XVII Международная студенческая научная конференция Студенческий научный форум - 2025

Введение

В настоящее время организации и предприятия сталкиваются с возрастающими рисками утечки данных. В этой связи безопасное хранение и передача электронных данных являются ключевым компонентом инфраструктуры безопасности [1, 2]. Защита конфиденциального электронного документооборота осуществляется различными средствами шифрования. При этом, как правило, помимо конфиденциальности требуется обеспечить целостность информации, что обеспечивается технологией криптографических методов [3, 4]. В нашей стране для решения подобных задач разработаны и приняты законодательные документы, специальные национальные стандарты в виде ГОСТов, а также организационно-распорядительные документы, определяющих требования для эффективной защиты информации [5, 6, 7].

Объект исследования: криптографические методы защиты информации.

Предмет исследования: процесс внедрения «КриптоПро IPsec».

Цель работы: разработать проект внедрения КриптоПро IPsec, направленный на интеграцию криптографических методов защиты информации в рамках действующей в организации корпоративной сети с целью повышения уровня безопасности, защиты передаваемых данных и снижения рисков, связанных с несанкционированным доступом, на примере ФБУЗ «Центр гигиены и эпидемиологии в Воронежской области».

Основными задачами курсовой работы являлись: 1) обоснование потребности внедрения «КриптоПро IPsec» в существующую информационно-коммуникационную структуру организации; 2) определение требуемого класса защищённости автоматизированной системы с учетом циркулирующей в ней информации; 3) выбор сценария реализации Криптопро IPsec для действующей информационно-коммуникационной структуры организации; 4) разработка плана внедрения КриптоПро IPsec в организации; 5) определения перечня, количества и стоимости необходимых программных продуктов для реализации задачи защиты информации, суммарных экономических затрат на внедрение и последующее сопровождение эксплуатации системы; 6) разработка устава проекта внедрения КриптоПро IPsec.

1. Аналитическая часть

1.1 Основные моменты и понятия криптографической защиты информации

В России для криптографической защиты информации в области защиты данных и сетевых коммуникаций применяется ГОСТ Р 34.12-2015.

Симметричный криптографический метод использует один и тот же ключ для преобразования, осуществляемого отправителем, и преобразования, осуществляемого получателем. Основная уязвимость заключается в необходимости надежного хранения и передачи ключа. Если ключ станет известен злоумышленникам, безопасность данных будет нарушена. Поэтому важно обеспечить конфиденциальность ключа и избегать его передачи в открытом виде.

Асимметричное шифрование использует пару ключей (рис. 1):

- открытый (публичный) – доступен всем участникам и используется для шифрования;

- закрытый (секретный) – остается на стороне получателя (например, сервера) и используется для расшифровки.

Рисунок 1 – Ассиметричное шифрование

Сообщение, зашифрованное одним ключом, может быть расшифровано с помощью второго. Это позволяет безопасно передавать открытый ключ по сети, так как без закрытого ключа зашифрованные данные остаются непонятным набором символов.

1.2 Классы защиты информации

Применение криптографических средств защиты информации и персональных данных регламентировано приказом ФСБ России от 10.07.2014 №378, который выделяет шесть классов защиты: КС1, КС2, КС3, КВ1, КВ2, КА1. Выбор класса защиты основывается на анализе модели нарушителя, то есть на оценке потенциальных способов взлома системы. Для обеспечения безопасности применяются программные и аппаратные средства криптографической защиты информации.

Актуальные угрозы делятся на три типа:

1. Первый тип – недокументированные возможности в системном ПО.

2. Второй тип – недокументированные возможности в прикладном ПО.

3. Третий тип – все остальные угрозы.

Недокументированные возможности – это скрытые функции и свойства ПО, которые не описаны в документации и могут угрожать конфиденциальности или целостности данных.

Модели нарушителей, для противодействия которым применяются криптографические средства:

КС1 – внешний нарушитель без внутренних помощников.

КС2 – внутренний нарушитель без доступа к СКЗИ.

КС3 – внутренний нарушитель, являющийся пользователем СКЗИ.

КВ1 – нарушитель, использующий сторонних специалистов.

КВ2 – нарушитель, сотрудничающий с исследовательскими институтами.

КА1 – специальные государственные службы.

С повышением класса уменьшается число специалистов, способных обеспечить необходимый уровень безопасности.

1.3 Правовое регулирование применения криптографических средств в РФ

Приказ от 11 февраля 2013 г. № 17 об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах – это нормативный акт, который регулирует порядок установления классов защищенности информационных систем в Российской Федерации. Основной целью этого документа является установление единого подхода к защите информации в информационных системах. Класс защищенности информационной системы — это характеристика, которая определяет уровень защиты информационной системы, необходимый для обеспечения её защиты в зависимости от значимости обрабатываемой информации и потенциальных угроз.

Уровень значимости устанавливается в зависимости от степени ущерба, возникающего при нарушении конфиденциальности, целостности или доступности информации. Существует три степени ущерба, которые определяются владельцем информации, оператором или экспертом.

1. Высокий

Высокая степень ущерба возникает при нарушении конфиденциальности, целостности или доступности информации и приводит к одному или нескольким из следующих последствий:

- Существенный ущерб для отрасли или региона.

- Нарушение функционирования ГИС.

- Невозможность выполнения оператором информационной системы своих функций.

2. Средний

Средняя степень ущерба возникает при нарушении конфиденциальности, целостности или доступности информации и ведет к одному или нескольким из следующих последствий:

- Умеренный ущерб для отрасли или региона.

- Возможность функционирования ГИС, но с трудностями.

- Нарушение выполнения некоторых функций оператора.

3. Низкий

Низкая степень ущерба возникает при нарушении конфиденциальности, целостности или доступности информации и ведет к одному или нескольким из следующих последствий:

- Незначительный ущерб для отрасли или региона.

- ГИС продолжает функционировать.

- Оператор может выполнять свои функции.

Основным регулирующим документом является Федеральный закон №149, который в основном описывает участников процесса и их функции. При этом объектом взаимодействия выступают персональные данные пользователей — любая информация, прямо или косвенно относящаяся к конкретному физическому лицу. Вопросы, связанные с обработкой персональных данных, включая общедоступные, регулируются Федеральным законом №152 "О персональных данных" от 27.07.2006.

1.4 Протокол сетевой аутентификации IPsec и его архитектура

IPsec — это набор протоколов, предназначенных для защиты данных, передаваемых по сети с использованием протокола IP. Он обеспечивает аутентификацию, проверку целостности и/или шифрование IP-пакетов. Кроме того, IPsec включает протоколы для безопасного обмена ключами в Интернете. Основным применением IPsec является создание защищенных VPN-соединений.

IPsec можно условно разделить на три группы протоколов:

Authentication Header обеспечивает целостность передаваемых данных, аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов.

Encapsulating Security Payload обеспечивает конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, он может исполнять функции AH: обеспечить целостность передаваемых данных, аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов. При применении ESP в обязательном порядке должен указываться набор услуг по обеспечению безопасности: каждая из его функций может включаться опционально.

Internet Key Exchange — протокол, связывающий все компоненты IPsec в работающее целое. В частности, IKE обеспечивает первоначальную аутентификацию сторон, а также их обмен общими секретными ключами.

1.5 Области использования КриптоПро IPsec

КриптоПро IPsec — это комплексное решение, реализующее набор протоколов IPsec с учётом особенностей применения отечественных криптографических алгоритмов, основанное на библиотеках КриптоПро для IKE, ESP, AH, и использующее СКЗИ.

КриптоПро IPsec используется для:

- защиты подключений удалённых пользователей или малых офисов (VPN);

- защиты соединений между шлюзами корпоративной сети (Site-to-Site VPN);

- защиты передачи конфиденциальной информации в локальной вычислительной сети от несанкционированных пользователей, которые могут иметь физический доступ к сети, а также от пользователей сети, не обладающих необходимыми полномочиями.

2. Внедрение КриптоПро IPsec

2.1 Характеристика организации

Федеральное бюджетное учреждения здравоохранения «Центр гигиены и эпидемиологии в Воронежской области» имеет центральный офис, который расположен в г. Воронеже по ул. Космонавтов, 21, а также удаленные подразделения - 8 филиалов в районах области, филиал «Дезинфекционная станция центра гигиены и эпидемиологии в Воронежской области» и филиал на железнодорожном транспорте (Юго-Восточный Дорожный филиал по железнодорожному транспорту, г. Воронеж) – рис. 2.

Рисунок 2 – структура ФБУЗ «Центр гигиены и эпидемиологии в Воронежской области»

Розовым тоном на рисунке 2 выделены удаленные подразделения организации. Без тона – подразделения Центрального офиса.

Организационная структура в этой компании строго иерархическая и строго централизованная. Все решения проходят через главного врача или его заместителя.

Филиалы ФБУЗ «Центр гигиены и эпидемиологии в Воронежской области» территориально расположены: Семилуки, Новая Усмань, Анна, Борисоглебск, Лиски, Калач, Павловск, Россошь.

Бюджетное учреждение осуществляет следующие основные виды деятельности:

1. санитарно-эпидемиологические экспертизы, обследования, исследования, испытания.

2. обеспечение работы по проведению социально-гигиенического мониторинга

3. проведение статистического наблюдения в области обеспечения санитарно-эпидемиологического благополучия населения

4. обеспечение деятельности по государственному учету инфекционных заболеваний, профессиональных заболеваний

5. лабораторные-медицинские исследования по диагностике инфекционных и паразитарных заболеваний.

В центральном офисе работает 480 сотрудников, в удаленных подразделениях (филиалах) – 540 сотрудников.

В центральном офисе в структуре организационно-методического отдела имеется отделение информационных технологий с штатом в четыре специалиста (начальник, два программиста, техник), на которых возложено сопровождение эксплуатации имеющегося программного обеспечения, реализующего ведомственные задачи.

В центральном офисе реализована локальная вычислительная сеть с доменами под управлением сервера (рис. 3).

Число компьютеров в сети – 110 единиц.

Рисунок 3. – Схема построения локальной вычислительной сети в центральном офисе

В филиалах также имеются локальные компьютерные сети с числом от от 10 до 20 компьютеров, при этом развернуть КриптоПро IPsec требуется для 30-ти компьютеров общим числом по филиалам. Остальные компьютеры не передают персональные данные и не требуют развертывание клиента IPSec. В каждом филиале есть VPN сервер. Таким образом, программное обеспечение необходимо развернуть на 11 серверах: 1 центральный офис, и 10 филиалов. На всех серверах стоит Windows Server 2016. В каждом филиале по одному маршрутизатору. В центральном офисе – 5 маршрутизаторов.

2.2 Анализ требований и потребности во внедрении

Электронные данные между Центральным офисом ФБУЗ «Центр гигиены и эпидемиологии в Воронежской области» и внешними организациями передаются по защищенным каналам. К числу внешних организаций, с которыми производится обмен электронными данными относятся вышестоящее организация - ФБУЗ «Федеральный центр гигиены и эпидемиологии», Управление Роспотребнадзора по Воронежской области, а также организации, требующие защиты электронной информации при ее передаче. Класс защиты информации с этими организациями – 1 КС.

Передача данных по локальной вычислительной сети в центральном офисе, а также в 10 филиалов осуществляется без специальных средств защиты информации за исключением централизованного бухгалтерского учёта через удалённый доступ к серверу посредством терминала, что требует разработки проекта внедрения криптографических методов защиты информации в организации. Однако по требованиям приказа ФСБ России от 10.07.2014 №378 должен обеспечиваться класс защиты не менее, чем 3 КС.

КриптоПро IPSEC является сертифицированным продуктом в России. Он прошел сертификацию по требованиям ФСБ и ФСТЭК, что подтверждает его соответствие нормативным требованиям для защиты информации, в том числе персональных данных. Использование сертифицированных средств криптографической защиты информации обязательно для государственных и муниципальных организаций, а также для коммерческих структур, работающих с категориями данных, которые регулируются Федеральным законом №152-ФЗ о персональных данных. Учитывая, что ФБУЗ «Центр гигиены и эпидемиологии в Воронежской области» работает с персональными данными при проведении лабораторных исследований человека с целью подтверждения медицинского диагноза, необходимым условием является защита обработки персональных данных для сохранения врачебной тайны.

Кроме того, такие документы, как поручения руководителя Управления Роспотребнадзора по Воронежской области (вышестоящей организации), приказы главного врача, план контрольно-надзорных мероприятий, план финансовой хозяйственной деятельности, поручения о проверках юридических лиц на предмет соблюдения санитарно-эпидемиологического законодательства относятся к информации ограниченного распространения с пометкой для служебного пользования, что также требует обеспечения защиты информации посредством КриптоПро IPsec, поскольку данная информация передается в филиалы.

В соответствии с руководящим документом от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»,класс защищённости автоматизированной системы ФБУЗ «Центр гигиены и эпидемиологии в Воронежской области» - 1Д [8].

1Д - автоматизированные системы, в которых циркулируют персональные данные.

По приказу ФСТЭК России от 11 февраля 2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» уровень значимости информации организации – УЗ 3. Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности.

2.3 Использование КриптоПро IPsec

КриптоПро IPSec построен на основе сертифицированного СКЗИ КриптоПро CSP. КриптоПро IPSec позволяет обеспечить конфиденциальность, целостность, подлинность и защиту данных от перехвата, подстановки пакета, а также защиту от повторных атак при передаче данных в сеть.

Это происходит с помощью следующих режимов:

1. Транспортный режим IPSec – применяется для защиты соединений на уровне клиент-сервер, сервер-сервер и клиент-клиент (КС1, КС2, КС3).

2. Туннельный режим IPSec – используется для создания защищённых виртуальных частных сетей (VPN), обеспечивающих безопасный удалённый доступ через Интернет. В этом режиме шифруются все пакеты данных, что делает его более защищенным для раскрытия информации о маршруте и источниках данных.

КриптоПро IPsec работает в трех сценариях:

– Точка-сеть – клиент подключается к серверу удаленного доступа, связь между сервером и локальной сетью осуществляется через общедоступную сеть (например, Интернет).

– Сеть-сеть– две или более доверенных сетей получают данные через публичную сеть (например, Интернет).

– Изоляция группы – создание зоны для группы компьютеров или целого домена внутри локальной сети. КриптоПро IPsec поддерживает использование Правил и Политик IPsec, что позволяет делить локальную сеть на несколько изолированных логических сетей, каждая из которых может иметь свой уровень безопасности. Это дает возможность создать отдельные логические сети внутри одной физической, при этом компьютеры в каждой логической сети будут следовать единому набору правил и политик для безопасного обмена данными.

Для подключения центрального офиса с филиалами наиболее подходящим вариантом будет сценарий "сеть-сеть".В этом режиме будет обеспечиваться защищенная связь между несколькими локальными сетями: центральным офисом и филиалами. “Точка-сеть” подходит для удаленного доступа пользователей из филиалов к центральному офису. Этот вариант больше для работы с отдельными клиентами или пользователями, чем для межсетевого соединения офисов.

Настройка правил маршрутизации: чтобы данные правильно передавались между центральным офисом и филиалами, нужно настроить маршруты. Это означает, что нужно указать, как данные будут двигаться по сети, через какие устройства и куда они должны попасть.

Настройка правил IP-фильтрации: это настройка фильтров, которые будут проверять, откуда приходят данные, и пропускать их только от разрешенных устройств. Например, можно настроить так, чтобы данные от неизвестных устройств или с сомнительных IP-адресов блокировались.

Настройка методов аутентификации и авторизации: чтобы убедиться, что только разрешенные устройства могут подключаться, нужно настроить проверку подлинности (аутентификацию). Это можно сделать через сертификаты или пароли. Также нужно настроить авторизацию, чтобы устройства могли получить доступ только к тем данным, которые им разрешены.

2.4 Процесс и план внедрения КриптоПро IPsec в организации

На основе анализа структуры и компьютерного обеспечения ФБУЗ стоит задача внедрения КриптоПро IPSec в действующую информационно-коммуникационную структуру организации. С учетом этого предлагается следующий план внедрения:

1) Определение объема работ и ответственных лиц за внедрение со стороны заказчика и исполнителя.

КриптоПро IPSec необходимо настроить на 11-ти серверах и 30-ти рабочих станциях. Развертывание системы осуществляется специалистами исполнителя, имеющими соответствующую квалификацию. Сопровождение развертывания от заказчика осуществляют специалисты отделения информационных технологий: обеспечение доступа к серверу и рабочим станциям, на которых планируется развертывание IPSec КриптоПро. Выделяемое время для развертывание согласуется между заказчиком и исполнителем. С учетом того, что в филиалах развертывание системы планируется осуществить по удаленному доступу заказчику в сопровождении специалистов отделения информационных технологий, необходимо обеспечить удаленный доступ к филиалам с использованием программного обеспечения AnyDesk и Remote Desktop Protocol к серверу.

2) Заключение договора. - Порядок, сроки, объем, и стоимость выполнения работ. Оговариваются риски внедрения системы и меры по их устранению, включая форсмажорные обстоятельства. Заказчик вправе удостоверится об уровне профессиональных компетенций исполнителя. Организация запрашивает документы, что дилерский центр сертифицирован разработчиком программного обеспечения, разработчик делегировал права продажи и настройки программного обеспечения. Заключающая договор организация (вправе) при оформлении договора запросить документы об уровни квалификации специалистов, в том числе об их обучении разработчиком программного обеспечения установки и настройки продукта.

При неудачном развертывании КриптоПро IPsec, повлекшим утрату работоспособности компьютерного оборудования и ПО у заказчика, в договоре должны быть предусмотрены штрафные санкции, неустойки и ответственность исполнителя по восстановлению работоспособности системы. В случае необходимости остановки сервера, рабочих станций исполнитель должен согласовать время и продолжительность остановки оборудования заказчика.

В договоре должен иметь место пункт по безвозмездному устранению технических неполадок, сбоев, которые были вызваны установкой программного продукта. Другими словами, установщики программного продукта по договору должны обеспечить полную совместимость нового продукта с действующим оборудованием и программным обеспечением. Если член команды исполнителя, выполняющего услуги развёртывания ПО не может обязанности по объективным причинам, исполнитель должен согласовать с заказчиком замену специалиста. По квалификации он должен быть не ниже, чем заменяемый специалист.

Дополнительным условием договора может быть обучение специалистов заказчика правилам эксплуатации КриптоПро IPSec и устранение его сбоев.

3) Подготовка оборудования и сетевой инфраструктуры. В случае, если возникла необходимость дополнительных работ, обеспечивающий развертывание КриптоПро IPSec не оговорённых договором, и выясненных при определении объёма работ исполнитель праве потребовать от заказчика заключения дополнительного соглашения. Такая ситуация может быть связана с отсутствием обновлений операционной системы, неактуальной антивирусной защиты, а также выявленной в ходе установки программных продуктов несовместимостью с имеющимся программным обеспечением, что требует дополнительных временных затрат на установку и конфигурирование системы. В нашем случае заказчик гарантирует отсутствие такой ситуации на серверах и рабочих станциях, где будет развертываться КриптоПро IPSec, так как имеющиеся ПО (версия операционной системы и т.д) соответствует техническим требованиям руководства КриптоПро IPSec.

4) Приобретение лицензий. Для работы с КриптоПро IPsec необходима установка КриптоПро CSP. Так как в филиалах КриптоПро CSP не стоит, исполнитель обязан приобрести лицензии КриптоПро CSP на сервера и рабочие места, а также лицензию на право использования КриптоПро IPSec. Список лицензий приведён в таблице №1 в экономическом разделе.

5) Установка Криптопро IPsec. В соответствии с договором установка КриптоПро IPsec проводится на 11 серверах: 1 в центральном офисе и 10 в филиалах. Так как филиалы находятся в разных местоположениях, установка КриптоПро CSP и КриптоПро IPSec будет реализована удалённо с помощью программы Anydesk и Remote Desktop Protocol к серверу.

6) Настройка КриптоПро IPSec и политик безопасности.

Site-to-site VPN использует аутентификацию с применением предварительно заданного ключа и учетных данных серверов, состоящих из имени пользователя и пароля. Поскольку такое подключение реализуется через IPsec исключительно между серверами, необходимости в дополнительных мерах защиты от несанкционированного доступа обычно не возникает. Сервера находятся под оперативным контролем администратора, что упрощает управление. Для установления связи достаточно провести аутентификацию по PSK в рамках IKE, а также подтвердить учетные данные сервера инициатора на стороне удаленного сервера. Благодаря своей простоте и надежности данная система ключей является предпочтительным выбором для реализации Site-to-site VPN.

На каждом филиале нужно настроить аналог политики IPsec. В источниках указать: локальную подсеть филиала, а в назначениях: локальную подсеть центрального офиса. Также следует указать тот же метод аутентификации и шифрования, что и в политике центрального офиса. Для облегчения настройки можно создать групповую политику безопасности и применить её к нужным серверам.

7) Обучение сотрудников. В процессе внедрения и опытной эксплуатации КриптоПро IPsec представители исполнителя в соответствии с условиями договор осуществляет обучение представителей заказчика – специалистов отделения Информационных технологий ФБУЗ «Центр гигиены и эпидемиологии Воронежской области». Кроме того, для пользователей, не являющихся специалистами IT, готовится и доводится до сведений краткая инструкция по применению средств защиты информации на их рабочих станциях. В случае необходимости руководитель организации имеет право направить сотрудников на обучение использованию КриптоПро IPsec в специализированную организацию(дилерам) в том числе в режиме онлайн без отрыва от основной работы.

Дорожная карта проекта обозначена на рис.3 и рис.4

Рисунок 3 – Дорожная карта проекта

На рисунке 3 изображено 4 этапа. 1 этап – Определение объема работ и ответственных лиц. 2 этап – Заключение договора. 3 этап – Приобретение лицензий. 4 этап – Подготовка оборудования и сетевой инфраструктуры.

Рисунок 4 – Продолжение дорожной карты.

Общее время: 96 часов. Время внедрения может увеличиваться или уменьшаться из-за сроков заключения договора.

3. Экономическая часть

3.1 Стоимость проекта

Необходимые для внедрения продукты [10]:

1.Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 на одном рабочем месте – 2700р

2. Лицензия на право использования СКЗИ "КриптоПро CSP" версии 5.0 на сервере – 70.000р.

3. Лицензия на право использования ПО "КриптоПро IPsec" из состава СКЗИ

"КриптоПро CSP" версии 5.0 на одном сервере – 30.000р

4. Сертификат на годовую техническую поддержку ПО "КриптоПро IPsec" на рабочем месте – 850р

5. Сертификат на годовую техническую поддержку ПО "КриптоПро IPsec" на сервере – 4150р

5. Сертификат на годовую техническую поддержку СКЗИ "КриптоПро CSP" на рабочем месте – 850р

6. Сертификат на техническую поддержку СКЗИ "КриптоПро CSP" на сервере 1 год– 8000р.

7. Курс для персонала по теории и практики использования средства криптографической защиты информации «КриптоПро CSP» - 20000 р.

8.Установка и настройка КриптоПро CSP на одном рабочем месте – 1500 р.

9. Установка и настройка КриптоПро CSP и Криптопро IPsec на cервер – 3000 р.

10. Обслуживание системы после установки: 1 вариант – штатные сотрудники отделения Информационных технологий ФБУЗ «Центр гигиены и эпидемиологии в Воронежской области» за фонд заработной платы – 30000 р., 2 вариант аутсорсинг – 30000 р.

Таблица 1 – Итоговые затраты на внедрение

Наименование	Количество	Стоимость, р.
Лицензия КриптоПро CSP	30	2700 * 30 = 81000
Лицензия КриптоПро CSP на сервере	11	70000 * 11 = 770000
Сертификат на годовую техническую поддержку СКЗИ "КриптоПро CSP" на рабочем месте	30	850 * 30= 25500
Сертификат на годовую техническую поддержку СКЗИ "КриптоПро CSP" на сервере	11	8000 * 11 = 88000
Лицензия на право использования ПО "КриптоПро IPsec" из состава СКЗИ "КриптоПро CSP" версии 5.0 на одном сервере	11	30.000 * 11 = 330000
Сертификат на годовую техническую поддержку ПО "КриптоПро IPsec" на сервере	11	4150 * 11 = 45650

Продолжение таблицы 1 – Итоговые затраты на внедрение

Сертификат на годовую техническую поддержку ПО "КриптоПро IPsec" на рабочем месте	30	850 * 30 = 25500
Установка и настройка КриптоПро CSP и настройка IPsec на одном рабочем месте	30	1500 * 30 = 45000
Установка и настройка КриптоПро IPsec на сервере	11	1500* 11 = 16500
Установка и настройка КриптоПро CSP на сервере	11	1500 * 11 = 16500
Обучение сотрудников КриптоПро IPsec	2	20000 * 2 = 40000
ЗП штатных сотрудников	2	30000 * 2 = 60000
Итого:		1543650 р.

Таким образом, суммарные затраты на реализацию проекта составят 1543650 руб.

3.2 Устав проекта

Название проекта: «IPsec всемогущий»

Дата: 01.12.2024

Заказчик: ФБУЗ «Центр гигиены и эпидемиологии в Воронежской области».

Цель проекта: Внедрение «КриптоПро IPsec» в ФБУЗ «Центр гигиены и эпидемиологии в Воронежской области.

Описание проекта: Проект «IPsec всемогущий» призван внедрить «КриптоПро IPsec в ФБУЗ «Центр гигиены и эпидемиологии в Воронежской области.

Требования:

1. Сроки: до 15.12.2024

Ожидания заказчика: Внедрение программного обеспечения КриптоПро IPsec обеспечит защиту персональных данных от утечек и несанкционированного доступа, повысит уровень безопасности информационных систем учреждения.

Риски:

1. Персонал, непригодный для обучения.

2. Увольнение сотрудника на этапе внедрения.

3. Юридически неточное или неконкретизированное составление договора.

Этапы внедрения:

1. Определение объема работ и ответственных лиц за внедрение со стороны заказчика и исполнителя.

2. Заключение договора.

3. Подготовка оборудования и сетевой инфраструктуры.

4. Приобретение лицензий.

5. Установка КриптоПро CSP и IPsec

6. Настройка КриптоПро IPSec и политик безопасности

7. Обучение сотрудников.

Затраты на внедрение:

1. «КриптоПро CSP» и КриптоПро IPsec – 1543650 руб.

2. Время – 12 рабочих дней.

Затраты на обучение персонала:

1. Входит в стоимость услуг проекта «IPsec всемогущий»;

2. Время – восьмичасовой курс.

4. Риски внедрения

4.1 Увольнение сотрудника на этапе внедрения

Этот риск связан с увольнением ключевого сотрудника, который играет центральную роль в проекте внедрения системы КриптоПро IPsec. Также данная ситуация является риском после внедрения, так как сотрудник обязан поддерживать работоспособность системы КриптоПро IPsec.

Потенциальные последствия:

1. Задержка в реализации проекта

2. Повышенные расходы: потребность в найме новых специалистов или обращении к консультантам может вызвать дополнительные затраты.

Таблица 2 -Итоговая оценка риска

Риск	Вероятность (1-3)	Степень воздействия (1-3)	Итоговая оценка риска
Увольнение сотрудника	2 (средняя вероятность)	2 (среднее воздействие)	4(средняя)

Вероятность (1-3): Средняя (2) — это обусловлено тем, что сотрудники получают значительно ниже рыночного уровня зарплаты, что повышает шанс их увольнения.

Степень воздействия (1-3): Средняя (2) — потеря ключевого сотрудника может вызвать задержку проекта и дополнительные расходы, но последствия можно минимизировать при наличии замены.

Итоговая оценка риска (1-9): Средний (4) — риски реалистичны, но управляемы.

Способы смягчения риска:

Аутсорсинг как альтернативный вариант. Если замена сотрудника внутри организации становится проблемой, можно рассмотреть возможность передачи части задач сторонним поставщикам. Аутсорсинг может помочь компенсировать дефицит квалифицированных кадров, предоставив доступ к специалистам с нужными навыками для продолжения внедрения и дальнейшего сопровождения системы. В нашем случае аутсорсинг КриптоПро IPsec стоит 40.000 рублей в месяц.

Если же аутсорсинг невозможен из-за финансовых ограничений, последним шагом будет обращение в вышестоящие организацию для финансирования восстановительных работ. В случае отказа от финансирования, ситуация может оказаться в тупике.

4.2 Персонал, непригодный для обучения

Таблица 3 - Итоговая оценка риска

Риск	Вероятность (1-3)	Степень воздействия (1-3)	Итоговая оценка риска
Персонал, непригодный для обучения	2(средняя вероятность)	3(высокое воздействие)	6(средняя)

Вероятность (1-3): Средняя (2) - вероятность того, что персонал окажется неготовым к обучению, повышается из- за возраста сотрудников или низкого уровня подготовки. Пожилые сотрудники, а также те, кто не имеет должной квалификации, могут быть непригодными для обучения.

Степень воздействия (1-3): Высокая (3) – если сотрудники не смогут поддерживать КриптоПро IPsec, это приведет к невозможности обеспечивать работу системы безопасности.

Итоговая оценка риска (1-9): Средняя (6) - риски реалистичны, но управляемы.

Способы смягчения риска:

1. Расширение штата новыми кадрами по согласованию с вышестоящей организацией.

2. Аутсорсинг.

4.3. Юридически неточное или неконкретизированное составление договора

Реализация проекта требует заключения Договора между заказчиком и исполнителем. Риск внедрения может быть связан с юридически неточным или неконкретизированным составлением договора, т.е. в договоре или приложении к нему не детализированы конкретный объем работ и обстоятельства, которые могут затруднить внедрение, требуют дополнительных работ и, следовательно, их оплаты (табл. 4).

Таблица 4 -Итоговая оценка риска

Риск	Вероятность (1-3)	Степень воздействия (1-3)	Итоговая оценка риска
Юридически неточное или неконкретизированное составление договора	2 (средняя вероятность)	3 (высокое воздействие)	6 (средняя)

Вероятность (1-3): Средняя (2) — вероятность того, что договор будет составлен с ошибками или неопределенностями, существует, особенно если юридический отдел организации не учел все детали в процессе подготовки.

Степень воздействия (1-3): Высокая (3) — неконкретизированное составление договора могут привести к значительным проблемам в будущем, таким как юридические споры, необходимость пересмотра условий, что задержит проект и увеличит расходы.

Итоговая оценка риска (1-9): Средний (6) — риск достаточно высок, но его можно минимизировать через тщательную проверку и согласование всех условий договора.

Заключение

В результате выполнения курсовой работы выполнено обоснование потребности внедрения «КриптоПро IPsec» в существующую информационно-коммуникационную структуру организации – Федерального бюджетного учреждения здравоохранения «Центр гигиены и эпидемиологии в Воронежской области», включающую сервер и компьютеры в центральном офисе и сервера и компьютеры в 10 территориально удаленных филиалах. С учетом, что в системе циркулируют персональные данные медицинского характера, а также документы ограниченного распространения (приказы, распоряжения о проверках юридических лиц и др.) определен класс защиты информации – 1Д.

Из трех типовых сценариев реализации КриптоПро IPsec для действующей информационно-коммуникационной структуры организации обоснован выбор сценария «сеть-сеть», в котором 10 удаленных филиалов с доверенными сетями получают и предают данные через публичную сеть в сеть центрального офиса организации.

Разработан план внедрения КриптоПро IPsec в организации, включающий определение объема работ и ответственных лиц за внедрение со стороны заказчика и исполнителя, заключение договора, подготовку оборудования и сетевой инфраструктуры, приобретение программного обеспечения и его установку, настройку КриптоПро IPSec и политик безопасности, внедрение и опытную эксплуатацию системы.

Определен перечень, количество и стоимость необходимых программных продуктов для реализации задачи защиты информации, а также суммарные экономические затраты на внедрение и последующее сопровождение эксплуатации системы, составившие 1595150 рублей. Разработан устав проекта внедрения КриптоПро IPsec.

В ходе выполнения работы приобретены профессиональные компетенции, направленные на практическое внедрение криптографических методов защиты информации в организации. Обосновано конкретное решение по внедрению СКЗИ "КриптоПро IPsec".

Список литературы

1. Бициева Э.И., Абубакарова Ф.В. Информационная безопасность в условиях цифровой трансформации // Материалы IV Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых с международным участием. Издательство: "СПЕКТР", Грозный, 2021. С. 67-75. [электронный источник] https://www.elibrary.ru/item.asp?id=48063986 (дата обращения 29.11.2024).

2. Гармонов А.А., Львович И.Я. Анализ подходов и способов защиты информации в сетях // Современные инструментальные системы, информационные технологии и инновации. Сборник научных трудов XVII Международной научно-практической конференции. Редколлегия: Разумов М.С. (отв. ред.). Курск, 2022. - С. 138-141. [электронный источник] https://www.elibrary.ru/item.asp?id=48255094 (дата обращения 29.11.2024).

3. Барсукова М.Н., Краковский Ю.М. Криптографические методы защиты электронного документооборота // Материалы VII международной научно-практической конференции. Издательство: Иркутский государственный аграрный университет им. А.А. Ежевского , Иркутск, 2018. С. 145-151. [электронный источник] https://www.elibrary.ru/item.asp?id=36337996 (дата обращения: 29.11.2024).

4. Кунин, Н. Т. Криптографические методы защиты информации: методические указания / Н. Т. Кунин, Ю. А. Паршенкова. – Москва: РТУ МИРЭА, 2023. – 32 с. – Текст : электронный // Лань : электронно-библиотечная система. – URL: https://e.lanbook.com/book/368738 (дата обращения: 29.11.2024).

5. Национальный стандарт РФ ГОСТ Р 34.12-2015 "Информационная технология. Криптографическая защита информации. Блочные шифры" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 19 июня 2015 г. №749-ст) [электронный источник] https://base.garant.ru/71701182/ (дата обращения 29.11.2024).

6. Приказ ФСБ России от 10 июля 2014 г. №378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" [электронный источник] https://base.garant.ru/70727118/ (дата обращения: 29.11.2024).

7. Федеральный закон "О персональных данных" от 27.07.2006 №152-ФЗ [электронный источник] https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 29.11.2024).

8. Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации» Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г. Сайт ФСТЭК России. [электронный ресурс]. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/rukovodyashchij-dokument-ot-30-marta-1992-g-3 (дата обращения: 29.11.2024).

9. Руководство администратора СКЗИ "КриптоПро IPsec" / [Электронный ресурс] // cryptopro: [сайт]. – URL: https://www.cryptopro.ru/sites/default/files/docs/general_guide_csp_r3.pdf (дата обращения: 29.11.2024).

10. КриптоПро | Приобретение / [Электронный ресурс] // cryptopro : [сайт]. – URL: https://cryptopro.ru/sites/default/files/docs/price.pdf (дата обращения: 29.11.2024).

Код для цитирования: Скопировать