Информационная безопасность в ГУП ОЦ 'Московский дом книги'

Дипломная работа

на тему: "Информационная безопасность в ГУП ОЦ "Московский дом книги""

Оглавление

Введение

. Аналитическая часть

.1 Технико-экономическая характеристика предметной области и предприятия. Анализ деятельности "КАК ЕСТЬ"

.1.1 Характеристика предприятия и его деятельности

.1.2 Организационная структура управления предприятием

.1.3 Программная и техническая архитектура ИС предприятия

.2 Характеристика комплекса задач, задачи и обоснование необходимости автоматизации

.2.1 Выбор комплекса задач автоматизации и характеристика существующих бизнес-процессов

.2.2 Определение места проектируемой задачи в комплексе задач

.2.3 Обоснования необходимости использования вычислительной техники для решения задачи

.2.4 Анализ системы обеспечения информационной безопасности и защиты информации

.3 Анализ существующих разработок и выбор стратегии автоматизации "КАК ДОЛЖНО БЫТЬ"

.3.1 Анализ существующих разработок для автоматизации задачи

.3.2 Выбор и обоснование стратегии автоматизации задачи

.3.3 Обоснование предлагаемых средств автоматизации системы обеспечения информационной безопасности и защиты информации предприятия

. Разработка проекта системы обеспечения информационной безопасности и защиты информации предприятия

.1 Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности и защиты информации предприятия

.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия

.1.3 Обоснование выбранной политики информационной безопасности предприятия

.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия

.2.1 Общие положения

.2.2 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия

.2.3 Контрольный пример реализации проекта и его описание

.3 Комплекс проектируемых инженерно-технических средств обеспечения информационной безопасности и защиты информации предприятия

.3.1 Общие положения

.3.2 Структура инженерно-технического комплекса информационной безопасности и защиты информации предприятия

.3.3 Контрольный пример реализации проекта и его описание

. Обоснование экономической эффективности проекта

.1 Выбор и обоснование методики расчёта экономической эффективности

.2 Расчёт показателей экономической эффективности проекта

Заключение

Список нормативных актов и литературы

Приложение 1

Введение

Государственное унитарное предприятие города Москвы "Объединенный центр "Московский Дом Книги" создано в 1998 году Постановлением Правительства города Москвы и является на данный момент одним из крупнейших книготорговых предприятий.

Дипломный проект был разработан по месту прохождения преддипломной практики. Практика в книжной компании "ГУП ОЦ Московский дом книги" проходилась в роли системного администратора. В ходе прохождения практики были выявлены недостатки безопасности информационных систем организации и предложены меры по их устранению.

Теоретической и методологической основой проведенного исследования послужили труды отечественных и зарубежных ученых в области безопасности информационных систем. В работе использованы законодательные акты и нормативные документы Российской Федерации, периодические издания, учетные и отчетные данные организации. При разработке и решении поставленных задач применялись методы наблюдения, группировки, сравнения, обобщения, абстрактно-логические суждения и др.

Актуальность работы. Обеспечение информационной безопасности является сегодня одним из основных требований к информационным системам. Причина этого - неразрывная связь информационных технологий и основных бизнес-процессов в любых организациях, будь то государственные службы, промышленные предприятия, финансовые структуры, операторы телекоммуникаций.

Обеспечение внутренней информационной безопасности является не только российской, но и мировой проблемой. Если в первые годы внедрения корпоративных локальных сетей головной болью компаний был несанкционированный доступ к коммерческой информации путем внешнего взлома (хакерской атаки), то сегодня с этим научились справляться. В IT-отделе любой уважающей себя компании, как правило, имеется обширный инструментарий антивирусов, ограждающих программ (файрволов) и других средств борьбы с внешними атаками. Причем российские достижения в деле обеспечения внешней безопасности весьма велики - отечественные антивирусы считаются одними из лучших в мире.

С точки зрения информационной безопасности многие компании сегодня напоминают крепости, окруженные несколькими периметрами мощных стен. Однако практика показывает, что информация все равно утекает. Отсюда вытекает необходимость разработки эффективной и экономически выгодной системы безопасности информационных систем предприятия.

Целью дипломного проекта является совершенствование системы защиты информации в "ГУП ОЦ Московский дом книги". Объектом дипломного проектирования является - технология обеспечения информационной безопасности, а предметом дипломного проектирования - информационная безопасность предприятия.

В соответствии с целью были поставлены основные задачи дипломной работы:

. Рассмотреть аппаратно-программную, инженерно-техническую и нормативно-правовую базу организации защиты информации на предприятии.

. Проанализировать систему обеспечения информационной безопасности защиты информации на "ГУП ОЦ Московский дом книги".

. Исследовать актуальные проблемы защиты информации для "ГУП ОЦ Московский дом книги".

. Разработать и внедрить комплекс практических предложений и мероприятий по обеспечению информационной безопасности и защите информации на предприятии "ГУП ОЦ Московский дом книги".

1. Аналитическая часть

1.1 Технико-экономическая характеристика предметной области и предприятия. Анализ деятельности "КАК ЕСТЬ"

1.1.1 Характеристика предприятия и его деятельности

Государственное унитарное предприятие города Москвы "Объединенный центр "Московский Дом Книги" создано в 1998 году Постановлением Правительства города Москвы.

Основная цель функционирования предприятия - продажа книжной продукции в городе Москва.

"Московский Дом Книги" объединяет:

МДК на Новом Арбате;

6 специализированных магазинов;

35 универсальных магазинов;

1 интернет-магазин.

Исследование РосБизнесКонсалтинга "Рынок книг и розничные сети по продаже книжной продукции в России в 2010 году" показало, что в настоящее время издательский бизнес в России находится под влиянием 2 основных факторов:

инерционное влияние последствий финансово-экономического кризиса;

снижение читательской активности российского населения.

Отечественный рынок книжной продукции показал относительную устойчивость во время кризиса, во многом благодаря высоким достижениям книгопечатной отрасли в докризисный период. Поэтому снижение объемов печатного производства оказалось не столь значительным по сравнению с другими промышленными отраслями. Больше всего последствия финансово-экономического кризиса отразились на динамике объема продаж книжной продукции, которые снизились на 20%. Кризис неблагоприятно отразился на книжной рознице, произошло сокращение числа книготорговых магазинов. Наиболее устойчивым оказался книжный рынок Москвы (+1%). В регионах в денежном выражении наибольшее падение рынка наблюдалось в Приволжском (16%) и Сибирском федеральном округе (15%). В натуральном выражении рынок упал сильнее всего в Сибирском (28%) и Дальневосточном федеральном округе (27%).

В Москве действует несколько крупных книготорговых сетей.

Крупнейшей книготорговой системой города остается сеть "ГУП ОЦ "Московский Дом Книги". Она превосходит другие сети и по количеству магазинов, и по средней торговой площади магазина, и по доле крупных магазинов в общем количестве, и по сроку работы на рынке, а по объему товарооборота намного опережает все остальные сети, вместе взятые. В то же время, судя по полученной информации, в сети МДК работает в среднем гораздо большее количество сотрудников на магазин, чем в других сетях.

"Московский Дом Книги" представляет:

210 тысяч наименований книг

50 тысяч наименований канцелярской продукции

70 тыс. посетителей ежедневно

2 миллиарда рублей годовой розничный товарооборот

более 25 млн. книг - суммарный объем продаж в год

7 млн. единиц канцелярских товаров.

Таблица 1.1. Основные технико-экономические показатели деятельности "ГУП ОЦ "Московский Дом Книги"

Показатели, единицы измерения	Значение показателей
	2007г	2008г.		2009г.
	Абсолютная величина	Абсолютная величина	Темп роста к предыдущему году, %	Абсолютная величина	Темп роста к предыдущему году, %
Уставный капитал, тыс.руб.	30000	30000	-	30000	-
Выручка без НДС, тыс.руб.,	278000	364000	30,9	420000	15,4
Среднегодовая стоимость основных средств, тыс. руб.	112000	120000	4,3	130000	8,3
Выручка от внешнеэкономической деятельности, тыс.руб.	-	-	-	-	-
Себестоимость продукции (работ, услуг), тыс.руб.	126000	184000	46,1	205600	11,7
Прибыль до налогообложения, тыс.руб.	97000	109800	13,2	129100	17,6
Чистая прибыль, тыс.руб.	58810	71800	22,1	77500	7,9
Оборотные активы, тыс.руб.	51200	64700	26,4	85600	32,3
Среднесписочная численность работающих, чел.	340	360	5,8	380	5,5
Среднемесячная заработная плата, руб./мес.	125400	138500	10,4	158900	14,7
Среднемесячная выработка на одного работающего, тыс. руб.	68,14	84,26	31,4	92,11	9,3
Коэффициент опережения темпов роста производительности труда над заработной платой	-	1,19	-	0,95	-

Таким образом, можно сделать выводы: уставный капитал предприятия в анализируемом периоде не изменился. Далее положительные тенденции можно отметить в выручке, которая в 2009 году выросла на 30,9 %, в 2010 году на 15,4 %. В связи с этим и увеличивается себестоимость в 2008 году на 46,1 %, в 2009 году на 11,7 %. Так же важно отметить, что чистая прибыль увеличилась в 2009 году на 22,1%, однако в 2010 году всего лишь на 7,9 %.

На предприятии не смотря на увеличения численности персонала, происходит рост среднемесячной производительности труда, в 2009 г. она возросла на 31,4 %, а в 2010 г. на 9,3 %. При этом коэффициент опережения темпов роста производительности труда над заработной платой в 2009 г. был больше единицы, что свидетельствует о более высоких темпах роста производительности труда, чем повышения оплаты труда. В тоже время в 2010 г. коэффициент опережения был меньше единицы, что является отрицательной динамикой.

1.1.2 Организационная структура управления предприятием

"Московский Дом Книги" по организационно-правовой структуре является государственным унитарным предприятием. Унитарное предприятие в России - коммерческая организация, не наделённая правом собственности на закреплённое за ней собственником имущество. Такие предприятия именуются унитарными, поскольку их имущество является неделимым и не может быть распределено по вкладам, паям, долям, акциям. В такой форме могут быть созданы только государственные и муниципальные предприятия. Имущество (соответственно государственное или муниципальное) принадлежит унитарному предприятию на праве хозяйственного ведения.

Учредительным документом унитарного предприятия является устав.

Вице-президенты, ответственные за конкретные товары, магазины и административные задачи, подчиняются председателю правления и президенту фирмы.

Большинство менеджеров и работников подразделений работают в магазинах, разбросанных по всему географическому региону, в котором могут быть один-два распределительных центра. Руководители высшего звена (старшие менеджеры) и работники товарного отдела, отдела кадров и маркетинга работают в штаб-квартире фирмы. За финансово-хозяйственную деятельность отвечает бухгалтерия, руководителем которой является главный бухгалтер.

За рекламную деятельность предприятия отвечает менеджер по рекламе.

Организационная структура предприятия представлена на рисунке 1.1. Данная схема показывает, что предприятие "ГУП ОЦ "Московский Дом Книги" имеет линейно-функциональную организационную структуру.

Линейно-функциональная (штабная) структура - синтез линейного и функционального управления. Здесь функциональные звенья теряют право принятия решения и непосредственного руководства нижестоящими подразделениями. Они принимают участие в постановке задач, подготовке решений, помогают линейному руководителю в реализации отдельных функций управления. Руководители функциональных служб через вышестоящего линейного руководителя взаимодействуют с основными управленческими звеньями.

Линейный принцип организации предприятия "ГУП ОЦ "Московский Дом Книги" заключается и реализуется в линейных связях председателя правления с руководителями отделами и лицами, входящими в управленческий аппарат.

Функциональный принцип осуществляется на основе функциональных связей, где руководители функциональных подразделений распоряжаются подразделениями по вопросам, входящих в сферу их компетенции.

Данная организационная структура имеет ряд недостатков:

частая несогласованность между различными подразделениями;

различная степень ответственности между подразделениями, что обычно усложняет принятие оптимальных решений.

Но наряду с недостатками данная линейно-функциональная структура имеет и ряд достоинств:

исключение дублированности в функциональных подразделениях;

четкая координированность действий.

Данная организационная структура наиболее эффективна на сегодняшний день для предприятия.

 

Рис. 1.1. Организационная структура управления "ГУП ОЦ "Московский Дом Книги"

1.1.3 Программная и техническая архитектура ИС предприятия

Рис. 1.2. Программная архитектура "ГУП ОЦ "Московский Дом Книги"

На схеме отображена серверная ОС, в рамках которой функционирует два прикладных программных средства - веб-сервер Apache и СУБД MySQL.

Рис. 1.3. Техническая архитектура ИС "ГУП ОЦ "Московский Дом Книги"

Персональные компьютеры "ГУП ОЦ "Московский Дом Книги" имеют следующую конфигурацию системы:

центральный процессор: Intel(R)Core(TM) 2Duo CPU E7500 2,93GHz;

оперативная память: 3,00 ГБ;

- видеокарта: Radeon X1600 Series Secondary.

1.2 Характеристика комплекса задач, задачи и обоснование необходимости автоматизации

 

1.2.1 Выбор комплекса задач автоматизации и характеристика существующих бизнес-процессов

Проблема безопасности информационных систем на "ГУП ОЦ "Московский Дом Книги" имеет немаловажное значение, так как рассматриваемая организация осуществляет продажу книжной продукции не только в специально оборудованных магазинах, но и через интернет.

В качестве объектов уязвимости рассматриваются:

динамический вычислительный процесс обработки данных, автоматизированной подготовки решений и выработки управляющих воздействий;

информация, накопленная в базах данных;

объектный код программ, исполняемых вычислительными средствами в процессе функционирования ИС;

информация, выдаваемая потребителям и на исполнительные механизмы.

Рис. 1.4. Бизнес-процессы и функции "ГУП ОЦ "Московский Дом Книги"

Все бизнес-процессы организации классифицируются на основные, обеспечивающие, развития, управления.

Основные бизнес-процессы - непосредственно ориентированы на производство продукции, представляющие ценность для клиента и обеспечивающие получение дохода для предприятия.

Обеспечивающие бизнес-процессы - вспомогательные бизнес-процессы, которые предназначены для обеспечения выполнения основных процессов. Фактически обеспечивающие бизнес-процессы снабжают ресурсами всю деятельность организации.

Бизнес-процессы управления - это бизнес-процессы, охватывающие весь комплекс функций управления на уровне текущих действий и бизнес-системы в целом.

Бизнес-процессы развития - процессы совершенствования, освоения новых направлений и технологий, а также инновации.

1.2.2 Определение места проектируемой задачи в комплексе задач

"Московский дом книги" является государственным предприятием и у него по большей части имеются в использовании программы разработанные сотрудниками компании. Т.е., кроме стандартной 1С, есть несколько программ складского учета и аналита.

В ходе прохождения практики были выявлены внутренние и внешние источники угроз безопасности информационных систем. Внутренними источниками угроз безопасности функционирования ИС являются:

системные ошибки при постановке целей и задач проектирования ИС, формулировке требований к функциям и характеристикам решения задач, определении условий и параметров внешней среды, в которой предстоит применять ИС;

алгоритмические ошибки проектирования при непосредственной алгоритмизации функций программных средств и баз данных, при определении структуры и взаимодействия компонент комплексов программ, а также при использовании информации баз данных;

ошибки программирования в текстах программ и описаниях данных, а также в исходной и результирующей документации на компоненты ИС;

недостаточная эффективность используемых методов и средств оперативной защиты программ и данных и обеспечения безопасности функционирования ИС в условиях случайных негативных воздействий.

Внешними дестабилизирующими факторами, создающими угрозы безопасности функционирования перечисленных объектов уязвимости ИС, являются:

ошибки оперативного и обслуживающего персонала в процессе эксплуатации ИС;

искажения в каналах телекоммуникации информации, поступающей от внешних источников и передаваемой потребителям, а также недопустимые изменения характеристик потоков информации;

сбои и отказы аппаратуры;

изменения состава и конфигурации ИС за пределы, проверенные при испытаниях или сертификации.

Все представленные трудности оказывают негативное влияние на общую работу "ГУП ОЦ "Московский Дом Книги", выявляются во время проведения внутреннего контроля и анализа бизнес-процессов, берут свое начало при регистрации, обработке и мониторинге заявок от клиентов и партнеров.

Полное устранение перечисленных угроз принципиально невозможно. Задача состоит в выявлении факторов, от которых они зависят, в создании методов и средств уменьшения их влияния на безопасность ИС, а также в эффективном распределении ресурсов для обеспечения защиты, равнопрочной по отношению ко всем негативным воздействиям.

1.2.3 Обоснования необходимости использования вычислительной техники для решения задачи

Основным документом в рассматриваемой задаче является заявка клиента. Схема документооборота заявки приведена на рис. 1.5.

Рис. 1.5. Схема документооборота в "ГУП ОЦ "Московский Дом Книги"

Проведем анализ временных характеристик описанных процессов (таблица 1.2).

Таблица 1.2. Характеристика процессов документооборота

Действие	Среднее количество за рабочий день	Время, необходимое для выполнении одного действия, минут	Общее время, минут
Регистрация заявки	16	10	160
Поиск необходимой информации	7	20	140
Анализ информации за период	1	40	40
ИТОГО, минут:			340

Расчет времени произведен с учетом периодического возникновения проблем в безопасности информационных систем. Таким образом, каждый сотрудник компании, работающий с информационными системами, тратит в среднем 6 часов в день из общего объема рабочего времени на обработку заявок клиентов и партнеров. Лишь 25 % времени остается сотруднику на выполнение остальных обязанностей, что крайне не эффективно.

Для существующей на "ГУП ОЦ "Московский Дом Книги" безопасности информационных систем характерны следующие основные недостатки:

неэффективное использование рабочего времени;

невысокая скорость и точность обработки заявок;

простои оборудования;

невозможность обработки большого количества информации;

несовершенство процессов сбора, передачи, обработки, хранения, защиты целостности и секретности информации и процессов выдачи результатов расчетов конечному пользователю;

частые обрывы связи;

незащищенность от спама в рабочей почте.

Устранение проблем безопасности информационных систем позволит повысить эффективность работы каждого сотрудника "ГУП ОЦ "Московский Дом Книги" на 60 %.

1.2.4 Анализ системы обеспечения информационной безопасности и защиты информации

Процесс глобализации информационно-телекоммуникационных комплексов, внедрение на "ГУП ОЦ "Московский Дом Книги" информационных технологий, реализуемых преимущественно на аппаратно-программных средствах собственного производства, существенно обострили проблему зависимости качества процессов транспортирования информации, от возможных преднамеренных и непреднамеренных воздействий нарушителя на передаваемые данные пользователя, информацию управления и аппаратно-программные средства, обеспечивающие эти процессы.

Увеличение объемов хранимой и передаваемой информации приводят к наращиванию потенциальных возможностей нарушителя по несанкционированному доступу к информационной сфере "ГУП ОЦ "Московский Дом Книги" и воздействию на процессы ее функционирования.

Усложнение применяемых технологий и процессов функционирования "ГУП ОЦ "Московский Дом Книги" приводит к тому, что аппаратно-программные средства, используемые в "ГУП ОЦ "Московский Дом Книги", объективно могут содержать ряд ошибок и недекларированных возможностей, которые могут быть использованы нарушителями.

Отсутствие в "ГУП ОЦ "Московский Дом Книги" необходимых средств защиты в условиях информационного противоборства делает компанию в целом уязвимой от возможных враждебных акций, недобросовестной конкуренции, а также криминальных и иных противоправных действий. Организационную структуру системы обеспечения информационной безопасности "ГУП ОЦ "Московский Дом Книги" можно представить в виде, совокупности следующих уровней:

уровень 1 - Руководство организации;

уровень 2 - Подразделение ОИБ;

уровень 3 - Администраторы штатных и дополнительных средств защиты;

уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках);

уровень 5 - Конечные пользователи и обслуживающий персонал.

При разработке программного обеспечения в "ГУП ОЦ "Московский Дом Книги" следуют основным стандартам, регламентирующим:

показатели качества программных средств;

жизненный цикл и технологический процесс создания критических комплексов программ, способствующие их высокому качеству и предотвращению непредумышленных дефектов;

тестирование программных средств для обнаружения и устранения дефектов программ и данных;

испытания и сертификацию программ для удостоверения достигнутого качества и безопасности их функционирования.

Таблица 1.3. Международные стандарты, направленные на обеспечение технологической безопасности

ISO 09126:1991. ИТ.	Оценка программного продукта. Характеристики качества и руководство по их применению.
ISO 09000-3:1991.	Общее руководство качеством и стандарты по обеспечению качества. Ч. 3: Руководящие указания по применению ISO 09001 при разработке, поставке и обслуживании программного обеспечения.
ISO 12207:1995.	Процессы жизненного цикла программных средств.
ANSI/IEEE 829 - 1983.	Документация при тестировании программ.
ANSI/IEEE 1008 - 1986.	Тестирование программных модулей и компонент ПС.
ANSI/IEEE 1012 - 1986.	Планирование проверки (оценки) (verification) и подтверждения достоверности (validation) программных средств.

Для защиты информации от внешних угроз в "ГУП ОЦ "Московский Дом Книги" используется межсетевой экран - программный или аппаратный маршрутизатор, совмещённый с firewall. Эта система позволяет осуществлять фильтрацию пакетов данных.

В компании также имеются нормативно-правовые и организационно-распорядительные документы такие как:

.        Регламент информационной безопасности:

·  доступ сотрудников к служебной информации, составляющей коммерческую тайну;

·        доступ к использованию программного обеспечения, сконфигурированного персонального под "ГУП ОЦ "Московский Дом Книги".

.        Регламенты использования сети Internet, электронной почты "ГУП ОЦ "Московский Дом Книги".

1.3 Анализ существующих разработок и выбор стратегии автоматизации "КАК ДОЛЖНО БЫТЬ"

 

1.3.1 Анализ существующих разработок для автоматизации задачи

В литературе предлагается следующая классификация средств защиты информации:

. Средства защиты от несанкционированного доступа (НСД):

·        средства авторизации;

·        мандатное управление доступом;

·        избирательное управление доступом;

·        управление доступом на основе ролей;

·        журналирование (так же называется Аудит).

. Системы анализа и моделирования информационных потоков (CASE-системы).

. Системы мониторинга сетей:

·        системы обнаружения и предотвращения вторжений (IDS/IPS).

·        системы предотвращения утечек конфиденциальной информации (DLP-системы).

. Анализаторы протоколов.

. Антивирусные средства.

. Межсетевые экраны.

. Криптографические средства:

·        шифрование;

·        цифровая подпись.

. Системы резервного копирования.

. Системы бесперебойного питания:

·        источники бесперебойного питания;

·        резервирование нагрузки;

·        генераторы напряжения.

. Системы аутентификации:

·        пароль;

·        ключ доступа (физический или электронный);

·        сертификат;

·        биометрия.

. Средства предотвращения взлома корпусов и краж оборудования.

. Средства контроля доступа в помещения.

. Инструментальные средства анализа систем защиты:

·        мониторинговый программный продукт.

Для автоматизации задачи обеспечения безопасности информационных систем предполагается внедрение в систему защиты информации компании криптографических систем. Криптографические методы являются наиболее эффективными средствами защиты информации в автоматизированных системах. А при передаче информации по протяженным линиям связи они являются единственным реальным средством предотвращения несанкционированного доступа. Рассмотрим существующие криптографические методы.

Метод шифрования с использованием датчика псевдослучайных чисел наиболее часто используется в программной реализации системы криптографической защиты данных. Это объясняется тем, что, он достаточно прост для программирования и позволяет создавать алгоритмы с очень высокой криптостойкостью. Кроме того, эффективность данного метода шифрования достаточно высока. Системы, основанные на этом методе, позволяют зашифровать в секунду от нескольких десятков до сотен Кбайт данных.

Основным преимуществом метода DES является то, что он - стандартный. Важной характеристикой этого алгоритма является его гибкость при реализации и использовании в различных приложениях обработки данных. Каждый блок данных шифруется независимо от других, поэтому можно осуществлять независимую передачу блоков данных и произвольный доступ к зашифрованным данным. Ни временная, ни позиционная синхронизация для операций шифрования не нужна.

Алгоритм вырабатывает зашифрованные данные, в которых каждый бит является функцией от всех битов открытых данных и всех битов ключей. Различие лишь в одном бите данных даёт в результате равные вероятности изменения для каждого бита зашифрованных данных.может быть реализован аппаратно и программно, но базовый алгоритм всё же рассчитан на реализацию в электронных устройствах специального назначения. Это свойство DES выгодно отличает его от метода шифрования с использованием датчика ПСЧ, поскольку большинство алгоритмов шифрования построенных на основе датчиков ПСЧ не характеризуются всеми преимуществами DES. Однако и DES обладает рядом недостатков.

Самым существенным недостатком DES считается малый размер ключа. Стандарт в настоящее время не считается неуязвимым, хотя и очень труден для раскрытия (до сих пор не были зарегистрированы случаи несанкционированной дешифрации). Ещё один недостаток DES заключается в том, что одинаковые данные будут одинаково выглядеть в зашифрованном тексте.

Алгоритм криптографического преобразования, являющийся отечественным стандартом и определяемый ГОСТ 28147-89, свободен от недостатков стандарта DES и в то же время обладает всеми его преимуществами. Кроме того в него заложен метод, с помощью которого можно зафиксировать необнаруженную случайную или умышленную модификацию зашифрованной информации. Однако у алгоритма есть очень существенный недостаток, который заключается в том, что его программная реализация очень сложна и практически лишена всякого смысла.

Оптимальным на данный момент для защиты информации является метод RSA. Он является очень перспективным, поскольку для зашифровывания информации не требуется передачи ключа другим пользователям. Но в настоящее время к этому методу относятся с подозрительностью, поскольку не существует строгого доказательства, что нет другого способа определения секретного ключа по известному, кроме как определение делителей целых чисел.

В остальном метод RSA обладает только достоинствами. К числу этих достоинств следует отнести очень высокую криптостойкость, довольно простую программную и аппаратную реализации. Следует заметить, что использование этого метода для криптографической защиты данных неразрывно связано с очень высоким уровнем развития вычислительной техники.

Таблица 1.4. Сравнение криптографических методов защиты информации

	Датчик псевдослучайных чисел	DES	ГОСТ 28147-89	RSA
Простота программной реализации	высокая	высокая	низкая	высокая
Возможность защиты больших объемов данных	+	+	+	+
Криптостойкость	высокая	средняя	высокая	высокая

Рассмотрим существующие разработки для автоматизации системы обеспечения информационной безопасности и защиты информации предприятия. Для сравнения были выбраны:

"Аккорд 1.95".

Представленное изделие является одним из ряда программно-аппаратных комплексов защиты информации семейства "Аккорд", имеющего и автономные, и сетевые версии, выполненные на платах как для шины ISA, так и для шины PCI.

Комплекс "Аккорд 1.95" обеспечивает следующие функции защиты:

·  идентификация и аутентификация пользователей;

·        ограничение "времени жизни" паролей и времени доступа пользователей к ПК;

·        контроль целостности программ и данных, в том числе файлов ОС и служебных областей жесткого диска;

·        разграничение доступа к информационным и аппаратным ресурсам ПК;

·        возможность временной блокировки ПК и гашения экрана при длительной неактивности пользователя до повторного ввода идентификатора;

·        функциональное замыкание информационных систем с исключением возможности несанкционированного выхода в ОС, загрузки с дискеты и прерывания контрольных процедур с клавиатуры;

система защиты информации SecretNet.

Система SecretNet дополняет операционные системы семейства Windows 9x (и MS-DOS в режиме эмуляции) следующими защитными функциями:

·  поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;

·        поддержка индивидуальных файлов CONFIG.SYS и AUTOEXEC.BAT для каждого пользователя;

·        разграничение доступа пользователей к программам, файлам, дисководам и портам ПК в соответствии с присвоенными им полномочиями;

·        управление временем работы в системе любого пользователя;

·        создание для любого пользователя ограниченной замкнутой программной среды (списка разрешенных для запуска программ);

·        возможность объединения пользователей в группы для упрощения управления их доступом к совместно используемым ресурсам;

·        возможность временной блокировки работы ПК и гашения экрана при длительной неактивности пользователя до повторного ввода пароля.

Основные функциональные характеристики сравниваемых систем представлены в таблице 1.5.

Таблица 1.5. Сравнение функциональных характеристик существующих разработок

Функциональные характеристики системы	Единица измерения	Величина функциональных характеристик		Значимость характеристик
		"Аккорд 1.95"	SecretNet
Гибкость	%	65	50	да
Практичность	%	55	40	да
Оригинальность	%	60	55	нет
Безопасность	%	90	85	да
Эффективность	%	72	58	да

 

1.3.2 Выбор и обоснование стратегии автоматизации задачи

Для рассматриваемой компании разработка стратегии реализации проекта будет такой:

·  анализ безопасности информационных систем предприятия;

·        анализ стратегии дальнейшего развития безопасности информационных систем предприятия;

·        определение стратегических свойств разрабатываемых методов решения проблем информационной безопасности компании;

·        определение функциональности методов;

·        анализ существующих разработок по обеспечению безопасности информационных систем;

·        выбор стратегии решения проблем информационной безопасности;

·        выбор способа приобретения;

·        определение архитектуры;

·        формирование бизнес-плана.

Обеспечение безопасности корпоративной информационной системы невозможно без четкого формализованного представления о ее функционировании и текущем состоянии защищенности ее ресурсов. Для решения этой задачи проводится изучение характеристик информационной системы:

организационной и функциональной структуры;

используемых технологий обработки информации и информационных потоков;

режимов работы пользователей;

информационных и иных ресурсов и их соотнесения с различными категориями обрабатываемой информации.

Результатом обследования является структурированная детальная информация о системе, включая сведения о текущем состоянии защищенности ее компонентов; а также набор рекомендаций по устранению выявленных слабостей в защите. В качестве стратегии автоматизации была выбрана полная автоматизация. Полная автоматизация подразумевает собой комплексное обеспечение безопасности информационных систем во всех подразделениях и магазинах предприятия. Подобный подход был выбран в связи с прохождением преддипломной практики в качестве системного администратора, что позволило досконально изучить существующую на "ГУП ОЦ "Московский Дом Книги" систему информационной безопасности.

1.3.3 Обоснование предлагаемых средств автоматизации системы обеспечения информационной безопасности и защиты информации предприятия

По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на:

правовые (законодательные);

морально-этические;

технологические;

организационные (административные и процедурные);

физические;

технические (аппаратурные и программные).

Построение системы обеспечения безопасности информации на предприятии и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

законность;

системность;

комплексность;

непрерывность;

своевременность;

преемственность и непрерывность совершенствования • разумная достаточность;

персональная ответственность;

разделение функций;

минимизация полномочий;

взаимодействие и сотрудничество;

гибкость системы защиты;

открытость алгоритмов и механизмов защиты;

простота применения средств защиты;

научная обоснованность и техническая реализуемость;

специализация и профессионализм;

взаимодействие и координация;

обязательность контроля.

Возможные варианты совершенствования средств обеспечения информационной безопасности и защиты информации для предприятия:

использование межсетевого экрана для обеспечения ИБ;

защита электронной почты:

следует поставить антивирус на корпоративный сервер электронной почты. При выборе антивирусного пакета нужно руководствоваться следующими принципами:

·  антивирус должен уметь переименовывать исполняемые файлы (в которых не найдено вируса), делая невозможным их автоматический запуск пользователем;

·        антивирус должен уметь проверять архивированные файлы;

·        антивирус должен уметь проверять HTML-код на предмет вредоносных сценариев и приложений Java, а также вредоносных ActiveX-компонентов.

Далее необходимо установить пользователям e-mail-клиент, который не умеет показывать вложенные в письма HTML-страницы (например, Thunderbird).

Также можно поставить транзитный сервер, который будет фильтровать весь проходящий через него трафик электронной почты с помощью антивируса;

антивирусная защита:

на корпоративный сервер электронной почты необходимо установить антивирусное ПО. Также стоит установить антивирус на файловый сервер организации и осуществлять проверку его содержимого каждые сутки;

настройка компьютеров пользователей;

защита информационного пространства организации.

Все вышеперечисленные средства защиты информации необходимо применить на "ГУП ОЦ "Московский Дом Книги".

Средство автоматизации системы обеспечения информационной безопасности и защиты информации на предприятии должно автоматизировать часть работы системного администратора "ГУП ОЦ "Московский Дом Книги". В нем необходимо учесть полную проверку всех информационных систем компании на наличие проблем в безопасности.

Для поддержки и упрощения действий по настройке средств защиты в системе защиты необходимо предусмотреть следующие возможности:

выборочное подключение имеющихся защитных механизмов, что обеспечивает возможность реализации режима постепенного усиления степени защищенности информационных систем;

так называемый "мягкий" режим функционирования средств защиты, при котором несанкционированные действия пользователей (действия с превышением полномочий) фиксируются в системном журнале обычным порядком, но не пресекаются (то есть не запрещаются системой защиты). Этот режим позволяет выявлять некорректности настроек средств защиты (и затем производить соответствующие их корректировки) без нарушения работоспособности информационной системы и существующей технологии обработки информации;

возможности по автоматизированному изменению полномочий пользователя с учетом информации, накопленной в системных журналах (при работе как в "мягком", так и в обычном режимах).

Для облегчения работы администратора с системными журналами в системе должны быть предусмотрены следующие возможности:

подсистема реализации запросов, позволяющая выбирать из собранных системных журналов данные об определенных событиях (по имени пользователя, дате, времени происшедшего события, категории происшедшего события и т.п.). Естественно такая подсистема должна опираться на системный механизм обеспечения единого времени событий;

возможность автоматического разбиения и хранения системных журналов по месяцам и дням в пределах заданного количества последних дней. Причем во избежание переполнения дисков по истечении установленного количества дней просроченные журналы, если их не удалил администратор, должны автоматически уничтожаться;

в системе защиты должны быть предусмотрены механизмы семантического сжатия данных в журналах регистрации, позволяющие укрупнять регистрируемые события без существенной потери их информативности;

желательно также иметь в системе средства автоматической подготовки отчетных документов установленной формы о работе станций сети и имевших место нарушениях. Такие средства позволили бы существенно снять рутинную нагрузку с системного администратора.

2. Разработка проекта системы обеспечения информационной безопасности и защиты информации предприятия

 

2.1 Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности и защиты информации предприятия

 

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

. Акты федерального законодательства:

Международные договоры РФ;

·        Конституция РФ;

·        Законы федерального уровня (включая федеральные конституционные законы, кодексы);

·        Указы Президента РФ;

·        Постановления правительства РФ;

·        Нормативные правовые акты федеральных министерств и ведомств;

·        Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

. К нормативно-методическим документам можно отнести

Методические документы государственных органов России:

·        Доктрина информационной безопасности РФ;

·        Руководящие документы ФСТЭК (Гостехкомиссии России);

·        Приказы ФСБ;

Стандарты информационной безопасности, из которых выделяют:

·        Международные стандарты;

·        Государственные (национальные) стандарты РФ;

·        Рекомендации по стандартизации;

·        Методические указания.

Система информационной безопасности строится на основе международного стандарта по обеспечению информационной безопасности ISO 17799 ("Нормы и правила при обеспечении безопасности информации"). Стандарт ISO 17799 содержит общие рекомендации по организации системы информационной безопасности, обеспечивающей базовый уровень безопасности информационных систем, характерный для большинства организаций. При этом стандарт описывает вопросы, которые должны быть рассмотрены при проектировании системы информационной безопасности, и не накладывает ограничений на использование конкретных средств обеспечения безопасности компонентов инфраструктуры. Стандарт ISO 17799 содержит следующие разделы, описывающие различные аспекты безопасности информационных систем:

стратегия информационной безопасности - описывает необходимость иметь поддержку высшего руководства компании путем утверждения стратегии информационной безопасности;

организационные вопросы - дает рекомендации по форме управления организации, оптимальной для реализации системы информационной безопасности;

классификация информационных ресурсов - описывает необходимые меры по обеспечению безопасности информационных ресурсов и носителей информации;

управление персоналом - описывает влияние человеческого фактора на информационную безопасность и меры, направленные на снижение соответствующего риска;

обеспечение физической безопасности - описывает мероприятия по обеспечению физической безопасности компонентов информационной инфраструктуры;

администрирование информационных систем - описывает основные аспекты безопасности при работе с серверами, рабочими станциями и другими информационными системами;

управление доступом - описывает необходимость четкого разграничения прав и обязанностей при работе с информацией;

разработка и сопровождение информационных систем - описывает основные механизмы обеспечения безопасности информационных систем;

обеспечение непрерывности бизнеса - описывает мероприятия по обеспечению непрерывной работы организаций;

обеспечение соответствия предъявляемым требованиям - описывает общие требования к системам информационной безопасности и мероприятия по проверке соответствия систем информационной безопасности этим требованиям.

2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия

Организационные (административные) меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.

Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся. Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:

выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;

выделение специальных ЭВМ для обработки конфиденциальной информации;

организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;

использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;

организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;

организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;

установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;

постоянный контроль за соблюдением установленных требований по защите информации.

2.1.3 Обоснование выбранной политики информационной безопасности предприятия

Информационная безопасность организации - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

Главной целью информационной безопасности в "ГУП ОЦ "Московский Дом Книги" является обеспечение устойчивого функционирования предприятия и защита информационных ресурсов, принадлежащих компании, ее акционерам, инвесторам и клиентам от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых сведений.

Целями управления политикой информационной безопасности в "ГУП ОЦ "Московский Дом Книги" являются:

осуществление управлением по определению информационных и технических ресурсов, подлежащих защите на предприятии;

осуществление управлением по выявлению полного множества потенциально возможных угроз и каналов утечки информации;

осуществление управлением по проведению оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

определение требований к системе защиты информации на предприятии;

организация осуществления выбора средств защиты информации и их характеристик;

организация внедрения и организация использования выбранных мер, способов и средств защиты;

осуществление контроля целостности и управление системой защиты.

Основной целью предприятия является получение прибыли через продажу книжной и журнальной продукции в городе Москва.

Отсюда выделим основные задачи ИБ предприятия:

обеспечение конституционных прав граждан по сохранению личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

прогнозирование, своевременное выявление и устранение угроз объектам информационной безопасности на основе правовых, организационных и инженерно-технических мер и средств обеспечения защиты;

минимизация ущерба и быстрейшее восстановление программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин возникновения таких ситуаций и принятие соответствующих мер по их предотвращению;

недопущение проникновения в информационные системы предприятия извне с целью кражи средств покупателей интернет-магазина.

В качестве методов реализации комплексной системы управления рисками в "ГУП ОЦ "Московский Дом Книги" используем:

эффективное управление ИТ-инфраструктурой (безопасность начинается с порядка);

управление процессами информационной безопасности;

управление зависимостью от сторонних продуктов и аутсорсинга;

управление идентификацией, авторизацией и доступом с распределением ролей и сквозной отчетностью;

обеспечение целостности данных;

обеспечение конфиденциальности критичной информации;

превентивное планирование доступности систем и сервисов;

обеспечение комплексной и прозрачной работы с инцидентами.

Для этого необходимо реализовать:

корпоративную политику персональной ответственности;

гарантию отсутствия неавторизованного доступа;

регулярную проверку средств обеспечения безопасности;

исключение зависимости от одного человека. Например, не должно быть возможности провести или исправить банковскую транзакцию в одиночку;

минимизацию наличия критической информации на персональных компьютерах, особенно мобильных;

классификацию данных и систем с точки зрения безопасности и рисков;

антивирусную и сетевую защиту;

тренинг сотрудников.

В качестве стандартов информационной безопасности для "ГУП ОЦ "Московский Дом Книги" примем международные и государственные стандарты, такие как:

1. Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р 50922-2006);

2.       Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК 17799-2005);

.        Национальный стандарт РФ "Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 - 2006);

.        Государственный стандарт РФ "Аспекты безопасности. Правила включения в стандарты" (ГОСТ Р 51898-2002);

.        ISO/IEC 17799:2005 - "Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности". Международный стандарт, базирующийся на BS 7799-1:2005;

.        ISO/IEC 27001:2005 - "Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования". Международный стандарт, базирующийся на BS 7799-2:2005;

.        ISO/IEC 17799:2005. Дата выхода - 2007 год.

Для осуществления непрерывности бизнеса предлагается провести ряд мероприятий (таблица 2.1)

Таблица 2.1. Мероприятия по осуществлению непрерывности бизнеса "ГУП ОЦ "Московский Дом Книги"

Необходимо	Результаты
Этап 1: Анализ требований к обеспечению непрерывности бизнеса
- выявление актуальных угроз и уязвимостей ИС предприятия; - оценка возможных финансовых убытков в случае возникновения проблем с ИС предприятия; - анализ воздействия угроз и стабильной работы ИС на бизнес; - оценка рисков безопасности ИС	- методика выявления угроз и уязвимостей ИС; - методика оценки рисков; - методика оценки ущерба в случае проблем в безопасности ИС; - отчет с анализом рисков и приоритетами и первоочередными задачами обеспечения непрерывности бизнеса; - отчет с оценкой возможного ущерба
Этап 2: Планирование непрерывности бизнеса
- сформировать и утвердить экспертную группу планирования и управления непрерывностью бизнеса; - выработать планы непрерывности для каждой ИС предприятия; - определить первоочередные мероприятия по обеспечению непрерывности бизнеса; - выработать альтернативные решения; - выбрать оптимальное решение из имеющихся альтернатив; - определить необходимые ресурсы для планирования и управления непрерывностью бизнеса; - определить и утвердить бюджет планирования и управления непрерывностью бизнеса	- экспертная группа планирования и управления непрерывностью бизнеса; - планы непрерывности бизнеса для каждой ИС предприятия; - перечень первоочередных мероприятий по обеспечению непрерывности бизнеса; - должностные инструкции сотрудников компании по обеспечению непрерывностью бизнеса с определением роли, обязанностей и степени ответственности каждого сотрудника; - оценки стоимости возможных решений по обеспечению непрерывности бизнеса
Этап 3: Поддержка планов непрерывности бизнеса
- обучить сотрудников компании вопросам обеспечения непрерывности и управления бизнеса; - запустить необходимые программные и технические средства обеспечения информационной безопасности предприятия; - разработать регламенты сопровождения и поддержки планов непрерывности бизнеса; - разработать систему аудита информационной безопасности предприятия; - выработать формальные критерии оценивания аудита	- сертификаты сотрудников о прохождении курса обучения по вопросам обеспечения непрерывности и управления бизнеса; - методики и руководства по установке, настройке и сервисному обслуживанию программных и технических средств обеспечения информационной безопасности; - регламенты сопровождения и поддержки планов непрерывности бизнеса; - формальные критерии оценивания аудита

Таблица 2.2. Общие и конкретные обязанности по управлению ИБ

Обязанность	Исполнитель
Организует выполнение работ по комплексной защите информации в "ГУП ОЦ "Московский Дом Книги", обеспечивая эффективное применение всех имеющихся организационных и инженерно-технических мер в целях защиты информации ограниченного распространения или конфиденциальной информации	Руководитель отдела ИТ
Участвует в разработке политики информационной безопасности и определении перспектив развития технических средств контроля, организует разработку и внедрение новых программно-аппаратных средств защиты от несанкционированного доступа к сведениям ограниченного распространения или конфиденциальной информации	Руководитель отдела ИТ
Разрабатывает и реализует мероприятия по обеспечению защиты информации в ИС предприятия, осуществляет аудит безопасности	Руководитель отдела ИТ, инженер отдела ИТ
Обеспечивает безопасность персональных данных при их обработке в ИС предприятия	Инженер отдела ИТ, системный администратор предприятия
Участвует в расследовании нарушений установленной политики информационной безопасности "ГУП ОЦ "Московский Дом Книги" в пределах своей компетенции, разрабатывает предложения по устранению недостатков и предупреждению подобного рода нарушений	Руководитель отдела ИТ
Осуществляет организационно-методическое руководство и контроль за работой уполномоченных работников по режиму и защите информации, участвует в организации их учебы и обеспечивает соответствующими методическими пособиями	Руководитель отдела ИТ
Проводит анализ условий эксплуатации основных и вспомогательных технических средств и готовит предложения по устранению выявленных недостатков и принятию дополнительных мер защиты	Инженер отдела ИТ
Организует работу по созданию и развитию комплексной системы обеспечения информационной безопасности	Руководитель отдела ИТ
Вносит руководству предприятия предложения об оборудовании вычислительной техники сертифицированными средствами защиты информации	Руководитель отдела ИТ
Обеспечивает информационную безопасность посредством выявления и автоматического блокирования атак на информационные ресурсы, блокирования работы приложений, нарушивших политику безопасности, блокирования рабочих станций работников с целью прекращения доступа к сетевым, информационным ресурсам на серверах и рабочих станциях пользователей в случаях нарушения ими требований политики безопасности, а также при их увольнении	Системный администратор предприятия
Разрабатывает технические задания и технические требования на технические средства и системы защиты информации	Инженер отдела ИТ, системный администратор предприятия

Документация по информационной безопасности "ГУП ОЦ "Московский Дом Книги" сводится к следующим основным документам:

1.   Стратегия информационной безопасности;

2.       Roadmap;

.        Архитектура информационной безопасности;

.        Программа информационной безопасности;

.        Политика информационной безопасности;

.        Стандарты информационной безопасности;

.        Процедуры информационной безопасности;

.        Руководства по информационной безопасности;

.        Политика управления информационными рисками;

.        Политика классификации информационных активов;

.        Реестр информационных активов;

.        Оценка ущерба для бизнеса (BIA);

.        Реестр рисков;

.        План снижения рисков;

.        Аудиторские отчеты;

.        Процедура управления изменениями и форма запроса на изменение;

.        План реагирования на инциденты и восстановления после катастроф;

.        Процедуры реакции на инциденты.

2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия

 

2.2.1 Общие положения

1. Защита от внутренних угроз информационной безопасности "ГУП ОЦ "Московский Дом Книги".

Под внутренними угрозами информационной безопасности понимаются угрозы со стороны сотрудников компании как умышленные (мошенничество, кража, искажение или уничтожение конфиденциальной информации, промышленный шпионаж и т.п.), так и неумышленные (изменение или уничтожение информации из-за низкой квалификации сотрудников или невнимательности), а также сбои программных или аппаратных средств обработки и хранения информации.

Защита от внутренних угроз информационной безопасности "ГУП ОЦ "Московский Дом Книги" должная включать в себя следующие основные моменты:

защита от утечек конфиденциальной информации (программное средство DeviceLock);

обеспечение конфиденциальности информации при хранении и передаче:

·      шифрование каналов связи (организация VPN, SSL, ЭЦП, PKI);

·        шифрование носителей информации (создание защищенных контйнеров, построение корпоративной системы шифрования и хранения данных) при помощи шифра RSA;

система управления уязвимостями (программно-аппаратная реализация средства оценки защищенности сетей масштаба предприятия Enterprise Scanner).

Возможности Enterprise Scanner:

) Инвентаризация ресурсов:

-   идентифицируются болел 1800 типов ресурсов, включая рабочие станции, сервера, маршрутизаторы, коммутаторы, приложения и операционные системы;

-        предусмотрено обнаружение новых подключенных устройств;

         процесс обнаружения новых ресурсов проходит с использованием различных методов и источников: процесс активного сканирования, Active Directory, Proventia Network ADS, импортирование базы данных ресурсов, внесение в базу данных ресурсов "вручную";

         используются различные техники идентификации: Ping sweep, UDP probe, asset fingerprinting, rapid discovery, NetBIOS-based discovery, TCP discovery, UDP port discovery, OS fingerprinting, Integrated NMAP 4.0 database;

-        ресурсы группируются по иерархическому принципу на основе организационной структуры (AD).

) Оценка защищенности:

-   оценка защищенности обнаруженных ресурсов;

-        оценка защищенности с использованием различных проверок:

·      подключение новых проверок "на лету";

·        обновления проверок на основе выхода обновлений технологии Virtual Patch™;

·        небольшой объем обновлений (XPU) < 5 Мб;

-   эмуляция атак:

·      тесты без какого-либо воздействия на сетевую инфраструктуру;

·        анализ возможного эффекта воздействия реальной атаки;

·        непревзойденная по полноте база данных уязвимостей и программных ошибок, подготовленная X-Force®;

-   сканирование по приоритету критичности ресурсов.

3) Анализ результатов сканирования:

-   группирование уязвимостей по приоритету;

-        собственная система реакции на инциденты;

         интеграция с системой реакции на инциденты Remedy;

         открытый программный интерфейс (API) для подключения других систем реакции на инциденты;

         распределение уязвимостей по категориям и ресурсам;

         традиционные рекомендации по устранению уязвимостей (рекомендация определенного патча);

         интеграция с технологией Virtual Patch™ и системами Proventia IPS.

) Генерация отчетов:

-   генерация отчетов согласно организационной структуре организации;

-        группирование ресурсов в отчетах по уровню рисков, по географическому, территориальному, сетевому и другим признакам;

         более 1800 видов отчетов;

         представление в виде PDF, CSV, HTML;

         планировщик создания отчетов.

Защита от внутренних угроз безопасности включает в себя также разграничение прав доступа к информации разрабатываемой системы (таблица 2.3).

Таблица 2.3. Разграничение прав доступа

Группы пользователей	Модуль "Программные, информационные и технические средства предприятия"	Модуль "Информация о пользователях ИС предприятия"	Модуль "База нарушений конфиденциальности, целостности или доступности ИС предприятия"	Требования к паролям	Требования к частоте смены пароля
Руководство компании	Чтение	Чтение/удаление	Чтение	Не менее 6-и символов	Один раз в месяц
Системный администратор	Полный	Чтение/создание/удаление	Чтение/создание/удаление	Не менее 8-и символов	Один раз в 2 недели
Инженер отдела ИТ	Полный	Чтение/создание/удаление	Чтение/создание/удаление	Не менее 8-и символов	Один раз в 2 недели
Оператор баз данных	Чтение	Чтение/редактирование	Чтение	Не менее 6-и символов	Один раз в месяц
Сотрудники иных отделов компании	Чтение	Чтение	Чтение	Нет	Нет

. Защита от внешних угроз (безопасность каналов, протоколы, аутентификация, шифрование, безопасная пересылку ключей и т.д.).

Состав проектируемых программных и аппаратных средств оформим в виде таблицы (таблица 2.4).

Таблица 2.4. Состав проектируемых программных и аппаратных средств "ГУП ОЦ "Московский Дом Книги"

Нормативные правовые акты, нормативные правовые документы, стандарты (международные и отечественные)	Антивирусные и антишпионские средства	Проактивная защита от внешних угроз и защита внешнего периметра	Защита от сетевых угроз	Защита от инсайдерских угроз и защита информационных ресурсов
"Кодекс Российской Федерации об административных правонарушениях" от 30.12.01, №195-ФЗ ст. 13.12, 13.13, 13.14	Antiviral Toolkit Pro	Корпоративные продукты Safe’n’Sec	Outpost Security Suite/Firewall 7.0.4 (3403.520.1244)	Online Security Audit
Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р 50922-2006)	Doctor WEB	Программное средство DeviceLock	BestCrypt
Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК 17799-2005)	Aidstest
Национальный стандарт РФ "Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 - 2006)	Integrity Anti-Spyware
Государственный стандарт РФ "Аспекты безопасности. Правила включения в стандарты" (ГОСТ Р 51898-2002)
ISO/IEC 27001:2005 - "Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования". Международный стандарт, базирующийся на BS 7799-2:2005
Федеральный Закон Российской Федерации "Об информации, информационных технологиях и о защите информации" от 27.07.2006г. № 149-ФЗ
Постановление Правительства РФ от 15.08.06. №504 "О лицензировании деятельности по технической защите конфиденциальной информации"
Гражданский кодекс РФ и Закон "Об информации, информационных технологиях и о защите информации"

Выбор политики безопасности, а также тех или иных программных и аппаратных средств обоснован проблемами "ГУП ОЦ "Московский Дом Книги" в сфере безопасности информационных систем.

2.2.2 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия

Рис. 2.1. Структура программно-аппаратного комплекса сетевой защиты

2.2.3 Контрольный пример реализации проекта и его описание

1. Цель создания системы: обеспечение безопасности информационных систем предприятия от внешних и внутренних угроз.

. Программно-аппаратная реализация: система охватывает всю информационную сеть "ГУП ОЦ "Московский Дом Книги" и включает в себя:

защиту средствами локальной сети;

криптозащиту;

защиту средствами операционной системы;

защиту на уровне протокола передачи данных.

Таким образом, система предполагает защиту от:

утечки защищаемой информации (несанкционированный доступ к защищаемой информации);

несанкционированного воздействия на защищаемую информацию (изменение, уничтожение, копирование, блокирование доступа к информации; утрата, уничтожение носителя информации, сбой функционирования носителя информации);

непреднамеренного воздействия на защищаемую информацию (ошибки пользователя, сбой технических и/или программныхсредств, природные и иные воздействия и т.д.);

проявлений недекларированных возможностей и специальных программно-технических воздействий, и программных вирусных воздействий, непреднамеренных дефектов в программном обеспечении, сбоев и отказов технических средств и т.д.

. Средства программно-аппаратной реализации:

Antiviral Toolkit Pro;

Doctor WEB;

Aidstest;

Integrity Anti-Spyware;

корпоративные продукты Safe’n’Sec;

программное средство DeviceLock;

Outpost Security Suite/Firewall 7.0.4 (3403.520.1244);

BestCrypt для криптографической защиты информации;

Online Security Audit.

Реализация проекта осуществляется в течение года и проходит в соответствии с нормативными правовыми актами, нормативными правовыми документами, стандартами (международными и отечественными).

2.3 Комплекс проектируемых инженерно-технических средств обеспечения информационной безопасности и защиты информации предприятия

 

2.3.1 Общие положения

Инженерно-техническое обеспечение безопасности информации путем осуществления необходимых технических и организационных мероприятий должно исключать:

неправомочный доступ к аппаратуре обработки информации путем контроля доступа в производственные помещения;

неправомочный вынос носителей информации персоналом, занимающимся обработкой данных, посредством выходного контроля в соответствующих производственных помещениях;

несанкционированное введение данных в память, изменение или стирание информации, хранящейся в памяти;

неправомочное пользование системами обработки информации и незаконное получение в результате этого данных;

доступ в системы обработки информации посредством самодельных устройств и незаконное получение данных;

возможность неправомочной передачи данных через компьютерную сеть;

бесконтрольный ввод данных в систему;

обработку данных заказчика без соответствующего указания последнего;

неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

Таким образом, при разработке комплекса инженерно-технических средств решались следующие задачи:

предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения;

защита носителей информации от уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении;

предотвращение утечки информации по различным техническим каналам.

Комплекс оформим в виде таблицы (таблица 2.5).

Таблица 2.5. Комплекс инженерно-технических средств защиты информации "ГУП ОЦ "Московский Дом Книги"

Задача	Средства
предотвращение проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения	- охранная сигнализация и охранное телевидение; - заборы вокруг здания главного офиса "ГУП ОЦ "Московский Дом Книги"; - усиленные двери, стены, потолки, решетки на окнах; - охрана
защита носителей информации от уничтоже-ния в результате воздействия стихийных сил и прежде всего, пожара и воды  при его тушении	- пожарная сигнализация; - резервное копирование данных
предотвращение утечки информации по различным техническим каналам	- устройство для защиты линий электропитания и заземления от утечки информации "Соната-РС1"; - выжигатель устройств съема информации в проводных линиях связи и в обесточенной электросети "Молния"

2.3.2 Структура инженерно-технического комплекса информационной безопасности и защиты информации предприятия

Рис. 2.2. Инженерно-технические средства, включенные в систему физической защиты "ГУП ОЦ "Московский Дом Книги"

2.3.3 Контрольный пример реализации проекта и его описание

1. Цель создания системы: обеспечение физической безопасности информационных систем предприятия.

. Инженерно-техническая реализация: система охватывает всю информационную сеть "ГУП ОЦ "Московский Дом Книги" и включает в себя: информационный безопасность защита технический

- защиту информации, направленную на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;

защита информации, направленную на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации заинтересованными субъектами;

защиту информации, направленная на предотвращение воздействия на защищаемую информацию природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;

защиту информации, направленную на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

Таким образом, система предполагает защиту от:

проникновения злоумышленника к источникам информации с целью её уничтожения, хищения или изменения;

уничтожения в результате воздействия стихийных сил и прежде всего, пожара и воды (пены) при его тушении;

утечки информации по различным техническим каналам.

. Средства инженерно-технической реализации:

охранная сигнализация и охранное телевидение;

заборы вокруг здания главного офиса "ГУП ОЦ "Московский Дом Книги";

усиленные двери, стены, потолки, решетки на окнах;

охрана;

пожарная сигнализация;

резервное копирование данных;

устройство для защиты линий электропитания и заземления от утечки информации "Соната-РС1";

выжигатель устройств съема информации в проводных линиях связи и в обесточенной электросети "Молния".

Реализация проекта осуществляется в течение года и проходит в соответствии с нормативными правовыми актами, нормативными правовыми документами, стандартами (международными и отечественными).

3. Обоснование экономической эффективности проекта

 

3.1 Выбор и обоснование методики расчёта экономической эффективности

Основой определения эффективности защиты информации - это сопоставление отношения доходов и расходов.

Экономический эффект - конкретный результат экономической деятельности вне зависимости от затрат.

Экономическая эффективность - результативность деятельности, соотношение доходов и расходов, а также сопоставление результатов и затрат на их достижение.

Эффективность определяется с помощью различных показателей, при этом сопоставляются данные, выражающие эффект (прибыль, объем производства, экономия от снижения издержек) с затратами обеспечивающими этот эффект (капитальные вложения, текущие издержки). При решении экономических задач определяется результативность каждого предприятия и производится сопоставление различных результатов.

Различают два вида экономической эффективности:

абсолютную - соотношение результатов экономической деятельности и затрат для достижения этих результатов.

сравнительную - показывает изменение результатов экономической деятельности по отношению к уже достигнутым результатам.

Важное значение в расчете эффективности, в том числе и эффективности защиты информации является приведение расчетных величин к сопоставимым значениям, которое производится до расчетов. Приведение обеспечивает точность экономических расчетов и их обоснованность.

Расчеты производятся в одинаковых единицах измерения, за одинаковые отрезки времени, на одинаковое количество объектов расчета.

Расчет экономического эффекта и эффективности защиты информации основывается на выявлении ущерба, нанесенного владельцу информации противоправным ее использованием и позволяет оценить результативность защиты информации. Проведя анализ результатов расчетов, возможно внести изменения в систему защиты информации для более эффективной ее защиты, недопущения разглашения охраняемой информации в дальнейшем, т.к. разглашение данной информации влечет за собой огромные убытки (ущерб) от контрафактного ее использования злоумышленником.

Таблица 3.1. Характеристика затрат на обработку информации

3.2 Расчёт показателей экономической эффективности проекта

Экономическая эффективность - результативность экономической системы, выражающаяся в отношении полезных конечных результатов ее функционирования к затраченным ресурсам. Складывается как интегральный показатель эффективности на разных уровнях экономической системы, является итоговой характеристикой функционирования национальной экономики. Главным критерием социально-экономической эффективности является степень удовлетворения конечных потребностей общества и прежде всего, потребностей, связанных с развитием человеческой личности. Социально-экономической эффективностью обладает та экономическая система, которая в наибольшей степени обеспечивает удовлетворение многообразных потребностей людей: материальных, социальных, духовных, гарантирует высокий уровень и качество жизни. Основой такой эффективности служит оптимальное распределение имеющихся у общества ресурсов между отраслями, секторами и сферами национальной экономики.

Эффективность экономической системы зависит от эффективности производства, социальной сферы (систем образования, здравоохранения, культуры), эффективности государственного управления. Эффективность каждой из этих сфер определяется отношением полученных результатов к затратам и измеряется совокупностью количественных показателей. Для измерения эффективности производства используются показатели производительности труда, фондоотдачи, рентабельности, окупаемости и др. С их помощью сопоставляются различные варианты развития производства, решения его структурных проблем. Измерение эффективности социальной сферы требует использования особых качественных показателей развития каждой из отраслей этой сферы. Для государственной сферы необходимы специальные критерии соответствия затрат и результатов деятельности государства требованиям общества.

Экономически эффективным принято считать такой способ производства, при котором фирма не может увеличить выпуск продукции без увеличения расходов на ресурсы и одновременно не может обеспечить тот же объем выпуска, используя меньшее количество ресурсов одного типа и не увеличивая при этом затраты на другие ресурсы. Эффективность производства складывается из эффективности всех действующих предприятий. Эффективность предприятия характеризуется производством товара или услуги с наименьшими издержками. Она выражается в его способности производить максимальный объем продукции приемлемого качества с минимальными затратами и продавать эту продукцию с наименьшими издержками. Экономическая эффективность предприятия в отличие от его технической эффективности зависит от того, насколько его продукция соответствует требованиям рынка, запросам потребителей.

Таблица 3.2. Виды эффекта в зависимости от учитываемых результатов и затрат

Вид эффекта	Факторы, показатели
1. Экономический	Показатели учитывают в стоимостном выражении все виды результатов и затрат, обусловленных реализацией инноваций
2. Научно-технический	Новизна, простота, полезность, эстетичность, компактность
3. Финансовый	Расчет показателей базируется на финансовых показателях
4. Ресурсный	Показатели отражают влияние инновации на объем производства и потребления того или иного вида ресурса
5. Социальный	Показатели учитывают социальные результаты реализации инноваций
6. Экологический	Шум, электромагнитное поле, освещенность (зрительный комфорт), вибрация. Показатели учитывают влияние инноваций на окружающую среду

Таблица 3.3. Калькуляции себестоимости 1-го машино-часа работы ПЭВМ

№ п/п	Наименование статей затрат	1 машино-час работы ПЭВМ (сумм, руб.)
1	Основные и вспомогательные материалы	22
2	Комплектующие	161
3	Содержание и эксплуатация оборудования	385
	Себестоимость содержания	568
4	Общехозяйственные расходы	552
	Производственная себестоимость	1120
5	Коммерческие расходы (10% от производственной себестоимости)	112
	Полная себестоимость 1-го машино-часа работы	1232

Первоначальная сумма инвестиций в проект 16046442 рублей за год. Приток наличности составит 19255730,4 рублей в год от экономии в результате исключения угроз безопасности ИС и отсутствия простоев оборудования. Процентная ставка 8 % (i).

Р_т- стоимостная оценка результатов осуществления инновационного проекта за расчетный период.

Р_т = 16046442 ∙ 1,2 = 35176,8 руб.

Определим коэффициент дисконтирования по формуле:

,

где

t - расчетный период (лет).

Следовательно, чистая текущая стоимость за время реализации проекта равна:  19255730,4 ∙ 0,93 = 17907829,3 руб.

Для принятия решения о целесообразности инвестиций в проект нужно найти разность между чистой текущей стоимостью и первоначальной суммой инвестиций.

Рассматриваемый нами проект выгоден, так как доход больше, чем первоначальные инвестиции в проект:

,3 - 16046442 = 1861387,3 руб.

Чистую текущую стоимость называют также "чистым приведенным доходом", чистым современным значением (NPV).

Заключение

Широкое внедрение информационных технологий в жизнь современного общества привело к появлению ряда общих проблем информационной безопасности:

необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;

необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);

необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).

В ходе дипломного проектирования была разработана информационная система анализа безопасности информационных систем предприятия, включающая в себя следующие основные модули:

модуль "Программные, информационные и технические средства предприятия";

модуль "Информация о пользователях ИС предприятия";

модуль "База нарушений конфиденциальности, целостности или доступности ИС предприятия".

Разработанная система упростит работу системного администратора в "ГУП ОЦ "Московский Дом Книги" и позволит вовремя устранять возникающие угрозы.

Также в ходе дипломного проектирования была предложена программно-аппаратная и инженерно-техническая реализация обеспечения безопасности информационных систем на предприятии.

Средства программно-аппаратной реализации:

Antiviral Toolkit Pro;

- Doctor WEB;

Aidstest;

Integrity Anti-Spyware;

- корпоративные продукты Safe’n’Sec;

программное средство DeviceLock;

Outpost Security Suite/Firewall 7.0.4 (3403.520.1244);

BestCrypt для криптографической защиты информации;

Online Security Audit.

Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.

Инженерно-техническая защита использует следующие средства:

физические средства;

аппаратные средства;

программные средства;

криптографические средства.

Физические средства включают в себя различные инженерные средства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и защищающие персонал (личные средства безопасности), материальные средства и финансы, информацию от противоправных действий.

Средства инженерно-технической реализации:

охранная сигнализация и охранное телевидение;

заборы вокруг здания главного офиса "ГУП ОЦ "Московский Дом Книги";

усиленные двери, стены, потолки, решетки на окнах;

охрана;

пожарная сигнализация;

резервное копирование данных;

устройство для защиты линий электропитания и заземления от утечки информации "Соната-РС1";

выжигатель устройств съема информации в проводных линиях связи и в обесточенной электросети "Молния".

Расчет экономической эффективности внедрения системы информационной безопасности в "ГУП ОЦ "Московский Дом Книги" обосновал необходимость внедрения. По итогам расчета чистая прибыль после внедрения проекта в деятельность компании составит 1861387,3 в первый год после внедрения.

Список нормативных актов и литературы

1.     Государственный стандарт РФ "Аспекты безопасности. Правила включения в стандарты" (ГОСТ Р 51898-2002).

2.       Информационная безопасность (2-я книга социально-политического проекта "Актуальные проблемы безопасности социума"). М.: "Оружие и технологии", 2009.

.        Национальный стандарт РФ "Защита информации. Основные термины и определения" (ГОСТ Р 50922-2006).

.        Национальный стандарт РФ "Информационная технология. Практические правила управления информационной безопасностью" (ГОСТ Р ИСО/МЭК 17799-2005).

.        Национальный стандарт РФ "Методы и средства обеспечения безопасности. Часть Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий" (ГОСТ Р ИСО/МЭК 13335-1 - 2006).

.        Рекомендации по стандартизации "Информационные технологии. Основные термины и определения в области технической защиты информации" (Р 50.1.053-2005).

.        Рекомендации по стандартизации "Техническая защита информации. Основные термины и определения" (Р 50.1.056-2005).

.        Словарь терминов по безопасности и криптографии. Европейский институт стандартов по электросвязи

.        Бачило И.Л. Информационное право: основы практической информатики. Учебное пособие. М.: 2001.

.        Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. - М.: ПЕР СЭ-Пресс, 2005.

.        Доктрина информационной безопасности Российской Федерации / Чернов А.А. Становление глобального информационного общества: проблемы и перспективы. Приложение 2. М.: "Дашков и К", 2003.

.        Домарев В. В. Безопасность информационных технологий. Системный подход - К.: ООО ТИД Диа Софт, 2004. - 992 с.

.        Ильюшенко В.Н. Информационная безопасность общества. Учебное пособие. - Томск, 1998.

.        Кулаков В.Г. Региональная система информационной безопасности: угрозы, управление, обеспечение. - Автореф. дисс. … д-ра техн. наук. - Воронеж, 2005.

.        Лапина М. А., Ревин А. Г., Лапин В. И. Информационное право. М.: ЮНИТИ-ДАНА, Закон и право, 2004.

.        Уткин А.И. Глобализация: процесс осмысления. М.: "Логос", 2001.

.        Фролов Д.Б. Государственная информационная политика в условиях информационно-психологической войны. - М.: Горячая линия - Телеком, 2003.

Приложение 1

Листинг информационной системы анализа безопасности информационных систем предприятия

Unit1;

interface

uses, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,, StdCtrls;

type= class(TForm): TButton;: TButton;: TButton;: TButton;Show(Sender: TObject);Button5Click(Sender: TObject);Button1Click(Sender: TObject);Button2Click(Sender: TObject);Button3Click(Sender: TObject);

{ Private declarations }

{ Public declarations };

var: TForm1;: boolean;

implementationUnit2, Unit3, Unit4, Unit5;

{$R *.dfm}

procedure TForm1.Show(Sender: TObject);.Caption := 'Запрос пароля';:=true;.ShowModal;;

procedure TForm1.Button5Click(Sender: TObject);;;

procedure TForm1.Button1Click(Sender: TObject);

begin.Caption := 'Программные, информационные и технические средства предприятия';

add:=true;.ShowModal;;

procedure TForm1.Button2Click(Sender: TObject);

begin.Caption := 'Информация о пользователях ИС';

add:=true;.ShowModal;;

procedure TForm1.Button3Click(Sender: TObject);

begin.Caption := 'Информация о пользователях ИС';

add:=true;.ShowModal;;.

unit Unit2;

interfaceWindows, SysUtils, Classes, Graphics, Forms, Controls, StdCtrls,;

type= class(TForm): TLabel;: TEdit;: TButton;: TButton;OKBtnClick(Sender: TObject);CancelBtnClick(Sender: TObject);

{ Private declarations }

{ Public declarations };

var: TPasswordDlg;

implementationUnit1;

{$R *.dfm}

procedure TPasswordDlg.OKBtnClick(Sender: TObject);pass='111';Password.Text = pass then.Close;Application.Terminate;;

procedure TPasswordDlg.CancelBtnClick(Sender: TObject);

begin.Terminate;;.

unit Unit3;

interface

uses, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,, DB, ADODB, Grids, DBGrids, StdCtrls, RpCon, RpConDS, RpDefine,;

type= class(TForm): TDBGrid;: TADOConnection;: TADOTable;: TDataSource;: TButton;: TLabel;: TEdit;: TButton;: TRvProject;: TRvDataSetConnection;Button1Click(Sender: TObject);Edit1Change(Sender: TObject);Button2Click(Sender: TObject);

{ Private declarations }

{ Public declarations };

var: TForm3;

implementation

{$R *.dfm}

procedure TForm3.Button1Click(Sender: TObject);;;

procedure TForm3.Edit1Change(Sender: TObject);Not ADOTable1.Active then Exit;Not ADOTable1.Locate('Наименование средства', Edit1.Text, [loPartialKey, loCaseInsensitive])Application.MessageBox('Заданная строка не найдена', 'Поиск', MB_OK);;

procedure TForm3.Button2Click(Sender: TObject);

begin.Execute;;.

unit Unit4;

interface

uses, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,, DB, ADODB, Grids, DBGrids, StdCtrls, RpCon, RpConDS, RpDefine,;

type= class(TForm): TDataSource;: TDBGrid;: TADOConnection;: TADOTable;: TButton;: TButton;: TRvProject;: TRvDataSetConnection;: TLabel;: TEdit;Button1Click(Sender: TObject);Button2Click(Sender: TObject);Edit1Change(Sender: TObject);

{ Private declarations }

{ Public declarations };

var: TForm4;

implementation

{$R *.dfm}

procedure TForm4.Button1Click(Sender: TObject);.Execute;;

procedure TForm4.Button2Click(Sender: TObject);;;

procedure TForm4.Edit1Change(Sender: TObject);Not ADOTable1.Active then Exit;Not ADOTable1.Locate('ФИО сотрудника', Edit1.Text, [loPartialKey, loCaseInsensitive])Application.MessageBox('Заданная строка не найдена', 'Поиск', MB_OK);

end;.

unit Unit5;

interface

uses, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,, StdCtrls, Grids;

type= Record: Cardinal;: String[10];: String[60];: String[6];: String[30];;= class(TForm): TStringGrid;: TButton;: TButton;: TButton;: TButton;: TButton;: TOpenDialog;: TSaveDialog;: TButton;FormCreate(Sender: TObject);Button1Click(Sender: TObject);Button2Click(Sender: TObject);Button3Click(Sender: TObject);Button4Click(Sender: TObject);Button5Click(Sender: TObject);Button6Click(Sender: TObject);

{ Private declarations }

{ Public declarations };

var: TForm5;: File of Zap;: Zap;: Integer;: integer;: integer;: boolean;: integer;

implementationUnit6;

{$R *.dfm}

procedure TForm5.FormCreate(Sender: TObject);.Cells[0,0]:='№ п/п';.Cells[1,0]:='Дата';.Cells[2,0]:='Возникшая угроза';

StringGrid1.Cells[3,0]:='Отметка об устранении';

StringGrid1.Cells[4,0]:='Примечание';:=0;:=1;;

procedure TForm5.Button1Click(Sender: TObject);Kol<>0 theni:=Nomer to StringGrid1.RowCount-1 doStringGrid1 do begin[0,i]:= cells[0,i+1];[1,i]:= cells[1,i+1];[2,i]:= cells[2,i+1];[3,i]:= cells[3,i+1];[4,i]:= cells[4,i+1];;:=Kol-1;Kol<>0 then StringGrid1.RowCount:= Kol+1 else.Enabled:=False;;;;

procedure TForm5.Button2Click(Sender: TObject);.Caption:='Добавление записи';:=true;.ShowModal;

procedure TForm5.Button3Click(Sender: TObject);.Caption:='Изменение записи';:=true;.ShowModal;;

procedure TForm5.Button4Click(Sender: TObject);SaveDialog1.Execute then(f,savedialog1.FileName);FileExists(SaveDialog1.FileName) then

beginMessageDlg('Файл с таким именем уже существует. Перезаписать?', mtConfirmation,[mbYes,mbNo],0)=mrNo then exit;;(f,savedialog1.FileName);:=0;i<>StringGrid1.rowCount-1 do begin(i);.ID := StrToInt(stringgrid1.cells[0,i]);.Chisl:=stringgrid1.cells[1,i];.Ug:=stringgrid1.cells[2,i];.Otm:=stringgrid1.cells[3,i];.Prim:=stringgrid1.cells[4,i];

write(f,Rec); //запись данных в файл

end;(f);;;

procedure TForm5.Button5Click(Sender: TObject);Opendialog1.ExecuteFileExists(OpenDialog1.FileName) then(f,OpenDialog1.FileName);(f);:=0;not eof(f) do begin

read(f,Rec); //чтение данных из файла

inc(i);.cells[0,i]:=IntToStr(Rec.ID);.cells[1,i]:=Rec.Chisl;.cells[2,i]:=Rec.Ug;.cells[3,i]:=Rec.Otm;.cells[4,i]:=Rec.Prim;.RowCount:=i+1;;:=i;(f);else ShowMessage('Файл не существует!');

procedure TForm5.Button6Click(Sender: TObject);

begin;;.

unit Unit6;

interface

uses, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,, StdCtrls;

type= class(TForm): TLabel;: TLabel;: TLabel;: TLabel;: TLabel;: TEdit;: TEdit;: TEdit;: TComboBox;: TEdit;: TButton;: TButton;Button1Click(Sender: TObject);FormCreate(Sender: TObject);

{ Private declarations }

{ Public declarations };

var: TForm6;

implementationUnit5, Unit3;

{$R *.dfm}

procedure TForm6.FormCreate(Sender: TObject);.Items.Add('true');.Items.Add('false');Unit5.add=true then.Edit1.Text:='';.Edit2.Text:='';.Edit3.Text:='';.Edit3.Text:='';.ComboBox1.SelText := Form5.StringGrid1.Cells[3, Nomer];else.Edit1.Text:=Form5.StringGrid1.Cells[0,Nomer];.Edit2.Text:=Form5.StringGrid1.Cells[1,Nomer];.Edit3.Text:=Form5.StringGrid1.Cells[2,Nomer];.Edit4.Text:=Form5.StringGrid1.Cells[4,Nomer];.ComboBox1.Text:=Form5.StringGrid1.Cells[3,Nomer];;;

procedure TForm6.Button1Click(Sender: TObject);d:integer;Unit5.add then.Kol:=Unit5.Kol+1;.StringGrid1.RowCount:= Unit5.Kol+1;:=Unit5.Kol;Unit5.kol>0 then begin.Button1.Enabled:=True;;else d:=Unit5.Nomer;.StringGrid1.Cells[0,d]:=Edit1.Text;.StringGrid1.Cells[1,d]:=Edit2.Text;.StringGrid1.Cells[2,d]:=Edit3.Text;.StringGrid1.Cells[4,d]:=Edit4.Text;.StringGrid1.Cells[3,d]:=Form6.ComboBox1.Text;

Close;;.