Introducción
Actualmente, en nuestro país existe un rápido proceso de informatización de casi todas las esferas de la actividad pública. Aunque la gestión de documentos en papel todavía prevalece sobre la gestión de documentos electrónicos debido a la baja prevalencia de esta última, el volumen de documentos electrónicos corporativos se duplica cada tres años.
Con el desarrollo de la tecnología informática y las tecnologías electrónicas para el procesamiento y transmisión de información a distancia, así como según programas federales celebrada en Rusia, se hizo una transición a gestión de documentos electrónicos, que permitió automatizar muchos procesos de oficina.
Una autoridad certificadora o entidad certificadora es una organización o subdivisión de una organización que emite certificados de clave de firma digital electrónica, es un componente del servicio de directorio global responsable de administrar las claves criptográficas de los usuarios. Las autoridades de certificación almacenan las claves públicas y otra información sobre los usuarios en forma de certificados digitales.
Una autoridad de registro se define como una entidad responsable de identificar y autenticar al sujeto de un certificado, pero que no es capaz de firmar y emitir un certificado. Hay un constante intercambio de información entre el centro de registro y el centro de certificación.
Existe una necesidad objetiva de garantizar la protección de la información tanto en la etapa de interacción de la información entre el centro de registro y el centro de certificación, como en el proceso de procesamiento y almacenamiento de información, flujo de documentos internos del centro de registro.
El objeto del estudio es el subsistema de protección de una subdivisión separada de LLC Grif Information Security Center. El tema de estudio es la calidad del sistema de seguridad de la información de la unidad.
Por el momento, una división separada de CZI Grif LLC, que a su manera es propósito funcional centro de registro, tiene su propio sistema de seguridad, construido de acuerdo con las instrucciones de seguridad desarrolladas de acuerdo con los requisitos de los principales documentos en el campo seguridad de información. Sin embargo, la experiencia práctica ha demostrado que el sistema de seguridad original subdivisión separada tiene una serie de desventajas.
El propósito de este proyecto es desarrollar un subsistema de seguridad de la información que sea más efectivo que el original.
Los principales objetivos del proyecto de graduación son el análisis de diagnóstico de la empresa CZI Grif LLC, el estudio de las principales amenazas y el desarrollo de un modelo generalizado del sistema de seguridad de la información.
1.
Análisis de diagnóstico SRL "JI "GRIF"
1.1 características generales OOO CZI Grifo
El centro de seguridad de la información Grif es una organización especializada en la prestación de servicios en el ámbito de la tecnologías de la información y protección de la información. La empresa fue fundada en 2008 y opera con éxito en el mercado.
Centro de seguridad de la información "Grif" conforme ley Federal FZ-1 de fecha 10/01/2002 "Sobre electrónica firma digital» ofrece los siguientes servicios:
Produce certificados de clave de firma;
Crea claves de firmas digitales electrónicas a solicitud de los participantes en el sistema de información con garantía de mantener en secreto la clave privada de la firma digital electrónica;
Suspende y renueva los certificados de clave de firma y los revoca;
Mantiene un registro de certificados de clave de firma, asegura su pertinencia y la posibilidad de libre acceso a él por parte de los participantes en los sistemas de información;
Verifica la unicidad de las claves públicas de firmas digitales electrónicas en el registro de certificados de claves de firma y el archivo del centro de certificación;
Emite certificados de clave de firma en forma de documentos en medios de papel y (o) en forma de documentos electrónicos con información sobre su actuación;
Realiza, a solicitud de los usuarios de certificados de clave de firma, la confirmación de la autenticidad de una firma digital electrónica en un documento electrónico en relación con los certificados de clave de firma que les hayan sido emitidos.
El certificado de una persona autorizada del centro de certificación se incluye en el Unified Registro Estatal. Los certificados y las claves EDS se producen utilizando una herramienta certificada por el Servicio Federal de Seguridad de la Federación Rusa protección criptográfica"CryptoPro CSP" y corresponden normas estatales Federación Rusa. Todo intercambio de información con el Centro de Registro de la Autoridad de Certificación se realiza utilizando el protocolo seguro TLS con autenticación unidireccional y bidireccional.
1.2 Análisis de la estructura funcional de CZI Grif LLC
Un análisis de la estructura funcional de una empresa implica un análisis del proceso de funcionamiento de todo el sistema empresarial, que es la interacción de sus elementos, asegurando el cumplimiento de los objetivos previstos bajo la influencia de factores externos en función de los recursos disponibles.
Bajo la estructura funcional se entiende la especialización de subdivisiones para funciones de gestión individuales en todos los niveles de la jerarquía del sistema. Tal organización mejora significativamente la calidad de la gestión debido a la especialización de los gerentes en áreas de actividad más estrechas.
La actividad general de la empresa es un conjunto de actividades de la empresa en varias áreas funcionales, que se refleja en los procesos.
.2.1 Construcción de un diagrama funcional de CZI Grif LLC
El diagrama de bloques funcional de la empresa es el resultado de la descomposición del sistema según el principio funcional.
Considere los principales subsistemas del sistema de gestión empresarial. Éstos incluyen:
sistema de producción;
Sistema de suministro;
Sistema organizativo y de gestión.
El subsistema de producción incluye un área funcional para la prestación de servicios a la población.
El subsistema de organización y gestión es el segundo eslabón del sistema funcional de CZI Grif LLC e incluye las siguientes áreas:
Organización de la producción;
Organización de apoyo;
control de fabricación;
Gestión de provisiones.
El subsistema de apoyo de CZI Grif LLC incluye:
Seguridad financiera;
Soporte de información;
Soporte legal;
dotación de personal;
Provisión de transporte, materias primas y materiales.
Así, podemos considerar las funciones de cada subsistema en la descomposición.
La estructura funcional, así presentada, da una representación visual del estructura jerarquica cada uno de los subsistemas, sin tener en cuenta la división de elementos según los procesos que ocurren en cada una de las áreas presentadas.
La división de cada una de las áreas en procesos internos debe considerarse dentro de una descomposición separada, la cual se presenta a continuación. El diagrama de bloques funcional, construido sobre la base del análisis del funcionamiento de la empresa, se muestra en la Figura 1.1.
Figura 1.1 - Estructura funcional de CZI Grif LLC
1.2.2 Detalle de áreas funcionales de gestión
Cada una de las áreas funcionales de la gestión empresarial implica una serie de procesos internos asociados con ella.
Detallar las áreas funcionales de gestión de CZI Grif LLC ayuda a revelar su estructura interna.
Para demostrar la relación de áreas funcionales y procesos resultantes del análisis, presentamos la información en la tabla 1.1.
Tabla 1.1 - Tabla de la relación entre áreas funcionales y procesos empresariales
Área funcional Procesos internos del área funcional 1. Prestación de servicios a la población 1.1.Búsqueda de clientes. 1.2 Prestación de servicios y su soporte. 3. Soporte de información 3.1.Proporcionar a la gerencia información operativa para su adopción las decisiones de gestión. 3.2 Organización del uso efectivo recursos de información. 3.3 Asegurar la reducción del ciclo de control. 4. Apoyo legal 4.1.Proporcionar a la dirección y empleados de la organización información legal 4.2 Apoyo al trabajo de la organización de conformidad con la legislación de la Federación Rusa. 5.Dotación de personal 5.1 Dotación de personal. 5.2 Contabilización del movimiento de personal. 5.3.Planirovanie número de personal. 5.4 Redacción dotación de personal. 5.5 Preparación de pedidos. 5.6 Planificación de vacaciones. 6. Suministro de transporte, materias primas y materiales 6.1 Contabilización del movimiento de materiales y equipos. 6.2 Control de calidad y almacenamiento de materiales. 6.3 Actividades de compras. 6.4 Determinación de las necesidades de materiales, recursos y componentes. 7. Gestión de operaciones 7.3 Aceptación de decisiones gerenciales. 7.6 Gestión de compras. 7.8 Gestión de almacenes. 7.7 Gestión del mantenimiento de registros. 7.9 Gestión de ventas. 7.1 Desarrollo planes estrategicos. 7.2 Comunicación con el medio exterior. 7.5.Gestión trabajo de produccion. 7.4 Formación de órdenes e instrucciones. 8.Gestión de la producción 8.1 Gestión de equipos. 8.2.Gestionar la calidad de los servicios prestados. 8.3 Elaboración de resúmenes y horarios de trabajo. 9. Gestión de la planificación 9.1 Determinación del modo de funcionamiento de la empresa. 9.2 Planificación de la capacidad de producción. 9.3 Planificación de la colocación fuerza de trabajo. 9.4 Planificación financiera. 9.5 Análisis de reservas actividad económica. 9.6 Gestión de fondos empresariales. 9.7 Gestión de inversiones de capital. 1.3 Análisis de la estructura organizacional y gerencial de CZI Grif LLC
La estructura organizativa y gerencial de la empresa se forma de tal manera que proporciona: Respuesta rápida a los cambios en la situación del mercado; Asignación de cada función implementada por la empresa a cualquiera de sus subdivisiones estructurales; Distribución y personificación de la responsabilidad en la organización y desempeño de las funciones que ejecuta la empresa y la adopción de las decisiones de gestión en cada una de las áreas. Distribución eficiente de la toma de decisiones gerenciales. Cada departamento de la empresa es una subdivisión estructural independiente de CZI Grif LLC. El CEO es personalmente responsable del nombramiento y destitución de los jefes de departamento. Constantemente se llevan a cabo reuniones entre los jefes de departamento, en las que se toma la mayor parte de las decisiones estratégicas y tácticas dentro de cada departamento. La calidad del trabajo de toda la empresa en su conjunto depende de la calidad del trabajo de cada departamento, por lo tanto, la gestión de la empresa requiere Un enfoque complejo, que se consigue distribuyendo los roles por departamentos, de acuerdo con la especialización de cada uno, pero manteniendo un sistema de gestión centralizado. Cada división es responsable de la implementación de una cierta gama de tareas. Hay tres niveles del sistema: superior, medio y operativo. La estructura organizacional y gerencial de la empresa CZI Grif LLC se muestra en la Figura 1.2 Figura 1.2 - Estructura organizativa y gerencial de la empresa LLC "CZI" Grif " Las tareas clave del Departamento de Recursos Humanos incluyen: Selección y distribución del personal en la empresa, evaluando sus calificaciones y cualidades empresariales; Organización del registro de empleados en relación con la contratación, despido o transferencia a otro puesto de acuerdo con todas las reglas de la legislación vigente; Expedición de certificados sobre la actividad laboral de los empleados, así como el llenado, mantenimiento y almacenamiento de libros de trabajo, mantenimiento de registros de documentación del departamento; Colocar anuncios y contratar, procesar currículos entrantes, aceptar candidatos; Ejecución de documentos y estudio de materiales sobre violaciones de la disciplina laboral; Organización de exámenes médicos periódicos y familiarización de los nuevos empleados con las reglas del horario laboral actual de la empresa; Selección de ingenieros de procesos, gerentes y empleados y ejecución de los documentos necesarios; Implementación de información y familiarización de los empleados con la empresa; Estudiar los asuntos de los empleados, sus cualidades personales y comerciales y proporcionar a la gerencia informes y recomendaciones sobre el movimiento de los empleados a lo largo de los escalones de la jerarquía empresarial; Garantizar la preparación de los documentos en el campo del seguro de pensiones y mantener registros en el sistema del Seguro de Pensiones del Estado; Organización de hojas de asistencia y seguro médico obligatorio para los empleados. Las principales tareas del departamento legal incluyen: Asegurar el cumplimiento de las actividades de la organización con los requisitos de la legislación vigente, protección de los intereses legales de la empresa; Trabajo con contratos y reclamaciones, contabilidad de la práctica judicial; Realización de peritajes jurídicos de actos de la organización, actos jurídicos reglamentarios de los gobiernos locales; Poner en conocimiento del personal las características de la legislación vigente y el procedimiento de aplicación en el trabajo de las divisiones de la organización; Participación en la interacción con los organismos encargados de hacer cumplir la ley, así como con las autoridades estatales y el gobierno autónomo local; Elaboración y aprobación de actos jurídicos normativos al interior de la organización; Análisis del marco legal y contable de los reglamentos de la organización. La tarea principal del departamento de aprovisionamiento es dotar a la empresa de todos los recursos materiales necesarios para sus actividades. Tareas clave del departamento financiero y económico: Organización de las actividades financieras y económicas de la empresa y sus divisiones; Asegurar la colocación en interés de la empresa de personal de servicios contables y financieros, teniendo en cuenta sus calificaciones de servicio, experiencia, negocios y cualidades personales; Organización del trabajo para garantizar la seguridad de los fondos y la documentación financiera; Organización del trabajo sobre la consideración de quejas y propuestas recibidas del personal sobre temas de actividad financiera y económica; Llevar a cabo verificaciones sobre los hechos de violaciones financieras; Determinación de fuentes y tamaños. recursos financieros en la empresa Las principales tareas de la contabilidad son: Elaboración de informes que reflejen objetivamente condición financiera organización y sus actividades para uso interno de la dirección y otras personas autorizadas de la organización, así como, si es necesario, socios; Análisis y evaluación del uso de las reservas internas de la organización; Identificación de reservas de producción no utilizadas y su movilización con el fin de su uso efectivo posterior; Prevención de situaciones en las que las actividades de la organización puedan causar pérdidas y caer en una posición de inestabilidad financiera; Provisión oportuna de la información necesaria a los usuarios internos. Estados financieros para llevar a cabo diversas actividades de control y realizar transacciones comerciales con la debida eficiencia y oportunidad. Así, con este sistema de distribución de roles y funciones en la empresa, se logra la mayor eficiencia en la implementación de sus principales actividades, asociada a la estrecha especialización de cada departamento de CZI Grif LLC. .4 Análisis de los objetivos de OOO CZI Grif
La meta es un ideal o la cosa real deseo consciente o inconsciente del sujeto, resultado final al que se dirige deliberadamente el proceso. El establecimiento de objetivos implica la creación de un sistema jerárquico de objetivos principales, que se dividirá en objetivos específicos más estrechos. El establecimiento adecuado de los objetivos de la actividad le permite seleccionar con precisión los medios y capaces de lograrlos y lograrlos de la manera más eficiente posible. Para analizar las metas de la empresa, es necesario construir un árbol de metas basado en la información disponible sobre el sistema. En este sistema jerárquico, los objetivos de nivel inferior actuarán como medios para lograr objetivos de nivel superior. Necesitamos construir un modelo correcto pero simple. Para ello, seguiremos los siguientes principios: El principio de completitud. Implica el logro completo de la meta a través del logro de sub-metas. El principio de superposición de subobjetivos. Los subobjetivos parecen ser independientes. Principio de finitud de la descomposición El algoritmo de descomposición incluye un número finito de pasos. Utilizando la Tabla 1.2, ilustramos la clasificación de los subobjetivos. Con base en el análisis de los objetivos de la empresa, construiremos un árbol de objetivos, que se muestra en la Figura 1.3. Tabla 1.2 - Análisis de los objetivos de la empresa LLC "CZI" Grif " Medios de logro Criterio de eficiencia С0 - beneficio máximo С01 - aumento en el número de contratos celebrados C1 - máxima mejora en la calidad de los servicios prestados C11 - formación avanzada de los empleados; С12 - aumento en el número de socios; C13 - máxima mejora en la calidad de los servicios prestados; Aumentar el nivel de competitividad y aumentar la influencia de la empresa en el campo de la seguridad de la información. C2 - garantizar un alto nivel de competencia profesional C21 - eficiencia en la gestión del personal; C22 - estudiar la experiencia de trabajar con personal. Incrementar el nivel profesional de los empleados. Figura 1.3 - El árbol de objetivos de LLC "JI "Grif" Así, obtenemos un árbol de metas que cumple con los principios establecidos, reflejando la estructura de las metas de CZI Grif LLC. .5 Identificación de situaciones problemáticas LLC CZI Grif
La efectividad del proceso de gestión empresarial depende en gran medida de qué tan bien se identifiquen las situaciones problemáticas en el proceso de producción y qué tan rápido y eficientemente se tome una decisión después de la identificación. Cada empresa debe ser considerada, teniendo en cuenta los detalles de su trabajo. Si surge un problema, una situación de discrepancia entre el estado deseado y el real del sistema, se aplica un conjunto de medidas para superar tal situación. Lo más óptimo es un enfoque integrado para resolver situaciones problemáticas. Con este enfoque, es importante formular correctamente una serie de problemas y las relaciones entre ellos y resolver no cada problema por separado, sino un grupo de problemas en uno u otro nivel de la jerarquía del sistema. Para una consideración por etapas de las situaciones problemáticas, se considera cada uno de los niveles del sistema empresarial. Cualquiera de situaciones posibles se considera la discrepancia entre lo deseado y lo real, y luego se selecciona el método de solución más adecuado para resolver esta situación. En relación con el análisis de CZI Grif LLC, como problemas, en primer lugar, se considerarán situaciones en las que el logro de subobjetivos puede ser imposible o difícil, lo que, a su vez, puede interferir con el logro del objetivo clave de la organización. . Para presentar posibles formas de resolver situaciones problemáticas de la empresa, formaremos una lista de posibles problemas. El análisis de situaciones problemáticas de CZI Grif LLC se muestra en la Tabla 1.3. Tabla 1.3 - Análisis de situaciones problemáticas de OOO CZI Grif
situación problema Métodos de solución 1. Disminución de la calidad de la gestión empresarial 1.1 Aumentar el flujo de documentos de la organización 1. Automatización contable 1.2 Aumento del tiempo para tomar una decisión, deterioro de su calidad 1. Automatización de la recolección y procesamiento de la información 2. Modificación del esquema de análisis de situación 1.3 Táctica incorrecta y planificación estratégica 1. Análisis de la información operativa y creación de un sistema de planificación 2.Reduciendo la calidad del servicio 2.1 Disminución de la calidad de los servicios 1. Realizar cambios en el sistema, teniendo en cuenta los comentarios de los clientes. 2.2 Configuración incorrecta términos de referencia 1. Creación de un sistema de múltiples etapas para coordinar los términos de referencia con el cliente 2.5 Crecimiento en el número de errores en el análisis de la información 1. Automatización del análisis y recolección de información. 2.6 Robo de información comercial y datos personales 1. Análisis del sistema de protección existente, identificación de debilidades y desarrollo de un sistema de gestión documental modificado 3. Calidad disminuida contabilidad 3.1.Dificultades en la organización y búsqueda de información 1. Automatización e implantación de la gestión documental electrónica. 2. Modificación de métodos contables. 3.2 Crecimiento en el número de errores en la contabilización de activos fijos 3.3 Aumentar la cantidad de tiempo para el procesamiento de datos 4. Disminución de la calidad del trabajo del servicio de personal. 4.1 Abuso de autoridad por parte de los empleados de la organización 1. Desarrollo de un conjunto de medidas para aumentar la responsabilidad de los empleados en el desempeño de sus funciones 2. Implicación de los empleados en responsabilidad administrativa de acuerdo con el código laboral de la Federación Rusa Así, se puede observar en el cuadro que una parte significativa de los problemas de la organización están relacionados con el procesamiento, almacenamiento, sistematización y uso de información de diversa índole, en varios niveles. El problema del robo de información se resolverá durante el desarrollo de este proyecto analizando el sistema de seguridad de la información existente, identificando las deficiencias de este sistema y desarrollando un nuevo sistema de seguridad de la información modificado. 2. Análisis del subsistema para verificar la integridad y autenticidad de la información de LLC "CZI "Grif"
Las herramientas de seguridad importantes son procedimientos para garantizar la integridad y autenticidad de los datos. Analicemos el subsistema para verificar la integridad y autenticidad de la información de OOO CZI Grif. A mediados de los años 70 del siglo pasado se inventó un método que permite cifrar mensajes mediante el intercambio de claves a través de canales de comunicación abiertos, y a principios de los años ochenta apareció el primer algoritmo que lo implementa, rsa. Ahora el usuario puede generar dos claves relacionadas: un par de claves. Una de estas claves se envía a través de canales no secretos a todas las personas con las que el usuario desea intercambiar mensajes confidenciales. Esta clave se llama clave pública. Conociendo la clave pública del usuario, puede cifrar el mensaje dirigido a él, pero solo la segunda parte del par de claves, la clave privada, puede descifrarlo. Al mismo tiempo, la clave pública no permite calcular la clave privada: aunque tal tarea es solucionable en principio, pero con un tamaño de clave suficientemente grande, requiere muchos años de tiempo de computadora. Para mantener la confidencialidad, el destinatario solo necesita mantener su clave privada en estricto secreto, y el remitente debe asegurarse de que la clave pública que tiene realmente pertenece al destinatario. Dado que se utilizan diferentes claves para el cifrado y el descifrado, los algoritmos de este tipo se denominan asimétricos. Su inconveniente más importante es su bajo rendimiento: son unas 100 veces más lentos que los algoritmos simétricos. Por ello, se han creado esquemas criptográficos que aprovechan tanto los algoritmos simétricos como los asimétricos: Se utiliza un algoritmo simétrico rápido para cifrar un archivo o mensaje, y la clave de cifrado se genera aleatoriamente con propiedades estadísticas aceptables; Una pequeña clave de cifrado simétrica se cifra mediante un algoritmo asimétrico utilizando la clave pública del destinatario y se envía cifrada junto con el mensaje; Habiendo recibido el mensaje, el destinatario descifra la clave simétrica con su clave privada y, con su ayuda, el mensaje mismo. Para evitar cifrar todo el mensaje con algoritmos asimétricos, se utiliza el hash: se calcula el valor hash del mensaje original y solo esta breve secuencia de bytes se cifra con la clave privada del remitente. El resultado es una firma digital electrónica. Agregar una firma de este tipo a un mensaje le permite configurar: Autenticidad del mensaje: solo su propietario podría crear una firma basada en la clave privada; Integridad de los datos: calcule el valor hash del mensaje recibido y compárelo con el almacenado en la firma: si los valores coinciden, el atacante no modificó el mensaje después de que el remitente lo firmara. Así, los algoritmos asimétricos permiten resolver dos problemas: el intercambio de claves de cifrado sobre canales abiertos de comunicación y la firma de un mensaje. Para aprovechar estas funciones, debe generar y almacenar dos pares de claves: para el intercambio de claves y para las firmas. CryptoAPI nos ayudará con esto. Cada proveedor de cifrado tiene una base de datos que almacena claves de usuario a largo plazo. La base de datos contiene uno o más contenedores de claves. El usuario puede crear varios contenedores con diferentes nombres (el nombre del contenedor predeterminado es el nombre de usuario en el sistema). La conexión con el contenedor se realiza simultáneamente con la recepción del contexto de cryptoprovider al llamar a la función cryptacquirecontext: el nombre del contenedor de claves se pasa a la función como su segundo argumento. Si el segundo argumento contiene un puntero nulo (nil), se utiliza el nombre predeterminado, es decir, el nombre de usuario. En el caso de que no se necesite acceso al contenedor, puede pasar el indicador crypt_verifycontext en el último argumento de la función; si es necesario crear un nuevo contenedor, se utiliza la bandera crypt_newkeyset; y para eliminar un contenedor existente junto con las claves almacenadas en él: crypt_deletekeyset. Cada contenedor puede contener al menos dos pares de claves: una clave de intercambio de claves y una clave de firma. Las claves utilizadas para el cifrado por algoritmos simétricos no se almacenan. Después de crear el contenedor de claves, debe generar pares de claves de firma e intercambio de claves. Este trabajo en CryptoAPI lo realiza la función cryptgenkey (proveedor, algoritmo, banderas, clave): Proveedor: descriptor de criptoproveedor obtenido como resultado de llamar a la función cryptacquirecontext; Algoritmo: indica a qué algoritmo de cifrado corresponderá la clave generada. La información del algoritmo es, por lo tanto, parte de la descripción de la clave. Cada proveedor de criptografía utiliza algoritmos estrictamente definidos para el intercambio de claves y la firma. Así, los proveedores del tipo prov_rsa_full, que incluyen el proveedor criptográfico base de microsoft, implementan el algoritmo rsa; Banderas: al crear claves asimétricas, controla su tamaño. El proveedor criptográfico que utilizamos le permite generar una clave de intercambio de claves de 384 a 512 bits de longitud y una clave de firma, de 512 a 16384 bits. Cuanto mayor sea la longitud de la clave, mayor será su confiabilidad, por lo tanto, no se recomienda utilizar una clave de intercambio de claves de menos de 512 bits, y no se recomienda hacer que la longitud de la clave de firma sea inferior a 1024 bits. De forma predeterminada, el proveedor de cifrado genera ambas claves con una longitud de 512 bits. La longitud de clave requerida se puede pasar en la palabra alta del parámetro flags: Clave: en caso de que la función se complete con éxito, el descriptor de la clave creada se ingresa en este parámetro. En el campo "Contenedor", puede especificar el nombre del contenedor de claves; si deja este campo en blanco, se usará el contenedor predeterminado. Una vez que se genera la clave, se muestra un informe sobre sus parámetros en el campo memo. Para ello se utiliza la función cryptgetkeyparam (clave, parámetro, búfer, tamaño, banderas). Para obtener información sobre el parámetro requerido, debe pasar la constante correspondiente a través del segundo argumento de la función: kp_algid - identificador de algoritmo, kp_keylen - tamaño de clave, etc. procedimiento tgenerateform.okbtnclick(remitente: tobject); cont:pchar; :cuerda; :hcryptprov; , clave de señal: hcryptkey; bandera, keylen: dword; (leer el nombre del contenedor) length(containeredit.text) = 0 cont:= nil:= containeredit.text; := stralloc(longitud(error) + 1); (continuación, error); ; (@hprov, cont, nil, prov_rsa_full, 0); (generación de clave de intercambio de claves) kekcheckbox.checked luego (lea la longitud de la llave y póngala en palabra alta del parámetro FLAGS) := strtoint(keyexchlenedit.text); bandera:= keylen shl 16; no cryptgenkey(hprov, at_keyexchange, flag, @keyexchkey) entonces (manejo de errores).lines.add(""); .lines.add("Clave de intercambio de claves creada:"); := 4; no cryptgetkeyparam(keyexchkey, kp_keylen, @keylen, @flag, 0) entonces (manejo de errores)reportmemo.lines.add(" key length - " + inttostr(keylen)); := 4; no cryptgetkeyparam(keyexchkey, kp_algid, @keylen, @flag, 0) entonces (manejo de errores)reportmemo.lines.add(" algoritmo - " + algidtostr(keylen)); (La función algidtostr no se muestra aquí. Consiste en un solo declaración de caso que asigna un identificador de algoritmo entero a una cadena) (generación de clave de firma) skcheckbox.checked luego (realizado de manera similar a la generación de claves de intercambio de claves); contexto de liberación de criptas (hprov, 0); Al exportar, los datos clave se guardan en uno de los tres formatos posibles: Publickeyblob: se utiliza para almacenar claves públicas. Dado que las claves públicas no son secretas, se almacenan sin cifrar; Privatekeyblob: se utiliza para almacenar el par de claves completo (claves públicas y privadas). Estos datos son altamente secretos, por lo tanto, se almacenan de forma cifrada, y la clave de sesión (y, en consecuencia, un algoritmo simétrico) se utiliza para el cifrado; Simpleblob: se utiliza para almacenar claves de sesión. Para garantizar la privacidad, los datos clave se cifran utilizando la clave pública del destinatario del mensaje. La exportación de claves en CryptoAPI se realiza mediante la función cryptexportkey (clave exportada, clave de destino, formato, banderas, búfer, tamaño del búfer): Clave exportada - el descriptor de la clave requerida; Clave de destino: si la clave pública está almacenada, debe ser cero(los datos no están encriptados); Formato: especifica uno de los posibles formatos de exportación (publickeyblob, privatekeyblob, simpleblob); Indicadores: reservados para el futuro (debe ser cero); Búfer: contiene la dirección del búfer en el que se escribirá el blob de claves (objeto binario grande); Tamaño del búfer: cuando se llama a la función, esta variable debe contener el tamaño del búfer disponible y, al final del trabajo, se escribe la cantidad de datos exportados. Si el tamaño del búfer no se conoce de antemano, entonces se debe llamar a la función con el parámetro de búfer igual a un puntero nulo, luego se calculará el tamaño del búfer y se ingresará en la variable de tamaño del búfer. Es posible que deba exportar el par de claves completo, incluida la clave privada, para poder firmar documentos en diferentes computadoras (por ejemplo, en casa y en el trabajo), o para guardar una copia de respaldo. En este caso, debe crear una clave de cifrado basada en la contraseña y pasar un identificador a esta clave como segundo parámetro de la función cryptexportkey. La función cryptgetuserkey (proveedor, descripción de clave, descriptor de clave) le permite solicitar el descriptor de la clave exportada del proveedor de cifrado. La descripción de la clave es at_keyexchange o at_signature. texportform.okbtnclick(remitente: tobject); cont:pchar; :cuerda; :hcryptprov; , claveexp: hcryptkey; : pbyte; :dpalabra; :expediente; hash:hcrypthash; (si no se selecciona ninguna tecla - salir) si no (kekcheckbox.checked o skcheckbox.checked), salga; (si se necesita una contraseña, es decir, se exporta todo el par de claves) si passwedit.enabled y (passwedit.text<>passw2edit.text) entonces begin("¡Error al ingresar la contraseña! Vuelva a intentarlo.", mterror, ., 0); ; ; "leer" el nombre del contenedor y conectarse al proveedor de cifrado si necesita una clave de cifrado, créela en función de la contraseña (clave de intercambio de clave) kekcheckbox.checked entonces (obtener identificador de clave) (hprov, at_keyexchange, @key); (definimos el tamaño del búfer para exportar la clave) if (whatradiogroup.itemindex = 0) then (clave, 0, publickeyblob, 0, nil, @buflen) cryptexportkey(clave, expkey, privatekeyblob, 0, nil, @buflen); (pbuf, tampón); (exportar datos) (whatradiogroup.itemindex = 0) luego (key, 0, publickeyblob, 0, pbuf, @buflen) cryptexportkey(key, expkey, privatekeyblob, 0, pbuf, @buflen); (Libere el mango de la llave de intercambio de llaves (la clave en sí no se destruye en este caso)) (clave); .title:= "Especifique un archivo para guardar la clave de intercambio de claves"; si savedialog1.ejecutar entonces (f, savedialog1.nombre de archivo); (f, 1); (f, pbuf^, buflen); (F); ("La clave de intercambio de claves se guardó correctamente", información mínima, ., 0); ; verdadero; (intercambio de llaves) (clave de firma) skcheckbox.checked luego (similar a la clave de intercambio de claves) hasta cierto; (firma) si se creó una clave basada en una contraseña, la destruimos, después de lo cual liberamos el contexto del proveedor criptográfico Las partes públicas de las claves exportadas de esta forma son necesarias para verificar la firma y descifrar la clave de sesión. La importación de pares de claves en un contenedor recién creado es un procedimiento independiente. Debe solicitar al usuario el nombre y la contraseña del contenedor, conectarse al proveedor, crear una clave basada en la contraseña, leer los datos importados del archivo en el búfer y luego usar la función cryptimportkey (proveedor, búfer, longitud del búfer , clave de descifrado, banderas, clave importada). Si es necesario brindar la capacidad de exportar el par de claves importado más adelante, se debe pasar el valor crypt_exportable en el parámetro flags; de lo contrario, la llamada a la función cryptexportkey para este par de claves genera un error. conclusiones 1. Se realizó un análisis etapa por etapa de CZI Grif LLC. 2. Como resultado del análisis de la estructura funcional, se construyó un modelo funcional de la empresa. Se identifican los principales objetivos que enfrenta la empresa y las formas de lograrlos. Se ha construido un árbol de objetivos. Se identifican las principales situaciones problema y se determinan los métodos para su resolución. Se elige una situación problemática a resolver en el proyecto de grado. Se identifican las principales tareas a las que se enfrenta la organización y se establecen prioridades en la resolución de problemas. El análisis mostró la factibilidad y necesidad de resolver el problema considerado en este trabajo. 2. .1 Análisis de las especificidades de los procesos de información en infraestructura de clave pública (PKI)
El propósito funcional principal de la subdivisión separada considerada de CZI Grif LLC es la función del centro de registro. La Autoridad de Registro es uno de los componentes finales más importantes de una infraestructura de clave pública. Para determinar las principales amenazas a la seguridad de una subdivisión separada, es necesario considerar la subdivisión como un elemento del sistema con el que interactúa activamente. Una infraestructura de clave pública es un sistema complejo cuyos servicios se implementan y proporcionan utilizando tecnología de clave pública. El propósito de PKI es administrar claves y certificados a través de los cuales una corporación puede mantener un entorno de red confiable. PKI permite que los servicios de encriptación y firma digital se utilicen en concierto con una amplia gama de aplicaciones que operan en un entorno de clave pública. Los componentes principales de una PKI son: Centro de Verificación; Centro de Registro; depósito de certificados; Archivo de certificados; Entidades finales (usuarios). La interacción de los componentes de la PKI se ilustra en la Figura 1.1. Como parte de la PKI existen subsistemas de emisión y revocación de certificados, creación de copias de seguridad y restauración de claves, realización de operaciones criptográficas, gestión ciclo vital certificados y claves. El software de cliente de usuario interactúa con todos estos subsistemas. La premisa fundamental de la criptografía de clave pública era que dos entidades desconocidas deberían poder comunicarse de forma segura entre sí. Por ejemplo, si el usuario A quiere enviar un mensaje confidencial al usuario B, con quien no se ha reunido previamente, entonces para encriptar el mensaje, debe poder asociar de alguna manera al usuario B y su clave pública. Para una comunidad de usuarios potenciales, que reúna a cientos de miles o millones de sujetos, la forma más práctica de vincular las claves públicas y sus propietarios es organizar centros de confianza. Estos centros cuentan con la confianza de la mayoría de la comunidad, o posiblemente de toda la comunidad, para realizar funciones de vinculación de claves e identificación de usuarios (identidad). Dichos centros de confianza en la terminología de PKI se denominan centros certificadores (CA); certifican la asociación de un par de claves con una identidad mediante la firma digital de una estructura de datos que contiene alguna representación de la identidad y la clave pública correspondiente. Esta estructura de datos se denomina certificado de clave pública (o simplemente certificado). Un certificado es un tipo de identidad registrada que se almacena en formato digital y es reconocida como legítima y de confianza por la comunidad de usuarios de PKI. Para verificar certificado electronico se utiliza una firma digital electrónica de la CA - en este sentido, el centro de certificación se asemeja a una notaría, ya que confirma la autenticidad de las partes involucradas en el intercambio de mensajes o documentos electrónicos. Aunque una CA no siempre forma parte de una PKI (especialmente las infraestructuras pequeñas o aquellas que operan en entornos cerrados donde los usuarios pueden realizar funciones de administración de certificados de manera eficiente), es un componente crítico de muchas PKI a gran escala. El uso directo de claves públicas requiere su protección e identificación adicional para poder establecer una relación con la clave secreta. Sin esa protección adicional, un atacante podría hacerse pasar por el remitente de los datos firmados y el destinatario de los datos cifrados sustituyendo el valor de la clave pública o violando su identidad. Todo esto conduce a la necesidad de autenticación: verificación de clave pública. Una CA reúne a las personas, los procesos, el software y el hardware involucrados en el enlace seguro de los nombres de usuario y sus claves públicas. La autoridad de certificación es conocida por los sujetos de la PKI por dos atributos: nombre y clave pública. La CA incluye su nombre en cada certificado que emite y en la Lista de Revocación de Certificados (CRL) y los firma con su propia clave privada. Los usuarios pueden identificar fácilmente los certificados por el nombre de la CA y verificar su autenticidad utilizando su clave pública. La Autoridad de Registro (CR) es un componente opcional de la PKI. Por lo general, la CA recibe de la autoridad de certificación la autoridad para registrar usuarios, garantizar su interacción con la CA y verificar la información que se ingresa en el certificado. El certificado puede contener información proporcionada por la entidad que solicita el certificado y presenta un documento (pasaporte, licencia de conducir, chequera, etc.) o un tercero (por ejemplo, una agencia de crédito - sobre el límite de crédito de una tarjeta plástica ). A veces, el certificado incluye información del departamento de personal o datos que caracterizan la autoridad del sujeto en la empresa (por ejemplo, el derecho a firmar documentos de cierta categoría). El CR agrega esta información y se la proporciona a la CA. La CA puede trabajar con varios centros de registro, en cuyo caso mantiene una lista de centros de registro acreditados, es decir, aquellos que son reconocidos como confiables. La CA emite un certificado a la RA y la distingue por su nombre y clave pública. El CR actúa como un objeto subordinado a la CA y debe proteger adecuadamente su clave secreta. Al verificar la firma de la RA en un mensaje o documento, la CA confía en la confiabilidad de la información proporcionada por la RA. CR reúne un complejo de software y hardware y las personas que trabajan en él. Las funciones de la CA pueden incluir generar y archivar claves, notificación de revocación de certificados, publicar certificados y CAC en el directorio LDAP, etc. Pero la CA no tiene la autoridad para emitir certificados y listas de revocación de certificados. En ocasiones, la propia CA realiza las funciones de la CR. Repositorio: un objeto especial de la infraestructura de clave pública, una base de datos que almacena un registro de certificados (el término "registro de certificados de clave de firma" se introdujo en la práctica por la Ley de la Federación de Rusia "Sobre firma digital electrónica"). El repositorio simplifica enormemente la gestión del sistema y el acceso a los recursos. Proporciona información sobre el estado de los certificados, almacena y distribuye certificados y CAC, y gestiona los cambios en los certificados. El repositorio tiene los siguientes requisitos: Facilidad y nivel de acceso; Periodicidad de la actualización de la información; Seguridad incorporada; Facilidad de controles; Compatibilidad con otros repositorios (opcional). El repositorio suele estar alojado en un servidor de directorio organizado según estándar internacional X.500 y su subconjunto. La mayoría de los servidores de directorio y las aplicaciones de usuario admiten el Protocolo ligero de acceso a directorios (LDAP). Este enfoque unificado permite la interoperabilidad de las aplicaciones PKI y permite que las partes de confianza obtengan información sobre el estado de los certificados para verificar las firmas digitales. La función de almacenamiento a largo plazo y protección de la información sobre todos los certificados emitidos se asigna al archivo de certificados. El archivo mantiene una base de datos utilizada en casos de disputas sobre la confiabilidad de las firmas digitales electrónicas utilizadas para certificar documentos en el pasado. El archivo confirma la calidad de la información en el momento de su recepción y asegura la integridad de los datos durante el almacenamiento. La información proporcionada por la CA al archivo debe ser suficiente para determinar el estado de los certificados y su emisor. El archivo debe estar protegido por los medios y procedimientos técnicos apropiados. Las entidades finales, o usuarios, de una PKI se dividen en dos categorías: titulares de certificados y partes que confían. Utilizan algunos de los servicios y funciones de PKI para obtener certificados o verificar certificados de otras entidades. El titular del certificado puede ser una persona física o jurídica, una aplicación, un servidor, etc. Las partes de confianza solicitan y confían en la información sobre el estado de los certificados y las claves de firma pública de sus socios comerciales de comunicación. La información presentada en esta subsección nos permite continuar con la descomposición por procesos de información que ocurren en el sistema bajo consideración. Por lo tanto, podemos decir que la seguridad de una subdivisión separada depende en gran medida de la seguridad sistema común una infraestructura de clave pública, en la que se incluye una unidad separada como autoridad de registro. 2.2 Análisis del intercambio de información entre una subdivisión separada y un centro de certificación
Entre una subdivisión separada, a la que llamaremos centro de registro (CR) y el centro de certificación (CA), existe un intercambio de información activo en el proceso de prestación de servicios. El usuario final de los servicios de la empresa está inevitablemente involucrado en este intercambio de información. Las acciones de la CA están limitadas por la política de solicitud de certificados (CPP), que determina el propósito y el contenido de los certificados. La CA protege adecuadamente su clave privada y publica públicamente su política para que los usuarios puedan familiarizarse con el propósito y las reglas para usar los certificados. Al revisar la política de certificados y decidir que confían en la CA y sus operaciones comerciales, los usuarios pueden confiar en los certificados emitidos por esa autoridad. Así, en PKI, las CA actúan como un tercero de confianza. La autoridad de certificación confía en la autoridad de registro para verificar la información sobre el tema. El centro de registro, después de verificar la exactitud de la información, la firma con su clave y la transfiere al centro de certificación, que, luego de verificar la clave del centro de registro, emite un certificado. CR proporciona aceptación, preprocesamiento solicitudes externas para crear certificados o para cambiar el estado de los certificados existentes. CR proporciona: Diferenciación del acceso a los controles del CR en base a la composición del certificado electrónico propio presentado por el Administrador para la interacción con el usuario, que determina el rol del administrador y el nivel de autoridad. 2. Recibir y procesar una solicitud de los Administradores de Interacción de Usuarios para emitir un certificado o cambiar el estado de un certificado ya emitido, con la posterior transmisión de la solicitud a la CA. Almacenamiento de solicitudes certificadas y registros de eventos por un período determinado previsto por las normas de funcionamiento del sistema en el que opera la AC. Copia de seguridad en medios externos del archivo local. Realizar funciones administrativas de la CR. La política de seguridad del CR asume que el CR procesará una solicitud en formato PKCS#10. Alcance: una solicitud para crear un certificado electrónico con localmente (externamente, en relación con la CA) la formación de un par de claves. El período de validez de los certificados creados mediante este tipo de solicitud se define en la configuración de la CA. En base a la tecnología de este tipo de solicitudes (dependiendo de la configuración y la política de seguridad adoptada), los siguientes tipos pueden ser considerados aceptables en la CA: La solicitud fue generada por un usuario no registrado previamente. Una característica del formato PKCS#10 es que la solicitud de generación de certificado se firma con una clave privada cuya clave pública correspondiente aún no ha sido registrada en el sistema y aún no se ha emitido un certificado para ello. Por lo tanto, para la CA, la solicitud es anónima, solo se registra el hecho de que el autor de la solicitud posee la clave privada y solicita la emisión de un certificado certificado por la CA para la clave pública correspondiente. Las solicitudes de este tipo no se recomiendan directamente para su procesamiento en CR. 2. El pedido se forma como reemisión de uno ya existente, actuando sobre este momento hora del certificado. La solicitud se envuelve en un contenedor CMC (RFC 2797). La implementación técnica permite generar dicha solicitud sin dar la oportunidad al usuario de realizar cambios en la composición del certificado, y el control se realiza tanto en la estación del suscriptor como a nivel de programa en el CR. La desventaja de este tipo de solicitud es que no hay control sobre la cantidad de certificados de usuario autoemitidos. La solicitud se genera sobre la base de un certificado de registro especial creado anteriormente (hay una extensión especial que limita el alcance de la aplicación solo a los procedimientos de registro). La solicitud se empaqueta en un contenedor CMC (RFC 2797) firmado en la clave privada del certificado de registro. La implementación técnica garantiza un uso único de los certificados de registro. La solicitud fue creada por el propio usuario y entregada al servicio Administradores de interacción de usuarios (no hay entrega directa de la solicitud a la CA). Previamente, dicha solicitud debe ser verificada por la veracidad de la información especificada y empaquetada en el CMS firmado por el Administrador de Interacción de Usuario con la autoridad para emitir certificados. De igual manera se podrán aceptar solicitudes en la modalidad de reemisión de certificados propios o de registro. El proceso de interacción entre la CA y la CA cuando el operador de la CA atiende a un cliente se muestra en la Figura 2.2. protección de la autenticidad del intercambio de información 2.3 Análisis del subsistema de mensajería cifrada
El componente de cifrado puede considerarse uno de los componentes clave del sistema de seguridad de la información de una subdivisión separada. Consideraremos este componente en detalle y lo presentaremos como un modelo. Los algoritmos asimétricos facilitan el intercambio de claves de cifrado a través de un canal de comunicación abierto, pero son demasiado lentos. Los algoritmos simétricos son rápidos, pero el intercambio de claves requiere un canal de comunicación seguro y cambios de clave frecuentes. Por lo tanto, los criptosistemas modernos utilizan los puntos fuertes de ambos enfoques. Entonces, para encriptar un mensaje, se usa un algoritmo simétrico con una clave de encriptación aleatoria que es válida solo dentro de la misma sesión que la clave de sesión. Para que el mensaje pueda ser descifrado posteriormente, la clave de sesión se cifra con un algoritmo asimétrico utilizando la clave pública del destinatario del mensaje. La clave de sesión cifrada de esta manera se almacena con el mensaje, formando un sobre digital. Si es necesario, el sobre digital puede contener una clave de sesión en varias copias, cifrada con las claves públicas de varios destinatarios. Para crear una firma digital electrónica, es necesario calcular el hash del archivo dado y cifrar esta "huella digital del mensaje" con su clave privada - "firmar". Para que la firma pueda ser verificada posteriormente, es necesario indicar qué algoritmo hash se utilizó para crearla. El listado del programa se encuentra en el Apéndice A. 2.4 Análisis de los principales tipos de amenazas a la seguridad de la información de una subdivisión separada
Con base en la información obtenida, es posible analizar los principales tipos de amenazas a la seguridad de la información protegida de una subdivisión separada en varias etapas del proceso de información. En la etapa de almacenamiento de documentos en bruto en papel, nos enfrentamos a la amenaza de perder datos personales. Los documentos pueden perderse o ser robados por un intruso. En el centro de registro: No existe un sistema de gestión de documentos; No se conservan documentos que contengan datos personales; No existen medidas para restringir el acceso a los documentos. A la etapa de almacenamiento de la información en papel le sigue la etapa de digitalización de los datos disponibles. La etapa de digitalización implica un procesamiento adicional de documentos: Asignar un número de registro a las solicitudes; El proceso de registro de un solicitante en el sistema del centro de certificación mediante la presentación de una solicitud de registro con los datos de identificación ingresados; Escaneo de documentos, nomenclatura de escaneos según números de registro. Almacenamiento de datos en papel; Almacenamiento de datos en un disco duro. En esta etapa, las siguientes amenazas son relevantes: La amenaza de acceso no autorizado a información protegida, incluso a través de marcadores de software, virus; Amenaza de copiar información protegida; Amenaza de modificación de información protegida; Amenaza de pérdida, robo de información protegida. Después de eso, los datos redundantes en papel (borradores, copias adicionales de solicitudes que contienen datos personales) se desechan. Aquí nos enfrentamos al hecho de que se forma un canal real de fuga de información y existe la amenaza de obtener datos personales por parte de un atacante, ya que no se proporciona la tecnología para la destrucción de medios en papel. También debe tenerse en cuenta que el procedimiento para destruir datos en el disco duro después de cargarlos en el servidor de CA no está definido. El flujo de documentos entre la CR y la CA se realiza de dos formas: Por vía postal; En esta etapa, los siguientes tipos de amenazas son relevantes: La amenaza de interceptación y modificación de información protegida durante la transmisión por Internet; La amenaza de sustitución del servidor de CA por un atacante para obtener información confidencial. Esta lista de amenazas a la seguridad no es exhaustiva, pero refleja las amenazas más relevantes encontradas en la operación del centro de registro. Después de construir un modelo de amenazas a la seguridad de la información del centro de registro, es posible desarrollar un modelo mejorado del sistema de seguridad de la información de una división separada de CZI Grif LLC. conclusiones 1. Se realizó un estudio de las especificidades de los procesos de información en la infraestructura de clave pública, un componente del cual, de acuerdo a su propósito funcional, es una subdivisión separada. Los principales procesos que ocurren entre una subdivisión separada y un sistema de más nivel alto que puede estar en riesgo. 3. Se describe en detalle uno de los procesos clave que afectan la generación de información confidencial: el proceso de servicio a un cliente por parte del operador CR. Se llevó a cabo un análisis por etapas de los procesos de información dentro de una subdivisión separada. 5. Con base en el análisis se construyó un modelo de amenazas a la seguridad de la información del centro de registro. Por lo tanto, con base en el análisis de los procesos de información en el sistema interno de una división separada de CZI Grif LLC, así como el análisis de los procesos de interacción de una división separada como elemento de un sistema de orden superior, una lista de seguridad de la información actual Se identificaron las amenazas y se construyó un modelo de amenazas. . .1 Construcción del subsistema de seguridad de la información inicial de una división separada
Para analizar el modelo del sistema de seguridad de una subdivisión separada, en primer lugar, es necesario construir un modelo del canal de transmisión de información desde el momento en que se reciben los documentos del cliente hasta el momento en que la información protegida se transfiere al centro de certificación. El diagrama de actividad de los procesos de información UML del centro de registro se muestra en la Figura 3.1. Figura 3.1 - Diagrama de Actividad UML de los Procesos de Información del Centro de Registro Las etapas iniciales de trabajo con documentos aceptados son las etapas de almacenamiento y procesamiento de datos. Como resultado del procesamiento, se destruyen datos personales innecesarios, se escanean documentos, es decir. se duplican en forma digital y se almacenan nuevamente hasta que se transfieren al centro de certificación. 1. En las etapas de almacenamiento de documentos en papel, no existen medidas específicas para proteger, contabilizar y clasificar la información. 2. En las etapas de procesamiento y almacenamiento de información en un disco duro, se proporcionan las siguientes medidas de protección: Contraseña de acceso; Disponibilidad de software antivirus; Firmar imágenes con EDS persona autorizada del CR antes de publicarlos en el servidor. 3. En la etapa de carga de imágenes al servidor, se brindan las siguientes medidas de protección: Para organizar un canal seguro de transmisión de datos para CA y CR y para la autenticación, se utilizan los siguientes: APKSh "Continent", CIPF CryptoPro CSP y el protocolo CryptoPro TLS. Existe la necesidad de desarrollar un modelo del subsistema de seguridad del centro de registro. Para que la protección sea completa, el subsistema de seguridad debe funcionar en todos los niveles del sistema y en todas las etapas de los procesos de información que ocurren en una división separada de CZI Grif LLC. Con este enfoque, será posible prevenir la implementación de amenazas a la seguridad de la información en todas las etapas del intercambio de información y controlar la efectividad del subsistema de seguridad. Para un mayor desarrollo del subsistema de seguridad, es necesario construir un modelo primario sobre la base del cual se construirá un nuevo subsistema de seguridad. El modelo del sistema de seguridad de la información existente actualmente de una subdivisión separada se muestra en la Figura 3.2. 3.2 Desarrollo de un modelo mejorado del subsistema de protección del centro de registro Luego de analizar el modelo existente del sistema de seguridad de la información del CR y las principales amenazas a la seguridad, se encontró que se necesita cambiar el modelo de protección. Cada etapa del proceso de información que ocurre en el sistema bajo consideración corresponde a una serie de medidas que garantizan la seguridad de la información. En la etapa de almacenamiento de documentos en bruto en papel, nos enfrentamos a la amenaza de pérdida y acceso no autorizado a datos personales. Para esta etapa se propone: Restringir el acceso a los datos personales sellando la puerta y controlando el acceso a las instalaciones donde se almacenan los datos personales; Instalar un sistema de alarma y celebrar un contrato de protección remota con organismos no departamentales; Organice un departamento de gestión de documentos para el centro de registro, mantenga registros del movimiento de documentos aceptados en diarios. Estas medidas de protección organizacional le permiten controlar simultáneamente los datos personales y en la etapa de almacenamiento de documentos ya procesados. En la etapa de digitalización y almacenamiento de la información, el grado de protección se reconoce como suficiente para proteger los datos personales y al mismo tiempo no reducir la eficiencia del centro de registro por debajo de los valores límite. Además se ofrece: Utilice software especializado para controlar el acceso al sistema operativo y los datos en el disco duro; Desarrolle una política de contraseñas para una división separada. En la etapa de destrucción de datos innecesarios, se propone: Use una trituradora de 3 niveles de secreto, diseñada para dar servicio a una oficina pequeña; Use un software especializado para eliminar datos del disco duro; Determine el momento de la destrucción de datos redundantes en medios de varios tipos. Utilizar una caja fuerte para almacenar información confidencial de la organización; Desarrollar documentación que describa en detalle la responsabilidad personal de cada empleado en el campo de la seguridad de la información; Desarrollar instructivos para el manejo de información confidencial, datos personales; Desarrollar instructivos de actuación en situaciones de emergencia; Mantener diarios contables. portadores de llaves, registros de los principales eventos del sistema de información. Por lo tanto, cada etapa en la que se produce el intercambio de información está sujeta a una modificación separada mediante el uso de herramientas de protección de la información organizativas, legales o de software y hardware. La presencia de etapas y recomendaciones para cada etapa nos permite construir un modelo modificado del sistema de seguridad de la información del centro de registro, que luego podemos comparar con el modelo anterior. Teniendo en cuenta los cambios realizados, construiremos un modelo modificado del sistema de protección de la información del centro de registro (Figura 3.3). conclusiones 1. Se realizó un análisis del problema de construir un sistema de protección mejorado. 2. Se ha construido un modelo generalizado de procesos de información del centro de registro. Se construyó un modelo del sistema de protección de información del centro de registro existente. Se revelan las deficiencias del sistema de seguridad de la información existente. Se ha desarrollado un modelo de subsistema para el intercambio de mensajes cifrados. Se ha desarrollado un modelo generalizado del sistema de seguridad de la información. En el transcurso del estudio, se llevó a cabo un análisis del sistema de seguridad de la información existente. Para hacer esto, fue necesario construir un modelo generalizado de procesos de información del centro de registro, y luego, un modelo del sistema de protección de información existente del centro de registro. Se han identificado importantes amenazas de seguridad para el centro de registro. Como resultado del análisis de las principales amenazas a la seguridad, se elaboró una lista de amenazas actuales y un modelo de amenazas a la seguridad del centro de registro. 4. Justificación económica del proyecto .1 Justificación para el desarrollo del diseño Uno de cuestiones críticas en el desarrollo del proyecto está la cuestión de la viabilidad de su desarrollo. Esta sección presenta justificación económica desarrollo de un subsistema de seguridad de la información para una subdivisión separada de Grif Information Security Center LLC. El subsistema desarrollado no requiere adaptación ni costos de efectivo significativos y tiene un período de desarrollo y recuperación corto. .2 Cálculo de la recuperación de costos para el desarrollo del proyecto 1. Cálculo de los costos actuales para una subdivisión separada. El cálculo de los costes corrientes de la oficina se realiza según la fórmula 4.1. ¿Dónde está el costo de los salarios? El costo de alquilar el local. costos de electricidad, Costos de impresión. 25000 + 10000 * 2 = 45000 - salario de un ingeniero de seguridad de la información de una división separada y empleados (2) - ingenieros de software. =*0.34= 15300 rublos. 130 + 170 \u003d 300 rublos. 8000 + 45000 + 300 + 15300=68600 rublos. El equipo es asignado por la rama principal, la depreciación no se tiene en cuenta. Ingresos de la operación del proyecto por mes. Los ingresos de la operación del proyecto son iguales a los costos de perder información. Para calcular los ingresos de la operación del proyecto por mes, utilizaremos la fórmula 4.2. donde es el ingreso de la operación del proyecto por mes, 150000 rublos. - ingresos por el uso de información protegida, Costos de mantenimiento de oficina (por mes), 150000 + 68600 = 218600 rublos Los costos de creación de un proyecto se calculan mediante la fórmula (4.3): ¿Dónde está el costo de crear un proyecto, El costo del tiempo de la máquina Contribuciones a fondos sociales, gastos generales. Cálculo de costes de nómina. Calcularemos el costo del salario del desarrollador utilizando la fórmula (4.4): , (4.4)
donde = 1, el número de categorías de desarrolladores involucrados en el desarrollo, = 1 persona, el número de desarrolladores de la i-ésima categoría, 25000 rublos/mes, salario por mes, 3 meses, tiempo de desarrollo, Cálculo de aportes a fondos sociales. El cálculo de las aportaciones a los fondos sociales, teniendo en cuenta la fórmula anterior, se calculará según la fórmula (4.5): 75000 * 0,34 \u003d 25500 rublos. El cálculo del costo del tiempo de máquina debe realizarse de acuerdo con la fórmula (4.5): , (4.5) donde \u003d 480 horas, con un tiempo de desarrollo de 3 meses, costo de una hora maquina, 1920 horas, fondo anual válido de tiempo, deducciones por depreciación, costos de electricidad, Costos de nómina personal de servicio, Gastos generales, Aportaciones a fondos sociales. Deducciones por depreciación. La depreciación de los activos fijos es una expresión monetaria de la recuperación de costos al transferir el costo de los activos fijos al costo de producción y se calcula utilizando la fórmula (4.6): , (4.6)
donde = 1, el número de tipos de equipo, 1, número de i-ésimo equipo (computadoras), 25,000 rublos, el costo de un i-ésimo equipo (computadora), 5 años, vida útil de un i-ésimo equipo (computadora), Costos de electricidad. Para calcular el costo de la electricidad, usamos la fórmula (4.7): donde =1, el número de computadoras, 0,5 kW, consumo de energía, 4,5 rublos, el costo de un kWh, 160 horas, la cantidad de tiempo de máquina por mes, 12 meses, Salario del personal de mantenimiento. El salario del personal de servicio se calcula según la fórmula (4.8): , (4.8)
donde = 1, el número de categorías de trabajadores que dan servicio a la computadora, 1 persona, el número de empleados de la i-ésima categoría al servicio de la computadora, 25,000 rublos / mes, salario por mes, 12 meses, Gastos generales. Los gastos generales para el mantenimiento de la computadora serán el 50% del salario del personal de mantenimiento 5, (4.9) donde 150.000 rublos. Aportaciones a fondos sociales. El impuesto social unificado es del 34% de los costes salariales. Calculado para el fondo anual de tiempo \u003d 0,34 * 25 000 rublos. Consideramos el salario de un ingeniero de seguridad de la información que mantiene el sistema. 8500*12=102000 rublos. El costo del tiempo de la máquina. 559227,2/1920=292,35 rublos/h 4. Cálculo de costos por materiales fungibles. Para calcular el costo de los consumibles, debe usar la fórmula (4.10): , (4.10)
donde está el número de tipos de materiales, El número de materiales del i-ésimo tipo, El costo del i-ésimo tipo de material, frotar. 1750 rublos. Tabla 4.1 - Consumibles utilizados en el desarrollo tipo de material no. Nombre del producto El costo del i-ésimo tipo de material, frotar. Número de materiales del i-ésimo tipo Cartucho de impresora Resma de papel A4 Conjunto de carpetas y carpetas. conjunto de papeleria Los gastos generales para el desarrollo del sistema serán del 50% del salario y se calculan mediante la fórmula (4.11): , (4.11) 37 500 rublos. Costos totales de desarrollo. Los costos totales de desarrollo se calculan utilizando la fórmula (4.12): ¿Dónde está el costo del tiempo de la máquina? gastos generales, costos de consumibles, costos de nómina, Aportes a fondos sociales, 37500 + 1750 + + 75000 + 25500 = 280078 rublos 5. Cálculo del plazo de amortización de la promoción teniendo en cuenta el tipo de interés. Los datos para calcular el período de recuperación, teniendo en cuenta la tasa de interés del 17%, se dan en la tabla 4.2 Tabla 4.2 - Datos para el cálculo del período de recuperación, teniendo en cuenta la tasa de interés 280078/218600 * 31=39,7 ~ 40 días Periodo de amortización aproximado = 1 mes 9 días 5. Valor actual neto de los ingresos (VAN). Para una inversión única en este caso El VPN se calcula utilizando la fórmula (4.13): , (4.13)
donde = C 0
- el monto de la inversión igual al costo de desarrollar el proyecto, dt- ingreso, i- tasa de interés (inflación), norte- período de tiempo, Así, obtenemos: conclusiones A partir de los cálculos, se puede ver que los costos del proyecto se amortizarán rápidamente. De hecho, el período de recuperación del proyecto es de aproximadamente 1 mes 9 días. Tal efecto económico se logra debido al bajo costo del desarrollo del proyecto y la prevención de pérdidas financieras significativas en las que podría incurrir una división de CZI Grif LLC si se pierde información. Por lo tanto, se puede concluir que es económicamente factible introducir un subsistema de seguridad de la información en CZI Grif LLC. El valor de VPN tiene un valor positivo, lo que indica la eficiencia económica del proyecto. 5. Seguridad de vida y respeto al medio ambiente del proyecto. .1 Análisis de los factores de producción dañinos y peligrosos que afectan al operador de la computadora Un factor de producción peligroso es un factor en el proceso de producción, cuyo impacto en el trabajador provoca lesiones o un fuerte deterioro de la salud. Un factor de producción nocivo puede volverse peligroso según el nivel y la duración de la exposición humana. La exposición prolongada a un factor de producción nocivo conduce a la enfermedad. Peligroso y dañino factores de producción se dividen según la naturaleza de la acción en los siguientes grupos: físico; Químico; biológico; Psicofisiológico. Al elegir una habitación para una subdivisión separada, las peculiaridades del trabajo y la necesidad de los empleados para ambiente seguro mano de obra. Al crear condiciones de trabajo adecuadas, la empresa reduce el costo del pago de indemnizaciones, lo que implicaría la presencia de factores de producción peligrosos y nocivos, así como el costo del pago de bajas por enfermedad. En el proceso de trabajo, una serie de factores de producción peligrosos y dañinos, que se enumeran a continuación, afectan al operador de PC. Los factores físicos que pueden afectar al empleado de la SE LLC "CZI "Grif" incluyen: Aumento de los niveles de radiación electromagnética; Aumento del nivel de electricidad estática; Aumento del nivel de ruido; Nivel de luz alto o bajo. También son relevantes factores psicofisiológicos como: Fatiga visual; Tensión de atención; Cargas inteligentes; cargas emocionales; Cargas estáticas largas; Organización irracional del lugar de trabajo. Las instalaciones de OP LLC "CZI" Grif "consideradas en el proyecto se pueden atribuir a las instalaciones de los centros informáticos. Por lo tanto, la mayoría de las normas que deben observarse al trabajar en esta sala se pueden encontrar en SanPiN 2.2.2 / 2.4.1340-03. Las dimensiones de la habitación son: longitud 4 m, ancho 5 m, altura 3 m, el área total es de 20 m2, volumen - 60 m 3. Hay 2 empleados que trabajan en las instalaciones, i.е. cada uno tiene 30 m 3, lo que corresponde a los estándares sanitarios - al menos 15 m 3 - SanPiN 2.2.2 / 2.4.1340-03. (Requisitos de higiene de los ordenadores personales electrónicos y organización del trabajo). El diseño de color racional del local tiene como objetivo mejorar las condiciones sanitarias e higiénicas de trabajo, aumentando su productividad y seguridad. La reducción del ruido en la fuente de radiación está asegurada por el uso de juntas elásticas entre la base de la máquina, el dispositivo y la superficie de apoyo. Como juntas se pueden usar caucho, fieltro, corcho, amortiguadores de varios diseños. Debajo de los dispositivos ruidosos de escritorio, se pueden colocar tapetes suaves hechos de materiales sintéticos. La fijación de las juntas se organiza pegándolas a las piezas de soporte. El diseño racional de la sala y la ubicación del equipo en la sala es un factor importante para reducir el ruido con el equipo existente. Así, para reducir el ruido generado en los lugares de trabajo por fuentes internas, así como el ruido que penetra desde el exterior, es necesario: Reducir el ruido de las fuentes de ruido (uso de cubiertas y pantallas insonorizadas); Reducir el efecto del impacto total de las ondas de sonido reflejadas (por medio de superficies de estructuras que absorben el sonido); Aplicar una disposición racional de equipos en la habitación; Utilizar soluciones arquitectónicas, urbanísticas y tecnológicas para el aislamiento de fuentes de ruido. Los requisitos para las instalaciones para trabajar con una PC se describen en las normas y reglamentos sanitarios y epidemiológicos SanPiN 2.2.2 / 2.4.1340-03. (Requisitos de higiene de los ordenadores personales electrónicos y organización del trabajo). Se permite el funcionamiento de una PC en habitaciones sin iluminación natural solo si existen cálculos que justifiquen el cumplimiento de las normas de iluminación natural y la seguridad de sus actividades para la salud de los trabajadores. Además, se facilitará el cálculo de la iluminación artificial de la estancia, en un capítulo especialmente dedicado a ello. Las aberturas de las ventanas deben estar equipadas con persianas ajustables. Para la decoración interior del interior del local donde se encuentra la PC, se deben usar materiales reflectantes difusos con un coeficiente de reflexión para el techo de 0.7-0.8; para paredes - 0.5-0.6; para el piso - 0.3-0.5. La sala descrita está equipada con puesta a tierra de protección (puesta a cero) de acuerdo con requerimientos técnicos para operación. Al colocar lugares de trabajo con una PC, la distancia entre escritorios con monitores de video (en la dirección de la superficie posterior de un monitor de video y la pantalla de otro monitor de video) es de al menos 2,0 m, y la distancia entre las superficies laterales de los monitores de video es al menos 1.2, que cumple con los requisitos de SanPiN. Las pantallas de los monitores de video están ubicadas a una distancia de 600-700 mm de los ojos del usuario, pero no más cerca de 500 mm, teniendo en cuenta el tamaño de los caracteres y símbolos alfanuméricos. El diseño de la silla de trabajo (silla) debe garantizar el mantenimiento de una postura de trabajo racional cuando se trabaja en una PC, permitirle cambiar su postura para reducir la tensión estática de los músculos de la región del cuello-hombro y la espalda para evitar el desarrollo de la fatiga. Por lo tanto, la silla de trabajo (sillón) está equipada con un mecanismo de elevación y giro y es ajustable de acuerdo con: Los ángulos del asiento y del respaldo; La distancia del respaldo desde el borde delantero del asiento. La superficie del asiento, respaldo y demás elementos de la silla (sillón) es semiblanda, con revestimiento antideslizante y ligeramente electrificado y transpirable que facilita la limpieza de la suciedad. Los requisitos ergonómicos generales para los lugares de trabajo cuando se realiza el trabajo en una posición sentada están establecidos por GOST 12.2.032-78. De acuerdo con ello, en las instalaciones de la unidad: Se utilizan mesas de trabajo con una altura de superficie de trabajo de 725 mm (para trabajos ligeros); Se utilizan sillones con dispositivo de elevación y giro; El diseño de las sillas proporciona un ajuste de la altura de la superficie de apoyo del asiento dentro de 400-500 mm y ángulos de inclinación hacia adelante de hasta 15 grados y hacia atrás de hasta 5 grados. Cada silla está equipada con reposabrazos, lo que minimiza los efectos adversos en las articulaciones de las muñecas de las manos. Garantizar los requisitos de iluminación en los lugares de trabajo equipados con PC es un punto de trabajo muy importante, ya que los operadores de PC pueden estar expuestos a una gran cantidad de factores dañinos asociados con la iluminación; con esta categoría de trabajo, la carga en la visión será bastante grave. La iluminación artificial del local para el funcionamiento del PC debe ser proporcionada por un sistema de iluminación general uniforme. La iluminación en la superficie de la mesa en el área donde se coloca el documento de trabajo debe ser de 300 a 500 lux. La iluminación no debe crear reflejos en la superficie de la pantalla. La iluminación de la superficie de la pantalla no debe exceder los 300 lux. La fuente de luz en la habitación son lámparas fluorescentes ubicadas a una altura de techo de 3 m. La distancia entre las lámparas es de 1,5 m. En la habitación en cuestión, la calidad de la iluminación corresponde a los datos normativos que figuran en la Tabla 5.1. Tabla 5.1 - Parámetros óptimos de iluminación de locales con una computadora Evaluaremos la conformidad de la iluminación actual con la normativa. La característica del trabajo realizado corresponde a la categoría IV, subcategoría B (contraste - grande, fondo - claro). La iluminación mínima de la iluminación combinada es de 400 lux, la iluminación total es de 200 lux. La iluminación requerida para la iluminación combinada con lámparas de descarga de gas de los accesorios de iluminación general es de 200 lux, de la iluminación local: 150 lux; Opciones de habitación: Longitud l = 5 m Ancho d = 4 m Altura h = 3m Tomaremos la altura de la superficie de trabajo igual a 0,8 m, la instalación de los accesorios se realiza en el techo, por lo tanto, la altura de la suspensión de los accesorios: Tipo de luminaria - LPO 46 con lámparas LD. Dado que estas lámparas tienen un tamaño pequeño en uno de los ejes en comparación con las dimensiones en los otros ejes (largo - 1245 mm, ancho - 124 mm), son elementos luminosos lineales. La distancia entre las lámparas en una fila se establece igual a 0,05 my consideraremos las filas de lámparas como líneas luminosas. Calculamos la potencia de la lámpara requerida utilizando el método de puntos para calcular la iluminación. El tipo LPO 46 tiene una curva de intensidad luminosa coseno y una relación correspondiente de la distancia entre las franjas luminosas a la altura de la suspensión: Calcular la distancia entre las filas de lámparas. metro Distancia de la pared a la primera fila: 0.3..0.4m En consecuencia, el número de filas es 2. Demos un plan para la ubicación de los accesorios (Figura 5.1). Figura 5.1 - Disposición de luminarias en el plano de planta Figura 5.2 - Esquema de cálculo (sección transversal de la habitación) El punto A calculado se eligió en el lugar menos iluminado (Figura 5.2). Para el caso de que el punto calculado coincida con la proyección del extremo del elemento luminoso sobre el plano calculado, se puede utilizar isolux lineal, así dividimos las filas de lámparas en “semi-filas” para que las proyecciones de sus extremos coincidan con el punto a. Además del sistema de iluminación artificial, los parámetros ergonómicos visuales de la computadora juegan un papel importante en la creación de las condiciones de trabajo del operador. Los valores límite para estos parámetros se dan en la Tabla 5.3. Tabla 5.3 - Parámetros ergonómicos visuales de la computadora Por lo tanto, se puede ver que el enfoque para garantizar condiciones de trabajo ergonómicas para los trabajadores consiste en la combinación correcta de muchos factores y es complejo. 5.2 Posibles situaciones de emergencia o emergencia (averías, averías en el funcionamiento) Garantizar la seguridad eléctrica de una subdivisión separada A uno de los tipos más relevantes de emergencia y emergencias situaciones que pueden surgir por un nivel insuficiente de seguridad eléctrica. La seguridad eléctrica de la división es supervisada por los empleados de la división y el maestro electricista que mantiene el edificio en el que se alquilan las instalaciones. Se lleva a cabo una verificación sistemática del estado del cableado eléctrico, los escudos de seguridad y los cables, con la ayuda de los cuales las computadoras, los dispositivos de iluminación y otros aparatos eléctricos están conectados a la red eléctrica. En la sala en consideración hay computadoras, impresoras, escáneres, sistemas de alimentación ininterrumpida utilizados en el trabajo, que pueden causar descargas eléctricas a las personas. Todos los dispositivos están equipados con las más modernas medidas de seguridad. El aire de la habitación está suficientemente humidificado para reducir el riesgo de descarga electrostática. Garantizar la protección contra incendios de una subdivisión separada Otro tipo relevante de situaciones de emergencia y emergencia son las situaciones que pueden surgir debido al nivel insuficiente de protección contra incendios de una subdivisión separada. La protección contra incendios es un conjunto de medidas organizativas y técnicas destinadas a garantizar la seguridad de las personas, prevenir incendios, limitar su propagación y también crear condiciones para una extinción exitosa de incendios. Seguridad contra incendios: el estado del objeto, en el que se excluye la posibilidad de un incendio y, en caso de que ocurra, se evita el impacto en las personas de los factores de incendio peligrosos y se garantiza la protección de los bienes materiales. La seguridad contra incendios de las instalaciones de la subdivisión separada de Grif Information Security Center LLC es proporcionada por un sistema de prevención de incendios y un sistema de protección contra incendios. En todos los locales de oficinas existe un “Plan de evacuación de personas en caso de incendio”, que regula la actuación del personal en caso de incendio e indica la ubicación de los equipos contraincendios. computadoras, dispositivos Mantenimiento, dispositivos de suministro de energía, dispositivos de aire acondicionado, donde, como resultado de diversas violaciones, se forman elementos sobrecalentados, chispas eléctricas y arcos que pueden encender materiales combustibles. Los extintores de incendios se utilizan para extinguir incendios en las etapas iniciales. Los extintores de gas se utilizan para extinguir sustancias líquidas y sólidas, así como instalaciones eléctricas bajo tensión. En las instalaciones, se utilizan principalmente extintores de dióxido de carbono, cuya ventaja es la alta eficiencia de extinción de incendios, la seguridad de los equipos electrónicos, las propiedades dieléctricas del dióxido de carbono, lo que hace posible el uso de estos extintores incluso cuando no es posible desenergizar la instalación eléctrica inmediatamente. Las instalaciones de una subdivisión separada están equipadas con sensores de seguridad contra incendios que van al panel de control de seguridad del edificio. Un empleado responsable de seguridad contra incendios edificio. Los pasillos del edificio están equipados con megafonía para evacuar a las personas en caso de incendio. Los extintores portátiles se ubican donde sea necesario. La seguridad contra incendios de una subdivisión separada de Grif Information Security Center LLC es proporcionada por un sistema de prevención de incendios y un sistema de protección contra incendios. En las instalaciones de la oficina se encuentran expuestos “Planes de evacuación de personas en caso de incendio”, que regulan la actuación del personal en caso de incendio e indican la ubicación de los equipos contra incendios. 5.3 Impacto del objeto diseñado en ambiente durante su fabricación y durante su funcionamiento (contaminación del aire, agua, suelo, residuos sólidos, contaminación energética) El objeto proyectado es un sistema de seguridad modificado de una subdivisión separada de CZI Grif LLC. En su mayor parte, el proyecto se reduce al desarrollo y adopción de medidas organizativas que permitan controlar el acceso a las instalaciones y objetos protegidos, y monitorear eventos significativos que ocurren en el sistema. En el proceso de diseño de la instalación, se utilizaron materiales y herramientas de desarrollo respetuosos con el medio ambiente. Los sistemas de ventilación de las habitaciones cuentan con filtros que evitan la posibilidad de que sustancias nocivas entren en el ambiente, tanto durante el funcionamiento como en caso de emergencia. La instalación diseñada durante la operación no causa daño en forma de contaminación del aire, agua y suelo. Todos los residuos sólidos se eliminan de acuerdo con las normas de eliminación establecidas. Para el desecho de las lámparas fluorescentes se utilizan contenedores especiales que, a medida que se llenan, se reemplazan por otros vacíos. El contenido de los contenedores llenos se transporta a puntos de recogida especiales. La escala de uso del objeto diseñado es pequeña. El uso de los últimos materiales y tecnologías modernas, combinado con el pequeño tamaño de la instalación, conduce a un nivel de contaminación energética que está lejos de exceder la norma. conclusiones De acuerdo con los estándares aceptados, el departamento de tecnología de la información de NPO Engineering Systems LLC proporciona el microclima necesario, el nivel mínimo de ruido, lugares de trabajo cómodos y ergonómicamente correctos, se cumplen los requisitos estéticos técnicos y los requisitos informáticos. Para los empleados del departamento en el proceso de trabajo, uno de los factores más importantes que afectan la productividad durante el trabajo visual a largo plazo es la iluminación suficiente del lugar de trabajo. Esto se logra mediante la correcta elección y ubicación de los accesorios de iluminación. Medidas especiales garantizan la seguridad eléctrica y la seguridad contra incendios de los empleados. Conclusión En el curso del estudio, se llevó a cabo un análisis de diagnóstico de la empresa LLC "Centro de protección de la información "Grif"", como resultado de lo cual se construyó un modelo funcional de la empresa. Se identifican los principales objetivos que enfrenta la empresa y las formas de lograrlos. Se identifican las principales situaciones problema y se determinan los métodos para su resolución. Se elige una situación problemática a resolver en el proyecto de grado. Se hizo un estudio de las especificidades de los procesos de información en la infraestructura de clave pública, un componente del cual, de acuerdo a su propósito funcional, es una subdivisión separada. Se identifican los principales procesos que tienen lugar entre una subdivisión separada y un sistema de nivel superior que puede estar expuesto a amenazas. Se describe en detalle uno de los procesos clave que afectan la generación de información confidencial, el proceso de servicio a un cliente por parte de un operador del centro de registro. Se presenta un modelo de un subsistema para el intercambio de mensajes cifrados. Se llevó a cabo un análisis por etapas de los procesos de información dentro de una subdivisión separada. A partir del análisis se construyó un modelo de amenazas a la seguridad de la información del centro de registro. Se ha construido un modelo generalizado de procesos de información del centro de registro. Se construyó un modelo del sistema de seguridad inicial de una subdivisión separada. Se revelan las deficiencias del sistema de seguridad existente. Se ha desarrollado un modelo generalizado del sistema de seguridad de la información. Para cada una de las etapas del intercambio de información, se han desarrollado una serie de medidas para proteger la información. Se han corregido las debilidades y vulnerabilidades del sistema de seguridad original, aumentando así la eficiencia del intercambio de información y reduciendo el riesgo de robo de información confidencial o datos personales. Se resolvieron las tareas principales establecidas y se logró el objetivo del proyecto: se desarrolló un subsistema de seguridad para una subdivisión separada de Grif Information Security Center LLC. Lista de fuentes utilizadas 1. GOST R 34.10-2001. Tecnologías de la información. Protección criptográfica de la información. Procesos para generar y verificar una firma digital electrónica: en lugar de GOST R 34.10-94, introducido. 2002-07-01. M.: Editorial de normas, 2001. - 12 p. 2. Polyanskaya, O. Yu., Gorbatov, V. S. Infraestructuras de clave pública. / O. Yu. Polyanskaya, V. S. Gorbatov - Laboratorio de conocimiento, 2007 - 73 p. Berdnikova, T. B. Análisis y diagnóstico de las actividades financieras y económicas de la empresa. / T. B. Berdnikova - Infra-M, 2007 - 101 p. Konokov, D. G., Rozhkov, K. L. Estructura organizativa empresas / D.G. Konokov, K. L. Rozhkov - Instituto de Análisis Estratégico y Desarrollo Empresarial, 2006 - 38 p. Goncharuk, VA Algoritmos para transformaciones en los negocios. / VA Goncharuk - Moscú, 2008 - 11 p. Galatenko, V. A. Estándares de seguridad de la información. / V. A. Galatenko - Universidad de Tecnologías de la Información, 2009 - 55 p. Yarochkin, V. I. Seguridad de la información: un libro de texto para estudiantes universitarios / V. I. Yarochkin. - M.: Proyecto Académico, 2003. - 640 p. Gorbatov V.S., Polyanskaya O.Yu. Los centros de confianza como eslabón en el sistema de seguridad de los recursos de información corporativos / V.S. Gorbatov, O.Yu. Polyanskaya - Jet Info Newsletter, No. 11 (78), 1999. - 20 p. Belov, E. B., Los, P. V., Meshcheryakov, R. V., Shelupanov, A. A. Fundamentos de la seguridad de la información: libro de texto. manual para universidades / E. B. Belov, V. P. Los, R. V. Meshcheryakov, A. A. Shelupanov. - M. : Hot line - Telecom, 2006. - 544 p. Ley Federal "Sobre Firma Digital Electrónica" del 8 de abril de 2011 No. 63 - FZ: adoptada por el Estado. Duma 06 abr. 2011: aprobado por el Consejo de la Federación el 8 de abril. 2011 / Trabajo de oficina. - 2011 - Nº 4. - S. 91-98. Polyanskaya, O. Yu. La tecnología PKI como base para crear un entorno empresarial seguro. Recopilación articulos cientificos XIII Conferencia científica de toda Rusia "Problemas de seguridad de la información en el sistema de educación superior" / O.Yu. Polianskaya. - M. : MEPhI, 2006 - S. 96-97. Zavidov, B. D. Firma digital electrónica. Significado jurídico. Análisis de legislación y proyectos de ley / B. D. Zavidov. - M.: Examen, 2001 - 32 p. Danjani, N., Clark D. Medios de seguridad de red / N. Danjani, D. Clark. - M. : KUDITs-Prensa, 2007. - 368 p. Forouzan, B. A. Criptografía y seguridad de redes / B. A. Forouzan. - M.: Binom. Laboratorio del Conocimiento, 2010 - 784 p. Ilyinykh, E. V., Kozlova, M. N. Comentario sobre la Ley Federal "Sobre la firma digital electrónica" / E. V. Ilyinykh, M. N. Kozlova. - M.: Yustitsinform, 2005 - 80 p. Moldovyan, N.A. Algoritmos teóricos mínimos y de firma digital / N. A. Moldovyan. - San Petersburgo: BHV-Petersburg, 2010 - 304 p. Grishina, Nevada Organización de un sistema integral de seguridad de la información / NV Grishina. - M. : Helios, 2007 - 256 p. Nekrakha, A. V., Shevtsova G. A. Organización del trabajo de oficina confidencial y protección de la información / A. V. Nekrakha, G. A. Shevtsova. - San Petersburgo: Proyecto académico, 2007 - 224 p. Ischeynov, V. Ya., Metsatunyan, M. V. Protección de información confidencial / V. Ya. Ishcheynov, M. V. Metsatunyan. - M. : Foro, 2009 - 256 p. Malyuk, A. A. Seguridad de la información. Fundamentos conceptuales y metodológicos de la seguridad de la información. Tutorial/ A. A. Malyuk. - M.: línea directa- Telecomunicaciones, 2004 - 280 p. Melnikov, V.P., Kleimenov, S.A., Petrakov, A.M. Seguridad de la información y protección de la información / V.P. Melnikov, S.A. Kleimenov, A.M. Petrakov. - M.: Academia, 2009 - 336 p. Semkin, S. N., Semkin, A. N. Fundamentos soporte legal seguridad de la información / S. N. Semkin, A. N. Semkin. - M. : Hot Line - Telecom, 2008 - 240 p. Arutyunov, V. V. Seguridad de la información / V. V. Arutyunov. - M. : Liberea-Bibinform, 2008 - 56 p. Chipiga, A. F. Seguridad de la información sistemas automatizados/ A. F. Chipiga. - M. : Helios ARV, 2010 - 336 p. Kort, S. S. Fundamentos teóricos de la protección de la información / S. S. Kort. - M. : Helios ARV, 2004 - 240 p. Snytnikov, A. A. Licencias y certificación en el campo de la seguridad de la información / A. A. Snytnikov. - M. : Helios ARV, 2003 - 192 p. Vasilenko, O. N. Algoritmos teóricos de números en criptografía / O. N. Vasilenko - MTsNMO, 2003 - 15 p. Zemor, J. Curso de criptografía / J. Zemor - Instituto de Investigación Informática, 2006 - 27 p. Babash, A. V. Historia de la criptografía. Parte I / A. V. Babash - Helios ARV, 2002 - 42 p. Normas de seguridad contra incendios NPB 105-03. Definición de categorías de locales, edificios e instalaciones exteriores por riesgo de explosión e incendio. - aprobado. por orden del Ministerio de Situaciones de Emergencia de la Federación Rusa del 18 de junio de 2003 N 314 - M .: Standards Publishing House, 2003. - 4 p. Lapin, V. L. Seguridad de la vida. / V. L. Lapin - Escuela Superior, 2009 - 147 p. Zotov, B.I., Kurdyumov V.I. Seguridad de la vida en la producción. / B. I. Zotov, V. I. Kurdyumov - KolosS, 2009 - 92 p.
Análisis de amenazas a la seguridad de la información de una subdivisión separada de CZI "GRIF" LLC
Desarrollo de un modelo mejorado del subsistema de protección de la información de una división separada3. El costo de crear un proyecto.
3. Cálculo del coste del tiempo de máquina.
1. Cálculo de gastos generales.
Introducción
Actualmente, en nuestro país existe un rápido proceso de informatización de casi todas las esferas de la actividad pública. Aunque la gestión de documentos en papel todavía prevalece sobre la gestión de documentos electrónicos debido a la baja prevalencia de esta última, el volumen de documentos electrónicos corporativos se duplica cada tres años.
Con el desarrollo de la tecnología informática y las tecnologías electrónicas para procesar y transmitir información a distancia, así como de acuerdo con los programas federales realizados en Rusia, se realizó una transición a la gestión electrónica de documentos, lo que permitió automatizar muchos procesos de trabajo de oficina.
Una autoridad certificadora o entidad certificadora es una organización o subdivisión de una organización que emite certificados de clave de firma digital electrónica, es un componente del servicio de directorio global responsable de administrar las claves criptográficas de los usuarios. Las autoridades de certificación almacenan las claves públicas y otra información sobre los usuarios en forma de certificados digitales.
Una autoridad de registro se define como una entidad responsable de identificar y autenticar al sujeto de un certificado, pero que no es capaz de firmar y emitir un certificado. Hay un constante intercambio de información entre el centro de registro y el centro de certificación.
Existe una necesidad objetiva de garantizar la protección de la información tanto en la etapa de interacción de la información entre el centro de registro y el centro de certificación, como en el proceso de procesamiento y almacenamiento de información, flujo de documentos internos del centro de registro.
El objeto del estudio es el subsistema de protección de una subdivisión separada de LLC Grif Information Security Center. El tema de estudio es la calidad del sistema de seguridad de la información de la unidad.
Por el momento, una división separada de CZI Grif LLC, que es el centro de registro por su propósito funcional, tiene su propio sistema de seguridad construido de acuerdo con las instrucciones de seguridad desarrolladas de acuerdo con los requisitos de los documentos principales en el campo de la seguridad de la información. . Sin embargo, la experiencia práctica ha demostrado que el sistema de seguridad original de una unidad separada tiene una serie de deficiencias.
El propósito de este proyecto es desarrollar un subsistema de seguridad de la información que sea más efectivo que el original.
Los principales objetivos del proyecto de graduación son el análisis de diagnóstico de la empresa CZI Grif LLC, el estudio de las principales amenazas y el desarrollo de un modelo generalizado del sistema de seguridad de la información.
Análisis diagnóstico de CZI GRIF LLC
Características generales de CZI Grif LLC
Centro de seguridad de la información "Grif" es una organización especializada en la prestación de servicios en el campo de la tecnología de la información y la seguridad de la información. La empresa fue fundada en 2008 y opera con éxito en el mercado.
El centro de seguridad de la información "Grif" de conformidad con la Ley Federal FZ-1 del 10 de enero de 2002 "Sobre la firma digital electrónica" brinda los siguientes servicios:
Produce certificados de clave de firma;
Crea claves de firmas digitales electrónicas a solicitud de los participantes en el sistema de información con garantía de mantener en secreto la clave privada de la firma digital electrónica;
Suspende y renueva los certificados de clave de firma y los revoca;
Mantiene un registro de certificados de clave de firma, asegura su pertinencia y la posibilidad de libre acceso a él por parte de los participantes en los sistemas de información;
Verifica la unicidad de las claves públicas de firmas digitales electrónicas en el registro de certificados de claves de firma y el archivo del centro de certificación;
Emite certificados de clave de firma en forma de documentos en papel y (o) en forma de documentos electrónicos con información sobre su validez;
Realiza, a solicitud de los usuarios de certificados de claves de firma, la confirmación de la autenticidad de una firma digital electrónica en documento electronico en relación con los certificados de clave de firma emitidos por ella.
El certificado de una persona autorizada del centro de certificación está incluido en el Registro Estatal Unificado. Los certificados y las claves de EDS se producen utilizando CryptoPro CSP certificado por el Servicio Federal de Seguridad de la Federación Rusa y cumplen con los estándares estatales de la Federación Rusa. Todo intercambio de información con el Centro de Registro de la Autoridad de Certificación se realiza utilizando el protocolo seguro TLS con autenticación unidireccional y bidireccional.
Se incluye en el registro de pequeñas y medianas empresas: a partir del 01.08.2016 como pequeña empresa
Regímenes fiscales especiales: sistema tributario simplificado (STS)
Información del contacto:
Detalles de la compañía:
ESTAÑO: 7610081412
Control: 761001001
OKPO: 88733590
OGRN: 1087610003920
OKFS: 16 - Propiedad privada
OKOGU: 4210014 - Organizaciones fundadas por personas jurídicas o ciudadanos, o personas jurídicas y ciudadanos conjuntamente
OKOPF: 12300 - Sociedades de responsabilidad limitada
OKTMO: 78715000001
OKATO:- Rybinsk, Ciudades de subordinación regional de la región de Yaroslavl, región de Yaroslavl
Negocios cercanos: JSC "VOLZHANIN" , PC "BASE" , MUUP "FARMACIA N 23" CIUDAD DISTRITO G RYBINSK LLC "COMPAÑÍA INDUSTRIAL Y COMERCIAL "SEVERNAB"
-
Actividades:
Principal (según código OKVED rev. 2): 63.11- Actividades de tratamiento de datos, prestación de servicios de alojamiento de información y actividades conexas
Actividades adicionales según OKVED 2:
Fundadores:
Registro en el Fondo de Pensiones de la Federación Rusa:
Número de registro: 086009035983
Fecha de registro: 13.10.2008
Nombre del organismo PFR: agencia del gobierno- Oficina del Fondo de Pensiones de la Federación Rusa en Rybinsk, Región de Yaroslavl (interdistrital)
UAH de entrar en Registro Estatal Unificado de Personas Jurídicas: 2087610089543
23.10.2008
Registro en el Fondo de Seguro Social de la Federación Rusa:
Número de registro: 761006509576001
Fecha de registro: 15.10.2008
Nombre de la autoridad del FSS: Institución estatal - Rama regional de Yaroslavl del Fondo de Seguro Social de la Federación Rusa
Registro estatal número de registro de entradas en el Registro Estatal Unificado de Personas Jurídicas: 2087610089840
Fecha de inscripción en el Registro Estatal Unificado de Personas Jurídicas: 23.10.2008
Según rkn.gov.ru del 24 de enero de 2020, según el TIN, la empresa está incluida en el registro de operadores que procesan datos personales:
Número de registro:
Fecha de inscripción del operador en el registro: 17.09.2010
Motivos para la inscripción del operador en el registro (número de orden): 661
Dirección de ubicación del operador: 152914, región de Yaroslavl, distrito de Rybinsk, Rybinsk, calle Zvezdnaya, 1, apto. 53
Fecha de inicio del tratamiento de datos personales: 21.09.2009
Sujetos de la Federación de Rusia en cuyo territorio tiene lugar el procesamiento de datos personales: Región de Yaroslavl
Finalidad del tratamiento de datos personales: para proporcionar los servicios de un centro de certificación: la producción de certificados de clave de firma, el cumplimiento de los requisitos de la legislación laboral.
Descripción de las medidas previstas por el art. 18.1 y 19 de la Ley: Arreglos organizacionales: 1. Elaboración, revisión, mantenimiento de la documentación interna actualizada (reglamentos, órdenes, instrucciones, etc.) que prevé el tratamiento de datos personales. 2. Alojamiento medios tecnicos destinado al procesamiento de datos personales en locales especialmente asignados con acceso limitado. H. Tomar medidas para controlar el cumplimiento de los sistemas de datos personales con los requisitos de seguridad de la información. 4. Contabilización de los soportes de datos personales. Medidas técnicas: 1. Proporcionar software y hardware para proteger la información del acceso no autorizado, a saber: 1.1. registro de actuaciones de usuarios y personal de servicio, 1.2. control de la integridad y acciones de los usuarios, personal de mantenimiento, 1.3 uso de canales de comunicación seguros y un firewall, 1.4 prevención de la introducción de programas maliciosos (programas de virus) y pestañas de software en los sistemas de información, 2. Proporcionar redundancia de medios técnicos, duplicación de arreglos y medios de almacenamiento. 3. Uso de herramientas certificadas de seguridad de la información.
Categorías de datos personales: apellido, nombre, patronímico, año de nacimiento, mes de nacimiento, fecha de nacimiento, lugar de nacimiento, dirección, profesión, serie y número de un documento de identidad, información sobre la fecha de emisión del documento especificado y la autoridad emisora, número del certificado del seguro de pensión estatal, información sobre el lugar de trabajo y cargo, NIF, sexo, conocimiento idioma extranjero, educación, profesión, estado civil, composición familiar, información sobre registro militar.
Categorías de sujetos cuyos datos personales son tratados: propiedad de: individuos(clientes del centro de certificación que han solicitado la producción de certificados de clave de firma), empleados que son miembros de relaciones laborales con una persona jurídica.
Lista de acciones con datos personales: recolección, sistematización, acumulación, almacenamiento, destrucción de datos personales a través de software especializado, almacenamiento de datos personales en papel.
Tratamiento de datos personales: mixta, con transmisión por la red interna persona jurídica, con transmisión por Internet
Base legal para el tratamiento de datos personales: guiado por la Ley Federal N° 152-FZ de 27 de julio de 2006 “Sobre Datos Personales”, Ley Federal N° 1-FZ “Sobre Firma Digital Electrónica” de 13 de diciembre de 2001 (Artículo 9), Ley Federal de 6 de abril de 2011 N° 63- Ley Federal “Sobre firma electronica"(Art. 14,15,17), Decreto del Gobierno de la Federación Rusa del 15 de septiembre de 2008 No. 687 "Sobre la aprobación del Reglamento sobre las características del procesamiento de datos personales realizado sin el uso de herramientas de automatización ", Código de Trabajo Federación Rusa (Art. 85-90), consentimiento por escrito del sujeto, regulaciones del centro de certificación.
Disponibilidad de transmisión transfronteriza: No
Detalles de la ubicación de la base de datos: Rusia
Información de ingresos y gastos según el Servicio de Impuestos Federales de fecha 19 de octubre de 2019 según TIN 7610081412:
Año | Ingreso | Gastos | Ingresos - Gastos |
2018 | 22 109 000 frotar. | 21 717 000 frotar. | 392 000 frotar. |
Información sobre los montos de impuestos y tasas pagados según el Servicio de Impuestos Federales de fecha 19 de octubre de 2019 según TIN 7610081412:
Año | Nombre | Suma |
2018 | impuesto de transporte | 23 171 frotar. |
2018 | Impuesto recaudado en relación con la aplicación del régimen tributario simplificado | 189 529 frotar. |
2018 | Primas de seguro del seguro social obligatorio en caso de incapacidad temporal y en relación con la maternidad | 0 frotar. |
2018 | Seguros y otras cotizaciones al seguro obligatorio de pensiones con abono a Fondo de pensiones Federación Rusa | 634 137 frotar. |
2018 | Primas de seguro para el seguro médico obligatorio de la población trabajadora con cargo al presupuesto del Fondo Federal del Seguro Médico Obligatorio | 0 frotar. |
Estados financieros (cifras contables): | |||
El código | Índice | Sentido | Unidad. |
F1.1110 | Activos intangibles | 0 | mil frotar. |
F1.1120 | Resultados de investigación y desarrollo | 0 | mil frotar. |
F1.1130 | Activos de búsqueda intangibles | 0 | mil frotar. |
F1.1140 | Activos Tangibles de Exploración | 0 | mil frotar. |
F1.1150 | Activos fijos | 0 | mil frotar. |
F1.1160 | Inversiones rentables en valores materiales | 0 | mil frotar. |
F1.1170 | Inversiones financieras | 841 | mil frotar. |
F1.1180 | Los activos por impuestos diferidos | 0 | mil frotar. |
F1.1190 | Otros activos no corrientes | 0 | mil frotar. |
Ф1.1100 | Total de la sección I - Activo no corriente | 841 | mil frotar. |
F1.1210 | Cepo | 1252 | mil frotar. |
Ф1.1220 | Impuesto al valor agregado sobre los bienes adquiridos | 0 | mil frotar. |
F1.1230 | Cuentas por cobrar | 14811 | mil frotar. |
F1.1240 | Inversiones financieras (excluyendo equivalentes de efectivo) | 0 | mil frotar. |
Ф1.1250 | Efectivo y equivalentes de efectivo | 5522 | mil frotar. |
F1.1260 | Otros activos circulantes | 0 | mil frotar. |
Ф1.1200 | Total de la sección II - Activo corriente | 21585 | mil frotar. |
Ф1.1600 | SALDO (activo) | 22426 | mil frotar. |
F1.1310 | Capital autorizado (capital social, fondo autorizado, aportes de los compañeros) | 0 | mil frotar. |
F1.1320 | Acciones propias recompradas a los accionistas | 0 | mil frotar. |
F1.1340 | Revalorización de activos no corrientes | 0 | mil frotar. |
F1.1350 | Capital adicional (sin revalorización) | 0 | mil frotar. |
Ф1.1360 | capital de reserva | 0 | mil frotar. |
F1.1370 | Ganancias retenidas (pérdida descubierta) | 0 | mil frotar. |
Ф1.1300 | Total de la Sección III - Capital y reservas | 22370 | mil frotar. |
F1.1410 | fondos prestados | 0 | mil frotar. |
F1.1420 | Pasivos por impuestos diferidos | 0 | mil frotar. |
F1.1430 | Pasivos estimados | 0 | mil frotar. |
Ф1.1450 | Otros pasivos | 0 | mil frotar. |
Ф1.1400 | Total de la Sección IV - Pasivos a largo plazo | 0 | mil frotar. |
F1.1510 | fondos prestados | 0 | mil frotar. |
Ф1.1520 | Cuentas por pagar | 56 | mil frotar. |
F1.1530 | ingresos de los periodos futuros | 0 | mil frotar. |
F1.1540 | Pasivos estimados | 0 | mil frotar. |
F1.1550 | Otros pasivos | 0 | mil frotar. |
Ф1.1500 | Total de la sección V - Pasivos corrientes | 56 | mil frotar. |
Ф1.1700 | EQUILIBRIO (pasivo) | 22426 | mil frotar. |
F2.2110 | Ingresos | 21813 | mil frotar. |
Ф2.2120 | El costo de ventas | 21403 | mil frotar. |
F2.2100 | Ganancia (pérdida) bruta | 410 | mil frotar. |
F2.2210 | Gastos de venta | 0 | mil frotar. |
F2.2220 | Gastos de gestión | 0 | mil frotar. |
Ф2.2200 | Beneficio (pérdida) de las ventas | 410 | mil frotar. |
F2.2310 | Ingresos por participación en otras organizaciones | 0 | mil frotar. |
F2.2320 | Intereses por cobrar | 0 | mil frotar. |
Ф2.2330 | Porcentaje a pagar | 0 | mil frotar. |
F2.2340 | Otros ingresos | 296 | mil frotar. |
F2.2350 | otros gastos | 314 | mil frotar. |
Ф2.2300 | Beneficio (pérdida) antes de impuestos | 392 | mil frotar. |
Ф2.2410 | Impuesto sobre la renta corriente | 284 | mil frotar. |
F2.2421 | incluido pasivos (activos) fiscales permanentes | 0 | mil frotar. |
Ф2.2430 | Cambio en los pasivos por impuestos diferidos | 0 | mil frotar. |
F2.2450 | Cambio en los activos por impuestos diferidos | 0 | mil frotar. |
2,2460 Ф | Otro | 0 | mil frotar. |
Ф2.2400 | Utilidad (pérdida) neta | 108 | mil frotar. |
F2.2510 | El resultado de la revalorización de activos no corrientes, no incluidos en beneficio neto(pérdida) período | 0 | mil frotar. |
F2.2520 | Resultado de otras operaciones, no incluido en la utilidad (pérdida) neta del período | 0 | mil frotar. |
Ф2.2500 | Total resultados financieros período | 0 | mil frotar. |