламентирующих проведение мероприятий по обеспечению информационной безопасности
    
    В главе 2 необходимо представить проектные решения в соответствии с  выбранным направлением обеспечения информационной безопасности.
    В разделе 2.1 необходимо провести выбор нормативных актов отечественного и международного права, которые будут использоваться в качестве основы для разработки внутренних нормативных документов, а также разработать образцы документов в соответствии с выбранной темой.
    Раздел 2.2 должен содержать описание внедряемых (разрабатываемых) программно-аппаратных средств информационной безопасности, а также описание контрольного примера применения выбранных средств информационной безопасности.
    Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.
    В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, выполненные в соответствии с изложенной методикой. Расчетные данные следует представить в виде таблиц и диаграмм, отражающие сравнение величины ущерба до и после реализации мер по защите информации.
   	Приложение обязательно должно содержать формы внутренних нормативных документов. Кроме того также могут быть приведены:
* схемы или таблицы из основной части дипломной работы;
* результаты выполнения контрольного примера;
* схемы документооборота;
* примеры классификаторов;
* формы первичных и результатных документов;
* распечатки меню,  экранных форм ввода, получаемых отчетов  в разработанной системе;
* а также другие материалы дипломного проекта, кроме копий документов, не имеющих отношения к дипломному проектированию, рекламных сообщений, скриншотов. В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части дипломного проекта. 
   С детальным рассмотрением содержания каждого пункта, а также примерами схем и таблиц необходимо ознакомиться в «Методических указания по дипломному проектированию для направления «Информационные системы», специальности «Информационные системы и технологии», специализация «Безопасность информационных систем», размещенных на сайте факультета ИСиТ в разделе «Материалы». При подготовке дипломного проекта вы можете пользоваться дополнительными литературными источниками, а также основной литературой, список которой приведен ниже.

6. Список литературы
1. Доктрина информационной безопасности Российской Федерации
2. Федеральный закон РФ от от 27.07.2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации
3. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3
4. Безопасность и управление доступом в информационных системах. А.В. Васильков, И.А. Васильков. Учебное пособие. М. : ФОРУМ, 2010. 368 с.
5. Защита конфиденциальной информации. В.Я. Ищейнов, М.В. Мецатунян. Учебное пособие. М. : ФОРУМ, 2012. 256 с.
6. Комплексная система защиты информации на предприятии, Н.В. Гришина. Учебное пособие. М. : ФОРУМ, 2011. - 240 с.
7. Информационная безопасность и защита информации, Мельников В. П., М.: Академия, 2012, - 336 стр.
8. Программно-аппаратная защита информации. П.Б. Хореев. Учебное пособие. М. : ФОРУМ, 2012. 352 с.


Дата выдачи задания  «24» октября 2015 г.

Декан факультета ЭО ___________________
      подпись
Руководитель дипломного проекта ___________________
      подпись
Консультант дипломного проекта ___________________
      подпись
Студент  ___________________
      подпись





К А Л Е Н Д А Р Н Ы Й  П Л А Н

№
Наименование этапов дипломного проекта
Срок выполнения этапа
Примечание
1.
Написание первой главы проекта
26.10.2015-02.11.2015
Письменно
2.
Написание второй главы проекта
03.11.2015-16.11.2015
Письменно
3.
Написание третьей главы проекта
17.11.2015-23.11.2015
Письменно
4.
Написание введения, заключения, оформление приложений
24.11.2015-30.11.2015
Письменно
5.
Сдача руководителю 
итогового варианта проекта
01.12.2015
Письменно
6.
Подготовка презентации, речи, раздаточного материала, и их согласование с руководителем
01.12.2015-04.12.2015
Письменно
7.
Исправление итоговых замечаний руководителя по проекту и материалам
05.12.2015-11.12.2015
Письменно
8.
Сдача руководителю проекта и комплекта материалов для написания отзыва
До 12.12.2015
(вкл.)
Отзыв
9.
Рецензирование
23.12.2015-09.01.2016
Рецензия
10.
Сдача проекта и комплекта материалов в деканат факультета ИС и Т
11.01.2016
Комплект
11.
Защита дипломного проекта на заседании ГАК
13.01.2016


Студент                       ____________  / ______________/
                                           подпись		ФИО
Дата «24 октября »2015 г.
                                       Руководитель проекта ____________  / ______________/
                                            подпись		ФИО
Дата «24» октября 2015 г.


Содержание

Введение	10
I. Аналитическая часть	12
1.1. Технико-экономическая характеристика ООО «Allur Auto»	12
1.1.1. Общая характеристика предприятия	12
1.1.2. Организационно-функциональная структура	15
1.2. Анализ рисков информационной безопасности в ООО «Allur Auto»	16
1.2.1 Идентификация и оценка информационных активов	16
1.2.2. Оценка уязвимостей активов	22
1.2.3. Оценка угроз активам	28
1.2.4. Оценка существующих и планируемых средств защиты	32
1.2.5. Оценка рисков	40
1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации в ООО «Allur Auto»	42
1.3.1. Выбор комплекса задач обеспечения информационной безопасности	42
1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации	43
1.4. Выбор защитных мер	44
1.4.1. Выбор организационных мер	44
1.4.2. Выбор инженерно-технических мер	45
II Проектная часть	47
2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации в ООО «Allur Auto»	47
2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия	47
2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия	50
2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации в ООО «Allur Auto»	53
2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия	53
2.2.2. Контрольный пример реализации проекта и его описание	61
III Обоснование экономической эффективности проекта	91
3.1 Выбор и обоснование методики расчёта экономической эффективности	91
3.2. Расчёт показателей экономической эффективности проекта	94
Заключение	100
Список использованной литературы	102
Приложение	105



     Введение
     
     Более половины российских пользователей (60%) столкнулись в течение года с вредоносным ПО. Устранение последствий такой «встречи» обходится россиянам в среднем в 115 долларов США. Таковы результаты опроса, проведенного «Лабораторией Касперского» совместно с агентством B2B International. 
     Проникновение вредоносного ПО приводит к различным последствиям. Каждый второй пострадавший заметил снижение производительности устройства, каждый третий столкнулся с навязчивой рекламой, например, с перенаправлением браузера на нежелательные веб-сайты, а каждый четвертый обнаружил на своем устройстве неизвестно откуда взявшиеся программы. Среди более опасных результатов заражения — изменения настроек браузера или операционной системы без ведома пользователя (20%), не санкционированные жертвами публикации от их имени в социальных сетях (13%), потеря (8%) или кража (5%) личных данных и взлом веб-камеры (2%). Кроме того, некоторые пользователи столкнулись с действием программ-вымогателей, которые требовали выкуп за возвращение доступа к устройству (16%), либо к данным (5%). 
     Вредоносное ПО попадает на устройства пользователей разными способами. Так, каждый пятый думает, что заражение произошло в результате посещения подозрительного веб-сайта, 11% — склонны винить чужую флешку или приложение, прокравшееся под видом легитимного, 6% — думают, что получили вредоносное ПО, открыв вложение в электронном письме, а 19% — не смогли предположить, как именно было заражено устройство. 
     Наиболее критичным последствием кибератак являются вынужденные траты на восстановление нормальной работы устройств. 27% опрошенных от общего числа жертв пришлось потратить деньги на устранение последствий заражения. Пострадавшим пользователям приходится прибегать к услугам технических специалистов, покупать программное обеспечение для ликвидации последствий заражения, а иногда даже приобретать новое устройство взамен пораженного. 
     Исходя из вышесказанного, следует актуальность выбранной темы.
     Объектом исследования является ООО «Allur Auto».
     Предметом исследования является защита информационных ресурсов организации. 
     Целью данной работы является разработка мероприятий по модернизации системы антивирусной защиты предприятия.
     К числу задач, решаемых в дипломном проекте необходимо отнести:
* изучение предметной области и выявление недостатков в существующей системе обеспечения информационной безопасности и защите информации, определяющих необходимость разработки данного проекта;
* постановка задачи;
* выбор программных и инженерно-технических средств защиты;
* разработка нормативных документов;
* обоснование экономической эффективности проекта.
     Теоретической и методологической основой проведенного исследования послужили труды отечественных и зарубежных ученых в области безопасности информационных систем. В работе использованы законодательные акты и нормативные документы Российской Федерации.
     При написании дипломного проекта были применены такие методы научного исследования, как изучение научной литературы по теме исследования, нормативно-правовой базы, аналитический и сравнительный методы.
     Работа состоит из трех глав. Первая глава – аналитическая, посвящена описанию предприятия, его организационной структуры. Рассмотрены также существующие технологии на предприятии, проблемы безопасности, которые необходимо решить. 
     Вторая глава – проектная, посвящена непосредственно разработке политики безопасности, выбору программных и технических средств для разработки.
     Третья глава – экономическая, в которой будет выбрана методика расчета экономической эффективности и рассчитаны экономические показатели.
     Практическая значимость данного дипломного проекта заключается в том, что разработанную систему защиты можно будет использовать не только в деятельности анализируемого предприятия, но также и в работе других организаций.
     
     I. Аналитическая часть
     1.1. Технико-экономическая характеристика ООО «Allur Auto» 
     1.1.1. Общая характеристика предприятия
     
     Allur Auto - группа автомобильных компаний, образованная в 2003 году. Сегодня группа автомобильных компаний AllurGroup - это производитель и официальный дистрибьютор SsangYong Motor, производитель и официальный дистрибьютор Chance, производитель и официальный дистрибьютор Iveco, официальный дилер Suzuki Motor Corporation, официальный дилер Mitsubishi Motor Corporation.
     Филиалы AllurAuto  расположены в городах  Алматы, Астане, Кызылорде.  
     Для AllurAuto всегда главной задачей являлось удовлетворение всех запросов потребителей, поэтому очень большое внимание уделяется разработке программ лояльности не только для имеющихся клиентов, но для покупателей или автолюбителей, которые пришли к нам впервые.
     Компания AllurAuto беспрерывно занимается улучшением качества оказываемых сервисных услуг: проводятся тренинги по обучению персонала и в дистрибьюторском центре, и за рубежом; разрабатываются новые логистические схемы доставки автомобилей и запасных частей, позволяющие ускорить сроки поставки и уменьшить издержки, что в свою очередь благоприятно повлияет на стоимость предлагаемых товаров в автоцентре.
     Миссия компании:
* Постоянно улучшать качество жизни и приносить радость, обеспечивая автомобилями всех, кто о них мечтает и испытывает в них потребность.
* Развивать автомобильную индустрию Казахстана через внедрение новых технологий, привлечение новых брендов и соответствие высокому уровню стандартов сервисного обслуживания.
* Создавать условия для профессионального роста и личного развития каждого сотрудника.
* Повышать уровень обслуживания населения городскими службами, предоставляя в их распоряжение современную автотехнику со специальным оборудованием.
     История развития компании
     2003 год
     Основание компании Allur Auto.
     Начато сервисное обслуживание автомобилей Hyundai, Kia и Daewoo.
     2004 год
     Allur Auto подписывает эксклюзивное дистрибьюторское соглашение с корейским автопроизводителем SsangYong Motor Company.
     Начало продаж автомобилей SsangYong в г.Алматы.
     2005 год
     Начало продаж автомобилей FIAT в г.Алматы.
     2006 год
     Подписание дилерского соглашения с Itochu Corporation (дистрибьютор автомобилей Suzuki в России и Казахстане).
     Начало продаж автомобилей Suzuki.
     2008 год
     Открытие дилерской компании “Уни-Трак” в г.Усть-Каменогорск.
     Открытие дилерского центра Allur Auto в г.Талдыкорган.
     Старт продаж автомобилей Mitsubishi Motors, SsangYong и Suzuki в г. Талдыкорган.
     Открытие дилерского центра Allur Auto в г.Астана.
     Открытие дилерского центра Allur Auto в г.Кызылорда
     2009 год
     Открытие специализированного автоцентра Allur Auto в г.Алматы, на проспекте Суюнбая.
     Подписание дилерского соглашения с дистрибьютором Mitsubishi Motors в Казахстане Риком КАЗ.
     Начало продаж автомобилей Mitsubishi Motors в г. Алматы.
     2010 год
     Официальный старт продаж автомобилей SsangYong, собранных в г.Костанай, во всех дилерских центрах страны.
     Открытие новых дилерских центров в городах Костанай, Шымкент, Атырау, Актобе, Петропавловск.
     Группа автомобильных компаний Allur Auto получает официальный статус дилера коммерческой техники ISUZU.
     Начало крупноузловой сборки автомобилей SsangYong силами Allur Auto и АгромашХолдинг в г.Костанай.
     Получение статуса официального дилера Daewoo в городах Уральск и Кызылорда
     2011 год
     Получение наград «Выбор года 2011» (номинация «Лучший внедорожник казахстанской сборки 2011»), «Знак качества «Безупречно», «Лучший товар Казахстана производственного назначения 2011».
     SsangYong Kyron становится бестселлером среди внедорожников казахстанского производства.
     2012 год
     Подписание договора о сборке коммерческой техники IVECO.
     Начало производства автомобилей Chance на автосборочном заводе г.Костанай.
     Производство первого автомобиля представительского класса SsangYong Chairman на автосборочном заводе г.Костанай.
     2013 год
     Подписаниедоговора о производстве TOYOTA Fortuner
     Начало продаж автомобилей ZAZ Vida, Forza
     ПроизводствоPeugeot, присвоение статуса национального производителя и дистрибьютора.Начало продаж Peugeot.
     Началопроизводства казахстанского внедорожника SsangYong Nomad методом CKD
     Началопроизводства IVECO 682, DKD производство.
     2014 год
     Старт производства автомобилей Toyota Fortuner CKD методом
     Старт производства коммерческой техники IVECO CKD методом
     2015 год
     Старт продаж автомобилей и коммерческой техники JAC
     Начало производства автомобилей и коммерческой техники JAC на производственных площадке СарыаркаАвтопром, входящей в состав AllurGroup
     Подписание соглашения между  ТОО "СарыаркаАвтопром"и PSA Peugeot Citro?n о переходе на мелкоузловое производство модели Peugeot 301 в конце 2016 г.
     
     
     1.1.2. Организационно-функциональная структура 
     
     Организационная структура предприятия имеет вид:
Рис.1.1. Организационная структура предприятия

     В должностные обязанности сотрудника ИТ-отдела входит:
* установка на серверы и рабочие станции программного обеспечения; 
* интеграция  программного обеспечения на файл-серверах, серверах систем управления базами данных и на рабочих станциях; 
* поддержка рабочее состояние программного обеспечения сервера и рабочих станций;
* регистрация пользователей, назначение идентификаторов и паролей. 
* обучение пользователей работе в сети, ведению архивов; 
* составление инструкции по работе с сетевым программным обеспечением и доведение их до сведения пользователей. 
* контроль  использования сетевых ресурсов. 
* организация  доступа к локальной и глобальной сетям.
     Бухгалтер выполняет следующие должностные обязанности:
* организует управление движением финансовых ресурсов предприятия и регулирование финансовых отношений в целях наиболее эффективного использования всех видов ресурсов в процессе производства и реализации продукции (товаров, работ, услуг) и получения максимальной прибыли.
* определяет источники финансирования производственно-хозяйственной деятельности предприятия.
* непосредственно ведет переговоры с коммерческими банками, иными кредитными учреждениями и другими внешними организациями.
* организует работу по проведению анализа финансово-экономического состояния предприятия (анализа бухгалтерской отчетности, горизонтального и вертикального анализа, трендового анализа, расчета финансовых коэффициентов).
* осуществляет управление активами предприятия и временно свободными денежными средствами.
* организует исследование и анализ затрат на закупку сырья и материалов, потребление электроэнергии, транспортных издержек, торгово-комиссионных и иных расходов.
* организует работы по разработке бизнес-плана предприятия.


     1.2. Анализ рисков информационной безопасности в ООО «Allur Auto» 
     1.2.1 Идентификация и оценка информационных активов
     
     Информационный актив является компонентом или частью общей системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации.
     Защите подлежит вся конфиденциальная информация и информационные ресурсы, независимо от ее представления и местонахождения в информационной среде компании: 
* сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации в соответствии с Федеральным законом "О коммерческой тайне"; 
* Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ; 
* сведения о частной жизни граждан, позволяющие идентифицировать его личность (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом "О персональных данных"; 
* открытая информация, необходимая для обеспечения нормального функционирования компании.
     Обоснование выбора активов:
     - Конфиденциальная информация (электронные сообщения, сертификаты, патенты, трудовые договора, договора на аутсорс, административно-хозяйственные договора) К данному активу относятся документы, содержащие конфиденциальную информацию о финансовой деятельности ООО «Allur Auto», сотрудниках, договорах и иной деятельности компании, которая не должна быть доступна для посторонних. Электронная переписка сотрудников должна быть под защитой в виду того, что она может содержать переписку с заказчиками и прикрепленные документы.
     - Базы данных: по бухгалтерии, персональные данные о сотрудниках, штатное расписание и кадровый учет, находящиеся на аутсорсе.
     - Хранение общих файлов в общем сетевом хранилище и на персональных компьютерах. Общее сетевой хранилище служит для быстрого обмена большими объемами информации между сотрудниками компании, которая может содержать помимо документов промежуточные варианты контента, который предназначается для заказчика. Данная информация носит сугубо конфиденциальный характер, и ни при каких обстоятельствах не должна попасть в руки злоумышленников.
     -  Хранение новых разработок программного обеспечения для аппаратных комплексов и хранение зафиксированных ошибок, на сервере и персональных компьютерах.  Данная информация является коммерческой тайной, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна). 
     - Защита персональных компьютеров сотрудников, почтовых серверов, принтеров от вирусных атак и сбоев, связанных с неполадками в электросети - программно-аппаратный комплекс защитных средств так же необходимо защищать в виду высокой начальной стоимости и не менее высокой важности в обеспечении информационной безопасности компании.
     - Защита от незаконного проникновения - оборудование, обеспечивающее защиту от незаконного проникновения в помещения компании, является первым фронтом защиты и оповещения о возможном вмешательстве злоумышленников в конфиденциальные дела компании. Вывод из строя охранного оборудования может повлечь за собой тяжелые финансовые потери, как на ремонт и восстановление, так и в связи с утратой конфиденциальной информации.
     Оценка описанных выше информационных активов, приведена в таблице 2.
     Для качественной шкалы используются термины: "пренебрежимо малая", "очень малая", "малая", "средняя", "высокая", "очень высокая", "имеющая критическое значение". Для количественной шкалы используется размерность тыс. рублей.
     
Таблица 2
Оценка информационных активов предприятия
Вид деятельности
Наименование актива
Форма представления
Владелец актива
Критерии определения стоимости
Размерность оценки





Количественная оценка (ед. изм.)
Качественная
Информационные активы
Обмен корреспонденцией
Документы (электронные сообщения, сертификаты, административно-хозяйственные договора, техническая документация)
Электронная, материальный объект
Создатель, Руководство
Степень важности
50 тыс. руб
Высокая
Продажа автомобилей

База данных бухгалтерии
Электронная
Allur Auto
Степень важности
180 тыс. руб.
Высокая
Продажа автомобилей

Персональные данные о сотрудниках, штатное расписание и кадровый учет
Электронная
Allur Auto
Стоимость обновления или воссоздания
54 тыс. руб.
Высокая







Активы программного обеспечения
Обеспечение непрерывной работы
Программы целевого назначения, Системное ПО
Электронная
Руководство
Обновление и воссоздание
70 тыс. руб.
Высокое
Обработка документов 
Офисные программы;
Электронный носитель 
Сотрудники 
Первоначальная стоимость актива 
5 тыс. руб.
малая
Физические активы
Хранение данных
Хранилище данных, сервер
Материальный объект
Создатель, Руководство
Первоначальная стоимость
115 тыс. руб.
Имеющая критическое значение
Оборудование-продукция
  Программно-аппаратные комплексы биометрической идентификации (сами приборы)
Материальный объект
Руководство
Нарушение конфиденциальности коммерческой информации; Снижение эффективности бизнеса;
Первоначальная стоимость
202 тыс. руб.
Имеющая критическое значение
Доступ к информационным ресурсам
Аппаратные средства (компьютеры, принтера,)
Материальный объект
Сотрудники
Первоначальная стоимость
155 тыс. руб.
Очень высокая
Оборудование для обеспечения связи
Почтовый сервер, роутер
Материальный объект
Руководство
Первоначальная стоимость
10 тыс. руб.
Средняя

    Перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 3
Таблица 3
 Перечень сведений конфиденциального характера ООО «Allur Auto»
    
№ п/п
Наименование сведений
Гриф конфиденци-альности
Нормативный документ, реквизиты, №№ статей
1.
Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа.

Информация ограниченного доступа
-
2.
Требования по обеспечению сохранения служебной тайны сотрудниками предприятия.
Информация ограниченного доступа
Гражданский кодекс РФ ст.139, 857
3.
Персональные данные сотрудников
Информация ограниченного доступа;
Федеральный закон 152-ФЗ
4.
Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам).
подлежит разглашению только по решению предприятия
Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

     Для проведения общей оценки активов обычно применяется метод ранжирования, при котором каждому активу выставляется некоторый ранг (число), обозначающий его ценность относительно других. Чем выше ранг, тем важнее актив. Активы, имеющие наибольшую ценность (ранг) в последующем рассматриваются в качестве объекта защиты. Количество таких активов, как правило, зависит от направления деятельности предприятия. В рамках поставленной задачи разработки политики безопасности выделим наиболее ценные информационные активы (имеющие максимальный ранг). В таблице 4 ниже приведена оценка активов.
Таблица 4
Результаты ранжирования активов
Наименование актива
Ценность актива (ранг)
Сведения о продажах
5
Информация о поставщиках
5
Хранилище данных, сервер
5
Документы
4
Аппаратные средства (компьютеры)
4
Программы целевого назначения, Системное ПО
4
База данных бухгалтерии
4
Персональные данные о сотрудниках, штатное расписание и кадровый учет
4
Почтовый сервер, роутер
3
Офисные программы;
3

     По результатам ранжирования (Таблица 4) выделим активы, имеющие наибольшую ценность (имеющие ранг 5 и 4):
1) Сведения о продажах;
2) Информация о поставщиках;
3) Хранилище данных, сервер
4) Документы
5) Аппаратные средства (компьютеры)
6) Программы целевого назначения, Системное ПО


     1.2.2. Оценка уязвимостей активов
     
     Уязвимость - есть событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.
     Основанием для проведения оценки уязвимости является оценка критичности информационных активов и определения адекватности предпринимаемых мер безопасности по отношению к их значимости.
     Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая).
     После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем. Уязвимости должны быть отсортированы сначала по степени важности, а затем по серверам/сервисам. Уязвимости должны быть расположены в начале отчёта и расставлены в порядке убывания критичности, то есть сначала критические уязвимости, затем с высоким уровнем важности, потом со средним и низким. Результаты оценки уязвимости активов представлены в таблице 5.
     
Таблица 5.
Результаты оценки уязвимости активов
Группа уязвимостей
Содержание уязвимости
Сведения о продажах
Информация о поставщиках
Хранилище данных, сервер
Документы 
Аппаратные средства (ПК)
Программы целевого назначения, (ПО)
Среда и инфраструктура
Отсутствие физической защиты зданий, дверей и окон
низкая
низкая
низкая
низкая
низкая
низкая
Неправильное или халатное использование физических средств управления доступом в здания
средняя
высокая
высокая
средняя
высокая
низкая
Нестабильная работа электросети
высокая
низкая
средняя
высокая
низкая
средняя
Аппаратное обеспечение
Отсутствие схем периодической замены 
низкая
низкая
средняя
низкая
средняя
низкая
Подверженность колебаниям напряжения
низкая
низкая
средняя
низкая
средняя
низкая
Подверженность воздействию влаги, пыли, загрязнения 
низка
средняя
средняя
низкая
низкая
низкая
Отсутствие контроля за эффективным изменением конфигурации
средняя
низкая
низкая
средняя
средняя
средняя
 Программное обеспечение
Неверное распределение прав доступа
низкая
низкая
низкая
низкая
низкая
низкая
Отсутствие резервных копий
средняя
низкая
низкая
средняя
низкая
средняя
Неконтролируемая загрузка и использование программного обеспечения
средняя
низкая
низкая
средняя
средняя
низкая
Плохое управление паролями
низкая
низкая
низкая
низкая
низкая
низкая
 Коммуникации
Незащищенные подключения к сетям общего пользования
средняя
низкая
низкая
средняя
средняя
низкая
Отсутствие идентификации и аутентификации отправителя и получателя
средняя
низкая
средняя
низкая
средняя
высокая
Незащищенные потоки конфиденциальной информации
низкая
низкая
низкая
низкая
низкая
низкая
Незащищенные линии связи
средняя
низкая
низкая
средняя
низкая
низкая
Документы
Хранение в незащищенных местах 
средняя
низкая
низкая
средняя
низкая
средняя
Недостаточная внимательность при уничтожении 
высокая
низкая
низкая
высокая
низкая
средняя
Бесконтрольное копирование 






Персонал
Недостаточная подготовка персонала по вопросам обеспечения безопасности
средняя
низкая
низкая
средняя
низкая
средняя
Неправильное использование программно-аппаратного обеспечения
средняя
низкая
низкая
средняя
низкая
средняя
Отсутствие механизмов отслеживания
низкая
низкая
низкая
низкая
низкая
низкая
Отсутствие политики правильного пользования телекоммуникационными системами для обмена сообщениями 
низкая
низкая
низкая
низкая
низкая
низкая
Не отменяются парава доступа при увольнении
высокая
низкая
средняя
средняя
высокая
средняя
Отсутствие надзора за работой лиц, приглашенных со стороны или за работой уборщиц
низкая
средняя
низкая
средняя
.......................