Управління якістю послуг підприємства Інтернет звязку на прикладі People.net (стр. 9 из 12)
4. Об'єкти поставки
Організаційно-правова підсистема:
· Перелік конфіденційних відомостей
· Перелік конфіденційних документів
· Політика безпеки
· Технічне завдання
· Положення про конфіденційний документообіг
· Інструкції про порядок обігу з конфіденційною інформацією
Інженерно-технічна підсистема:
· Металеві двері типу « Сейф-Двері»
· Датчики пожежної сигналізації
· Датчики охоронної сигналізації
· Відеокамери кольорові із системою нічного бачення
· Монітори відеоспостереження
· Відеореєстратор з обсягом диска для зберігання відеозапису не менш 5 діб
· Генератор виброакустичного шуму Соната АВ
· Вибровипрмінювачі
· Акустовипрмінювачі
· Пристрій блокування стільникових телефонів
· Джерела безперебійного харчування
· Генератор електромагнітного шуму
· Считувачі пластикових карт
· Металеві ґрати
· Двері з тамбуром
Програмно-апаратна підсистема:
· Програмний комплекс для автоматизації документообігу
· Програмно-апаратний комплекс для захисту від НСД «SecretNet 5.0»
· Міжмережевий екран «Континент»
· Сервер.
Дані заходи реалізуються шляхом виконання ряду послідовних робіт, які представлені в додатку А.
5. Структурна схема організації
Структурна схема організації дозволяє виявити ієрархічні зв'язки між співробітниками організації. Надалі дана схема дозволяє скласти матрицю відповідальності, з якої можна визначити, який співробітник, за які заходи відповідає.
Рис. 3.1 Організаційна структура
6. Матриця відповідальності
Матриця відповідальності дозволяє визначити конкретних виконавців того або іншого заходу (табл.. 3.1).
Таблиця 3.1
Матриця відповідальності
| Виконавці Роботи | ВР.01 | ВР.01.1 | ВР.01.1.1 | ВР.01.1.2 | ВР.01.2 | ВР.01.2.1 | ВР.01.2.2 | ВР.01.2.3 | ВР.01.3 | ВР.01.3.1 | ВР.01.3.2 | |
| 1 | АМ.01.1 | х | х | |||||||||
| 2 | АМ.01.1.1 | х | х | |||||||||
| 3 | АМ.01.1.2 | х | х | |||||||||
| 4 | АМ.01.1.3 | х | х | |||||||||
| 5 | АМ.01.2 | х | х | х | х | |||||||
| 6 | АМ.02.1 | х | х | |||||||||
| 7 | АМ.02.2 | х | х | |||||||||
| 8 | АМ.02.3 | х | х | х | х | х | ||||||
| 9 | АМ.02.3.1 | х | х | х | ||||||||
| 10 | АМ.02.3.2 | х | х | х | ||||||||
| 11 | АМ.02.3.3 | х | х | х | ||||||||
| 12 | АМ.02.3.4 | х | х | х | ||||||||
| 13 | АМ.02.4 | х | х | х | х | |||||||
| 14 | АМ.02.4.1 | х | х | х | ||||||||
| 15 | АМ.02.4.2 | х | х | |||||||||
| 16 | АМ.02.4.3 | х | х | |||||||||
| 17 | АМ.02.5 | х | х | х | х | х | х | х | х | |||
| 18 | АМ.02.5.1 | х | х | х | ||||||||
| 19 | АМ.02.5.2 | х | х | х | х | х | ||||||
| 20 | АМ.02.6 | х | х | |||||||||
| 21 | АМ.02.6.1 | х | х | |||||||||
| 22 | АМ.02.6.2 | х | х | х | ||||||||
| 23 | АМ.02.7 | х | х | |||||||||
| 24 | АМ.02.7.1 | х | х | х | ||||||||
| 25 | АМ.02.7.2 | х | х | |||||||||
| 26 | АМ.02.8 | х | ||||||||||
| 27 | АМ.03.1 | х | х | х | ||||||||
| 28 | АМ.03.2 | х | х | х | ||||||||
| 29 | АМ.03.3 | х | х | |||||||||
| 30 | АМ.03.4 | х | х | |||||||||
| 31 | АМ.03.5 | х | х | |||||||||
| 32 | АМ.03.6 | х | х | |||||||||
7. Розрахункова вартість пропонованих мір
| Захід щодо захисту інформації | Вартість, грн |
| Система охоронної сигналізації | 20 000 |
| Система пожежної сигналізації | 15 000 |
| Організація відео спостереження | |
| Закупівля відеокамер | 56 000 |
| Закупівля відеореєстраторів | 36 000 |
| Закупівля моніторів | 18 000 |
| Настроювання й запуск в експлуатацію системи відеоспостереження | 5 000 |
| Організація захисту від акустичного знімання інформації | |
| Системи виброакустического зашумления | 50 000 |
| Організація тамбура в приміщенні | 3 000 |
| Системи блокування стільникових телефонів | 22 000 |
| Системи контролю доступу на територію | |
| Монтаж огородження | 40 000 |
| Організація поста охорони | 36 000 |
| Системи контролю доступу в будинок | |
| Двері типу « Сейф-Двері» | 15 000 |
| Зчитувач магнітних карт | 5 000 |
| Системи контролю доступу в приміщення | |
| Зчитувач магнітних карт | 50 000 |
| Грати на вікнах | 10 000 |
| Системи електромагнітного зашумления | 20 000 |
| Створення автоматизованої системи документообігу | 30 000 |
| Встановлення й настроювання програмно-апаратних засобів контролю доступу | 50 000 |
| Встановлення й настроювання міжмережевого екрану | 100 000 |
| Створення резервних серверів | 60 000 |
| Розмежування прав користувачів | 2 000 |
| Впровадження парольної політики | 1 000 |
| Розробка положення про конфіденційний документообіг | 3 000 |
| Розробка інструкцій про порядок обігу документів | 3 000 |
| Розробка положень, що стосуються окремих аспектів забезпечення ІБ | 5 000 |
| Навчання співробітників | 20 000 |
| Підсумкова сума на створення ІБ | 675 000 |
Підсумкова сума на створення комплексної системи захисту інформації вийшла рівної 675 000 гривень.
Цінність інформації, оброблюваної в організації, обчислюється декількома мільйонами гривень. Крім прямого фінансового збитку втрата конфіденційності або втрата даної інформації може нанести й непрямий збиток, пов'язаний зі збитком репутації компанії. Даний збиток виражається в ще більшій сумі - порядку 20 мільйонів гривень.
При даних розрахунках ураховувалося щомісячна кількість клієнтів компанії, що підключаються, вартість реалізації рекламної кампанії, а також збиток від блокування роботи інформаційної системи компанії.
8. Ризики проекту
Останнім етапом повинне стати виявлення всіляких ризиків, з якими ми можемо зштовхнутися під час реалізації проекту, а також визначення мер мінімізації даних ризиків
1. Інвестиційні (економічні).
Основний ризик полягає в недостачі коштів, матеріальних ресурсів на реалізацію проекту. У цьому випадку всі ті заходи, які були здійснені, не будуть приносити потрібного результату й можна вважати ефективність витрачених засобів рівної 0.
Також існує досить серйозний ризик того, що витрати на побудову комплексної системи захисту інформації виявляться вище, ніж вигода від її впровадження на організації.
З метою запобігання ризиків даної групи варто вжити наступних заходів:
· Повинна бути зроблена професійна оцінка вигода від впровадження комплексної системи захисту інформації
· Вартість проекту повинна бути розрахована максимально детальна з виправленням у більшу сторону.
· Кожний пункт проекту повинен бути погоджений з комерційним директором і затверджений генеральним директорам
· Впроваджувані міри повинні бути економічно виправдані. Вигода від впровадження мер повинна перевищувати витрати на їхнє впровадження.
· Впроваджувані міри повинні відповідати принципу розумної достатності. Впроваджувані міри повинні відповідати реальним зовнішнім і внутрішнім погрозам. Не повинні бути зайві.
2. Кадрові
Персонал представляє із себе ресурс поводження якого не завжди можливо досить точно спрогнозувати навіть фахівцям. Впровадження комплексної системи захисту інформації, а разом з нею й певного набору заборонних мір і правил може привести до певних негативних наслідків у роботі персоналу.
Дані наслідки можуть виражатися в наступних формах:
· Свідоме невиконання обов'язкових мір захисту
· Численні затримки в роботі, зв'язані зі складністю мерли захисти
· Випадкові помилки персоналу при роботі із засобами захисту
З метою виключення даної групи ризиків необхідно при побудова комплексної системи захисту інформації в обов'язковому порядку враховувати наступні моменти:
· Ще до остаточного впровадження повинне вироблятися навчання персоналу роботі із програмно-апаратними й технічними засобами захисту інформації
· Повинна бути пояснена необхідність впровадження даних мер з погляду, зрозумілої персоналу
· Впроваджувані заходи щодо захисту інформації повинні бути прості в експлуатації
· Впроваджувані заходи щодо захисту інформації повинні бути логічні
3. Технічні
Та частина ризиків, який найчастіше приділяється занадто мало уваги. Суть даної групи ризиків полягає в тім, що по-перше поточний стан інформаційної системи організації повинне задовольняти вимоги впроваджуваних мір, по-друге впроваджувані технічні міри повинні перебувати в гармонії з організаційними й програмно-апаратними мірами.
Можливі ризики:
· Конфлікт установлюваного програмного й апаратного забезпечення із установленою операційною системою й апаратною частиною
· Складність в експлуатації технічних і програмних засобів
· Наявність заставних пристроїв у встановлюваних апаратних засобів
· Наявність недекларованих можливостей в інстальованих програмних засобах
Основні міри запобігання даної групи ризиків:
· Перевірка всіх постачальників програмних і апаратних засобів
· Вибір надійних постачальників
· Ретельний вибір необхідних програмних і апаратних засобів
Завдяки докладному плану заходів можна оцінити загальну підсумкову вартість побудови комплексної системи захисту інформації.
Незважаючи на досить високу вартість створення комплексної системи захисту інформації (~700 000 грн), дані заходи повністю окупають себе у виді високої вартості захисту інформації.
3.3 Розробка політики компанії «People.net» у сфері якості надання послуг Інтернет зв’язку