Разработка мероприятий по защите информации на предприятии

Глава 1. Современный отечественный рынок разработки и поставки ИТ (информационно-телекоммуникационных) технологий на примере г. Москвы.

1.1. Анализ типовой продукции, производителей и поставщиков ИТ-технологий

1.2. Производственные отношения в среде производителей и поставщиков ИТ-технологий

Глава 2. Типовая организация по оказанию ИТ-услуг и поставки СВТ на примере ООО «Лан-Проект»

2.1. Цели и задачи, направления деятельности ООО

Глава 3. Актуальные вопросы защиты информации для типовой организации отрасли на примере ООО «Лан-Проект»

3.1. Угрозы информационной безопасности: модель нарушителя

Глава 4. Практические предложения по разработке мероприятий защиты информации в ООО «Лан-Проект»

4.2. Расчет экономических показателей и показателей защищенности, связанных с внедрением предлагаемой схемы защиты

Введение

Система защиты информации, обрабатываемой с использованием технических средств, должна строиться по определенным принципам. Это обусловлено необходимостью противодействия целому ряду угроз безопасности информации.

Основным принципом противодействия угрозам безопасности информации, является превентивность принимаемых мер защиты, так как устранение последствий проявления угроз требует значительных финансовых, временных и материальных затрат.

Дифференциация мер защиты информации в зависимости от ее важности и частоты и вероятности возникновения угроз безопасности является следующим основным принципом противодействия угрозам.

К принципам противодействия угрозам также относится принцип достаточности мер защиты информации, позволяющий реализовать эффективную защиту без чрезмерного усложнения системы защиты информации.

Противодействие угрозам безопасности информации всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу автоматизированных систем за счет налагаемых ограничений организационного и технического характера. Поэтому одним из принципов противодействия угрозам является принцип максимальной дружественности системы обеспечения информационной безопасности. При этом следует учесть совместимость создаваемой системы противодействия угрозам безопасности информации с используемой операционной и программно-аппаратной структурой автоматизированной системы и сложившимися традициями учреждения.

Принцип системного подхода к построению системы противодействия угрозам безопасности позволяет заложить комплекс мероприятий по защите информации уже на стадии проектирования, обеспечив оптимальное сочетание организационных и технических мер защиты информации. Важность реализации этого принципа основана на том, что дополнение функционирующей незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.

Из принципа декомпозиции механизма воздействия угроз безопасности информации вытекает принцип самозащиты и конфиденциальности системы защиты информации, заключающийся в применимости принципов противодействия угрозам к самой системе защиты и соблюдении конфиденциальности реализованных механизмов защиты информации в автоматизированной системе. Реализация данного принципа позволяет контролировать целостность системы защиты информации, управлять безопасностью через администратора безопасности, восстанавливать систему защиты при ее компрометации и отказах оборудования.

Из совокупности этих принципов вытекает необходимость выбора средств защиты еще на этапе подготовки к обработке конфиденциальной информации. Однако такой выбор нельзя провести квалифицировано, если неизвестен существующий рынок средств защиты информации. Именно вопросам изучения рынка и посвящен данный анализ.

Необходимо отметить, что актуальность и значимость проблем, касающихся обеспечения информационной безопасности государства, личности и общества в нашей стране, давно вывели их за узкотехнические рамки, придав им общественно-политическую значимость. Динамично развивается тенденция расширения круга лиц интересующихся вопросами защиты информации, как важного компонента обеспечения их законных прав и демократических свобод.

Целью дипломного проекта – является совершенствование системы защиты информации на предприятии ООО «Лан-проект». Объектом исследования в дипломном проекте является – технология обеспечения информационной безопасности, а предметом – информационная компьютерная безопасность предприятия.

В соответствие с поставленной целью решаются следующие задачи:

Методологической базой исследования является публикации периодической печати, научно-учебные статьи и монографии по информационной безопасности.

1.1. Анализ типовой продукции, производителей и поставщиков ИТ-технологий

По оценке РБК^¹, объем продаж на рынке информационных технологий (ИТ) в России в 2003 году достиг 5,8 млрд. долл. Таким образом, рост отрасли по отношению к 2002 году составил около 25%. Рост рынка даже превзошел оптимистичные прогнозы, во многом благодаря неувядающему спросу на компьютерное оборудование. Начало 2004 года свидетельствует о том, что темпы роста рынка в этом году не уменьшатся.

Самым щедрым инвестором в 2003 г., обеспечившим львиную долю спроса на ИТ , оказалось государство: затраты органов власти и управления на информатизацию в период с 2001 по 2003 год составили почти 3 млрд. долл., ожидается что с 2004 по 2007 годы затраты составят еще около 5 млрд. долл. На эти деньги отечественные чиновники оснастятся интернетом, компьютерами, оргтехникой и необходимым для госструктур программным обеспечением. В частности, предполагаемый ИТ-бюджет МНС на ближайшие четыре года близок к отметке в 600 млн. долл., из которых 150 млн. долл. удалось привлечь в 2002 году в качестве кредита Всемирного банка. Еще 150 млн. долл. Всемирный банк выделил в конце 2003 года. Десятки миллионов долларов в год в ИТ вкладывают ГТК и Федеральное казначейство. Тотальная компьютеризация продолжалась и в Пенсионном фонде.

Однако самый глобальный проект власти в сфере ИТ — это, безусловно, программа «Электронная Россия» (которая, как предполагалось, даст качественно новый толчок развитию ИТ-рынка). Несмотря на то, что денег на глобальную информатизацию государство выделяет гораздо меньше, чем первоначально запланировано, динамика роста затрат все-таки внушает оптимизм. Так, если в 2002 году было выделено 600 млн. рублей ($20 млн.), то в 2003-м в федеральном бюджете расходы по статье «Электронная Россия» возросли более чем в два раза — до 1,43 млрд. рублей ($44,5 млн.).

Несмотря на явные успехи отрасли, сама структура российского рынка ИТ по сравнению со странами Западной Европы пока остается довольно примитивной. Если рынок ИТ в Западной Европе несколько больше рынка телекоммуникаций, то в России он меньше почти в два раза. Если в Западной Европе доля оборудования в общей структуре рынка составляет около 30-50% в зависимости от страны, то в России эта цифра — 63%. Очевидно, что сейчас наша страна все еще завершает первый этап информатизации, который предполагает элементарное оборудование рабочих мест компьютерами, объединение их в сети, подключение к интернету, закупки ПК домашними пользователями, ведь только 11% жителей России имеют домашние компьютеры.

Следующий этап, который нам еще предстоит преодолеть, — это переход на более высокий технологический уровень, где ключевое значение имеет не «железо», а программные решения, услуги и заметная невооруженным глазом электронная коммерция. Разговоры об этом переходе ко «второму этапу» идут давно и надо отметить, что по сравнению с предыдущим годом в 2003 году Россия сделала несколько шагов в этом направлении. Так, доля компьютеров, комплектующих и периферии в общем объеме продаж (с учетом серого импорта) снизилась с 65% (2,7 млрд. долл.) до 58% от всех потраченных на ИТ-рынке средств (3,37 млрд. долл.), а вот доходы от услуг, разработки ПО и заказного программирования, напротив, возросли с 35% (1,66 млрд. долл.) до 42% (2,43 млрд. долл.).

Между тем в десятку лидеров российского ИТ-рынка по оборотам не входит ни одна компания, занимающаяся исключительно разработкой ПО или исключительно проектной интеграцией, а ведь именно эти предприятия в сегодняшней России являются наиболее наукоемкими в отрасли.

Достаточно интересны тенденции на рынке компьютерного оборудования и комплектующих. Поскольку прибыль компаний на рынке в зависимости от направлений колеблется в диапазоне 3-5%, крупнейшие игроки изыскивают способы оптимизации бизнеса и увеличения его прибыльности. Не случайно многие дистрибьюторы сейчас активизируют работу с конечными потребителями. Соответственно, снижается роль каналов в бизнесе дистрибьюторов, вендоры стараются увеличивать продажи путем создания собственных сервисных центров и поставок продукции в обход каналов, дистрибьюторы увеличивают «серые» поставки для повышения привлекательности своих продуктовых линеек. Дилеры же создают псевдолокальные бренды на местах путем простого маркирования продукции noname-производителей.

На рынке компьютеров нельзя не отметить взрывной рост сегмента ноутбуков и КПК, которые уже в ближайшие 2-3 года могут серьезно потеснить ПК на рынке. Также нельзя не отметить взрывной рост продаж и цен на LCD-панели, а также снятие с производства многих моделей ЭЛТ-мониторов.

На рынке услуг наиболее заметны тенденции укрупнения сервисных компаний, а также ориентация на реализацию комплексных и сложных проектов. Причем все чаще для реализации проектов для крупнейших холдингов или госструктур приходится прибегать к проектным альянсам или даже слияниям. Клиенты же предпочитают более дорогие, но зарекомендовавшие себя в мире и России решения известных западных разработчиков.

Для рынка тиражного ПО 2003 год стал переломным в плане осознания корпоративными пользователями целесообразности использования лицензионного ПО. В 2004 году на рынке продолжится отступление контрафактного ПО, даже в сегменте малого бизнеса, а темпы роста лицензионного ПО останутся стабильно высокими. Огорчает только тот факт, что до 70% ПО импортируется, а целый ряд российский компаний проигрывает конкурентную борьбу зарубежным поставщикам.

Рынок же заказного ПО переходит из фазы бурного развития в фазу стабильного развития на уровне, незначительно превышающем темпы роста рынка ИТ в целом. Дело в том, что спрос на отечественном рынке достаточно ограничен, тем более, что клиенты все чаще отдают предпочтение тиражным решениям. А на мировом рынке Россия никак не может стать полноценным конкурентом Индии, Израиля, скандинавских стран или Китая, и те немногие конкурентные преимущества, которые у нас есть, не позволят отнять значительную часть пирога у конкурентов.

Рынок ИТ вступил в фазу солидного роста, когда, с одной стороны, нет взрывного увеличения новых сегментов и появления серьезных конкурентов, а с другой, продолжается довольно стабильный рост. Кризис 1998 года забыт, топ-менеджеру ИТ-компании не составит труда спрогнозировать тенденции развития рынка на ближайшие несколько лет, что раньше вызывало серьезные затруднения. Согласно общим прогнозам, рынок ИТ имеет все шансы для интенсивного роста в течение нескольких ближайших лет. Определяющую роль на рынке играют дюжина холдингов, которые постепенно путем слияний или роста бизнеса превращаются в компании, играющие заметную роль в экономике России.

Подводя итоги 2003 года можно констатировать, что еще несколько лет назад рынок информационных технологий был нестабильным, слабо консолидированным, не умел лоббировать свои интересы. Теперь руководители этих холдингов наконец-то могут позволить себе заняться стратегическим развитием бизнеса, консолидацией отрасли, лоббированием.

Важнейшими задачами для руководителей холдингов и для всего рынка ИТ в целом на ближайшие годы будет совместная с правительством разработка стратегии развития рынка, разработка и реализация законотворческих инициатив, протекционизма на мировых рынках, разработка алгоритмов перераспределения инвестиций из сырьевых сфер в инновационные. Следует ожидать, что в случае успешной политики государства и стабильного общеэкономического климата рынок информационных технологий обеспечит себе стабильные темпы роста, в 3-5 раз превышающие рост ВВП на долгие годы.

В 2003 году произошло сразу несколько заметных событий в области информационной защиты. Самым главным, по мнению специалистов, работающих в сфере защиты информации, является вступление в силу с 1 июля закона «О техническом регулировании». Важным следствием закона стала отмена некоторых старых норм и прежде всего Указа президента № 334 об обязательном лицензировании средств криптографической защиты, а также ГОСТов, которые теперь станут техническими регламентами.

Практически одновременно с законом «О техническом регулировании» формально вступают в силу стандарты ISO15408. Как считает Александр Соколов, генеральный директор компании «Элвис-Плюс», при сложении этих событий возникает парадокс. С одной стороны — с 1 июля стандарты отменены, но с другой стороны уже с 1 января следующего года вводится стандарт, непосредственно относящийся к области защиты информации, так называемые «Общие критерии» (Common criteria).

Важное значение для отрасли защиты информации имеет концепция изменения нормативных актов, в числе которых законодательство об ЭЦП, коммерческой тайне и защите информации. Инициатором реформы выступает Минэкономразвития. Среди прочего министерство планирует очистить закон «Об ЭЦП» от излишних технологических подробностей и добавить в него описание других электронных аналогов собственноручной подписи.

В 2003 году, к сожалению, так и не произошло заметных подвижек в вопросе полноценного развития систем электронной подписи. В прошедшем году Минсвязи планировало создать национальную систему PKI, путем организации федерального сертификационного центра с осуществлением его кросс-сертификации с уже существующими региональными центрами. Будут ли реализованы эти планы после произошедшего в начале 2004 года реформирования правительства пока не понятно.

Российский рынок защиты информации еще сравнительно молод в своем коммерческом обличье. Никто не спорит, что институты защиты информации сформировались в нашей стране очень давно и до сих пор очень сильны. До сих пор мы пользуемся плодами, «выращенными» лет 20 назад. Выход групп специалистов, работающих в сфере защиты информации, на свободный рынок в качестве коммерческих структур только придал новый, положительный импульс развитию всего отечественного рынка ЗИ. И это не преминуло сказаться на обороте: если в 2001 г. объемы продаж составляли 700 млн. руб., то в 2002 г. уже 1,5 млрд. руб. В 2003 г. этот показатель по предварительным данным снова удвоился и превысил 3,2 млрд. руб.

Рис. 1.1. Объемы продаж на рынке защиты информации в России

Динамика роста рынка ЗИ на протяжении 2001 — 2003 гг. явственно свидетельствует о том, что рынок еще не сформирован и далек от насыщения. Все больше средств на защиту информации выделяется со стороны органов государственной власти. И это понятно, ведь только за 2003 год ФСБ было пресечено более 900 попыток проникновения в информационные ресурсы органов государственной власти России. При этом за этот период в сфере компьютерной безопасности выявлено 112 преступлений, в результате которых 25 человек были осуждены. В отношении 19 были вынесены постановления об административной ответственности.

Между тем, ключевым двигателем роста спроса на услуги и средства в сфере ЗИ является корпоративный сектор. Очевидно, что причина тому — осознание заказчиком важности внедрения подобных систем, которые предотвращают (или, как минимум, ограничивают) проникновение злоумышленников в компьютерные системы разных компаний. Вполне возможно, что в 2004 году мы будем свидетелями нового скачка.

Средства защиты информации, присутствующие в настоящее время на рынке условно можно разделить на несколько групп:

активные и пассивные технические средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при применении средств ее обработки;

программные и программно-технические средства, обеспечивающие разграничение доступа к информации на различных уровнях, идентификацию и аутентификацию пользователей;

программные и программно-технические средства, обеспечивающие защиту информации и подтверждение ее подлинности при передаче по каналам связи;

программно-аппаратные средства, обеспечивающие целостность программного продукта и защиту от несанкционированного его копирования;

программные средства, обеспечивающие защиту от воздействия программ-вирусов и других вредоносных программ;

физико-химические средства защиты, обеспечивающие подтверждение подлинности документов, безопасность их транспортировки и защиту от копирования.

Особняком стоят защищенные общесистемные программные продукты, исключающие возможность использования недекларированных программных возможностей. Таких систем пока еще не очень много. Среди них можно назвать операционную систему МС ВС, разработки ВНИИНС и систему управления базами данных “ЛИНТЕР” разработки НПО “Рэлэкс”, которые прошли этап сертификации и рекомендуются для использования при обработке конфиденциальной информации. Сейчас ведутся серьезные переговоры с зарубежными фирмами о сертификации таких программных продуктов, как ОС “Windows-NT”, “Solaris”, “Orakl”. Это достаточно сложный процесс. Ожидается, что эти продукты появятся на рынке к концу этого или середине следующего года.

В настоящее время под руководством Гостехкомиссии России и ФАПСИ ведутся работы по созданию новых информационных технологий защиты информации.

В рамках этих работ, в частности, разработаны и прошли Государственную сертификацию программные средства защиты информации от несанкционированного доступа "Снег-1.0", "Снег-2.0", "Снег-ЛВС", "Secret Net 1.0","Secret Net 2.1", "Dallas Lock 3.0", "Dallas Lock 3.1", "Сизам", "Страж-1", прграммно-аппаратные комплексы “Аккорд”, “Диз 1.0”, “SVET&Q” и другие.

В это же ряду стоят и специальные устройства - межсетевые экраны, - обеспечивающие защиту корпоративных сетей от вторжения из глобальных информационных сетей типа Internet. Это программно-аппаратные комплексы “SKIP” и “Пандора”.

В качестве примера технических средств, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при применении средств ее обработки можно привести генераторы шума ГШ-1000, ГШ-1000к, устройство защиты “Салют”, обеспечивающие скрытие информационных побочных электромагнитных излучений средств обработки информации, сетевые помехоподавляющие фильтры ФСПК-100 и ФСПК-200, устройство защиты от перехвата речевой информации через телефонные аппараты “Корунд”и целый ряд других.

Рядом организаций, имеющих лицензию Гостехкомиссии России, отработана уникальная технология доработки персональных ЭВМ, удовлетворяющих требованиям по защите информации (АО "ДОС", АО "РНТ", АО "Ланит", АО "СВЕМЕЛ").

Для подтверждения подлинности сообщений используются системы электронной цифровой подписи и криптографической защиты "Верба", "Верба-О"и "Маскарад".

В настоящее время средства и системы, предназначенные для защиты информации и подтверждения ее подлинности при передаче по каналам связи и, в первую очередь, криптографические устройства, производятся более чем 700 зарубежными фирмами. Эти устройства время от времени появляются и на российском рынке. Однако, необходимо отметить, что ни одно зарубежное средство шифрования не прошло сертификацию в соответствии с законами, установленными в Росийской Федерации, и поэтому гарантий обеспечения безопасности обработанной с их помощью информации при использовании в автоматизированных системах, предназначенных для обработки конфиденциальной информации нет. Сертификаты же, выданные иностранными учреждениями и компаниями, юридической силы в России не имеют.

Можно привести следующие примеры. Фирмой IBM (США) выпускаются встраиваемая в ПЭВМ плата криптографической защиты, а фирмой Intel выпускается микросхема I8272, реализующие алгоритм DES. Фирма Cylink (США) производит блок, реализующий алгоритм DES с дополнительными сервисными сетевыми возможностями. Блок работает с потоками информации до 2,048 Мбит/сек, и поддерживает интерфейсы по Рекомендациям V.35, X.21 МСЭ-Т и RS-449/442 и управляется по интерфейсу RS-232. Фирма Western Data Com (США) выпускает модем по рекомендации V.32 МККТТ, работающий на скорости до 19,2 Кбит/с и автоматически шифрующий информацию по стандарту DES.

Для защиты конфиденциальной информации, передаваемой по каналам связи могут использоваться скремблеры и шифраторы. Фирма Thomson-CSF (Франция) выпускает речевые скремблеры типа TRC 769 защищающие телефонные каналы путем частотно-временных перестановок со скользящим окном. Для защиты конфиденциальной информации в каналах радиосистем связи предназначены устройства фирмы Simens (Германия), Grundy & Pirtners (Великобритания).

Ряд фирм выпускает криптографические устройства ориентирован-ные на работу в сетях, например, шифратор ScaNet фирмы Dowty Network Systems (Великобритания), шифратор Datacryptor-64 фирмы Racal Datacom (США) для пользователей сети с пакетной коммутацией по протоколу X.25 МККТТ. Фирма NFT (Норвегия) разработала серию криптомодулей со скоростями до 10 Мбит/с, предназначенных для засекречивания потоков и применения в локальных сетях. Фирма Xerox (США) создала блок высококачественного шифрования данных Xerox Encription Unit, обеспечивающий защиту особо секретной информации, в локальной сети. Фирма PE Systems (США) поставляет систему GILLAROO для передачи цифровой подписи и защиты секретной информации, передаваемой в сетях и каналах связи. Фирма Calmes Semiconductor Inc. (США) производит криптопроцессор СЛ34С168 для блочного шифрования на скорости до 300 Кбит/с. За последнее время предложены новые алгоритмы шифрования, например NEWDES и FEAL, рассчитанные на шифрование потоков со скоростями до 1 Гбит/с.

Средства криптографической защиты, выполненные российскими производителями, в наибольшей степени соответствуют принятым в России требованиям, однако, не все из этих устройств имеют соответствующий сертификат ФАПСИ, что делает их применение противозаконным. Вместе с тем, по желанию заказчика, эти устройства могут быть выставлены на сертификационные испытания в Системе ертификации средств криптографической защиты информации.

Реализация алгоритма по ГОСТ 28147-89 эффективно может быть осуществлена на универсальных либо на сигнальных процессорах. Шифратор "Спринт" (АО "Инфотекс") выполнен на программируемой логической матрице фирмы Xilinx и обеспечивает работу на скоростях до 10 Мбит/сек. Протокол обмена программируется по требованиям заказчика. Плата DB-25RS (АО "Сигнал РОКС"), выполненная на сигнальном процессоре TMS320C25, обеспечивает криптографическую защиту вокодерной связи или данных на скорости 2400 бит/сек. Фирма "Анкад" выпускает устройство шифрования данных "КРИПТОН-3" для коммерческой связи, встраиваемое в ПЭВМ. НПО "Автоматика" предлагает встраиваемую в ПЭВМ плату "Корунд", предназначенную для защиты информации в каналах связи и на носителях внутри ПЭВМ. Ряд отечественных фирм выпускает скремблеры для засекречивания телефонных сообщений - УЗТП (АО "Инфотекс"), БАЗАЛЬТ (НПО "Автоматика"), АКТП (НПО "Элас").

Известны некоторые программные варианты решения вопроса криптографической защиты по ГОСТ 28147-89. Примером таких программных продуктов являются пакеты программ "Град" (ЦНИИатоминформ), "Удача" (АО "Инфотекс"), "Нотариус" и "Афина" (АО "ЛАН Крипто").

На радиолиниях Минсвязи России широко применяются устройства засекречивания телеграфной информации "Трап-1", "Ю-123", "Ю-122", "Вежа-С" и телефонной информации, разработанные НИИР. Эти устройства имеют сертификат соответствия ФАПСИ.

Подразделениями НТЦ ФАПСИ ведутся работы по созданию нового стандарта "электронной подписи", обеспечивающей защиту документированной информации при высоких скоростях ее передачи по каналам связи.

Войсковой частью 01168 и АО "Диалог-Наука" созданы программные средства, обеспечивающие защиту от воздействия программ-вирусов и других вредоносных программ, а также программы-ревизоры магнитных носителей. Надо отметить, что Гостехкомиссией России сейчас принимаются определенные усилия по разработке специального руководящего документа, который позволит предъявит к программам такого класса специальные требования и, как следствие, провести их сравнение на уровне сертификационных испытаний. Пока таких требований нет. Однако можно с уверенностью сказать, что такие антивирусные программы как "DoctorWeb", “Aidstest”, “Adinf”, “Sherif” могут успешно использоваться потребителями, правда если это лицензионные копии, за которые несет ответственность фирма-производитель.

В последнее время все более широкое распространение на рынке программно-аппаратных средств защиты информации получают системы предотвращения несанкционированного копирования программных продуктов типа "HASP - ключей".

Основой многих современных систем охраны помещений и защиты от несанкционированного доступа к информации служат электронные идентификационные устройства. Примером такого устройства является автоматический идентификатор, производимый американской фирмой DALLAS SEMICONDUCTOR. Идентификатор может быть встроен в брелок, визитную карточку, пропуск. В зависимости от варианта применения автоматический идентификатор может использоваться с различными дополнительными устройствами: электронными замками, компьютерами. Системы обеспечения безопасности на его основе выпускаются Ассоциацией "Конфидент", АО "РНТ", АО "Аладдин", АО "Информзащита", АО "АРТИ".

Наличие в идентификаторе изменяемой памяти позволяет использовать его для широкого класса приложений, например, для хранения личных, периодически изменяемых ключей шифрования пользователя; для хранения информации о состоянии личного счета пользователя для расчетных систем; для хранения информации о разрешенном времени прохода в пропускных системах. Использование идентификатора вместе с электронными замками дает широкие возможности по управлению доступом пользователей в режимные помещения: централизованное оперативное слежение за проходом в помещения, дистанционное управление допуском, гибкое установление правил допуска в помещения (например, по определенным дням и часам).

Еще несколько слов о новейших технологиях основанных на использовании физико-химических свойств материалов и обеспечивающих подтверждение подлинности документов, безопасность их транспортировки и защиту от копирования. Это специальные тонкопленочные материалы с изменяющейся цветовой гаммой на основе технологии Advateg, наносимые на документы и предметы или галографические метки. Они позволяют однозначно идентифицировать подлинность объекта и контролировать несанкционированный доступ к ним. Кроме того, на основе технологии Advateg разработаны специальные конверты, пакеты и другой упаковочный материал, который позволяет гарантировать конфиденциальность документов и материальных средств при их транспортировке даже по обычным почтовым каналам. Сейчас такие средства проходят сертификацию в системе сертификации Гостехкомиссии России.

Учитывая, что рынок средств защиты информации постоянно развивается, можно ожидать, что в ближайшее время номенклатура предлагаемых средств защиты значительно расширится.

Этот анализ далек от совершенства, однако он позволяет сделать определенные выводы и дать рекомендации по защите информации при ее обработке с использованием автоматизированных систем и других технических средств. Для защиты целесообразно использовать:

для абонентских пунктов (терминалов) корпоративных сетей и автоматизированных систем, с целью исключения несанкционированного подключения дополнительных терминалов и защиты уникальных программных продуктов, являющихся собственностью владельца автоматизированной системы, - электронные ключи на базе HASP-технологий;

для абонентских пунктов (терминалов) корпоративных сетей с целью разграничения доступа пользователей к ресурсам и файлам автоматизированной системы - сертифицированные системы защиты от несанкционированного доступа или уникальные системы защиты после их сертификации в Системе сертификации средств защиты информации;

для обрабатывающего центра автоматизированной системы учреждения с целью разграничения полномочий пользователей - уникальные системы защиты от несанкционированного доступа, построенные с учетом используемых операционных систем после их сертификации;

для абонентских пунктов и обрабатывающего центра автоматизированной системы с целью предотвращения утечки информации за счет побочных электромагнитных излучений - сертифицированные по требованиям безопасности информации вычислительные средства (например, персональные ЭВМ типа PC AT/486DX, сборки АО "ДОС" г. Долгопрудный, РС Pentium поставки АО "Ланит" Москва, АО "СВЕМЕЛ" Москва, АО "РНТ" Москва), либо имеющиеся в наличии персональные ЭВМ и файл-серверы совместно с активными средствами защиты типа ГШ-1000 (СКБ ИРЭ РАН), “Салют” (НТФ “Криптон”);

для помещений с целью защиты от несанкционированного доступа в них - электромеханические системы, поставляемых Ассоциацией "Конфидент", АО "РНТ", АО "Аладдин", АО "АРТИ", а с целью защиты от перехвата речевой информации через телефонные аппараты - устройства “Корунд” (ТОО “Реном”);

для каналов связи с удаленными объектами, с целью защиты информации и подтверждения ее подлинности при передаче - системы электронной цифровой подписи и криптографической защиты "Верба", "Верба-О";

для защиты вспомогательных технических средств (телефонные аппараты, телефаксы, системы радиотрансляции, часофикации, пожарной и охранной сигнализации), устанавливаемых в категорированных помещениях - средства защиты (типа Гранит- N), разрабатываемые и поставляемые НТСЦ "Заслон", СНПО "Элерон";

для программных продуктов, используемых в автоматизированных системах, с целью защиты от программ-вирусов - программные средства, разработки АО "Диалог-Наука" типа"Dr.Web", AVP Касперского и др.

Необходимо также помнить, что любые средства защиты информации целесообразно проверить на эффективность выполнения ими специальных функций после установки. Для контроля эффективности принятых мер защиты целесообразно привлечь специализированные организации, имеющие лицензию Гостехкомиссии России на соответствующий вид деятельности, которые имеют соответствующую аппаратуру и специалистов требуемой квалификации.

1.2. Производственные отношения в среде производителей и поставщиков ИТ-технологий

Участниками рынка ИТ-технологий являются следующие виды компаний: производители оборудования и программного обеспечения, провайдеры, дилеры, субдилеры, дистрибьюторы, системные интеграторы. Целесообразно дать определения данным терминам.

Провайдер (англ. provider, ISP) - это компания, предоставляющая услугу доступа в интернет и, возможно, другие услуги, такие как хостинг, e-mail и др. Большинство провайдеров предоставляет доступ в интернет посредством модема частным лицам - dialup. Провайдеры, которые обеспечивают корпоративный доступ в интернет, часто предлагают выделенные высокоскоростные линии связи, в том числе оптоволокно, радиодоступ и т.п.

Дилер (коммерческий агент) - посредник, специализирующийся на продаже и послепродажном обслуживании конкретного вида товаров, доходы которого складываются из разницы между продажной и покупной ценами.

Эксклюзивный дилер - дилер, занимающийся сбытом и гарантийным техническим обслуживанием продукции одной фирмы.

Субдилер - агент дилера, совершающий посреднические операции от имени дилера и за его счет.

Дистрибьютор - фирма, осуществляющая оптовую закупку определенных товаров у крупных промышленных фирм-производителей и сбыт товаров на региональных рынках. Обычно фирма-дистрибьютор:

- устанавливает длительные контрактные отношения с производителями;

- представляет фирму-производителя на региональном рынке;

- обладает преимущественным правом приобретать и продавать оборудование, технические новинки, программное компьютерное обеспечение.

Генеральный дистрибьютор - дистрибьютор, организующий сбыт в регионе продукции определенной фирмы своими силами или через собственную дилерскую сеть.

Крупные корпорации, как правило, имеют две группы партнеров: прямые и работающие через дистрибьюторов. Прямые — это сами дистрибьюторы и VAR-партнеры. Дистрибьюторы имеют сеть дилеров, обычно хорошо справляющихся с работами типа box moving; главным образом это продажи ПК. Настоящие дистрибьюторы — в чистом виде финансовые торгово-закупочные компании, которых не интересуют конечные заказчики. На мой взгляд, реальных дистрибьюторов в России не более трех-четырех.

К этой же группе условно можно отнести дистрибьюторов по конкретным продуктам. Но дистрибьютор должен хорошо разбираться в этой технике, и если этого нет, дилер, покупающий у таких дистрибьюторов, оказывается без поддержки. На Западе, где объем колоссален, дистрибьюторы этой группы имеют свою рыночную нишу, но не у нас.

VAR-партнеры (VAR — Value Added Remarketer) работают непосредственно над проектами заказчиков, предлагая им решения на базе сложного оборудования. При определенных условиях эти партнеры могут продавать ПК в составе проектов и, если есть желание, заниматься дистрибуцией. Хотя последнее чаще оказывается невыгодным — иная специфика, иные кредитные линии, поэтому VAR-партнеру выгоднее отдать дистрибьютору контракт на поставку. Обращаю внимание, и это очень важный, с моей точки зрения, момент: порочна практика, когда на базе дистрибьюторов вырастают VAR-партнеры или наоборот.

Статус VAR обязывает партнера добавлять к поставляемому оборудованию нечто свое. Это могут быть собственные разработки, или системы ERP, или САПР, или сервис. На практике, однако, оказывается, что заниматься прикладными разработками только на базе одной платформы в России невозможно — слишком малы объемы.

Как и дистрибьютор, VAR-партнер обычно имеет собственную сеть региональных партнеров. К нам приходят достаточно крупные местные компании, которые по требованию своих заказчиков включают в проект оборудование от определенной фирмы, хотя и не имеют с этим производителем прямых контактов. Такая сеть второго уровня, работающая через VAR-партнеров, формально не является дилерской сетью, но именно в этой схеме она намного эффективнее, чем в случае дистрибьютор — дилер. Во-первых, VAR-партнер с точки зрения финансов начинает работать как дистрибьютор, а во-вторых, он предлагает дилерам свой сервис и квалифицированную поддержку. Хотя изначально у дистрибьюторов финансовые условия лучше, но потом, при работе со сложной техникой, уверен, эта экономия выйдет клиенту боком.

В структуре партнерской сети есть еще одна группа — крупные системные интеграторы, в силу своей специфики стремящиеся стать партнерами всех и вся. Такие компании работают одновременно с большим числом производителей.

Прежде всего, замечу, что несмотря на популярность этого словосочетания, до сих пор нет его однозначного определения, а тем более для России.

Коротко говоря, это экран между заказчиком и внешним ИТ-миром. При работе над проектом заказчик взаимодействует только с одним исполнителем, а по всем проблемам обращается только к одному лицу.

Это прекрасно, но, на мой взгляд, каждый конкретный случай надо рассматривать отдельно. В то же время, когда слышишь, что с комбинатом Х работает системный интегратор Y, а на другой день читаешь, что с этим же комбинатом работает еще компания Z, которая также называет себя системным интегратором, возникает сомнение в адекватности этих интеграторов. А если еще знаешь масштабы производства и сложность инфраструктуры Х, то возникает мысль, что кто-то здесь лукавит.

С другой стороны, можно рассматривать интеграторов как первопроходцев, которые приходят к клиенту, проводят колоссальную работу, запускают проект, который поначалу вроде бы успешно реализуется, но со временем выясняется, что реально работу выполняют совсем другие компании, а первопроходец ни за что уже не отвечает. Заказчик, после того как системный интегратор ему все разжевал и разложил по полочкам, начинает работать с поставщиками напрямую — с VAR-партнерами или дистрибьюторами, имеющими определенную специализацию. Вот и получается, что иногда надо приглашать таких первопроходцев, а иногда самим работать в шкуре системного интегратора, но в рамках своей компетенции. Коротко говоря, если мы нужны заказчику как системные интеграторы, мы так и работаем, но если в этом нет необходимости, Лан-Проект не пытается объять необъятное. Мы исходим из реальных потребностей клиентов.

В России очень тяжело быть системным интегратором. По определению компания-интегратор пишет проект информатизации конкретной структуры и потом находит субподрядчиков, которые выполняют реальные работы. Впервые такая компанию была еще в начале 90-х в Сургуте. Они раздавали руководителям анкеты, на основе которых автоматически генерировали проект, рисовали блок-схемы и презентовали все это представителям заказчика. Ясно, что реально это не более чем прожекты, но это нужно было только для того, чтобы руководитель задумался, что происходит у него на предприятии, а возможно, и принял какое-то решение. Единственная цель работы этих первых в России «системных интеграторов» — сдвинуть с места заказчика (как сказали бы сейчас — выполнить предпроектные исследования). В этом смысле я уважаю системного интегратора, если его деятельность позволила сдвинуть заказчика. Но если он заявляет, что именно благодаря его проекту все заработало, то это профанация. Сейчас модно называться системным интегратором.

Идеальная компания-производитель не должна быть конкурентом своих партнеров. Кроме того, в случае конфликтов она должна занимать нейтральную позицию. Единственный критерий рекомендации партнера — его профессионализм в определенной области, будь то AS/400, RS/6000 или мэйнфреймы.

Можно нарисовать следующую идеальную картину взаимодействия заказчика и поставщика, которая в России пока еще практически недостижима. Заказчик должен иметь возможность обратиться к консалтинговым компаниям за разъяснениями: что сейчас имеется на рынке, что хорошо в данный момент для реализации интересующего заказчика проекта и что будет хорошо в будущем. Кроме того, консультант может предоставить обзор, объективно отражающий позиции по всем продуктам и производителям. Именно за это заказчик платит деньги, при этом гарантируется, что консультант никак не связан ни с конкретным поставщиком, ни с его местным партнером, ни с интегратором.

Далее по отдельной договоренности консультант может предоставить дополнительную информацию по выполнению конкретного проекта: какие компании способны выполнить заказ, какие цены в данный момент приняты на рынке, какие конкретные шаги должен предпринять заказчик и какие неожиданности могут встретиться на его пути. После этого заказчик, вооружившись полученной информацией, идет к консультантам, имеющим более узкую специализацию: по ERP-системам, САПР и т. д., которые, в свою очередь, рекомендуют список партнеров. При этом сам консультант не продает одновременно несколько таких продуктов, его задача — сбор информации, анализ рынка и, возможно, изучение продуктов. На рынке ПО трудно встретить компанию, которая одновременно продает две-три разные системы класса ERP, однако почему-то в области сложной вычислительной техники находятся фирмы, которые одновременно продают и Sun, и HP, и IBM.

Увы, это идеализированная картина — у нас до сих пор не привыкли платить за консалтинг, делая проект либо самостоятельно, либо обратившись к системному интегратору. Но я убеждена, что ни один интегратор не может быть объективен при выборе конкретных платформ, хотя и должен по своему статусу. Нельзя совместить функции консалтинга с продажей конкретного продукта. Кроме того, консультантов необходимого профессионального уровня в России пока маловато. Однако главное, что сами заказчики к такой схеме еще не готовы.

1.3. Система заказов и тендеров в отрасли

В системе заказов и тендеров используются следующие определения и понятия: тендер, заказ, предмет тендера, претендент, участник тендера, тендерная документация, заявка на участие в тендере, тендерное предложение, требования к участнику тендера. Рассмотрим их более подробно.

Тендер - конкурсная форма проведения подрядных торгов; соревнование представленных претендентами оферт с точки зрения их соответствия критериям, содержащимся в тендерной документации.

Открытый тендер (открытые торги) - торги, к участию в которых приглашаются все желающие фирмы и организации. О проведении открытых торгов публикуются объявления в периодической печати. Большое число участников обостряет конкуренцию, что позволяет разместить заказы на более выгодных условиях.

Закрытый тендер (закрытые торги) - торги, к участию в которых приглашается ограниченное число фирм и консорциумов. Объявления о проведении закрытых торгов не публикуются, приглашения принять в них участие направляются в индивидуальном порядке. Обычно в закрытых торгах участвуют наиболее крупные фирмы или их консорциумы.

Заказ - поручение на производство товаров или услуг, совокупность заключенных договоров на поставку оборудования.

Предмет тендера — право заключения договора на поставку оборудования.

Тендерная комиссия — орган, который обладает полномочиями по размещению заказа на поставку оборудования.

Претендент – юридическое лицо или предприниматель без образования юридического лица, зарегистрированный в установленном законом порядке, получивший приглашение к участию в тендере, изъявивший желание участвовать в тендере, подавший заявку на участие в тендере.

Участник тендера — претендент, прошедший процедуру допуска до участия в тендере и на основании решения тендерной комиссии получивший право на участие в тендере.

Тендерная документация — комплект документов, содержащий приглашение к участию в тендере, информацию о предмете и условиях закрытого тендера, инструкцию участникам тендера, примерную форму договора поставки, а также условия передачи победителю заказа на поставку оборудования.

Заявка на участие в тендере (заявка) — комплект документов, представленный претендентом, включающий всю необходимую информацию, которая требуется тендерной комиссии для оценки квалификации поставщика. Оформляется в письменном виде, удостоверяется претендентом, представляется в порядке и способом, указанными в тендерной документации.

Требования к участнику тендера - совокупность критериев, подтверждающих готовность претендентов к выполнению заказа.

Тендерное предложение – документ, подающийся претендентом в запечатанном конверте и содержащий коммерческое предложение участника тендера.

Организатор тендера осуществляет процедуру по размещению заказа на поставку оборудования путем проведения закрытого тендера, как наиболее предпочтительного способа закупки. Решение о проведении закрытого тендера, сроках проведения, составе тендерной комиссии определяется соответствующим приказом по организации.

Процедура проведения закрытого тендера включает:

- Рассылку приглашений к участию в тендере (только организации, определенные тендерной комиссией);

- проведение процедуры допуска претендентов к участию в тендере;

- определение победителя тендера и участника, занявшего второе место (по каждому лоту);

- подписание договора поставки с победителем тендера.

Приглашения к участию в закрытом тендере рассылаются организатором тендера не позднее, чем за 30 дней до срока окончания подачи заявок. Сообщение о проведении тендера должно содержать сведения:

- о наименовании Организатора тендера, времени и месте проведения тендера;

- о порядке, сроках и месте получения тендерной документации;

- о месте и сроке подачи заявок на участие в тендере;

Внесение изменений в приглашение к участию в тендере вносится не позднее, чем за 7 дней до истечения срока приема заявок.

Тендерная комиссия формируется как орган, на который возлагаются функции по организации тендера и определению его победителя.

Все решения тендерной комиссии принимаются простым большинством голосов присутствующих на заседании членов комиссии. При равенстве голосов решающим является голос председателя тендерной комиссии. Каждый член комиссии обладает одним голосом.

Члены тендерной комиссии обязаны присутствовать на ее заседаниях. Заседание тендерной комиссии не является правомочным, если на нем отсутствуют председатель комиссии и его заместитель, либо присутствует менее одной второй от числа членов комиссии. В случае своего отсутствия член тендерной комиссии может передать право голоса по доверенности другому лицу, представляющему тот же орган, организацию.

В соответствии с процедурой проведения тендера комиссия:

- проверяет комплектность и соответствие документов, представленных претендентами на участие в тендере, требованиям законодательства;

- принимает решение о допуске претендентов к участию в тендере;

- определяет победителя тендера и участника, занявшего второе место по итогам рассмотрения тендерных предложений (по каждому лоту).

Решения тендерной комиссии фиксируются в протоколах с обоснованием принятия решений. Для оценки тендерных заявок комиссия может привлекать экспертов, которые в этом случае должны представить экспертное заключение в письменном виде.

Члены тендерной комиссии и привлекаемые эксперты не имеют права до завершения тендера разглашать информацию по существу рассматриваемых предложений лицам, не входящим в состав тендерной комиссии.

Тендерная комиссия оставляет за собой право:

- принимать или отклонять любую тендерную заявку в соответствии с настоящим Порядком;

- не отклонять заявки, имеющие незначительные формальные нарушения;

- прекратить процедуру тендера и отказаться от всех заявок в любое время, не неся при этом никакой ответственности перед поставщиками, которым такое действие может принести убытки.

Организатор тендера предоставляет комплект тендерной документации заинтересованным организациям, получившим приглашение на участие в закрытом тендере. Предоставление тендерной документации может осуществляться на бумажных носителях или в электронном виде.

Претендент вправе обратиться к организатору тендера с просьбой о разъяснении положений тендерной документации письменно (письмо, факс, телеграмма) или в форме устного запроса. При направлении запроса в письменной форме Организатор тендера в 3-х дневный срок обязан письменно ответить на любой запрос претендента о разъяснении тендерной документации, полученный не позднее 10 дней до окончания срока подачи заявок на участие в тендере.

Изменение тендерной документации, не меняющее основные условия тендера, вносится не позднее, чем за 5 дней до истечения срока приема заявок и доводится до сведения всех лиц, которые изъявили желание участвовать в тендере.

При решении тендерной комиссии об изменении основных условий тендера организатор тендера извещает всех претендентов, принимающих участие в тендере.

Для того чтобы предоставить претендентам время для учета внесенных изменений при подготовке своих заявок, организатор тендера может продлить срок приема заявок, в этом случае все права и обязанности претендентов, связанные с первоначальным сроком, распространяются на новые сроки.

- порядок подготовки и проведения закрытого тендера;

Для участия в закрытом тендере претендент предоставляет следующие документы:

- заявление на участие в тендере (по установленной форме);

- копии учредительных документов (для юридических лиц);

- копию свидетельства о регистрации юридического лица или предпринимателя без образования юридического лица.

- информацию о квалификации претендента, подписанную руководителем и заверенную печатью претендента, следующего содержания:

- характеристика организации-претендента: полное наименование, форма собственности, профилирующие направления деятельности, структура организации (наличие филиалов, дочерних компаний);

Документы, входящие в состав заявки, подаются в открытом виде в папке-скоросшивателе. Тендерное предложение (с разбивкой по лотам) подается в закрытом виде, в конверте, опечатанном участником тендера (или пересылается по электронной почте). Организатор тендера регистрирует поступившие заявки и выдает лицу, представившему заявку, расписку с указанием даты и времени получения заявки. Заявки принимаются строго до срока, оговоренного в тендерной документации (график проведения тендера).

Допуск претендентов к участию в тендере проводится тендерной комиссией с целью исключения из числа участников тендера претендентов, финансовая, организационная и иная обеспеченность которых заведомо исключает возможность своевременной поставки качественных оборудования и решений.

Процедура допуска претендентов к участию в тендере проводится в строго обозначенное время на основании утвержденного графика проведения тендера.

- представившие ложные сведения о своей квалификации;

- не представившие документы согласно перечню настоящего Порядка;

- находящиеся в стадии ликвидации или реорганизации;

- в отношении которых начата процедура банкротства;

- не располагающие возможностями для осуществления деятельности по поставке IT- услуг;

Тендерная комиссия имеет право запрашивать у претендентов и из других источников дополнительные сведения, подтверждения и документы, касающиеся их деятельности.

Тендерная комиссия осуществляет рассмотрение, оценку, сопоставление документов, представленных претендентами, и определяет путем голосования участников тендера, руководствуясь только критериями и требованиями, установленными в тендерной документации.

Решение тендерной комиссии оформляется протоколом, который должен содержать:

Претенденты, прошедшие процедуру допуска к участию в тендере, приобретают статус участников тендера.

Претендент в любое время после подачи заявки может изменить или отозвать свою заявку при условии, что организатор тендера получит соответствующее письменное уведомление за 3 дня до окончания срока подачи заявок.

Срок действия тендерной заявки оговаривается в приглашении к участию в закрытом тендере.

В случае переноса тендера на более поздний срок или в иных случаях продления срока окончания приема заявок, организатор тендера может попросить претендента продлить срок действия заявки. Запросы и ответы должны оформляться в письменном виде (письма, телеграммы, телекс или факс).

В случае, если претендент соглашается с просьбой организатора тендера о продлении срока действия заявки, он обязан продлить срок действия заявки. Претендент может отказать в просьбе о продлении срока действия заявки. В этом случае его заявка считается действующей только в течение ранее установленного в ней срока.

Каждый претендент вправе представить только одну заявку на участие в тендере. Заявка оформляется в письменном виде, скрепляется подписью руководителя и печатью и представляется в порядке, способом и в сроки, указанные в тендерной документации.

Вскрытие конвертов с тендерными предложениями проводится на заседании тендерной комиссии без присутствия участников закрытого тендера. Процедура тендера далее проходит в следующей последовательности:

- конверты с тендерными предложениями вскрываются по одному председателем тендерной комиссии или его заместителем;

- члены тендерной комиссии удостоверяются в том, что тендерное предложение оформлено правильно и имеется только один оригинал;

Председателем тендерной комиссии или его заместителем в ходе вскрытия конвертов оглашается следующая информация:

- цена тендерного предложения по каждому лоту;

По результатам процедуры вскрытия конвертов составляется протокол, который должен содержать:

- состав присутствующих членов тендерной комиссии;

- общее количество поступивших заявок и перечень организаций, представивших заявки;

- общее количество заявок, признанных отвечающим требованиям и принятых для дальнейшего рассмотрения;

- перечень организаций, представивших эти заявки;

- список организаций, предложения которых не были приняты к рассмотрению, с указанием причины отказа.

Тендерная комиссия оценивает тендерные предложения по степени их привлекательности для Заказчика.

Критериями оценки тендерных предложений являются:

- цена, возможность предоставления отсрочки платежа.

По итогам рассмотрения тендерных предложений тендерная комиссия определяет не менее 2 победителей тендера по каждому лоту, о чем делается запись в протоколе проведения тендера.

Организатор тендера в 3-х дневный срок с момента подведения итогов тендера письменно извещает каждого участника тендера о его итогах.

- подано менее двух заявок на участие в тендере (по каждому лоту);

- решением тендерной комиссии отклонены все заявки претендентов, не представивших доказательств своего соответствия требованиям к участнику тендера или представивших недостоверные сведения.

В течение 10 дней после подведения итогов тендера, Заказчик и победитель тендера подписывают договор поставки, право на заключение которого было предметом тендера.

В случае отказа победителя тендера от заключения договора, договор заключается с участником, занявшим второе место, в течение 7-дней с момента истечения срока, установленного для подписания договора с победителем тендера.

Если победитель тендера или участник, занявший второе место, отказались от заключения договора, тендер признается состоявшимся, но не приведшим к заключению договора.

Претенденты (участники тендера) вправе обжаловать действия организатора тендера и решения тендерной комиссии, ущемляющие их права, в порядке, установленном настоящим Порядком и действующим законодательством, в 7-дневный срок с момента подведения итогов тендера.

Претензионное обращение подается в письменном виде организатору тендера. Тендерная комиссия не позднее 10 дней со дня получения претензионного обращения выносит письменное решение, которое должно содержать:

- меры, направленные на удовлетворение изложенных требований в случае полного или частичного удовлетворения жалобы.

В проведенном 22 апреля 2002 г. в ОАО «Альфа-Банк» открытом конкурсе по выбору партнера по поставке компьютерного и сетевого оборудования, системного программного обеспечения, проведение работ по монтажу структурированной кабельной системы, установке и настройке ПО, компьютерного оборудования и проведение пусконаладочных работ для дополнительного офиса «Пушкинский» филиала «Нижегородский» (г. Нижний Новгород) ОАО «Альфа-Банк», приняли участие:

Предложение компании ООО «Ами-сети» не рассматривалось как не соответствующее требованиям конкурсной документации:

Отсутствие опыта работы в области проектирования структурированных кабельных систем

Отсутствие соответствующих лицензий и сертифицированных специалистов в области проектирования структурированных кабельных систем

Отсутствие возможности гарантийного и постгарантийного сервисного обслуживания в г. Нижнем Новгороде;

Отсутствие партнерских отношений с компанией Cisco, а также сертифицированных специалистов Cisco в штате компании

Отсутствие партнерских отношений с компанией Microsoft, программное обеспечение которой должно быть использовано в данном проекте, а также сертифицированных специалистов Microsoft в штате компании.

Победителем конкурса признано ЗАО «Компьютел» (г. Москва).

Глава 2. Типовая организация по оказанию ИТ-услуг и поставки СВТ на примере ООО «Лан-Проект»

2.1. Цели и задачи, направления деятельности ООО «Лан-проект»

Компания ООО «Лан-проект» — один из крупнейших по объемам бизнеса российский системный интегратор.

C 1992 года компания специализируется на создании корпоративных информационных систем и разработке прикладных бизнес-приложений, построении систем обработки и хранения данных, телекоммуникационных систем и корпоративных систем голосовой связи, автоматизированных инженерных систем, оказании услуг ИТ-аутсорсинга и сервисной поддержки.

«Лан-проект» является ведущим российский бизнес-партнёр мировых лидеров рынка информационных технологий.

Штат компании насчитывает свыше 300 сертифицированных технических специалистов высокой квалификации.

Компания обладает всеми лицензиями, необходимыми для деятельности в области системной интеграции. Гарантией качества работ, выполняемых специалистами, является международный сертификат ИСО 9001-2001 на разработку, сопровождение и обслуживание автоматизированных систем и средств информационных технологий.

Компания успешно реализовала ряд масштабных проектов по заказу государственных, финансовых, промышленных и коммерческих структур России и стран СНГ.

Среди заказчиков компании Министерство образования РФ, Федеральная служба земельного кадастра РФ, Центральная избирательная комиссия РФ и Федеральный центр информатизации ЦИК РФ; Центральный Банк РФ, Сберегательный банк России и его территориальные банки, Альфа-банк, Deutsche Bank; Вымпелком, Волгателеком в г. Саратов, Челябинский филиал ОАО «Уралсвязьинформ», ОАО «АК «Транснефть», ЮКОС, «СибНефть» и многие другие.

- Проектирование интегрированных сетей на основе технологий ISDN, Frame Relay и ATM

- Внедрение интегрированных IP-сетей "под ключ"

- Поставка оборудования телекоммуникаций (голос, данные, видео)

- Поставка, настройка и внедрение систем микросотовой телефонной связи DECT

- Поставка оборудования для ЛВС, систем громкой связи и оповещения, систем сбора данных и управления сетями

- Поставка и внедрение решений для организации call и контакт центров

- Монтаж и настройка поставляемого оборудования

- Строительство слаботочных кабельных сетей в помещениях заказчика

- Сервисное обслуживание существующих систем

- Модернизация и замена существующих систем связи на более производительные и современные

- Обучение персонала заказчика эксплуатации и администрированию поставляемого оборудования

- Организация обучения в учебных центрах производителей поставляемого оборудования

- Консультации по вопросам внедрения и развития телекоммуникационных систем

Компания «ЛАН-ПРОЕКТ» имеет опыт работы по реализации крупных и средних информационных проектов. Оборот компании в текущем году составляет 12 млн долларов США. Компания имеет следующие лицензии:

• Российского авиационно-космического агентства на разработку программных средств и поставку техники;

• Государственной технической комиссии при президенте РФ.

«ЛАН-ПРОЕКТ» в тесном сотрудничестве с IT-подразделениями заказчиков совместно с мировыми производителями компьютерного, телекоммуникационного оборудования и программного обеспечения реализовала следующие проекты:

1. Выполнены работы по созданию автоматизированной информационной системы «Газпромбанка».

В рамках проекта были решены следующие задачи:

• осуществлены поставка, инсталляция и сопровождение корпоративного хранилища данных на базе серверов НР9000 и дискового массива ХР512;

•создана компьютерная инфраструктура на базе HP Intel;

• осуществлены поставка, внедрение и сопровождение программного обеспечения - СУБД Oracle и Sybase;

• реализованы поставка, инсталляция и сопровождение системы бесперебойного питания, поддерживающей функционирование вычислительной сети центрального офиса;

• выполнены проектирование и модернизация ЛВС в центральном офисе банка. Создана сетевая и телекоммуникационная инфраструктура на базе технологий Nortel и HP Open View;

• проведено дооснащение Управления пластиковых карт по задаче замены UNIX сервера;

• осуществлено проектирование, оснащение и запуск филиальных локальных вычислительных сетей.

2. Разработана и внедрена в РКК «Энергия» информационная система обеспечения полного цикла производства сложных изделий основного профиля предприятия в соответствии с идеологией ИПИ (CALS-технология).

• осуществлена поставка, внедрение и сопровождение программного обеспечения - СУБД Oracle, средств разработки информационных приложений фирмы Borland, САПР Pro/Engineer во всем разнообразии программных модулей;

• спроектирована и создана сетевая и телекоммуникационная инфраструктура предприятия;

• создана серверная структура на базе продуктов Unix (HP), Intel (HP, ИВК);

4. Оснащение второй нитки МГ «Заполярный-Уренгой».

Совместно со специалистами компании «Сименс» осуществлена поставка монтажных изделий и кабелей для СЛТМ второй нитки МГ «Заполярный-Уренгой».

Совместно со специалистами компании «Сименс» осуществлена поставка оборудования АРМА энергоучета для системы АСКУЭ по проекту АСУ ТП МГ «Заполярное-Уренгой» АСУ ТП КС «Пуртазовская» (первая очередь) и по проекту АСУ ТП МГ «Россия-Турция» (морской вариант) в рамках системы АСКУЭ» АСУ ТП КС «Краснодарская».

6. Поставка оборудования и программного обеспечения для ДОАО ВНИПИГАЗДОБЫЧА

В рамках проекта совместно со специалистами компании «Сименс» выполнен комплекс работ по проектированию, поставке и настройке аппаратного и программного обеспечения для ДОАО ВНИПИГАЗДОБЫЧА.

7. Разработка и внедрение в РКК «Энергия» системы информационного обеспечения полного цикла производства сложных изделий в соответствии с идеологией ИПИ (CALS-технология).

• осуществлены поставка, внедрение и сопровождение программного обеспечения - СУБД Oracle, средств разработки информационных приложений фирмы Borland, САПР Pro/Engineer во всем разнообразии программных модулей;

• спроектирована и создана сетевая и телекоммуникационная инфраструктура предприятия;

• создана серверная структура на базе продуктов Unix (HP), Intel (HP, ИВК);

• отработана технология создания и внедрения интегрированной информационной среды предприятия, реализующей электронное безбумажное взаимодействие в ходе выполнения процессов конструкторской разработки, технологической подготовки производства, материально-технического обеспечения и управления качеством продукции на основе использования электронного обмена данными.

8. Разработка и внедрение аппаратно-программных комплексов специализированных тренажеров по заказу Атомстройэкспорта.

В рамках проекта выполнены проектирование, поставка, инсталляция и сопровождение HP серверов, программного обеспечения и специального оборудования.

9. Разработка системы корпоративной аналитической отчетности Комитета по финансовому мониторингу РФ.

Совместно с компанией CSBI выполнены работы по проектированию системы на базе программного комплекса Actuate e.Reporting Suite, настройке типового и разработке специального программного обеспечения, разработке базовых отчетных форм, обучению специалистов.

10. Создание системы имитационного моделирования и оперативного управления транспортной системой компании «Вимм-Билль-Данн».

Совместно с компанией TECNOMATIX выполнены следующие работы:

• обследование складской инфраструктуры компании и связывающей их транспортной сети;

• разработка программы учета товара и наличия свободных мест на складах компании;

• внедрение программных комплексов для определения приоритетных рейсов автомобильного транспорта между складами, оптимальных маршрутов автомобильного транспорта.

11. Технический проект «Автоматизированная информационно-поисковая система формирования и ведения фонда по нормативным документам отрасли».

Проект выполнен по заказу МПС РФ совместно со специалистами ВНИИТЭИ МПС России. Выбраны и обоснованы технические решения построения системы учета, хранения и предоставления ведомственных нормативных документов, как в рамках МПС, так и для других государственных структур.

12. Разработка информационно-аналитической системы Промышленно-страховой компании.

Совместно с компанией Терн выполнены работы по построению корпоративного хранилища данных, разработке комплекса отчетных форм для обеспечения оперативного и долгосрочного анализа и прогнозирования деятельности компании.

2.2. Организационно-штатная структура

Организационно-штатная структура компании ООО «Лан-Проект представлена на рис. 2.1.

Рис. 2.1. Организационно-штатная структура ООО «Лан-Проект».

2.3. Технологии, используемые ООО «Лан-проект»

Для обеспечения безопасности информации на объекте информатизации организации предлагается использовать ряд взаимосвязанных защитных механизмов, совместное использование которых представляет собой технологию защиты, позволяющую существенно уменьшить вероятность реализации основных угроз и создать платформу для совершенствования всей системы управления безопасностью информации.

- защищенный узел доступа к серверным, пользовательским сегментам и к иным информационным ресурсам локальной вычислительной сети организации;

- система поддержания корпоративной инфраструктуры открытых ключей (PKI), открытая для использования ее сервисов всеми информационными службами организации, применяющими средства криптографической защиты информации;

- комплексное использование встроенных в системное программное обеспечение функций защиты информации;

- встраивание на прикладном уровне средств криптографической защиты информации на базе отечественных стандартов в приложения и применение их для повышения уровня информационной безопасности в организации.

Предлагается технология безопасного подключения объекта информатизации организации к сетям связи общего доступа. Рассматриваемые решения направлены на обеспечение эффективного противодействия основным угрозам безопасности информации со стороны внутренних и внешних злоумышленников.

Необходимость защиты информационных ресурсов ЛВС организации, имеющей доступ к сетям общего пользования, прежде всего обусловлена появлением все новых видов атак, совершенствованием компьютерных вирусов и т.п. Вместе с тем, как правило, большинство используемых программно-аппаратных платформ являются продуктами западных производителей, которые не предоставляют достаточных гарантий формирования доверенной среды для обработки информации, т.е. могут содержать недекларированные возможности или просто ошибки в программном обеспечении.

Обычно те или иные отдельные средства обеспечения информационной безопасности, например, межсетевые экраны, антивирусные средства и т.д., присутствуют в составе системы защиты информации организации. Однако разрозненное использование отдельных элементов обеспечения безопасности, даже самых перспективных на сегодняшний день, не может гарантировать полноценной защиты от НСД (например, от атак из сети Интернет). Кроме того, имеющиеся на сегодняшний день предложения различных отечественных и зарубежных разработчиков по построению систем информационной безопасности, часто базируются на недостаточно эффективных, к тому же не сертифицированных решениях. С этих позиций реализация сбалансированной политики информационной безопасности в организации путем применения защищенного к ее ресурсам узла доступа, поддерживающего различные сетевые протоколы и сервисы, приобретает особое значение.

Предлагаемые технические решения позволяют:

Все потоки информации, входящие в объект информатизации, в обязательном порядке проходят через защищенный узел доступа. Структурная схема защищенного узла изображена на прилагаемом рисунке. Детальное описание особенностей узла может быть представлено дополнительно.

Базовой технологией для реализации важнейших защитных механизмов, таких как шифрование данных на всех уровнях взаимодействия систем, цифровая подпись электронных документов, криптографическая аутентификация субъектов доступа в информационных службах организации, является инфраструктура открытых ключей.

Основное содержание данного предложения состоит в организации инфраструктуры открытых ключей, отвечающей действующему в России законодательству, включая положения Закона об электронной цифровой подписи, и взаимоувязанной со службами электронных почтовых отправлений и средствами криптографической защиты информации при ее передаче и хранении на объектах информатизации организации.

Внедрение инфраструктуры открытых ключей позволяет обеспечить:

Описание вариантов и выбор инфраструктуры открытых ключей могут быть представлены дополнительно.

3. Защита информации от НСД в Корпоративной автоматизированной системе, построенной на базе ERP SAP R/3

Для защиты информации от НСД в Корпоративной автоматизированной системе предлагается использовать весь потенциал встроенных в SAP R/3, ОС SUN Solaris и СУБД Oracle защитных механизмов. К ним относятся:

Наиболее значимым аспектом предложений в данной области является встраивание в систему безопасности R/3 отечественных криптоалгоритмов с последующей их сертификацией, что позволит обеспечить в КАС криптографическую защиту информации высокого уровня и применять ее при шифровании передаваемых и накапливаемых данных, при проверке неизменности и авторства электронных документов и программных модулей, при аутентификации пользователей и процессов. Организацию криптографической защиты предлагается базировать на современных открытых стандартах, технологиях и сервисах инфраструктуры открытых ключей.

2.4. Информационный ресурс ООО «Лан-проект»

Отличительной чертой последних лет является бурное развитие информационных технологий. Ценнейшим активом любого предприятия становится ИНФОРМАЦИЯ.

Информационные ресурсы - в широком смысле - совокупность данных, организованных для эффективного получения достоверной информации.

Информационные ресурсы - по законодательству РФ - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах: библиотеках, архивах, фондах, банках данных, других видах информационных систем.

Информационными ресурсами компании «Лан-Проект» являются: программные и программно-аппаратные информационные системы, предназначенные для сбора, передачи, хранения и обработки информации, в том числе системы управления производством, системы электронного документооборота, внутрикорпоративные центры сертификации (удостоверяющие центры), веб-серверы, локальные вычислительные сети компании.

Основными защищаемыми ресурсами организации являются информация, циркулирующая в ее рамках, а также оборудование и программные средства ее серверного сегмента.

Наиболее вероятными угрозами для безопасности данных ресурсов являются внешние и внутренние атаки, связанные с нарушением конфиденциальности и целостности информации при передаче по каналам связи, и атаки, направленные на ограничение доступности участвующих в обработке программных и технических средств.

Глава 3. Актуальные вопросы защиты информации для типовой организации отрасли на примере ООО «Лан-Проект»

3.1. Угрозы информационной безопасности: модель нарушителя

Обеспечение информационной безопасности локальной сети - довольно сложная задача. Проблема заключается в том, что информации, в ней размещенной, угрожает множество самых разных опасностей. И, разрабатывая комплекс защитных мер, легко упустить какую-то из угроз. Ну а последствия, к которым приведет подобная ошибка, могут быть весьма и весьма печальными. Поэтому в этом разделе постараемся подробно рассмотреть основные цели сетевой безопасности, а также главные опасности, которые грозят информации, размещенной в локальной сети.

На сегодняшний день большинство экспертов при построении системы сетевой безопасности выделяют три главные цели: целостность, конфиденциальность и доступность данных. Помимо этого существуют и дополнительные задачи, определяемые отдельно для каждого проекта. Но подробно останавливаться мы на них не будем. Рассмотрим лучше главные цели, которые обязательны для любого проекта защиты локальной сети.

Самая главная цель системы сетевой защиты - целостность данных. Она подразумевает обеспечение полной сохранности оригинальной информации. В этом определении важно каждое слово. Под сохранностью понимается гарантия того, что информация не будет уничтожена в результате технических проблем или действий хакеров. Слово "оригинальная" означает, что данные не должны быть изменены в случае каких-либо неисправностей или подменены злоумышленниками. Обеспечение целостности информации - самая сложная задача в сетевой безопасности, поскольку нужно учесть очень большое число всевозможных угроз.

Вторая цель системы сетевой защиты - конфиденциальность информации. Сегодня многие люди склонны преувеличивать опасность, исходящую от хакеров, и выносить эту задачу на первое место. Подобный подход в корне не верен. Для доказательства обратимся к статистике. Согласно последним исследованиям, примерно в половине всех случаев утери важной информации виноваты сбои в системе электропитания. Ну а большинство инцидентов из остальных повлекли за собой разнообразные технические сбои. На долю же хакеров и прочих злоумышленников остается совсем немного. Именно поэтому обеспечение конфиденциальности информации - всего лишь вторая по важности задача после сохранения ее целостности.

Третья и последняя главная цель любой системы сетевой безопасности - обеспечение доступности данных. Здесь подразумевается, что каждому пользователю в любой момент времени (естественно, за исключением особых случаев) должна быть доступна вся необходимая для работы информация. Обычно эта цель разбивается на две задачи. Первая - это обеспечение постоянной работоспособности всей необходимой аппаратуры: серверов, рабочих станций, принтеров и т. п. Вторая - разграничение доступа к информации между различными группами пользователей.

Теперь пришла пора разобраться с опасностями, которые им грозят. Обычно все неприятности делят на две большие группы: технические и "человеческие". Конкретизируем каждую из них.

Одной из самых распространенных и, одновременно, серьезных технических угроз являются ошибки в различном ПО. Причем речь идет не только о дырах, открывающих путь к конфиденциальным данным хакерам, это всего лишь "верхушка айсберга", разрекламированная средствами массовой информации. На самом деле существует множество ошибок, которые приводят к неработоспособности отдельных приложений или системы в целом, нерациональному использованию ресурсов ПК и т. п. Единственным способом борьбы с этой угрозой является постоянное обновление ПО и установка патчей, выпускаемых его разработчиками.

Другой весьма распространенной технической угрозой являются вирусы. На сегодняшний день существует огромное множество самых разнообразных зловредных программ. Некоторые из них - просто довольно безобидные шутки, ну а другие могут уничтожить всю информацию на компьютере. Другой угрозой безопасности локальной сети являются атаки из Интернета. Они могут приводить к неработоспособности серверов или отдельных ПК, а также к утечке конфиденциальной информации.

Рассмотренные нами технические угрозы очевидны. В общем-то, защита от них не представляет особой сложности, а обеспечить ее способен любой грамотный системный администратор. Но существуют такие опасности, которые редко учитывают при разработке комплекса мер по защите локальной сети. Например, это обеспечение постоянного и качественного электропитания. На самом деле этот пункт очень важен, "пропускать" его нельзя ни в коем случае. Обычно дело ограничивается подключением сервера к ИБП (источник бесперебойного питания). На самом же деле, в защите нуждаются и рабочие станции, и сетевые устройства. Причем совсем не обязательно устанавливать ИБП для каждого компьютера и хаба. Во многих случаях могут помочь качественные сетевые фильтры, которые прекрасно защищают оборудование от наиболее распространенных сбоев в сети электропитания.

Конечно, рассмотреть пусть даже и кратко все возможные технические угрозы в данном подразделе совершенно нереально. Тем более что среди них попадаются и весьма экзотические, редко используемые злоумышленниками приемы. Возьмем для примера установку в офисе различных "шпионских штучек": мини-камер, подслушивающих устройств, клавиатурных жучков и т. п. Конечно, подобная аппаратура доступна далеко не каждому. Но если кому-то всерьез захотелось заполучить конфиденциальную информацию из хорошо защищенной локальной сети, то можно ожидать еще и не таких сюрпризов.

К сожалению, хорошей защиты локальной сети от всех возможных видов технического воздействия не достаточно для обеспечения полной безопасности. Необходимо учитывать и человеческий фактор. Наиболее распространенной опасностью, связанной с людьми, работающими в организации, является халатность. Пароль на бумажке под клавиатурой или на стикере, приклеенном к монитору, нежелание использовать надежные ключевые слова, болтливость, выбрасывание в урну записей с конфиденциальной информацией, посещение сомнительных сайтов, ведение личной переписки через Интернет с рабочей станции... Знакомые ситуации, не правда ли? А между тем каждая из них может привести к весьма серьезным последствиям.

ледующая угроза безопасности локальной сети - низкая квалификация пользователей. Сюда относится непонимание опасности файлов, присланных по электронной почте, готовность сообщить всем и каждому свой логин и пароль и прочие подобные вещи. Защититься от угрозы неквалифицированных пользователей довольно сложно. Это можно сделать только путем их обучения хотя бы азам компьютерной безопасности, преодолевая сопротивление самих обучаемых, а зачастую и начальства, которому не нравится отвлечение сотрудников от непосредственного исполнения служебных обязанностей.

Потенциальной угрозой являются увольняемые или просто недовольные сотрудники, особенно обладающие привилегированными правами доступа. Естественно, что самые опасные из них - это системные администраторы. Их действия достаточно сложно проконтролировать. Поэтому недовольный сотрудник может вполне оставить себе возможность доступа к важной информации. И даже после увольнения он сможет копировать ее и продавать конкурентам. А может и просто из вредности вывести из строя с помощью заранее оставленной "лазейки" сеть или уничтожить важные данные.

Если злоумышленнику необходима информация, размещенная в хорошо защищенной локальной сети, то он пойдет на все и от него можно ожидать что угодно. Между тем ни для кого не секрет, что одним из самых слабых звеньев в любой защите является человеческий фактор. Поэтому во многих случаях хакеры используют шантаж, подкуп, запугивание или просто обман для того, чтобы получить желаемое. Верхом мастерства является социальная инженерия, представляющая собой целую науку, смесь психологии, социологии, технических знаний и обмана. С ее помощью злоумышленники умудряются получать практически неограниченный доступ ко всем ресурсам локальной сети. Подобными случаями должна заниматься собственная служба охраны предприятия.

В соответствии со ст. 20 Федерального закона "Об информации, информатизации и защите информации" целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта: предотвращении угроз его безопасности, защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ^², обеспечении нормальной производственной деятельности всех подразделений объекта. Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов^³.

При выполнении работ можно использовать следующую модель построения корпоративной системы защиты информации (рис. 1), основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 "Информационная технология - методы защиты - критерии оценки информационной безопасности", стандарту ISO/IEC 17799 "Управление информационной безопасностью" и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам защиты информации.

При выполнении работ можно использовать следующую модель построения корпоративной системы защиты информации (рис. 3.1), основанную на адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 "Информационная технология - методы защиты - критерии оценки информационной безопасности", стандарту ISO/IEC 17799 "Управление информационной безопасностью" и учитывает тенденции развития отечественной нормативной базы (в частности, Гостехкомиссии РФ) по вопросам защиты информации.

Представленная модель защиты информации - это совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности на объекте и на сохранность материальных или информационных ресурсов.

Рассматриваются следующие объективные факторы:

Рис. 3.1. Модель построения корпоративной системы защиты информации

Для построения сбалансированной системы информационной безопасности предполагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для организации на основе заданного критерия. Систему информационной безопасности (контрмеры) предстоит построить таким образом, чтобы достичь заданного уровня риска.

Предлагаемая методика проведения аналитических работ позволяет полностью проанализировать и документально оформить требования, связанные с обеспечением информационной безопасности, избежать расходов на излишние меры безопасности, возможные при субъективной оценке рисков, оказать помощь в планировании и осуществлении защиты на всех стадиях жизненного цикла информационных систем, обеспечить проведение работ в сжатые сроки, представить обоснование для выбора мер противодействия, оценить эффективность контрмер, сравнить различные варианты контрмер.

В ходе работ должны быть установлены границы исследования. Для этого необходимо выделить ресурсы информационной системы, для которых в дальнейшем будут получены оценки рисков. При этом предстоит разделить рассматриваемые ресурсы и внешние элементы, с которыми осуществляется взаимодействие. Ресурсами могут быть средства вычислительной техники, программное обеспечение, данные, а также в соответствии со ст. 2 Федерального закона "Об информации, информатизации и защите информации" - информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Примерами внешних элементов являются сети связи (абз. 4 ст. 2 Федерального закона "О связи"), внешние сервисы и т.п.

При построении модели будут учитываться взаимосвязи между ресурсами. Например, выход из строя какого-либо оборудования может привести к потере данных или выходу из строя другого критически важного элемента системы. Подобные взаимосвязи определяют основу построения модели организации с точки зрения ИБ.

Эта модель, в соответствии с предлагаемой методикой, строится следующим образом: для выделенных ресурсов определяется их ценность, как с точки зрения ассоциированных с ними возможных финансовых потерь, так и с точки зрения ущерба репутации организации, дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и т.д. Затем описываются взаимосвязи ресурсов, определяются угрозы безопасности и оцениваются вероятности их реализации.

На основе построенной модели можно обоснованно выбрать систему контрмер, снижающих риски до допустимых уровней и обладающих наибольшей ценовой эффективностью. Частью системы контрмер будут рекомендации по проведению регулярных проверок эффективности системы защиты.

Обеспечение повышенных требований к ИБ предполагает соответствующие мероприятия на всех этапах жизненного цикла информационных технологий. Планирование этих мероприятий производится по завершении этапа анализа рисков и выбора контрмер. Обязательной составной частью этих планов является периодическая проверка соответствия существующего режима ИБ политике безопасности, сертификация информационной системы (технологии) на соответствие требованиям определенного стандарта безопасности.

По завершении работ, можно будет определить меру гарантии безопасности информационной среды, основанную на оценке, с которой можно доверять информационной среде объекта. Данный подход предполагает, что большая гарантия следует из применения больших усилий при проведении оценки безопасности. Адекватность оценки основана на вовлечении в процесс оценки большего числа элементов информационной среды объекта, глубине, достигаемой за счет использования при проектировании системы обеспечения безопасности большего числа проектов и описаний деталей выполнения, строгости, которая заключается в применении большего числа инструментов поиска и методов, направленных на обнаружение менее очевидных уязвимостей или на уменьшение вероятности их наличия.

3.2. Принципы защиты

Есть несколько методов защиты информации на персональном компьютере или рабочей станции сети. Основной из них - шифрование с достаточной длиной ключа. Применяя персональное шифрование, можно быть полностью уверенным в сохранности информации. Существует множество реализаций этого способа: от бесплатной программы PGP, до системы защиты информации Secret Disk, использующей для хранения паролей электронные ключи. Зашифрованную информацию можно передавать любыми способами (и по электронной почте, и с курьером), так как злоумышленник, каким либо способом получив зашифрованный файл, ничего не сможет с ним сделать. Подмена также исключена.

При установке системы Secret Disk в компьютере появляется новый виртуальный логический диск. Все что на него записывается - автоматически шифруется, а при чтении - расшифровывается. Файл секретного диска, в котором находятся все данные, может находиться на жестком диске компьютера, на сервере, на любых съемных носителях.

Seсret Disk обеспечивает защиту данных даже в случае изъятия компьютера. Использование секретного диска равносильно встраиванию функций шифрования во все запускаемые приложения.

Подключение секретного диска и работа с зашифрованными данными возможны только после аппаратной аутентификации и ввода правильного пароля. Для аутентификации используется электронный ключ - смарткарта или электронный USB-ключ. После подключения секретного диска он становится "виден" операционной системе как еще один жесткий диск, а записанные на нем файлы доступны любым программам.

Не имея электронного ключа и/или не зная пароля, подключить секретный диск невозможно - для посторонних он останется просто зашифрованным файлом с произвольным именем (например, game.exe или girl.tif).

Как любой физический диск, защищенный диск может быть предоставлен для совместного использования в локальной сети. После отключения диска все записанные на нем файлы и программы сделаются недоступными.

Также существуют системы защиты, блокирующие загрузку компьютера до предъявления электронного идентификатора.

Не стоит забывать и об антивирусной защите персональных ресурсов. В этом отлично зарекомендовал себя антивирусный комплекс "Kaspersky Antivirus" Лаборатории Касперского, ранее известный, как "Антивирус Касперского".

"Антивирус Касперского" - это широкий выбор решений антивирусной защиты, как для домашних пользователей, так и для корпоративных сетей любого масштаба.

"Антивирус Касперского" использует все современные типы антивирусной защиты: антивирусные сканнеры, мониторы, поведенческие блокираторы и ревизоры изменений. Поддерживает все самые популярные операционные системы, почтовые шлюзы, межсетевые экраны, web-серверы. "Антивирус Касперского" контролирует все возможные пути проникновения вирусов на компьютер пользователя, включая Интернет, электронную почту, мобильные носители информации и т.д. Мощные и гибкие в использовании средства управления Антивируса Касперского позволяют автоматизировать важнейшие операции по централизованной установке и управлению, как и на локальном компьютере, так и в случае комплексной защиты сети предприятия.

Существуют три готовых решения антивирусной защиты, рассчитанные на основные категории пользователей. Во-первых, антивирусная защита для домашних пользователей (одна лицензия для одного компьютера). Во-вторых, антивирусная защита для малого и среднего бизнеса (до 100 рабочих станций в сети). В третьих, полномасштабные системы защиты для корпоративных клиентов (свыше 100 рабочих станций в сети).

В настоящее время уже многие компании владеют доступом в Интернет, пользуются электронной почтой. Соответственно, появляется вопрос о защите внутренних корпоративных сетевых ресурсов, защите файловых, почтовых и web-серверов и безотказной их работы, ограничении и разделении полномочий сотрудников, работающих с сетью Интернет. Как правило, организации используют для этого так называемые межсетевые экраны.

Особенно насущная проблема - защита каналов передачи данных между головным офисом и филиалами компании. Так как данные передаются через открытые сети (например, Интернет), то это вынуждает полностью "закрывать" канал. Для этого используются VPN (Virtual Private Network), то есть виртуальные частные сети. Сейчас к этой аббревиатуре добавилась буква S (SVPN - Secure Virtual Private Network), то есть защищенная виртуальная частная сеть. VPN организует шифрованный канал точка-точка или точка - многоточка между офисами, филиалами или удаленными сотрудниками компании.

Среди всего разнообразия межсетевых экранов особенно выделяется продукция компании Check Point Software Technologies - мирового лидера по производству систем сетевой защиты. Компания вошла в рейтинг NASDAQ и в этом году выпустила новый продукт Next Generation, который пришел на смену выдающемуся МЭ Check Point Firewall-1/VPN-1.

Комплект продуктов сетевой безопасности, называемый Check Point FireWall-1/VPN-1, обеспечивает контроль доступа в сетях Интернет, Интранет, Экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей. FireWall-1 позволяет транслировать сетевые адреса (NAT) и сканировать потоки данных на наличие недопустимой информации и вирусов (совместно работает с Kaspersky Antivirus).

Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших. Набор продуктов Check Point основывается на единой, комплексной политике безопасности. Это обеспечивает централизованное слежение за функционированием этих систем, управление ими и единое конфигурирование.

Только FireWall-1/VPN-1 позволяет организации создать единую, интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия.

Продукт имеет и массу дополнительных возможностей, таких, как управление списками доступа аппаратных маршрутизаторов, балансировка сетевой нагрузки на серверы, а также и элементы для построения систем повышенной надежности, которые также полностью интегрируются в глобальную политику безопасности. Работа Check Point FireWall-1/VPN-1 прозрачна для пользователей и обеспечивает рекордную производительность, практически, для любого IP протокола и высокоскоростной технологии передачи данных.

Основываясь на технологии инспекции пакетов с учетом состояния протокола, являющейся передовым методом контроля сетевого трафика, разработанного и запатентованного компанией Check Point, FireWall-1/VPN-1 обеспечивает наивысший уровень безопасности. Данный метод обеспечивает сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются.

Такой подход обеспечивает полный контроль даже за уровнем приложения без необходимости введения отдельного приложения-посредника (proxy) для каждого защищаемого сетевого сервиса. Тем самым, пользователь выигрывает в производительности и получает возможности гибко наращивать систему, быстро и надежно защитить новые приложения и протоколы, не прибегая при этом к разработке приложений посредников.

VPN, в исполнении Check Point, имеет все необходимые возможности для организации безопасного соединения, а из за модульной структуры построения, система может динамически расширятся и дополняться, исходя из растущих потребностей предприятия.

Имея тысячи инсталляций в различных организациях по всему миру, Check Point FireWall-1/VPN-1 является самым распространенным и наиболее оттестированным продуктом сетевой защиты на сегодняшний день.

Для защиты информации на корпоративных серверах также используется шифрование и применяется антивирусная защита.

Существует вероятность снятия информации и другими, более изощренными способами. Как, например, по сетям электропитания, по электромагнитным и виброакустическим излучениям.

Для предотвращения таких случаев обычно используют помехоподавляющие фильтры или проводят серию мероприятий, направленных на невозможность использования технических средств снятия информации.

Некоторые организации или частные лица не доверяют обычному стиранию информации, отслужившей свой срок, форматированию носителей. Также у некоторых компаний есть желание иметь систему, которая срочно, за доли секунды, сможет гарантировано уничтожить носитель на магнитных дисках (жесткий диск, дискета, zip, стримерная кассета). Причем как работающий, так и хранящийся в сейфе.

В такой ситуации оправданным будет использование уничтожителей информации на магнитных носителях и специальные информационные сейфы с источником бесперебойного питания, в которых, например, жесткий диск может работать и, при необходимости, его можно безвозвратно уничтожить.

Проблема обеспечения информационной безопасности становится проблемой, на которую трудно закрыть глаза, и которая сходу не решается. Требуется комплексный и всесторонний подход, точный анализ и обширная исследовательская работа по проектированию комплекса мер защиты корпоративной информации.

В настоящее время существуют компании, предоставляющие такого вида услуги. Необходимо отметить, что компания, обязана иметь большой опыт работы в этой сфере, а ее специалисты должны грамотно управлять базой знаний в этой области и точно определять потребности клиента.

После определенного времени работы такая компания предоставит технико-экономическое решение, отвечающее вашим требованиям и пожеланиям по безопасности ориентированное исключительно на Вашу компанию.

3.3. Критерии защищенности информации

В современных нормативных документах по информационной безопасности, используется, как известно, классификационный подход. Гораздо более конструктивными являются вероятностные методы, нашедшие широкое распространение в практике обеспечения безопасности в других прикладных областях. В соответствии с этими методами уровни гарантий безопасности СЗИ (систем защиты информации) трансформируются в доверительные вероятности соответствующих оценок показателей. Для решения данной задачи можно рекомендовать теорию статистических решений^⁹, позволяющую находить оптимальные уровни гарантий безопасности.

Во-первых, оценка оптимального уровня гарантий безопасности в определяющей степени зависит от ущерба, связанного с ошибкой в выборе конкретного значения показателя эффективности. Во-вторых, для получения численных оценок риска необходимо знать распределения ряда случайных величин. Это, конечно, в определенной степени ограничивает количественное исследование уровней гарантий безопасности, предоставляемых СЗИ, но, тем не менее, во многих практических случаях такие оценки можно получить, например, с помощью имитационного моделирования или по результатам активного аудита СЗИ.

Обобщенные данные о возможных показателях эффективности приведены в таблице 3.1, а критериев — в таблице 3.2.

Для ответа на вопрос, в какой мере система защиты информации обеспечивает требуемый уровень безопасности, необходимо оценивать эффективность СЗИ показателями, носящими вероятностный характер. Совершенствование нормативной базы, методического обеспечения в области информационной безопасности должно происходить, прежде всего, в этом направлении. Содержательные результаты по оценке эффективности систем защиты информации могут быть получены при системном подходе, более того, его обязательность прямо вытекает из ГОСТ Р50922-96^¹⁰. Разумеется, количественная оценка эффективности СЗИ требует больше усилий, чем используемые качественные методы^¹¹. Однако и отдача, прежде всего экономическая, будет намного весомее, а интересы, как заказчика, так и разработчика СЗИ, будут защищены более надежно.

Глава 4. Практические предложения по разработке мероприятий защиты информации в ООО «Лан-Проект»

4.1. Разработка общей схемы защиты

В настоящее время деятельность любых организаций все больше зависит от такого вида ИТ-сервиса, как электронная почта.

Основные группы рисков при использовании КЭП (корпоративной электронной почты) следующие:

Для совершенствования системы защиты информации в ООО «Лан-проект» предлагается следующая схема, представленная на рис. 4.1.

Особенностью данной схемы является применение межсетевого экрана, поступление почты на компьютеры пользователей корпоративной сети, через почтовый сервер-поосредник.

DMZ (DeMilitarized Zone) - демилитаризованная зона. Применительно к сетевой инфраструктуре предприятия, обозначает "нейтральную" пограничную подсеть, отделенную сетевыми экранами от публичных и внутренних сетей.

LAN - Local Area Network- сеть, то есть компьютеры соединены в сетку и могут обмениваться данными между собой, работать совместно, использовать совместно ресурсы (например, сетевой принтер).

В данном решении по созданию подсистемы безопасности КЭП учтены все риски использования КЭП. Исходя из функций, выполняемых подсистемой, она состоит из нескольких функциональных компонентов:

На первое место среди мер направленных на обеспечение информационной безопасности систем, построенных в технологии Intranet следует поставить межсетевые экраны - средство разграничения доступа, служащее для защиты от внешних угроз и от угроз со стороны пользователей других сегментов корпоративных сетей. Отметим, что бороться с угрозами, присущими сетевой среде, средствами универсальных операционных систем не представляется возможным. Универсальная ОС - это огромная программа, наверняка содержащая, помимо явных ошибок, некоторые особенности, которые могут быть использованы для получения нелегальных привилегий. Единственный перспективный путь связан с разработкой специализированных защитных средств, межсетевой экран как раз и является таким средством.

Межсетевой экран (Firewall, FW) - это полупроницаемая мембрана, которая располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети) и контролирует все информационные потоки во внутреннюю сеть и из нее.

Серия продуктов Cisco PIX Firewall предоставляет высокую степень защищенности и производительности для корпоративных сетей предприятий. Эти продукты позволяют надежно защитить вашу внутреннюю сеть от внешнего мира - обеспечивая полную защиту. В отличие от обычных загружающих процессор proxy-серверов, Cisco PIX Firewall основан не на UNIX системе, а на защищенной, встроенной системе реального времени. Серия Cisco PIX Firewall позволяет обслуживать более чем 16000 одновременных соединений, что значительно больше, чем у систем основанных на ОС общего назначения.

Если есть необходимость расширить систему, то не придется переходить на другую платформу, сегодня PIX Firewall поддерживает до трех сетевых интерфейсов. Для упрощения задач управления, Cisco PIX Firewall включает удобный в использовании Firewall Manager - средство для настройки и управления с интуитивным графическим интерфейсом. При помощи данного приложения администратор получает возможность простой настройки и редактирования централизованной системы защиты. А генерируемые отчеты позволят произвести анализ таких параметров, как попытки неавторизованного доступа, количество трафика и других параметров. Администратор сети может также отслеживать запросы Universal Resource Locator (URL) и определять какие Web узлы посещают пользователи наиболее часто. А путем установки пределов на различные параметры администратор может автоматически получить предупреждение о попытке проникновения в сеть.

В серии продуктов PIX на сегодняшний день имеется три модели:

Cisco Secure PIX 520, самая крупная в серии, предназначена для больших предприятий и сервис провайдеров, обеспечивает производительность до 385 Mbps с возможностью обслуживать до 250,000 одновременных соединений

Cisco Secure PIX 515 средняя модель предназначенная для малого бизнеса и удаленных подразделений. Обеспечивает производительность до 120 Mbps с возможностью обслуживать до 125,000 одновременных соединений

Cisco Secure PIX 506 новая модель серии предназначена для небольших организаций и домашних офисов. Обеспечивает производительность до 10 Mbps (при шифровании 3DES 7 Mbps).

Все три модели серии имеют встроенную поддержку шифрования IPSEC, позволяя организовывать VPN сети. Все модели могут управляться централизованно посредством PIX Configuration Manager и Cisco Secure Policy Manager, который поддерживает управление до 500 PIX.

Сердце высокопроизводительного Cisco PIX Firewall - это защитная схема основанная на алгоритме адаптивной защиты (adaptive security algorithm - ASA), который эффективно защищает внутреннюю сеть от назаконного доступа. Надежный, ориентированный на соединение ASA алгоритм строит защиту на основе данных о потоке: адреса источника и приемника пакета, номер TCP последовательности, номер порта, и дополнительные TCP флаги. Эта информация накапливается в таблице, и все входящие и исходящие пакеты проверяются на совпадение с записями таблицы. Доступ через Cisco PIX Firewall разрешается только в том случае, если подходящее соединение существует, что обеспечивает внутренних пользователей и авторизованных внешних пользователей прозрачным доступом к ресурсам внутренней сети организации, и защищает от несанкционированного доступа.

Cisco PIX Firewall поддерживает более чем 16,000 одновременных соединений, что позволяет обслуживать тысячи пользователей, без потери производительности. Полностью загруженный Cisco PIX Firewall (модель PIX10000) работает на скорости более чем 90 мегабит в секунду (Mbps), обслуживая два T3 канала. Эти скорости значительно выше чем у систем построенных на базе ОС общего применения.

Cisco PIX Firewall обеспечивает такую производительность благодаря возможности улучшенной аутентификации, названной cut-through proxy. Некоторые основанные на UNIX proxy серверы, могут обеспечить аутентификацию пользователей и обработку состояния (информацию о источнике и приемнике пакета) для обеспечения секретности, но их производительность уменьшается за счет того, что они обрабатываю все пакеты на прикладном уровне модели OSI, что крайне требовательно к ресурсам процессора.

Особенность cut-through proxy , с одной стороны, взаимодействует с пользователем, на начальном этапе, на прикладном уровне, как и proxy сервер. Но после аутентификации пользователя, произведенной через стандартную систему Terminal Access Controller Access Control System Plus (TACACS+) или Remote Authentication Dial-In User Service (RADIUS), Cisco PIX Firewall сдвигает поток данных. Весь трафик теперь направляется напрямую между двумя клиентами, но состояние соединения по прежнему отслеживается и защищенность, по сравнению с обычными proxy-firewal,l не уменьшается. Эта особенность позволяет Cisco PIX Firewall достич значительно большей производительности по сравнению с proxy серверами. Для многих организаций, cut- through proxy также позволяет использовать уже существующие базы пользователей TACACS+ или RADIUS используемые для серверов доступа. Cisco Systems также предлагает продукт для управления авторизацией пользователей: CiscoSecure - сервер контроля доступа.

Обеспечивая высокий уровень производительности, встроенная система реального времени также увеличивает защищенность всего продукта. Хотя UNIX системы это идеальные открытые системы разработки с широко доступными исходными текстами, такие системы общего применения обеспечивают меньшую степень производительности и секретности. Cisco PIX Firewall был разработан специально для создания высокопроизводительной, защищенной системы.

Для обеспечения еще большей надежности Cisco PIX Firewall имеет возможность работать в режиме горячей замены. Если два PIX Firewall будут включены параллельно, то при выходе из строя одного из них, второй станет выполнять все функции возложенные на первое устройство.

Администраторы сети используя программу Firewall Manager смогут легко настраивать и управлять несколькими PIX Firewall. Общая стратегия защиты может быть выражена всего в шести командах.

Для упрощения настройки, вам нужно иметь поддерживающий Java browser для доступа к Firewall Manager, который работает на Windows NT системе. После прохождения процедуры регистрации, вы увидите графическое представление всех PIX Firewall имеющихся в вашей сети. В другом окне появится список возможных конфигурационных команд. После выбора нужного Cisco PIX Firewall, вы можете выбрать необходимую конфигурационную функцию и приступить к настройке устройства. Для тех кто знаком с интерфейсом командной строки, применяемом в маршрутизаторах Cisco, остается возможность настроить устройство через командную строку.

Firewall Manager также позволяет анализировать и собирать статистику по активности Cisco PIX Firewall. Вы сможете сгенерировать отчет с такой информацией как: дата и время соединения, общее время соединения, количество байт и пакетов переданных и принятых пользователем, распределение приложений (по портам), и другие важные данные.

Для ведения защищенной работы с базами данных, PIX Firewall позволяет приложениям Oracle SQL*Net клиент/сервер взаимодействовать через firewall (как с адресной трансляцией, так и без нее). такая возможность позволит удаленным пользователям безопасно работать с базами данных расположенными в защищенной сети.

Для обеспечения защиты от Java программ, PIX Firewall включает фильтр Java программ. Используя этот фильтр, вы сможете блокировать загрузку таких программ и уменьщить риск нападения.

Еще одно средство контроля содержимого входных данных - Mail Guard, особенность, которая позволяет производить защищенную передачу почтовых сообщений напрямую во внутреннюю сеть - убирая необходимость в дорогом почтовом ретрансляторе. Mail Guard позволяет устанавливать соединение с внутренним почтовым сервером только через 25 TCP порт. Он фиксирует все пересылки и команды протокола Simple Mail Transfer Protocol (SMTP), и позволяет выполнение только минимально требуемых команд описанных в RFC 821, раздел 4.5.1.

Шифрование данных предоставляет необходимый контроль за содержанием пакетов. Используя Cisco PIX Private Link карту шифрования, компании смогут строить виртуальные частные сети (virtual private networks - VPNs) связывая свои филиалы через публичные и незащищенные сети, такие как интернет. Такая связь значительно дешевле, чем стоимость выделенных линий. Используя Cisco PIX Private Link encryption карту, каждый филиал имеющий PIX Firewall, сможет устраивать защищенные соединения через интернет с 256 удаленными точками. Карта шифрования использует алгоритм шифрации - Data Encryption Standard (DES) и протоколы Internet Engineering Task Force's (IETF's) Authentication Header/Encapsulating Security Payload (AH/ESP) (RFCs 1826 и 1827, соответственно).

Cisco PIX Firewall позволяет также расширять и изменять IP сети не беспокоясь о нехватке IP адресов. Трансляция сетевых адресов (Network address translation - NAT) позволяет использовать для внутренних сетей любые адреса, даже зарезервированные Internet Assigned Numbers Authority's (IANA's) (RFC 1918). PIX Firewall позволяет также смашивать транслируемые и не транслируемые адреса, по необходимости. Cisco заверяет что NAT работает со всеми другими возможностями PIX Firewal, такими как поддержка мультимедиа приложений.

Cisco PIX Firewall поддерживает также трансляцию адресов на уровне порта - port address translation (PAT) с "port-level multiplexing" - метод дальнейшего уменьшения зарегистрированных IP адресов. PAT позволяет всем пользователям внутренней сети работать с интернет через один зарегистрированный IP адрес (используются различные номера портов, для распознавания отдельных сессий). Более 64,000 внутренних станций могут обслуживаться одним внешним адресом, при помощи PAT.

Но что случится, если незарегистрированные адреса перекроются с областью разрешенных IP адресов Net Aliasing разрешит эту проблему и направит данные по нужному направлению.

Internet Protocol standards: IP, TCP, User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP)

dns, ftp, h323, http, ident, nntp, ntp, pop2, pop3, rpc, smtp, snmp, snmptrap, sqlnet, telnet, and tftp

Хотя PIX 520 - бесспорный лидер в высокопроизводительной защите крупной организации, появление Виртуальных Частных Сетей (VPN) и увеличивающееся число маленьких и средних предприятий, ведущих свой бизнес в Internet, расширило запросы рынка на системы сетевой защиты. Большому количеству организаций сегодня требуется, мощная система сетевой защиты, способная поддерживать VPN за приемлемую цену.

PIX 515 был разработан для удовлетворения этих нужд. Теперь, с выпуском PIX v.5.0, все устройства, включая PIX 515-R и PIX 515 UR, полностью поддерживают IPSEC. Эта версия программного обеспечения позволяет PIX создавать и/или принимать VPN туннели между двумя PIX, между PIX и любым Cisco маршрутизатором с поддержкой VPN, между PIX и Сиско Безопасный Cisco Secure VPN клиентом.

PIX 515-R-BUN с ограниченной программной лицензией - решение начального уровня для организаций нуждающихся в высокопроизводительно средстве защиты с ограниченной функциональностью. Производительность устройства: 50,000 одновременных соединений, пропускная способность до 170 Mbps.

PIX 515-UR (unrestricted) обеспечиват ту же функциональность, как и PIX 515-R-BUN, плюс дополнительно имеет возможность организовывать конфигурации с горячим резервом, а так же позволяет иметь до шести 10/100 Ethernet портов. PIX 515 UR обеспечивает производительность до 170 Mbps и поддерживает до 100,000 одновременных соединений.

Избыточность системы сетевой защиты критична для тех организаций, в которых Internet является ключевым аспектом бизнеса. Каждая минута простоя системы сетевой защиты -потерянный доход. Для удовлетворения этих нужд Cisco предлагает запасную систему (fail-over bundle) для PIX 515 UR. Эта система обеспечивает организацию вторым устройствомсетевой защиты, специально предназначенной для работы в запасном режиме. Цена такого комплекта значительно меньше стоимости основного комплекса.

При расширении бизнеса организации может потребоваться также расширить возможности системы защиты, для этого предусмотрен переход от PIX-515-R к PIX-515-UR. PIX-515-SW-UPG= и PIX-MEM-32= превращают PIX 515 с ограниченной лицензией в неограниченный вариант.

*требуется специальный кабель для стыковки двух устройств

Cisco Secure PIX Firewall 506 разработан для нужд малых компаний или подразделений больших компаний. Cisco Secure PIX Firewall обеспечивает беспрецедентный уровень защиты. В основе системы лежит схема защиты, основанная на Адаптивном Алгоритме Защиты (АSA).

Встроенная система реального времени улучшает общую защищенность Cisco Secure PIX Firewall. Хотя серверы UNIX являются идеальными платформами для открытой разработки приложений с широко доступными исходными текстами, такие универсальные операционные системы не являются оптимальными в смысле производительности и защиты. Специализированное устройство Cisco Secure PIX Firewall предназначено специально для создания высокоэффективной защиты, поэтому оно справляется с данной задаче гораздо эффективнее.

Интерфейсы: Два интегрированных RJ45 10 BaseT Ethernet

Устройство загрузки/обновления ПО: Trivial File Transfer Protocol (TFTP)

Величину затрат на реализацию проекта определим на основе метода калькуляции.

Цена разработки определяется как сумма стоимости разработки проекта защиты информации и считается по следующим статьям калькуляции:

- основная заработная плата производственного персонала;

- оплата работ, выполняемых сторонними организациями;

Обеспечения работы сотрудников аппарата управления требуются следующие изделия: три компьютрера класса РIV-2,0 Гг, принтер HP1200, бумага формата А4 (для оформления документации), дискеты 3,5 дюйма (для создания дистрибутивных комплектов программного обеспечения системы).

Общая потребность в покупных изделиях приведена в таблице 4.4.

Расчет эффективности проектных мероприятий определяется по формуле

Р = V или P = П (V – изменение выручки, П – изменение прибыли)

Предлагаемые проектные мероприятия относятся к группе мероприятий по улучшению организации и обслуживания рабочих мест, повышению квалификации персонала.

Эффективность мероприятий выражается в росте производительности труда, условном высвобождении численности сотрудников, дополнительном объеме выполняемых услуг, приросте прибыли за счет экономии времени на восстановление информации в случае ее утраты.

Рассчитаем эффективность от мероприятий проекта по повышению уровня защиты информации.

Процент потерь рабочего времени (Б) определяется но формуле:

где ПВ - потери рабочего времени в течение смены, мин;

где Б1, Б2 - потери рабочего времени соответственно до и после проведения мероприятий, %

Условное высвобождение численности рассчитывается по формуле:

где Ч - численность рабочих в процессе (на участке, в цехе, на предприятии), чел.

Условное высвобождение численности рабочих составит:

Рост производительности труда определяется по формуле:

Экономия по фонду заработной платы рассчитывается по формуле:

где Кнач – коэффициент начислений на оплату труда (с учетом единого социального налога (ЕСН))

Снижение себестоимости за счет экономии по фонду заработной платы составит:

Текущий (годовой) экономический эффект определяется по формуле:

где Сзп - снижение себестоимости за счет экономии по фонду заработной платы

Зп – заработная плата привлекаемого персонала для реализации мероприятий

Текущий (годовой) экономический эффект составит:

Срок окупаемости затрат определяется по формуле:

где Сзп - снижение себестоимости за счет экономии по фонду заработной платы

Зп – заработная плата привлекаемого персонала для реализации мероприятий

Заключение

Информационная безопасность - по законодательству РФ - состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.

Информационная безопасность имеет три основные составляющие:

1. конфиденциальность - защита чувствительной информации от несанкционированного доступа;

2. целостность - защита точности и полноты информации и программного обеспечения;

3. доступность - обеспечение доступности информации и основных услуг для пользователя в нужное для него время.

Защита информации - совокупность методов и средств, обеспечивающих целостность, конфиденциальность, достоверность, аутентичность и доступность информации в условиях воздействия на нее угроз естественного или искусственного характера.

В рамках дипломного проекта было проведено исследование рынка информационных технологий. По результатам анализа рынка средств защит информации можно сделать вывод, о том, что ключевым двигателем роста спроса на услуги и средства в сфере защиты информации является корпоративный сектор. Причина тому — осознание заказчиком важности внедрения подобных систем, которые предотвращают (или, как минимум, ограничивают) проникновение злоумышленников в компьютерные системы разных компаний.

Крупные заказы на разработку комплексной защиты информации на предприятии, как правило осуществляются с помощью тендера - конкурсной формы проведения подрядных торгов; соревнование представленных претендентами оферт с точки зрения их соответствия критериям, содержащимся в тендерной документации.

В дипломном проекте проведен анализ типовой организации, работающей на рынке информационных технологий на примере ООО «Лан-проект». Компания «ЛАН-ПРОЕКТ» имеет опыт работы по реализации крупных и средних информационных проектов. Оборот компании в текущем году составляет 12 млн. долларов США. Компания имеет следующие лицензии:

• Российского авиационно-космического агентства на разработку программных средств и поставку техники;

• Государственной технической комиссии при президенте РФ.

В технологию защиты информации на ООО «Лан-Проект» используется технология, которая включает:

- комплексное использование встроенных в системное программное обеспечение функций защиты информации;

На сегодняшний день большинство экспертов при построении системы сетевой безопасности выделяют три главные цели: целостность, конфиденциальность и доступность данных.

Одной из самых распространенных и, одновременно, серьезных технических угроз являются ошибки в различном ПО. Другой весьма распространенной технической угрозой являются вирусы. На сегодняшний день существует огромное множество самых разнообразных зловредных программ. Следующая угроза - это обеспечение постоянного и качественного электропитания. Наиболее распространенной опасностью, связанной с людьми, работающими в организации, является халатность. Пароль на бумажке под клавиатурой или на стикере, приклеенном к монитору, нежелание использовать надежные ключевые слова, болтливость, выбрасывание в урну записей с конфиденциальной информацией, посещение сомнительных сайтов, ведение личной переписки через Интернет с рабочей станции. Угрозой безопасности локальной сети является и низкая квалификация пользователей. Сюда относится непонимание опасности файлов, присланных по электронной почте, готовность сообщить всем и каждому свой логин и пароль, и прочие подобные вещи. Потенциальной угрозой являются увольняемые или просто недовольные сотрудники, особенно обладающие привилегированными правами доступа.

Однако, помимо получаемых удобств при использовании электронной почты, компания подвергается и серьезным информационным рискам. Так, электронная почта представляет собой практически идеальную среду для переноса различных вредоносных программ и компьютерных вирусов. Учитывая актуальность проблемы в дипломном проекте была предложена схема защиты локальной корпоративной сети с использованием межсетевого экрана и почтового сервера-посредника.

Техническая эффективность предлагаемой схемы заключается в снижении вероятности проникновения вредоносных программ в корпоративную сеть компании. Экономическая эффективность выражается экономией рабочего времени на восстановление работоспособности корпоративной сети и восстановление информации поврежденных в результате действия вредоносных программ.

Внедрение предлагаемой схемы защиты информации подразумевает проведение комплекса работ по модернизации корпоративной сети, повышения квалификации персонала, приобретение современного оборудования. Общие затраты предприятия составят 160 тыс. руб. Снижение себестоимости за счет условной экономии (снижение потерь рабочего времени) по фонду заработной платы составит 362,7 тыс. руб. При этом текущий (годовой) экономический эффект составит 202,7 тыс. руб. Срок окупаемости проекта 4,5 мес.

В результате выполнения предложенных мероприятий следует ожидать качественно более высокого уровня безопасности, снижения страховых платежей за счет повышения защищенности бизнеса от различных видов угроз, предотвращения ущерба от противоправных действий злоумышленников и конкурентов. Затратив сегодня определенные средства на обеспечение безопасности информации, предприятие уже в ближайшем времени получит выгоду.

Список литературы

3 Румянцев О. Г., Додонов В.Н., Юридический энциклопедический словарь, М., "ИНФРА-М", 1997 г.

4 Указ Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении Перечня све-дений конфиденциального характера". Постановление Правительства Российской Федерации от 5 декабря 1991 г. № 35 "О перечне сведений, которые не могут составлять коммерческую тайну".

5 ГОСТ 51583-00 "Защита информации. Порядок создания автоматизированных систем в защищен-ном исполнении. Общие требования." ГОСТ Р 51624-00 "Защита информации. Автоматизирован-ные системы в защищенном исполнении. Общие требования.", Федеральный закон "Об информации, информатизации и защите информации", № 24-ФЗ, 1995 г., ст. 2, Конституция Российской Федерации, ст. 23, Гражданский кодекс Российской Федерации, часть I, ст.ст. 139, 128.

6 Федеральный закон "Об информации, информатизации и защите информации", № 24-ФЗ, 1995.

9 Г. Гуд, Р. Макол. Системотехника (Введение в проектирование больших систем). М., Сов. радио, 1962. ; В. Пугачев. Теория вероятностей и математическая статистика. М.: Наука, 1979.

10 С. Вихорев, А. Ефимов, Практические рекомендации по информационной безопасности. Jet Info, № 10-11, 1996.

11 С. Вихорев, Р. Кобцев, Как определить источники угроз. Открытые системы, 2002, № 7-8.

Разработка мероприятий по защите информации на предприятии

Содержание

Введение

Глава 1. Современный отечественный рынок разработки и поставки ИТ (информационно-телекоммуникационных) технологий на примере г. Москвы.

1.1. Анализ типовой продукции, производителей и поставщиков ИТ-технологий

1.2. Производственные отношения в среде производителей и поставщиков ИТ-технологий

1.3. Система заказов и тендеров в отрасли

Глава 2. Типовая организация по оказанию ИТ-услуг и поставки СВТ на примере ООО «Лан-Проект»

2.1. Цели и задачи, направления деятельности ООО «Лан-проект»

2.2. Организационно-штатная структура

2.3. Технологии, используемые ООО «Лан-проект»

2.4. Информационный ресурс ООО «Лан-проект»

Глава 3. Актуальные вопросы защиты информации для типовой организации отрасли на примере ООО «Лан-Проект»

3.1. Угрозы информационной безопасности: модель нарушителя

3.2. Принципы защиты

3.3. Критерии защищенности информации

Глава 4. Практические предложения по разработке мероприятий защиты информации в ООО «Лан-Проект»

4.1. Разработка общей схемы защиты

4.2. Расчет экономических показателей и показателей защищенности, связанных с внедрением предлагаемой схемы защиты

Заключение

Список литературы

Другие похожие работы