АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ

АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ

«Участник молодежного научно-инновационного конкурса» «УМНИК»

АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ ОБЪЕКТА

ИНФОРМАТИЗАЦИИ

Автор:

магистрант каф. ИЗИ

Богомазова И.Ю.

Научный руководитель:

ст. преп. каф. ИЗИ

Мишин Д.В.

ФГБОУ ВПО “Владимирский государственный университет имени Александра Григорьевича и Николая Григорьевича Столетовых”

Конкурс инновационных проектов по программе «Участник молодежного научно-инновационного конкурса»

«УМНИК»

Владимир 2013


2

/18Богомазова Ирина Юрьевна «УМНИК»

Объект, предмет и цель НИР

Объект исследования: информационная система объекта информатизации.

Предмет исследования: методики анализа защищенности объекта информатизации.

Цель НИР: решение научно-практической задачи разработки новых методик, направленных на снижение временных и интеллектуальных затрат на процесс оценки защищенности объекта информатизации.


Цель проекта

Цель: разработать и реализовать автоматизированную систему (АС) анализа защищенности объекта информатизации (ОИ).

3



4


Научная новизна•Предложена расширенная модель защищенной системы.•Разработана графовая модель сети передачи данных.•Разработана методика категорирования нарушителей.•Предложена вероятностная методика оценки защищенности.•Предложена универсальная экспертная методика идентификации

защитных механизмов и организационно-технических уязвимостей. •Предложена методика выработки рекомендаций.•Разработаны опросные листы и матрицы коэффициентов.•Предложена модель распределенной АС анализа защищенности ОИ.

•Программная реализация модулей АС.•Разработка базы знаний, содержащей данные необходимые для

проведения расчетов.•Быстрота и качество анализа за счет автоматизации.

Практическая значимость


Основные характеристики программного обеспечения

• предоставление максимально полной картины защищенности объекта;• возможность обновления базы знаний системы и расширения

функционала программы;• эргономичный интерфейс для пользователя программного обеспечения

(аудитора) и администратора автоматизированной системы; • реализация через клиент-серверную технологию (толстый клиент);• модульная структура;• кроссплатформенность;• защита межкомпонентного взаимодействия.

5/18

Богомазова Ирина Юрьевна «УМНИК»


Исходные данные и результаты

6/18

Вход: данные о структурных

компонентах ИС (оборудовании, помещениях) и связях между ними;

об информационных ресурсах;

о сотрудниках;о состоянии ИБ на объекте;о применяемых защитных

механизмах.


Выход: визуальное представление

исходных данных;список уязвимостей и

защитных механизмов с оценками;

числовая оценка защищенности объекта;

список рекомендаций;отчеты.


Возможности аудитора

7/18



8/18

Возможности администратора АС



Архитектура АС

9/18



Модульная структура АС


10/18


Разработки и их применение в АС

Разработка Применение

Расширенная модель защищенной системы

Общая концепция АС, построение интерфейса клиентской части

Графовая модель сети передачи данных Визуализация ИС (клиентская часть)

Модель нарушителя Категорирование нарушителей (клиентская часть)

Вероятностная методика оценки защищенности

Расчет показателя защищенности, проверка эффективности защитных мер

Экспертная методика идентификации уязвимостей и защитных механизмов

Составление опросных листов (серверная часть), расчет защищенности и организация интерфейса (клиентская часть)

Методика выработки рекомендаций Осуществление выдачи обоснованных рекомендаций (клиентская часть)

Опросные листы и матрицы коэффициентов

Основное наполнение базы знаний (серверная часть), для расчета показателей

11/18



Локальный прототип АС

12/18



Потенциальные покупатели•частные коммерческие организации различного профиля (с развитой

информационно-технической инфраструктурой), имеющие подлежащие защите информационные ресурсы в электронной форме.

13/18

Предоставление лицензии



Версии АСБазовая Расширенная Полная

Заполнение и хранение информации об объекте + + +Категорирование нарушителей + + +Идентификация уязвимостей и защитных механизмов + + +Расчет защищенности предприятия + + +Указание слабых мест в системе ИБ объекта + + +Формирование отчетов + + +Выработка рекомендаций + +Виртуальное применение рекомендаций +Составление карты сети +

14/18


600 р. 800 р. 1000 р.


Преимущества перед аналогами

Сравнительно низкая стоимость.Широкий круг потенциальных пользователей.Использование собственных методик и моделей – залог прозрачности.Сочетание функций для эффективного и адекватного анализа

защищенности.Возможность оценки эффективности предложенных мер по повышению

защищенности.Разнообразие отчетов.Совершенствование и пополнение базы знаний.Квалифицированная поддержка и сопровождение.

15/18


Estimate Tool Pro 3.0, ISM Revision, BSAT 1.3, СТО БР Аудитор, DS Audit 2.0, CRAMM 5.2.5, COBRA, КОНДОР 2006, ГРИФ 2006, RiskOptix и др.


Общая стоимость проекта


1. Расчет заработной платы сотрудникамДолжность Число

должностейИтого з.п., руб. мес.

Расчетный период, мес

Итого з.п., руб. год

Менеджер по продажам 1 18000 11 198000Программист 3 25000 1 75000

Системный администратор 1 20000 12 240000Специалист службы технической поддержки

1 15000 11 165000

Итого по персоналу 678000 2. Расчет затрат на оборудование

Наименование Количество Цена за ед., руб. Сумма

Ноутбук 2 25000 50000Итого по оборудованию 50000

3. Расчет затрат на услугиНаименование Количество, мес Цена за мес.,руб Сумма

Аренда физического сервера 11 4000 44000Мобильная связь 12 400 4800Итого по услугам 48800

4. Прочие расходы - 50000 рубИтого по проекту 826 800 руб.

16/18


Реализация проекта


17/18

№ Задача Длительность1 год

1 2 3 4 5 6 7 8 9 10 11 12

1 Реализация АС

1 мес.

2 Продажи 11 мес.

~ 154 потенциальных клиента во Владимире

~ 965 580 руб. выручки~ 138 780 руб. чистой

прибыли


Апробация•IV международная научная конференция «Актуальные вопросы современной

науки». г. Санкт-Петербург, 2012 г.•V всероссийская научно-практическая конференция студентов, аспирантов,

работников образования и промышленности «Информационные технологии и автоматизация управления». г. Омск, 2013 г.•Всероссийский конкурс «Лучшая научная статья - 2013». Научно-

методический электронный журнал «Концепт», Современные научные исследования. Выпуск 1. 2013 г.•XXXII Всероссийская научно-техническая конференция «Проблемы

эффективности и безопасности функционирования сложных технических и информационных систем». Часть 3, секция №7. г. Серпухов, 2013 г.•I Международная научно-практическая конференция «Информационная

безопасность в свете Стратегии Казахстан-2050». Казахстан, г. Астана, 2013 г.•Доклады в рамках научно-технических семинаров кафедры ИЗИ ВлГУ. г.

Владимир, 2012 – 2013 г.г. •Доклады в рамках Дней науки студентов ВлГУ. г. Владимир, 2012-2013 г.г.

18/18


Documents

АВТОМАТИЗИРОВАННАЯ СИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ