Комплексная система защиты информации на предприятии
Пермский
национальный исследовательский политехнический университет
Кафедра
автоматики и телемеханики
КУРСОВОЙ
ПРОЕКТ
На тему
Комплексная
система защиты информации на предприятии
Пермь 2011г.
ВВЕДЕНИЕ
Объектом исследования настоящего курсового проекта является вымышленная,
в учебных целях организация - общество с ограниченной ответственностью «Кредит
Коллектор».
Предмет исследования - комплексная система защиты информации на ООО
«Кредит Коллектор». Построение комплексной системы защиты информации на
предприятии сложный процесс, во многом зависящий от правильного понимания
деятельности организации, формы собственности, внутренних процессов, размеров и
тд. Исходными данными для курсового проектирования служит некоторый вариант
задания отражающий в себе характеристики исследуемого объекта.
Цели курсового проекта:
1. Спроектировать комплексную систему защиты информации на конкретном
предприятии, отвечающую требованиям надзирающих органов и обладающую свойствами
комплексности, системности и достаточности;
2. Оценить эффективность спроектированной системы.
Для достижения целей проекта необходимо выполнить следующие задачи:
. Провести анализ объекта информатизации, т.е. определить входные
данные для построения комплексной системы защиты информации;
Основными категориями входных данных для построения КСЗИ являются:
· правовая информация об объекте;
· организационное устройство объекта, включая систему
менеджмента и внутренних процессов;
· информация о местонахождении объекта, его физических особенностях;
· информация о человеческих ресурсах на предприятии;
· информация об исходной защищённости объекта.
2. На базе проведённого анализа разработать следующую документацию:
· перечень сведений конфиденциального характера;
· политика информационной безопасности;
· положение о коммерческой тайне;
· инструкция по организации охраны и пропускного режима;
· частная модель угроз информационной безопасности;
· неформальная модель нарушителя.
3. Спроектировать следующие подсистемы технической защиты информации:
· подсистему контроля и управления доступом;
· подсистему видеонаблюдения;
· подсистему охранной и пожарной сигнализаций;
· подсистему противодействия утечки по техническим каналам;
· подсистему защиты корпоративной сети;
4. Провести анализ эффективности спроектированной системы и сделать
выводы по необходимости её внедрения.
Для выполнения изложенных выше задач будет использован комплексный
подход. Разработка каждой подсистемы, технической и организационной систем
будут согласованы в области организационной, методической и технической
совместимости. Для разработки документации будут использованы стандарты
менеджмента информационной безопасности серии ISO 27000.
1. АНАЛИЗ
И ОПИСАНИЕ ОБЪЕКТА ИНФОРМАТИЗАЦИИ
Описание организации как объекта информатизации первый этап при
разработке комплексной системы обеспечения информационной безопасности на
предприятии. В соответствии с общей структурой СКЗИ как подсистемы организации
в целом, должна строиться на основе функционирования двух подсистем:
1. Функциональной - подсистема, цель функционирования которой
обеспечение непрерывности бизнес-процессов, стабильной деятельности организации
с помощью технических средств защиты, средств охраны предприятия, нормативной и
правовой документации и системы персонала.
2. Обеспечивающей (управляющей) - подсистема, организующая процесс
управления функциональным блоком, на основе выполнения функций планирования,
организации, мотивации, координации и контроля.
Требования к функциональной подсистеме определяются Федеральными законами
РФ, руководящими документами ФСБ и ФСТЭК, государственными стандартами и пр.
Требования к организации управляющей подсистемы в настоящем курсовом
проекте определены в рамках ГОСТ Р ИСО 27001-2006, в соответствии с ФЗ «О
техническом регулировании» организация обязана выполнять требования
государственного стандарта при письменном закреплении такого решения в
стратегической документации организации.
1.1 Описание организации как хозяйствующего субъекта
Организация ООО «Кредит Коллектор». Ведет коллекторскую деятельность на
предсудебном и судебном этапах. Занимается возвратом долгов юридических лиц в
несудебном порядке, взыскиванием долгов в арбитражном суде, покупкой долгов.
Форма собственности: «Кредит Коллектор» коммерческая организация,
зарегистрированая как общество с ограниченной ответственностью, на основе
частной собственности Уставной капитал 50000 рублей.
Деятельность организации связана с взаимодействием с юридическими и
физическими лицами на основе контракта оказания услуг, связанных с коллекторской
деятельностью. Клиенты организации предоставляют сведения о своих должниках, и
дебиторах. ООО «Кредит Коллектор» имеет дело с коммерческой тайной и
персональными данными. Высший гриф конфиденциальности определён как - строго
конфиденциально.
1.2 Структура и территориальное расположение предприятия
Объект находится на 5 этаже двенадцатиэтажного офисного здания, в левом
крыле. Объект расположен в деловой части города. С трех сторон окружен
различными постройками, четвертая сторона выходит на автомобильную дорогу. С
запада, на расстоянии 25 метров, расположено высотное офисное здание с
парковочной площадкой. С южной стороны, на расстоянии 30 метров, расположено
многоэтажное жилое здание. С востока, на расстоянии 25 метров, расположено
административное здание. С севера расположена автомобильная дорога.
Защищаемыми помещениями являются кабинет руководителя и помещение для
проведения конфиденциальных переговоров. Объект оборудован помещением для
ведения конфиденциальных переговоров. Предприятие функционирует 5 дней в
неделю. График работы с 8:00 до 17:00, с перерывом на обед с 12:00 до 13:00. В
период обеденного перерыва организация не занимается основной деятельностью,
служба охраны и в частности сотрудник бюро пропусков в соответствии с
инструкцией по охране и пропускному режиму обедают на месте.
Предприятие состоит из следующих структурных подразделений:
· Служба информационной безопасности - служба, выполняющая функции
вспомогательных процессов организации, она выполняет функции по информационной
безопасности организации, пропускному режиму, организации физической охраны
активов. Служба информационной безопасности расположена в служебном помещении
(см. рисунок 1);
· Юридический отдел - отдел основных бизнес-процессов
предприятия, он занимается работой с делами клиентов, организует деятельность
представителей организации в арбитражных судах и исследует финансовую
активность должников. Также юридический отдел отвечает за правовое обеспечение
деятельности организации как хозяйствующего субъекта, включая правовое обеспечение
информационной безопасности. Юридический отдел находится в служебном помещении
(см. рисунок 1);
· Бухгалтерия - служба, которая занимается ведением
бухгалтерской и налоговой отчётности, по совместительству выполняющая функции
финансового отдела, тем самым, распределяя финансовые потоки внутренней и
внешней среды организации, в том числе, бухгалтерия финансирует деятельность
службы безопасности предприятия;
· Служба охраны - часть службы информационной безопасности,
отвечающая за организацию и ведение пропускного режима на предприятии и
охранной деятельности. Служба расположена в отдельном помещении. (см. рисунок
1);
· Клиентский отдел - отдел, организующий взаимодействие
организации с клиентами. В клиентском отделе заключаются бизнес-контракты организации,
предоставляются отчёты о проделанной работе клиентам. Клиентский отдел ведёт
кассовые операции по расчёту с клиентами;
· Отдел кадров - выполняет функции по обеспечению вакансий на
предприятии, управлению человеческими ресурсами, ведению личных дел сотрудников
и организацией развития корпоративной культуры, спортивных и других
мероприятий;
· Серверная - хранилище основных баз данных, включая
персональные данные 2 категории, и другую информацию с грифом строго
конфиденциально. Доступ к серверной имеют только сотрудники отдела
безопасности.
Рисунок 1. Структурный состав организации
1.3 Организационная структура предприятия
Организационная структура ООО «Кредит Коллектор» бюрократического типа,
классифицируется как линейно-функциональная. В соответствии с такой структурой
каждый сотрудник организации подчиняется начальству своего функционального
блока, а начальники отделов и служб - генеральному директору и его
непосредственному заместителю (см. рисунок 2).
Рисунок 2. Организационная структура ООО «Кредит Коллектор»
В соответствии со стандартом ИСО 27001 организация должна определить
область и границы действия СМИБ (организационные, физические, коммуникативные и
границы ответственности) с учётом характеристик бизнеса, организации, её
размещения, активов и технологий. СМИБ организации включает в себя генерального
директора организации, его заместителя и службы безопасности организации,
включая всех её сотрудников. Физические рамки действия СМИБ - границы
функционирования объекта, т.е., весь 5 этаж здания. Организационные границы
функционирования СМИБ - все подразделения организации обязаны выполнять
требования СМИБ, в рамках предоставленных ей полномочий, также требования СМИБ
должны выполняться организациями-клиентами, государственными надзирающими
органами и учреждениями, непосредственно взаимодействующими с ООО «Кредит
Коллектор», в рамках полномочий СМИБ. В области действия СМИБ находятся все
основные и вспомогательные процессы функционирования организации, их контроль,
в том числе регистрация и координация. Основным документом, регламентирующим
деятельность СМИБ, устанавливающим ответственность за нарушение требований,
цели и режим функционирования СМИБ является политика информационной
безопасности ООО «Кредит Коллектор».
2. РАЗРАБОТКА
ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНОЙ И НОРМАТИВНОЙ ДОКУМЕНТАЦИИ ПО ЗАЩИТЕ ИНФОРМАЦИИ
В ОРГАНИЗАЦИИ
Состав внутренних документов по обеспечению ИБ можно разделить на четыре
группы в виде иерархической структуры (см. рисунок 3)
Рисунок 3. Структура внутренней документации по обеспечению ИБ в
организации
1. Документы, содержащие положения корпоративной политики ИБ
организации (документы первого уровня), определяют высокоуровневые цели,
содержание и основные направления деятельности по обеспечению ИБ,
предназначенные для организации в целом. К таким документам должна относятся:
· концепция информационной безопасности;
· политика информационной безопасности;
· границы действия системы обеспечения информационной
безопасности (включая перечень сведений конфиденциального характера);
· модель нарушителя и угроз информационной безопасности.
2. Документы, содержащие положения частных политик (документы второго
уровня), детализируют положения корпоративной политики ИБ применительно к одной
или нескольким областям ИБ, видам и технологиям деятельности организации. К
таким документам относятся:
· положение о коммерческой тайне;
· политика управления рисками;
· политика корпоративной сети;
· политика системы контроля и управления доступом и тд..
. Документы, содержащие положения ИБ, применяемые к процедурам, а
именно, к порядку выполнения действий или операций обеспечения ИБ (документы
третьего уровня). Таки документы содержат правила и параметры, устанавливающие
способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках
технологических процессов, используемых в организации, либо ограничения по
выполнению отдельных действий, связанных с реализацией защитных мер, в
используемых технологических процессах (технические задания, регламенты,
порядки, инструкции);
4. Документы, содержащие свидетельства выполненной деятельности по
обеспечению ИБ (документы четвертого уровня), отражают достигнутые результаты
(промежуточные и окончательные), относящиеся к обеспечению ИБ организации.
В данном курсовом проекте множество часть документов будет агрегировано,
а часть не будет рассмотрена подробно. В качестве объекта для разработки будут
использоваться документы первого, второго и третьего уровня, а именно:
· Перечень сведений конфиденциального характера (1 уровень);
· Политика информационной безопасности (1 уровень);
· Частная модель угроз информационной безопасности (1 уровень);
· Положение о коммерческой тайне (2 уровень);
· Инструкция по организации охраны и пропускного режима (3
уровень).
2.1 Разработка перечня сведений конфиденциального характера
В соответствии с ГОСТ Р ИСО 27001-2006 для обеспечения уверенности в том,
что информация защищена на надлежащем уровне её необходимо классифицировать
исходя из правовых требований, её конфиденциальности, а также ценности и
критичности для организации. В соответствии с принятой в организации системой
классификации должна быть разработана и реализована совокупность процедур маркировки
и обработки информации.
В организации ООО «Кредит Коллектор» информация классифицируется по
требованиям СТР-К ФСТЭК, имеющим для данной организации рекомендательный
характер. Основными классификационными признаками служат:
1. Принадлежность информации к подразделению организации;
2. Содержание информации в определённых базах данных или на
определённых бумажных носителях;
. По степени и природе конфиденциальности;
. По сотрудникам, имеющим доступ к информации;
. По организациям или физическим лицам, имеющим доступ к
конфиденциальной информации, но не работающих в ООО «Кредит Коллектор».
Таким образом, для каждого отдела организации можно выделить информацию с
которой он работает:
· бухгалтерия - отдел, выполняющий функции финансового учёта и аудита, ведения
бухгалтерской и налоговой отчётности, а также все функции по финансированию и
управлению финансами организации. В бухгалтерии содержатся сведения о
бухгалтерском балансе, налоговые и бухгалтерские отчётности, сведения о
финансовом состоянии организации, её счёта (см. приложение 1 п. 3,4,5);
· отдел по работе с клиентами - содержит все сведения,
полученные от клиентов организации, сведения о проводимых переговорах и
совещаниях, а также, тактические планы и модели развития организации (см.
приложение 1 п 6,8,9,10,14);
· юридический отдел - ядро бизнес-процессов организации, так
как организация занимается коллекторской деятельностью, юридический отдел
выполняет большую часть функций по обеспечению основных процессов деятельности
организации, занимается стратегическим и тактическим планированием, принимает
участие во всех важных для предприятия событиях. Для данного отдела доступна
вся информация за исключением бухгалтерской отчётности и информации о
реализации СОИБ;
· отдел кадров - содержит только сведения о сотрудниках
организации, основная функция отдела - управление человеческими ресурсами в
организации;
· служба безопасности - ввиду своей деятельности допущена
практически ко всем сведениям в организации, за некоторым незначительным
исключением. Служба безопасности в ООО «Кредит Коллектор», помимо своей
основной деятельности, включает в себя службу охраны и системного
администратора организации, выполняющего по совместительству функции
администратора информационной безопасности. Начальник охраны допускается к
сведениям об организации охраны на предприятии и к персональным данным
позволяющим идентифицировать сотрудников и клиентов организации. Системный
администратор допущен ко всем сведениям электронных баз данных ввиду своей
деятельности по их настройке и защите;
· генеральный директор и его заместители имеют допуск ко всей
конфиденциальной информации, так как они являются учредителями ООО «Кредит
Коллектор».
Для определения связи классов информационных активов, допущенных лиц,
внутреннего грифа конфиденциальности и баз данных в которых содержаться активы,
в перечень сведений конфиденциального характера включено «приложение А» (см.
приложение 1). Таким образом с помощью перечня сведений конфиденциального
характера можно определить какой сотрудник допущен к определённому типу
информации, каким грифом обладает эта информация и в какой базе данных она
находится. В соответствии с ГОСТ Р ИСО 27001-2006, перечень информационных
активов, подлежащих защите, является частью корпоративной политики
информационной безопасности, т.е. стратегическим документом первого уровня (см.
рисунок 3).
В организации ООО «Кредит Коллектор» обрабатывается огромное количество
персональных данных, как клиентов, так и сотрудников организации, всего 50 000
субъектов ПД. Для выполнения требований ФСТЭК, и упрощения построения системы
защиты ИСПДн, доступ к ПД в перечне сведений конфиденциального характера разбит
на 3 группы:
1. Доступ к персональным данным 3 и 4 категории сотрудников
организации;
2. Доступ к персональным данным 3 и 4 категории клиентов
организации;
. Доступ к персональным данным всех категорий, любых субъектов.
Такое разделение позволяет ограничить доступ к персональным данным 2
категории сотрудников служб вспомогательных процессов, таких как служба охраны,
служба отдела кадров и тд.
Маркировка информации по типам необходима для соблюдения требований
стандарта ГОСТ Р ИСО 27001.
В организации ООО «Кредит Коллектор» вся защищаемая информация
разделяется на два уровня конфиденциальности:
1. Конфиденциально - к такой информации относится вся защищаемая
информация, которая не имеет гриф строго конфиденциально;
2. Строго конфиденциально - такая информация включает:
· персональные данные клиентов и сотрудников организации 2 категории;
· сведения о концепции развития предприятия, стратегические
планы развития, функциональные, маркетинговые, финансовые и логистические
модели ведения бизнеса;
· тактические планы развития, информация о текущих и плановых
контрактах;
· сведения, раскрывающие систему, средства защиты информации,
порядок обработки и передачи информационных активов.
2.2 Разработка политики информационной безопасности
В соответствии со стандартом ГОСТ Р ИСО 27001-2006 организация должна
определить политику информационной безопасности на основе характеристик
бизнеса, организации, её размещения, активов и технологий.В общем, политика -
это общие намерения и указания, официально выраженные руководством. Содержание
политики управляет действиями и решениями, касающимися предмета политики.
Организация может иметь несколько политик, по одной для каждой сферы
деятельности, важной для организации. Некоторые политики независимы одна от
другой, в то время как другие политики находятся в иерархическом соотношении. В
области безопасности, политики, как правило, иерархически организованы. Обычно
политика безопасности организации является политикой высшего уровня. Она
подкрепляется более конкретными политиками, включая политику информационной
безопасности и политику системы менеджмента информационной безопасности. В свою
очередь, политика информационной безопасности может подкрепляться более
детальными политиками по конкретным предметам, относящимся к аспектам
информационной безопасности. Многие из этих политик описываются в стандарте
ISO/IEC 27002, например, политика информационной безопасности подкрепляется
политиками, касающимися контроля доступа, политики "чистого стола" и
"чистого экрана", использования сетевых служб и криптографического
контроля. В некоторых случаях возможно добавление дополнительных уровней
политики.
Рисунок 4. Иерархия политик в организации
Таким образом, комплекс верхних политик представляет собой стратегическую
документацию организации (см. рисунок 4). В ООО «Кредит Коллектор» из-за
небольшого размера организации и относительно небольшой величины защищаемых
информационных активов, политика информационной безопасности включает в себя
также требования, цели и другие положения политики безопасности и политики
системы менеджмента информационной безопасности. Агрегации политик также способствует
и то, что в ООО «Кредит Коллектор» служба охраны является подразделением отдела
по информационной безопасности, а СМИБ объединяет несколько структурных
подразделений организации.
В общем случае Содержание политики основано на контексте, в котором работает
организация. В частности, при разработке любой политики в рамках основ нужно
принять во внимание следующее (см. рисунок 5):
· цели и задачи организации - представляет собой цели и задачи изложенные в
корпоративной политике организации, т.е. цели и задачи политики стоящей на
более высоком уровне иерархии (см. рисунок 4). Политика информационной
безопасности не должна противоречить основным целям бизнеса организации, и
должна играть не ключевую роль, а обеспечивающую в развитии бизнеса;
· стратегии, адаптированные для достижения этих целей -
стратегия изложенная в корпоративной политике организации как комплекс
стратегических планов, средств и методов для обеспечения выполнения целей
организации в долгосрочном периоде;;
· структура и процессы, адаптированные организацией - политика
ИБ должна строится таким образом, чтобы не нарушать основную деятельность
организации, для этого необходимо провести анализ основных бизнес процессов и
сделать соответствие их процессам ИБ. Политика ИБ в случае ООО «Кредит Коллектор»
в организации регламентирует вспомогательные и управляющие процессы на
предприятии;
· цели и задачи, связанные с предметом политики - политика ИБ
должна чётко выразить цели и задачи ИБ, основные аспекты обеспечения ИБ, методы
и средства, используемые для этого и требования к организации системы в целом;
· требования связанных политик более высокого уровня - политика ИБ
организации должна определять состав и направление мер для обеспечения ЗИ,
перечень необходимых для реализации в организации частных политик ИБ, цели и
задачи, функции, предъявляемые к связанным политикам ИБ. Также могут
определяться документы более низкого уровня, требования к процедурам и
инструкции.
Рисунок 5. Исходные данные для разработки политики
Состав политики СМИБ и политики ИБ в кратком виде изложен в стандартах ISO 27001 и ISO 27002. Объединяя требования стандарта ГОСТ Р ИСО
27001-2006 и рекомендации стандарта ISO 27002, составим политику ООО «Кредит Коллектор», содержащую следующие разделы:
. Краткое положение политики - основание для разработки политики,
место в иерархии политик в организации, соответствие требований каким-либо
стандартам В случае ООО «Кредит Коллектор», политика была разработана
руководством организации и службой информационной безопасности на основе
учредительного документа организации и общей политики бизнеса. В шапке указано
что организация берёт на себя обязательства соблюдать требования стандарта ГОСТ
Р ИСО 27001-2006;
. Общие положения - предмет политики, краткое определение ключевых
понятий, краткое описание направления действия;
. Область действия - описание места политики в общей системе
стратегической документации, подразделений, отделов, сотрудников на которых
направлена данная политика;
. Цели и задачи - основные цели которые выполняет предмет политики
и задачи позволяющие обеспечить данный набор целей, в случае ООО «Кредит
Коллектор» цели и задачи политики строятся на всю организацию безопасности в
организации, включая СМИБ;
. Состав СОИБ - в политике ИБ ООО «Кредит Коллектор» определён
состав основных систем обеспечивающих безопасность на предприятии, а также
детализация до подсистем СОИБ. Такой пункт в политике ИБ необходим из-за
соединения в ней регламента как для физической защиты, так и для систем менеджмента
защиты информации и информационной безопасности предприятия. (см. приложение
2). Перечень частных политик рекомендуемых для создания в организации
определяется стандартом ISO
27003. Политика ООО «Кредит Коллектор» предпологает наличие в организации следующих
частных политик:
· положение о коммерческой тайне;
· политика контроля доступа;
· политика управления рисками;
· политика резервного копирования;
· политика использования корпоративной сети;
· политика обмена информацией между организациями;
· политика ведения записей;
· политика использования мобильных средств связи.
Разработка и представление таких политик в отчёте не представляется
возможным ввиду их общего объёма.
. Принципы - описание правил, касающихся действий и решений для
достижения целей, ключевые процессы, связанные с выполнением политики и правила
организации таких процессов. В политике ООО «Кредит Коллектор» определяются
требования к общей структуре ИБ, к менеджменту ИБ, к управлению рисками ИБ, к
физической охране ИБ, к разграничению полномочий и ответственности в сфере ИБ и
др.;
. Сферы ответственности - раздел рассматривает сотрудников которые
отвечают за действия по выполнению данной политике в области её действия, роли
менеджеров в обеспечении выполнения политики всеми сотрудниками организации;
. Политики в области безопасности - описание других политик
которые существуют в организации для выполнения целей данной политики (см.
рисунок 4). По классификации, изложенной в начале торой главы курсового
проекта, этот раздел представляет номенклатуру внутренних документов второго
уровня в организации (см. рисунок 3).
Политика информационной безопасности ООО «Кредит Коллектор» составлена
начальником юридического отдела, как представителем основной деятельности
организации, знающим интересы предприятия тактические и стратегические планы
его развития, начальником службы охраны и начальником службы безопасности.
2.3 Разработка положения о коммерческой тайне
Положение о коммерческой тайне является локальным нормативным актом,
регламентирующим отношения между работником и работодателем, связанных с
обеспечением конфиденциальности сведений, составляющих КТ. Данный документ
содержит сущность коммерческой тайны, её общий состав, порядок допуска к таким
сведениям, положения, разъясняющие работнику особенности режима коммерческой
тайны и ответственность за ее разглашение. Положение о коммерческой тайне
компании утверждается ее руководителем. Факт ознакомления работников компании
необходимо оформлять документально «под роспись». Для чего необходимо оформить
журнал ознакомления с положением о коммерческой тайне в электронном или
бумажном исполнении. Однозначно, положение о коммерческой тайне относится к
стратегической документации организации второго уровня (см. рисунок 3) и
составляется на основе политики информационной безопасности и перечня сведений
конфиденциального характера. Альтернативой положения о коммерческой тайне в
организации может служить политика режима коммерческой тайны.
Допуск к коммерческой тайне в ООО «Кредит Коллектор» осуществляется в
пять этапов:
. Ознакомление и согласие с пунктом трудового договора о согласии
работать с конфиденциальной информацией и о неразглашении такой информации;
. Направление, по необходимости допуска сотрудника исходя из
должностной инструкции или по собственной инициативе, уведомления о желании
работать с указанным видом коммерческой тайны на имя генерального директора или
руководителя службы безопасности предприятия;
. Приказ руководителя службы безопасности или генерального
директора о включении работника в перечень лиц, имеющих допуск к КТ;
. Ознакомление с положением о КТ;
. Подпись и отметка об ознакомлении с положением о КТ в
соответствующем журнале (см. форму в таблице 1);
Таблица 1
Форма журнала ознакомления сотрудников с коммерческой тайной
|
№
|
Ф.И.О. работника
|
Должность
|
Структурное подразделение
|
Дата и номер приказа о допуске сотрудника
|
С положением ознакомлен (подпись, дата)
|
|
1
|
Голицын Г.Г.
|
бухгалтер
|
бухгалтерия
|
02.03.2011 №5
|
Голицыннн 02.05.2011
|
|
2
|
Павлов Ф.Ф.
|
Начальник отдела
|
Отдел по работе с клиентами
|
02.03.2011 №7
|
Павловввв 02.05.2011
|
|
3
|
Хорьков Ф.В.
|
Вертухай
|
Бюро пропусков
|
05.04.2011 №11
|
Хорьков 04.06.2011
|
|
…
|
…
|
…
|
…
|
…
|
…
|
Состав положения о коммерческой тайне. Для организации ООО «Кредит
Коллектор» было разработано положение о коммерческой тайне как документ
регламентирующий режим допуска и порядок отнесения информации к КТ.
Рассмотрим состав разработанного приложения (см. приложение 3):
. Преамбула. Располагается под наименованием документа и
определяет краткое содержание, направленность документа, либо ссылки на
правовые источники. В положении о КТ ООО «Кредит Коллектор» в преамбуле указано
что положение составлено на основе Федеральных законом регламентирующих
вопросы, связанные с коммерческой тайной.
. Общие положения. В таком разделе указываются цели и задачи
положения, кому оно адресовано, какой смысл положение имеет в системе прочей
организационной документации. В положении о коммерческой тайне ООО «Кредит
Коллектор» определен тип сотрудников, ознакомление с положением которых
необходимо, также указано, что лица работающих на контрактной основе с
организацией и лица, работающие на договорных основаниях в организации, но не
являющиеся её сотрудниками обязаны ознакомиться и сделать соответствующую
отметку в журнале.
. Полномочия службы безопасности, отдельных сотрудников по
отношению к режиму этого положения. В ООО «Кредит Коллектор» ответственным за
составление, корректировку и за контроль выполнения настоящего положения
является руководитель службы безопасности предприятия.
. Порядок отнесения сведений к коммерческой тайне. В данном
разделе могут указываться любые требования руководства по порядку отнесения
сведений к коммерческой тайне, в частности это относится к порядку изменения
всего перечня конфиденциального характера.
. Информация, составляющая коммерческую тайну. В зависимости от
исполнения организационной документации, в положение о коммерческой тайне могут
включать перечень сведений отнесённых к коммерческой тайне, выделенный из
общего перечня защищаемой информации, либо составленный на его основании. Также
в этом разделе могут указываться признаки, группы, страты позволяющие отнести
информацию к сведениям, составляющим коммерческую тайну. В ООО «Кредит
Коллектор» было решено создать единый перечень сведений составляющих
конфиденциальную информацию, и тем самым работать с общим перечнем для
коммерческой тайны и персональных данных.
. Обязательства сотрудников. Один из основных разделов документа,
в котором должны определяться требования, предъявляемые к сотрудникам
организации по отношению режима конфиденциальности коммерческой тайны.
. Порядок допуска к коммерческой тайне. В разделе указывается
режим допуска к коммерческой тайне, и его расторжения. Процедура допуска в ООО
«Кредит Коллектор» описана в начале главы.
. Ответственность за разглашение коммерческой тайны.
Классифицируется ответственность сотрудников за правонарушение. В соответствии
с законодательством предусмотрено три вида ответственности при разглашении
коммерческой тайны:
· уголовная ответственность по статье 183 УК РФ - умышленное
незаконное получение и распространение сведений, составляющих коммерческую
тайну;
· гражданско-правовая ответственность 2 часть ГК РФ -
ответственность, связанная с нарушением договорных обязательств субъектов;
· дисциплинарная ответственность - ответственность, связанная с
нарушением трудового договора сотрудниками организации, крайней мерой
дисциплинарной ответственности за разглашение коммерческой тайны может быть
увольнение по инициативе работодателя. В соответствии с Трудовым кодексом РФ,
работодатель может принять решение о увольнении сотрудника при неоднократном и
(или) грубом нарушении режима конфиденциальности КТ;
· материальная ответственность - никак не связана с другими
видами ответственности, и заключается в возмещении прямых и косвенных убытков
от разглашения коммерческой тайны организации. Режим и случаи ответственности
установлены Гражданским кодексом, Федеральными законами и тп., а мера, порядок
взыскания, обстоятельства, не позволяющие работодателю применять материальную
ответственность, указаны в трудовом кодексе РФ;
В положении о коммерческой тайне ООО «Кредит Коллектор» указана общая
ссылка на законодательство РФ при нарушении КТ, назначена высшая мера
дисциплинарной ответственности и сказано что при грубом нарушении режима КТ и
при составе преступления в этом работодатель обращается в правоохранительные
органы;
. Заключительные положения. В разделе указываются порядок действия
руководителя при несогласии с положением.
В положение о КТ могут включаться и другие разделы, так как состав и
содержание положения о коммерческой тайне не регламентируется законодательством
РФ и стандартами в области информационной безопасности. Множество организаций
считает, что в создании положения о КТ нет необходимости вследствие отсутствия
его практического применения, но в небольших организациях такое положение может
стать одним из основных организационных документов по защите информации. В
организации ООО «Кредит Коллектор» из-за небольших размеров организации и
отсутствия детализации в этом направлении документации, создание положения о КТ
сочли необходимым в системе документации СОИБ.
Меры управления по ГОСТ Р ИСО 27001-2006, осуществляемые по отношению к
режиму КТ в положении о КТ ООО «Кредит Коллектор»:
. А 6.1.5 Соглашение о соблюдении конфиденциальности;
. А 6.2.2 Рассмотрение вопросов безопасности при работе с
клиентами;
. А 6.2.3 Требования безопасности в соглашениях со сторонними
организациями;
. А 7.1.3 Приемлемое использование активов;
. А 7.2.1 Основные принципы классификации информационных активов;
. А 7.2.2 Маркировка и обработка информации;
. А 8.1.1 Функции и обязанности персонала по обеспечению
безопасности;
. А 8.1.3 Условия трудового договора;
. А 8.2.1 Обязанности руководства;
. А 8.2.3 Дисциплинарная практика;
. А 8.3.1 Ответственность по окончанию трудового договора;
. А 8.3.3 Аннулирование прав доступа;
. А 10.2.1 Безопасность при оказание услуг;
. А 13.2.1 Ответственность и процедуры;
. А 15.1.1 Определение применимых норм;
. А 15.1.3 Защита учётных записей организации;
. А 15.1.4 Защита данных и конфиденциальность персональной
информации;
. А 15.2.1 Соответствие политикам и стандартам безопасности;
. А 15.2.2 Проверка технического соответствия требованиям
безопасности.
Использование таких мер управления, позволяет создать СОИБ соответствующую
стандарту ГОСТ Р ИСО 27001.
Для полного соответствия системы стандарту, необходимо создать такой же
режим конфиденциальности по отношению к другой защищаемой информации, т.е. к
персональным данным. В организации ООО «Кредит Коллектор» имеется положение о
ПД, содержание которого примерно совпадает с положением о КТ, разница
заключается в алгоритме получения допуска и в грифах конфиденциальности
персональных данных. Обеспечение безопасности ПД и КТ в соответствующих
положениях составляют целостную систему режимной документации защищаемой
информации в ООО «Кредит Коллектор».
2.4 Разработка инструкции по организации охраны и пропускного
режима
Инструкция по организацию охраны и пропускного режима в ООО «Кредит
Коллектор» является основным документом по организации физической защиты
активов. Так как организация имеет достаточно небольшие размеры, было принято
решение объединить инструкцию по охране, инструкцию по режиму и некоторые
положения должностных инструкций сотрудников службы охраны и бюро пропусков.
Основные характеристики необходимые для написания инструкции:
. Количество сотрудников в организации - 20 человек. Организация
состоит из 20 человек, из этого можно сделать ряд выводов: система защиты не
должна быть громоздкой, должна быть эффективной в рамках микро организации,
окупаться в небольшие сроки 3-5 лет, необходимо сделать систему документации
таким образом, чтобы она не была избыточной. Для такой организации документации
необходимо агрегировать общие и частные горизонтальные инструкции. С целью
упрощения охраны объекта, в помещениях установлено видеонаблюдение, у
охранников при себе нет табельного оружия, а в случае ЧС используются силы
группы быстрого реагирования, ценные объекты застрахованы;
. Структура службы охраны - структура службы охраны включает в
себя минимум сотрудников, и их предназначение не силовой контроль и защита, а
регистрация событий и в случае ЧС вызов группы быстрого реагирования. Таким
образом, служба охраны делегирует свои функции сторонним организациям, что
позволяет сделать систему эффективной для микро предприятия:
· Начальник службы охраны, подотчётен руководителю службы безопасности;
· Два охранника сменной работы, сутки через двое;
· Сотрудник бюро пропусков.
3. Виды пропусков - система пропусков сделана таким образом, что
сотрудники организации имеют постоянные пропуски, с помощью которых
осуществляется вход через КПП, и доступ к конкретным помещениям, таким как
:серверная, бухгалтерия и тп. Такая организация позволяет ограничить пребывание
сотрудников в отделах чужих функциональных подразделений. Временные пропуска -
механизм осуществления допуска на объекты лиц, работающих на временных
договорных отношениях. Особенности временных пропусков таковы, что допуск
осуществляется только через центральный КПП, допуск в отдельные помещения
устанавливается тем, кто выдаёт такой пропуск, в соответствии с целями
пребывания лица, получающего такой пропуск. Разовый пропуск служит путёвкой в
организацию, их выдают клиентам либо сотрудникам государственных надзирающих
органов. За лицами, имеющими разовый пропуск, охранник с помощью
видеонаблюдения обязан вести усиленный контроль:
· постоянный;
· временный;
· разовый.
Таким образом, исходя из особенностей организации, была сформирована
инструкция по организации охраны и пропускного режима (см. приложение 4),
включающая в себя следующие положения:
· цели и задачи охраны;
· перечень основных объектов охраны;
· состав службы охраны и распределение обязанностей;
· основные положения организации пропускного режима, включая
особенности защиты конкретных помещений, организацию пропускного режима на КПП,
виды пропусков и тп.
2.5 Оценка рисков и разработка частной модели угроз
Систему защиты информации на предприятии можно представить как
непрерывное противодействие владельца активов и нарушителя, пытающегося за счёт
создания угроз информационной безопасности, при помощи воздействия на
уязвимости активов создать риск безопасности активов. Владелец для
противодействия нарушителю принимает контрмеры по уменьшению риска за счёт
воздействия на уязвимости (см. рисунок 6). Такое представление системы защиты
позволяет строить модели информационной безопасности на основе теории игр. В
таком случае участниками будут соответственно владелец активов и нарушитель, а
в качестве матрицы сценариев для каждого участника будут использованы возможные
действия над элементами (угрозы, уязвимости, активы, риски, контрмеры). Таким
образом, будет матричная, некорпоративная игра с ненулевой суммой: выигрышем
для злоумышленника будет количественная величина нанесённого ущерба, а для
владельца - величина упущенного выигрыша злоумышленника, в оптимальном решении
игры - сохранение полной стоимости активов и предотвращение ущерба.
Рисунок 6. Процессный подход к защите информации
Таким образом, исходя из процессного подхода к защите информации,
деятельность по защите должна строиться на последовательном решении следующих
задач:
1. Идентификации активов;
2. Идентификации и построения модели нарушителя;
. Идентификация и построение модели угроз информационной
безопасности;
. Идентификация уязвимостей активов и системы защиты;
. Оценка комплексного показателя возможности нанесения ущерба
владельцу активов - риска;
. Принятие решения о защите информации от имеющихся рисков
информационной безопасности.
Комплекс мер по планированию, организации, координации и контроля
выполнения указанных задач, документированию процессов, регламентированию
действий процесса защиты - есть организационная составляющая защиты информации.
Техническая составляющая - сущность самих контрмер в техническом обличии,
это может быть специальное оборудование и средства защиты, средства
непосредственной физической охраны активов и тд.
Рассмотрим систему информационной безопасности ООО «Кредит Коллектор» в
соответствии с процессным подходом к защите информации. Решение проблемы по
идентификации активов представлено в разделе 2.1, результатом такой оценки
является документально оформленный перечень сведений конфиденциального
характера.
Идентификация нарушителя - комплексная задача организационной и
технической защиты информации, такая задача решается при создании всего
комплекса документов по защите информации, всех уровней (см. рисунок 3).
Построение модели нарушителя - сложная и многоаспектная стратегическая задача
высшего управляющего звена службы информационной безопасности. В рамках данного
отчёта ограничимся тем, что в организации ООО «Кредит Коллектор» такая модель
существует и отлично выполняет свои функции, в виде документа высшего уровня на
ряду с политикой информационной безопасности.
Цель настоящего раздела - построение модели угроз ИБ. Так как организация
ООО «Кредит Коллектор» небольшого размера, но содержит огромное количество
персональных данных и коммерческой тайны, модель угроз будет объединять в себе
уязвимости организации, угрозы ИБ и риски ИБ как результативный комплексный
показатель. Оценка рисков будет производиться экспертными методами, включая
метод многомерного шкалирования. За основу для построения модели угроз
использованы рекомендации ISO
27005, ISO 13335-3.
Частная модель угроз включает в себе пять блоков, на основе которых
выполняется оценка рисков и вывод об их актуальности, зафиксированный в
приложениях к частной модели угроз:
. Основные уязвимости, оцененные экспертами как актуальные для ООО
«Кредит Коллектор» - позволяют идентифицировать угрозы безопасности (см.
рисунок 6). Перечень уязвимостей активов есть отправная точка для деятельности
комиссии по анализу рисков. Изменение такого перечня в частной модели угроз в
ООО «Кредит Коллектор» не рекомендуется;
. Уровни информационной инфраструктуры - позволяют оценить уровень
угрозы ИБ с точки зрения распределения информационных потоков. Идентификация
таких уровней в модели угроз позволяет направлять использовать деятельность по
защите от конкретных угроз в конкретные подразделения. Например, угроза на
физическом уровне, скорее всего, будет адресована подразделению занимающемуся
физической охраной активов.;
. Источники угроз ИБ - основа для построения модели нарушителя,
позволяет идентифицировать источник угрозы при построении системы защиты от
конкретных угроз. Эксперты используют этот показатель для составления перечня
актуальных угроз;
. Критерии оценки безопасности информационных активов такие
критерии в частной модели угроз ООО «Кредит Коллектор» установлены исходя из
законодательства РФ;
. Метод оценки рисков угроз ИБ - в частной модели угроз ООО
«Кредит Коллектор» описана методика обработки и оценки рисков, Основой служит
экспертные методы. Риск состоит из двух показателей:
· Вероятность реализации угрозы - определяется экспертами на
основе статистических данных, собственного опыта и опыта других организаций.
Экспертная комиссия в количестве 5 человек присваивает каждой угрозе показатель
от 1 до 1000, значение которого совпадает с долями от вероятности реализации
угрозы.
· Ущерб от реализации угрозы - определяется таким же образом,
как и вероятность, эксперты присваивают в зависимости от своих предположений
оценку по каждой угрозе. 1 балл соответствует ущербу в одну тысячу рублей.
На основе этих двух показателей рассчитывается мера риска равная их
произведению. Таким образом, с помощью этого показателя можно дать оценку
важности угрозы, и строить методику оценки эффективности системы защиты (см.
раздел 3.6).
Исходя из деятельности организации, её особенностей, модели нарушителя,
перечня сведений конфиденциального характера и политики информационной
безопасности были произведены следующие действия для создания частной модели
угроз:
. Была создана экспертная комиссия по анализу имеющейся системы
защиты информации в организации, и на основании этого был сформулирован
перечень уязвимостей информационных активов с помощью последовательно
применённого метода мозгового штурма и метода многокритериальной оценки;
. С помощью той же экспертной комиссии был оформлен предварительный
перечень угроз ИБ;
. На основании имеющихся уязвимостей активов и текущей системы
безопасности, экспертной комиссией по каждой угрозе ИБ была проведена оценка
вероятностной составляющей оценки риска и оценка возможного ущерба от
реализации такой угрозы. Общая схема деятельности По результатам оценки рисков
по каждой угрозе ИБ могут быть приняты следующие типы решений:
· Сохранение риска - для тех угроз, вероятность реализации
которых ничтожна, либо ущерб от реализации которой считается приемлемым.
Критерии для отсева таких рисков определяются в задании на обработку рисков.
Угрозы с таким риском не представлены в частной модели угроз и отсеяны на этапе
обработки рисков.
· Снижение риска - действия направленные на: исправление,
устранение, предотвращение, минимизацию воздействия, сдерживание, обнаружение,
восстановление, контроль и понимание риска. В общем случае деятельность по
снижению риска показана на рисунке 7. Перечень угроз, риск реализации которых
требует снижения, является основной частью модели угроз. Требования по снижению
уровня риска определяются на основании модели угроз частными политиками
информационной безопасности и другой документацией.
· Предотвращение риска - Когда идентифицированные риски
считаются слишком высокими или стоимость осуществления других вариантов
обработки риска превышает выгоду, может быть принято решение, чтобы избежать
риска полностью, уходя из запланированной или существующей деятельности,
совокупности видов деятельности или изменяя условия при которых управляют
деятельностью. Например, вызванные природные риски могут быть более эффективно
решены в стоимостном эквиваленте по сравнению с альтернативой, если физически
переместить средства обработки информации в место, где риск не существует или
находится под контролем. В случае ООО «Кредит Коллектор» использует методы
предотвращения риска путём регламентации видов деятельности организации в
уставе, например, организация не занимается вопросами, связанными с
государственной тайной и с обработкой персональных данных 1 категории;
· Перенос риска - Перенос риска затрагивает решение разделить
определѐнные риски с внешними сторонами.
Перенос риска может создать новые риски или изменить существующие
идентифицированные риски. Поэтому может быть необходимой дополнительная обработка
риска. Перенос может быть сделан страхованием, которое поддержит последствия
или, заключая субподрядный договор на партнѐра, роль которого будет должна
контролировать информационную систему и предпринять непосредственные действия,
чтобы остановить атаку прежде, чем она сделает определѐнный уровень повреждений.
Деятельность ООО «Кредит Коллектор» заключается в приёме рисков сторонних
организаций, снижении их и получении на этом прибыли. Что касается рисков ИБ,
организация использует страхование оборудования, включая сервера и СВТ.
Рисунок 7. Деятельность СИБ по снижению риска реализации угрозы ИБ
После описанной выше оценки рисков, эксперты по ИБ составили частную
модель угроз включающие как угрозы коммерческой тайне, так и угрозы
персональным данным. Для выполнения требований ФСТЭК оценка рисков
осуществления угроз ПД была проведена с помощью методики ФСТЭК, а частная
модель угроз была разработана на основании базовой модели угроз ФСТЭК.
. После составления частной модели угроз предпринимаются
организационные и технические меры по противодействию угрозам ИБ. В ООО «Кредит
Коллектор» такие меры описываются в частных политиках безопасности, положениях
о КТ и ПД, требованиях к процедурам ИБ, должностных инструкциях и записях по
ИБ.
3. РАЗРАБОТКА
ПОДСИСТЕМ КСЗИ
3.1 Разработка подсистемы контроля и управления доступом
Объекты, подлежащие оснащению системой контроля и управления доступа:
1. КПП;
2. Бухгалтерия;
. Отдел безопасности;
. Серверная;
. Кабинет руководителя;
. Помещение для проведения конфиденциальных переговоров.
Системой контроля и управлением доступа решаются следующие задачи:
· контроля и управления доступом сотрудников и посетителей на территорию
объекта;
· контроля и управления доступом сотрудников и посетителей в
ряд помещений;
· автоматического ведения баз данных доступа в пределах
защищаемого объекта.
Общее количество пользователей системы:
В организации на постоянной основе работает 20 сотрудников. Среднее
количество прибывающих в организацию клиентов - 5 человек в час.
Тип идентификаторов пользователей: бесконтактные карты MIFARE Classic 4k.
На картах постоянных пользователей (сотрудников предприятия) размещается
фотография, логотип компании и иная информация о сотруднике. На временных
картах клиентов не размещается никакой информации о посетителе.
Территория предприятия оборудована одним КПП для персонала. Максимальная
нагрузка на проходную - 120 чел/час.
Для управления СКУД используется одно автоматизированное рабочее место,
расположенное на посте охраны. АРМ поста охраны защищено от НСД и вредоносного
программного обеспечения с помощью DeviceLock и антивирус Касперского 6.0. Соединение с другими АРМ по ЛВС
отсутствует.
Система контроля и управления доступом согласована с системой
видеонаблюдения и системой охранно-пожарной сигнализации при помощи
интегрированной системы безопасности ИСБ-1.
Структура приоритетности защищаемых зон:
Высший приоритет: Кабинет директора, помещение для проведения
конфиденциальных переговоров.
Средний приоритет: бухгалтерия, отдел безопасности, серверная.
Низший приоритет: КПП.
Описание работы системы
Сотрудники предприятия проходят КПП, поднося постоянный пропуск к
считывателю карт на турникете. Факт идентификации личности записывается на АРМ
СКУД (регистрируется время идентификации и Ф.И.О. сотрудника).
Посетители предприятия получают временны пропуск при предъявлении
удостоверения личности. Процедура выдачи пропуска фиксируется в электронном
журнале учета выданных пропусков. После выдачи пропуска, посетитель может пройти
на территорию предприятия. При выходе, посетитель обязан сдать временный
пропуск на КПП. В журнале делается отметка об убытии посетителя, и сдаче
пропуска.
Доступ в бухгалтерию имеют только бухгалтер, старший бухгалтер и
руководитель предприятия. Их постоянный пропуск запрограммирован
соответственным образом, чтобы они могли получить доступ к кабинету
бухгалтерии.
Доступ в отдел безопасности и серверную имеют главный администратор,
начальник отдела безопасности и руководитель предприятия.
Их постоянный пропуск запрограммирован соответствующим образом, для
получения доступа к кабинету отдела безопасности и серверной.
Доступ в помещение для проведения конфиденциальных переговоров имеют
руководитель отдела безопасности и руководитель предприятия. Их постоянный
пропуск запрограммирован соответствующим образом, для получения доступа к
помещению для проведения конфиденциальных переговоров.
Доступ к кабинету руководителя предприятия имеет только руководитель
предприятия. Доступ осуществляется при помощи предъявления соответствующего
пропуска.
Система поддерживает возможность дальнейшего расширения, путем установки
дополнительных считывателей.
Функциональные возможности системы контроля и управления доступом:
· регистрацию и протоколирование тревожных и текущих событий;
· приоритетное отображение тревожных событий;
· управление работой преграждающими устройствами в точках
доступа по командам оператора;
· задание временных режимов действия идентификаторов;
· защиту технических и программных средств от несанкционированного;
· автоматический контроль исправности средств, входящих в
систему, и линий передачи информации;
· установку режима свободного доступа с пункта управления при
аварийных ситуациях и чрезвычайных происшествиях;
· блокировку прохода по точкам доступа командой с пункта
управления.
Исполнительные механизмы:
Таблица 2. Турникет-трипод КПП.
|
Характеристика
|
Парметр
|
|
Напряжение питания
|
12В
|
|
Пропускная способность в режиме однократного прохода
|
30 чел/мин.
|
|
Время переключения режима прохода
|
5 сек
|
|
Габаритные размеры турникета (длина*ширина*высота)
|
870*810*1055мм
|
|
Рабочий диапазон температур
|
+1…+40°C
|
Таблица 3. Дверь
|
Характеристика
|
Параметр
|
|
Замковые механизмы
|
Механический, 4 штыря Электронный: Сила удержания не менее
700 кг, напряжение питания 12В
|
|
Материал
|
Два стальных листа по 2мм
|
|
Толщина
|
70мм
|
|
Размеры (ширина*высота)
|
950*2100мм
|
КПП:
Количество пользователей: 20 постоянных, и посетители.
Исполнено в виде турникета, со считывателем карт. На КПП имеется ручной
металлодетектор. Протоколируется пропуск посетителей через проходную.
Присутствует система видеонаблюдения. Турникет и считыватель карт подключены
через шлейф в сетевому контроллеру доступа устройства ИСБ-1. Имеется резервное
питание 12В.
Бухгалтерия:
Количество пользователей: 3 постоянных, посетители.
Рубеж исполнен в виде стальной двери с двумя замками. Первый замок
открывается соответствующей картой доступа. Второй замок механический,
открывается ключом. Ключ имеется у бухгалтера, главного бухгалтера, заместителя
руководители и руководителя предприятия. Запасные ключи хранятся в сейфе в
кабинете руководителя. Присутствует видеонаблюдение. Имеется аудимодомофон для
приема посетителей. Протоколирование проходов посетителей для данной двери.
Имеется резервное питание 12В.
Отдел безопасности:
Рубеж исполнен в виде стальной двери с двумя замками. Первый замок
открывается соответствующей картой доступа. Второй замок механический,
открывается ключом. Ключ имеется у начальника отдела безопасности, главного
администратора, заместителя руководителя и руководителя предприятия. Запасные
ключи хранятся в сейфе в кабинете руководителя. Присутствует видеонаблюдение.
Имеется аудиодомофон для приема посетителей. Протоколирование проходов
посетителей для данной двери. Имеется резервное питание 12В.
Серверная:
Рубеж исполнен в виде стальной двери с двумя замками. Первый замок
открывается соответствующей картой доступа. Второй замок механический,
открывается ключом. Ключ имеется у начальника отдела безопасности, главного
администратора, заместителя руководителя и руководителя предприятия. Запасные
ключи хранятся в сейфе в кабинете руководителя. Протоколирование проходов
посетителей для данной двери. Имеется резервное питание 12В.
Кабинет руководителя:
Рубеж исполнен в виде стальной двери с двумя замками. Первый замок
открывается соответствующей картой доступа. Второй замок механический,
открывается ключом. Ключ имеется у заместителя руководителя и руководителя
предприятия. Запасной ключ хранятся в сейфе в кабинете руководителя.
Присутствует видеонаблюдение. Протоколирование проходов посетителей для данной
двери. Имеется резервное питание 12В.
Помещение для проведения конфиденциальных переговоров:
Рубеж исполнен в виде тамбурной двери с двумя замками. Первый замок
открывается соответствующей картой доступа. Второй замок механический,
открывается ключом. Ключ имеется у руководителя предприятия, заместителя
руководителя предприятия, системного администратора и начальника отдела
безопасности. Запасной ключ хранятся в сейфе в кабинете руководителя. Имеется
возможность применения ручного металлодетектора.
Присутствует видеонаблюдение. Имеется аудимодомофон. Протоколирование
проходов посетителей для данной двери. Имеется резервное питание 12В.
Оборудование:
Сетевой контроллер доступа. Является основной частью интегрированной
системы безопасности ИСБ-1. К сетевым контроллерам доступа подключается
необходимое дополнительное оборудование: считыватели, интерфейсные модули и тд.
Таблица 4. Сетевой контроллер доступа
Параметр
|
|
Количество персонала
|
2000
|
|
Буфер событий
|
1000
|
|
Напряжение питания
|
12В
|
|
Количество шин
|
8
|
Сетевые охранные контроллеры
Контроллер предназначен для создания распределенных сетевых охранных
систем, работающих под управлением ПК. Контроллеры работают в составе
интегрированной, расширяя ее охранные функции. Служит для сопряжения СКУД и
системы ОПС.
Таблица 5. Сетевые охранные контроллеры
|
Характеристика
|
Параметр
|
|
Напряжение питания
|
12В
|
|
Количество шин
|
8
|
Сетевой считыватель:
Таблица 6. Сетевой считыватель
|
Характеристика
|
Параметр
|
|
Поддержка идентификаторов
|
Mifare Classic 1К и 4К; Mifare UltraLight; Mifare ProX;
|
|
Напряжение питания
|
12В
|
|
Дальность чтения
|
50мм
|
Интерфейс сопряжения
Таблица 7. Интерфейс сопряжения
|
Характеристика
|
Параметр
|
|
Интерфейс подключения:
|
USB
|
|
Количество линий RS-485
|
1
|
|
Питание
|
От USB-порта
|
Сумма затрат
Таблица 8. Затраты на систему
|
Наименование
|
Количество
|
Стоимость (шт.)
|
Сумма (руб.)
|
|
Сетевой контроллер доступа
|
1
|
5745
|
5745
|
|
Сетевой охранный контроллер
|
1
|
5200
|
5200
|
|
Сетевой считыватель
|
5
|
3300
|
16500
|
|
Интерфейс сопряжения с ПК
|
1
|
2770
|
2770
|
|
Программное обеспечение сетевого контроллера
|
1
|
2990
|
2990
|
|
Модуль бюро пропусков
|
1
|
16403
|
16403
|
|
Модуль подготовки, ведения базы данных и печати пластиковых
карт
|
1
|
14117
|
14117
|
|
Модуль интеграции с подсистемами видеонаблюдения
|
1
|
13196
|
13196
|
|
Модуль интеграции с подсистемами охранно - пожарной
сигнализации
|
1
|
12833
|
12833
|
|
Турникет
|
1
|
57190
|
57190
|
|
Аудиодомофон
|
3
|
770
|
2310
|
|
Дверь стальная с двумя замками
|
5
|
24000
|
120000
|
|
Бесконтактная смарт-карта MIFARE™ Classic 4K
|
100
|
115
|
11500
|
|
Источник резервного питания
|
2
|
3050
|
6100
|
|
Монтаж
|
1
|
50000
|
50000
|
|
Металлодетектор ручной
|
2
|
4200
|
8400
|
|
Итого:
|
|
|
346254
|
|
Сервисное обслуживание системы в расчёте на год
|
5 000
|
|
Годовые амортизационные отчисления (срок амортизации 10
лет)
|
34 625
|
|
Сумма составляющей по работе СКУД в з.п. персонала в
расчёте на год
|
10 375
|
|
Итого
в год:
|
50 000
|
Схема СКУД
Рисунок 8. Схема Системы контроля и управления доступом
3.2 Разработка подсистемы видеонаблюдения
Основные положения
Зоны обзора:
. КПП. Цель наблюдения в дневном и ночном режиме: идентификация
личности. Дневное освещение: светодиодные лампы мощностью 9Вт. Ночное
освещение: светодиодные лампы меньшей интенсивности. Температура в помещении
меняется от 18 до 25 градусов по Цельсию.
. Главный коридор. Цель в наблюдении в дневном и ночном режиме:
опознавание личности. Дневное освещение: Светодиодные лампы. Ночное освещение:
Светодиодные лампы меньшей интенсивности. Температура в помещении меняется от
18 до 25 градусов по Цельсию.
. Кабинет секретаря. Наблюдение ведется только в ночное время, или
по запросу секретаря или руководителя. Контролируется дверь кабинета
генерального директора. Цель наблюдение: идентификация личности. Дневное
освещение: светодиодные лампы. Ночное освещение: светодиодные лампы меньшей
интенсивности. Температура в помещении меняется от 18 до 25 градусов по
Цельсию.
. Улица. Цели наблюдения в дневном и ночном режиме: опознание
личности и транспортного средства, ночь - опознание личности и транспортного
средства. Дневное освещение: естественное. Ночное освещение: встроенный ИК
прожектор камеры наблюдения, искусственное освещение от близлежащих зданий.
Температура от -20 до +30, видимость может быть затруднена из-за осадков и
других погодных явлений. Сейсмическая активность отсутствует.
Решаемые задачи:
. Контроль несанкционированного доступа сотрудников и (или)
нарушителей на территорию объекта.
2. контроль несанкционированного доступа сотрудников или
нарушителей на территорию (или с территории) объекта через ограждения или
запретные зоны;
3. Защита людей и материальных ценностей в пределах контролируемой
зоны.
. Идентификация личности посетителя или сотрудника при прохождении
КПП, или при посещении кабинета генерального директора.
. Обнаружение автомобилей, въезжающих на территорию контролируемой
зоны
. Автоматическая фиксация и хранение в течение определенного
времени записи противоправных или иных событий по тревожному извещению с
защищаемого объекта.
7. Обнаружение и фиксирование иных противоправных действий.
Посты наблюдения и управления комплексом
Присутствует один пост наблюдения, пост Охраны. Расположен на КПП, при
входе на охраняемую территорию.
Система видеонаблюдения согласована с интегрированной системой
безопасности ИСБ-1. Одна АРМ видеонаблюдения расположена на посту охраны.
Возможность видеорегистрации: непрерывная, по сигналу оператора, по таймеру,
детектор движения.
Возможен просмотр одновременно всех видеокамер комплекса.
Камеры могут выполнять охранные функции в качестве детектора движения.
Система видеонаблюдения согласована с интегрированной системой
безопасности. Одно АРМ видеонаблюдения расположено в комнате охраны.
Общие требования к системе видеонаблюдения:
· цветная, черно-белая, комбинированная;
· срок хранения видеозаписей в архиве;
· необходимость в дополнении системы видеонаблюдения системой
автоматизированного управления доступом в помещения и на объекты;
· необходимость фиксации аудиоинформации с охраняемых объектов,
· возможность расширения системы;
· наличие и расположение щитов электропитания вблизи мест
установки оборудования и на постах наблюдения;
· наличие резервного или дублирующего питания.
· возможность дальнейшего расширения путем добавление новых
телекамер и постов наблюдения (охраны).
Срок хранения видеозаписей в архиве 5 дней.
Возможность расширения: система может быть расширена путем добавления
новых постов наблюдений, телекамер, видеорегистраторов и интерфейсов
синхронизации с ПК.
Питание: Электрический щит расположен в комнате охраны. Также
присутствует резервное питание 12В.
Система видеонаблюдения: Присутствует комбинированная система
видеонаблюдения. Внутри помещения применяются цветные камеры, для уличного
наблюдения применяются черно-белые камеры, с встроенным инфракрасным
прожектором.
Видеонаблюдение ведется с 3 камер внутри помещения, и с 3 уличных камер.
Пост наблюдения оборудован двумя видеорегистраторами, которые соединены с
интегрированной системой безопасности при помощи специального интерфейса и
соответствующего программного обеспечения. Видеорегистраторы дополнительно
оснащены жесткими дисками для хранения видеоархива. Камеры могут выполнять
охранные функции в качестве детектора движения. Видеорегистратор может
записывать видеопоток в различных режимах: при наличии движения, по сигналу
оператора, по таймеру. Информация с камер выводится на экран монитора
оператора.
Расчет системы видеонаблюдения для камер внутреннего видеонаблюдения:
градусов
Для объективов без дисторсии угол изображения 
можно найти, зная размер диагонали
светочувствительного элемента 
и эффективное фокусное расстояние объектива 
;
Для матрицы формата 1/3” d=6мм.
Преобразуем формулу, и найдем необходимый тип объективов для каждой
камеры, исходя из нужного угла наблюдения
Камера К1: КПП. Необходимый угол обзора 
=25о.
Камера К1: Коридор. Необходимый угол обзора =25о 90о.
Камера К1: Секретарь. Необходимый угол обзора =25о.
Камера К2: улица. Необходимый угол обзора =90о
Характеристики камер внутреннего наблюдения:
Таблица 9. Характеристики внутреннего наблюдения
|
КПП
|
Коридор
|
Секретарь
|
|
Фокусное расстояние объектива (мм)
|
13,5
|
3
|
13,5
|
|
Формат матрицы видеокамеры
|
1/3
|
1/3
|
1/3
|
|
Высота установки камеры (м)
|
2,5
|
3
|
3
|
|
Угол наклона камеры (градус)
|
35
|
15
|
25
|
|
Разрешающая способность (твл)
|
600
|
600
|
600
|
|
Расстояние до объекта (м)
|
2,5
|
9,2
|
4
|
Характеристики камер наружного наблюдения:
Таблица 10. Характеристики наружного наблюдения
|
Характеристика
|
Величина
|
|
Фокусное расстояние (мм)
|
3
|
|
Формат матрицы видеокамеры
|
1/3
|
|
Высота установки камеры (м)
|
6
|
|
Угол наклона камеры (градус)
|
25
|
|
Разрешающая способность (твл)
|
600
|
|
Расстояние до объекта (м)
|
25
|
Технические характеристики камер:
Камеры класса К1 (для помещений):
Купольная видеокамера, имеет сертификат соответствия.
Таблица 11. Характеристики К1
|
Характеристика
|
Значение параметра
|
|
Цветопередача
|
Цветная
|
|
Матрица
|
ПЗС матрица 1/3”
|
|
Разрешение
|
600 Твл
|
|
Встроенный объектив
|
3.6мм
|
|
Чувствительность
|
0,003Лк
|
|
Отношение сигнал/шум
|
Более 50
|
|
Тип камеры
|
Цифровая
|
|
Наличие синхронизации
|
Внешняя
|
|
Угол обзора
|
90° стандартный, дополнительные углы углы 110°, 78°, 56°,
44°, 28°, 21°
|
|
Напряжение питания
|
12В
|
Камеры класса К2 (наружная):
Сделана в ударопрочном, влагонепроницаемом корпусе. Имеет сертификат
соответствия.
Таблица 12. Характеристики К2
|
Характеристика
|
Значение параметра
|
|
Цветопередача
|
Черно-белая
|
|
Матрица
|
ПЗС матрица 1/3”
|
|
Разрешение
|
600 Твл
|
|
Встроенный объектив
|
3.6мм
|
|
Чувствительность
|
0,025Лк
|
|
Отношение сигнал/шум
|
Более 50
|
|
Наличие синхронизации
|
Внешняя
|
|
Угол обзора
|
90° стандартный, дополнительные углы углы 78°, 56°, 44°,
28°, 21°
|
|
Напряжение питания
|
12В
|
|
Температурный режим
|
-45 … +50
|
|
Примечание
|
Есть встроенный ИК прожектор, с дальностью подсветки до 32
метров.
|
|
Корпус
|
Влагонепроницаемый, ударопрочный
|
Видеорегистратор:
Таблица 13. Характеристики видеорегистратора
|
Характеристика
|
Параметр
|
|
Вид накопителя
|
Цифровой
|
|
Формат видеосигнала
|
PAL/NTSC
|
|
Разрешение
|
600 ТВЛ
|
|
Режим записи
|
Постоянный, тревога, таймер, детектор движения
|
|
Входы
|
4
|
|
Питание
|
12В
|
В качестве средства просмотра изображений, получаемых с камер,
используется видеомонитор (на посту охраны), со следующими конфигурациями:
Таблица 14. Характеристики видеомонитора
|
Характеристика
|
Параметр
|
|
Разрешение
|
1920 x 1080
|
|
Яркость
|
250 кд/кв.м
|
|
Контрастность
|
1000:1
|
|
Угол обзора по горизонтали/вертикали
|
170/160
|
|
Количество цветов
|
16.7 миллионов
|
|
Питание
|
220В
|
Разграничение прав пользователей происходит на программном уровне.
Камеры соединены с видеорегистраторами, находящимися на посту охраны, при
помощи коаксиального кабеля.
Сумма затрат на построение и обслуживание системы видеонаблюдения:
Таблица 15. Затраты на систему видеонаблюдения
|
Наименование
|
Количество
|
Стоимость (шт.)
|
Сумма (руб.)
|
|
Камера наблюдения для помещения К1
|
3
|
4384
|
13152
|
|
Камера наблюдения К2 со встроенным ИК прожектором
|
3
|
4818
|
14454
|
|
Видеорегистратор MDR-9500M Microdigital
|
2
|
11685
|
23370
|
|
Источник бесперебойного питания И1
|
2
|
3050
|
6100
|
|
Монитор
|
1
|
6700
|
6700
|
|
Монтаж
|
1
|
10000
|
10000
|
|
Итого:
|
|
|
73776
|
|
Затраты на обслуживание в расчёте на год
|
1000
|
|
Годовые амортизационные отчисления (срок амортизации 10
лет)
|
7 378
|
|
Составляющая з.п. сотрудников, за работу системы
видеонаблюдения в расчёте на год
|
11 622
|
|
Итого в расчёте на год
|
20 000
|
Схема размещения видеокамер
Рисунок 9. Схема размещения камер
3.2 Система охранно-пожарной сигнализации
Общие сведения об объекте
Системой охранно-пожарной сигнализации оборудуются:
2. Отдел по работе с клиентами.
. Отдел безопасности.
. Серверная.
. Пункт охраны.
. Отдел кадров.
. Бухгалтерия.
. Юридический отдел.
. Секретарь.
. Кабинет руководителя.
. Помещение для проведения конфиденциальных переговоров.
. К категории особо важных помещений относятся:
. Кабинет руководителя. Оборудован хранилищем ценностей
(огнеупорный сейф).
. Помещение для проведения конфиденциальных переговоров.
. Отдел безопасности.
. Серверная.
Наиболее уязвимыми местами для несанкционированного доступа на объект
из-за пределов защищаемой зоны, являются: Окна и оконные проемы.
Климатические условия. Температура в помещении меняется от 18 до 25о
С, влажность от 20 до 80%. Температура в серверной меняется от 5 до 10о
С.
Условия на улице: световая обстановка - солнечный свет, температура от
-20 до +30, видимость может быть затруднена из-за осадков и других погодных
явлений. Сейсмическая активность отсутствует.
Описание периметра защищаемое территории:
С запада, на расстоянии 25 метров, расположено высотное офисное здание с
парковочной площадкой. С южной стороны, на расстоянии 30 метров, расположено
многоэтажное жилое здание. С востока, на расстоянии 25 метров, расположено
административное здание. С востока, в 10 метрах от здания, расположена автомобильная
парковка, с одними воротами для проезда автомобилей. Ограждения и заборы
отсутствуют.
Периметр защищаемой территории 87,9м. Площадь защищаемой территории
450,125 м2.
Места и способы складирования ценностей на защищаемой территории.
Основные ценности (материальные, ценные бумаги, денежные) хранятся в
огнеупорном сейфе в кабинете руководителя. Доступ к сейфу имеет только
руководитель предприятия. В отделе безопасности установлен сейф, в котором
хранятся устройства резервного копирования информации. Доступ к сейфу имеет
главный администратор и начальник службы безопасности. Наиболее уязвимые места
для проникновения нарушителя на эти объекты являются окна и двери.
Рисунок 10. Периметр защищаемой территории
Электропитание системы
Электропитание системы ОПС осуществляется от двух независимых источников.
Основное питание осуществляется от электрического щита, расположенного в
пункте охраны, через понижающий трансформатор. Резервное питание предусмотрено
от двух аккумуляторных батарей 12В.
Электропроводки пожарной сигнализации выполняются кабелем не
распространяющим горение, прокладываемым в монтажных коробах.
Посты охраны
Пост охраны с круглосуточным дежурством расположен в помещении для
охраны, при входе на охраняемый объект. Пост охраны оборудован пультом
централизованного наблюдения, синхронизированного с интегрированной системой
безопасности. Оборудован телефоном, телефонная коробка находится на посте
охраны.
Наименование помещения с круглосуточным дежурством, куда выдаются сигналы
системы: Пост охраны.
Функциональные возможности системы
Зонами охраны являются помещения, содержащие материальные ценности, кроме
мест общего пользования (коридоры, туалеты).
Зоны охраны:
1. Коридор.
2. Отдел по работе с клиентами.
. Отдел безопасности.
. Серверная.
. Пункт охраны.
. Отдел кадров.
. Бухгалтерия.
. Юридический отдел.
. Секретарь.
. Кабинет руководителя.
. Помещение для проведения конфиденциальных переговоров.
Приоритетными зонами защиты являются кабинет руководителя, помещение для проведения
конфиденциальных переговоров и помещение службы безопасности.
Описание системы пожарной сигнализации:
Пожарной сигнализацией оборудованы все помещения, за исключением
туалетов. Применяются два три типа пожарных извещателей: дымовой, тепловой и ручной.
Ручные извещатели установлены на путях эвакуации. Дымовые извещатели
установлены в коридоре, и других помещениях. Кабинет директора и Помещение для
конфиденциальных переговоров дополнительно оборудованы тепловыми извещателями.
В случае получение на пульт сигнала «Пожар», автоматически подается сигнал
тревоги, при помощи системы оповещения о пожаре, которая включает в себя 4
комбинированные сирены (звуковая и световая сирена). На стенах коридора указаны
пути эвакуации при пожаре. Дополнительно, раз в три месяца, проводятся учебные
тревоги.
Описание системы охранной сигнализации:
Отдел по работе с клиентами, отдел кадров, бухгалтерия, юридический отдел
и кабинет секретаря оборудованы датчиками движения, предназначенными для
обнаружения проникновения в помещения через окна. Контролируется возможность
несанкционированного проникновения через дверь, так как коридорное пространство
просматривается камерами наблюдения, что дает возможность оператору
среагировать на возможное проявление угрозы. Так же, немаловажным является
факт, что злоумышленнику, чтобы покинуть охраняемую территорию, необходимо
пройти либо через пункт КПП, либо вылезти через окно, которые контролируются
датчиками движения. В случае обнаружения подается сигнал на пульт оператора,
который принимает решение о дальнейших действиях (вызов охраны по тревожной
кнопке, или задержание нарушителя силами личного состава охраны).
Помещение для проведения конфиденциальных переговоров, кабинет
руководителя и отдел безопасности оборудованы акустическими датчиками разбития
стекла и магнитоконтактными извещателями на открытие двери. Серверная также
оборудована магнитоконтактным извещателем. Данные помещения являются
приоритетными объектами защиты, поэтому при их проектировании учитывалось, что
попытка проникновения должна быть обнаружена на самых ранних этапах.
Акустические датчики реагируют на разбитие стекла, что позволяет обнаружить
попытку проникновения до того, как злоумышленник проникнет в помещение, и
быстрее среагировать. Магнитоконтактные извещатели реагируют при попытке
открытия двери, что так же дает возможность обнаружить попытку проникновения до
попадания нарушителя в охраняемое помещение. В случае обнаружения попытки
проникновения подается сигнал на пульт оператора, который принимает решение о
дальнейших действиях.
Описание видов сигналов:
«Пожар». При получении сигнала «Пожар», автоматически включается звуковая
и световая сирена, турникеты переводятся в режим свободного пропускания
посетителей, производится эвакуация персонала и вызывается пожарная служба.
«Принят под охрану». Объект принимается под охрану после окончания
рабочего дня. В данном режиме включаются все охранные извещатели.
«Снят с охраны». Объект снимается с охраны в начале рабочего дня. В
данном режиме выключаются все охранные извещатели, кроме извещателей в комнате
для проведения конфиденциальных переговоров, и кабинете руководителя.
«Тревога». Сигнал подается при срабатывании датчиков движения, или при
обнаружении злоумышленника при помощи системы охранного видеонаблюдения.
«Взлом». Сигнал подается при срабатывании датчиков разбития стекла и
магнитоконтактных извещателей. Сигнал означает, что обнаружена попытка
проникновения в охраняемые помещения.
«Неисправность». Сигнал подается при пропадании сигналов от извещателей.
Пункт охраны оснащен тревожной кнопкой для вызова сотрудников частного
охранного предприятия «Кербер». Расчетное время прибытия 4-5 минут.
Система охранно-пожарной сигнализации интегрирована в общую систему
безопасности, и совместно работает с системой охранного видеонаблюдения и
системой управления контролем доступом, при помощи интегрированной системы
безопасности.
Возможность расширения системы: Присутствует. Для расширения системы
понадобится установка дополнительных технических средств обнаружения,
сигнальных линий, источников резервного питания и приемо-контрольных приборов.
Оборудование системы пожарной сигнализации
Технические характеристики автоматического дымового пожарного извещателя
П1:
Таблица 16. Характеристики П1
|
Характеристика
|
Параметр
|
|
Напряжение питания
|
12В
|
|
Инерционность срабатывания
|
Не более 5с
|
|
Средняя наработка на отказ
|
Не менее 60000ч
|
|
Чувствительность извещателя
|
0.05-0.2 дБ/м
|
|
Сертификат соответствия
|
Соответствует требования пожранной безопасности
|
Технические характеристики автоматического теплового пожарного извещателя
П2:
Таблица 17. Характеристики
П2
|
Характеристика
|
Параметр
|
|
Напряжение питания
|
12В
|
|
Инерционность срабатывания
|
Не более 8с
|
|
Средняя наработка на отказ
|
Не менее 70000ч
|
|
Номинальная температура срабатывания
|
+64...+76 °С
|
|
Сертификат соответствия
|
Соответствует требования пожранной безопасности
|
Технические характеристики ручного пожарного извещателя П3:
Таблица 18. Характеристики
П3
|
Характеристика
|
Параметр
|
|
Напряжение питания
|
12В
|
|
Сигнал тревоги - вариант 1
|
Увеличение импеданса
|
|
Сигнал тревоги - вариант 2
|
Уменьшение сопротивления
|
|
Сигнал тревоги - вариант 3
|
Разрыв линии ШС
|
|
Сигнал тревоги - вариант 4
|
Блокировка линии ШС диодом
|
|
Сертификат соответствия
|
Соответствует требования пожранной безопасности
|
Технические характеристики сирены С1:
Таблица 19. Сирены С1
|
Характеристика
|
Параметр
|
|
Напряжение питания
|
12В
|
|
Интенсивность звука
|
До 122дБ
|
|
Типы сигналов
|
Свет и звук
|
Оборудование системы охранной сигнализации
Магнитоконтактный извещатель М1:
Таблица 20. Характеристики М1
|
Характеристика
|
Параметр
|
|
Напряжение питания
|
12В
|
|
Степень защиты от внешних воздействий
|
Не ниже IP66
|
|
Диапазон коммутируемых напряжений, В
|
0,02 - 72 В
|
|
Диапазон коммутируемых токов
|
0,001 - 0,5 А
|
|
Диапазон рабочих температур, °С
|
-50…+50° С
|
|
Сертификат соответствия
|
Имеется
|
|
Дополнительно
|
Контроль вскрытия корпуса
|
Акустический извещатель разбития стекла А1:
Таблица 21. Характеристики А1
|
Параметр
|
Характеристика
|
|
Напряжение питания
|
12В
|
|
Максимальная дальность действия
|
6м
|
|
Минимальная контролируемая площадь стекла
|
0,1 м2
|
|
Диапазон рабочих температур
|
-20 … +45° С
|
|
Сертификат соответствия
|
Имеется
|
|
Помехоустойчивость
|
Устойчивость к акустическим шумам, электростатическим
разрядам, помехам по сети питания, воздействию электромагнитных полей.
|
|
Дополнительно
|
Контроль вскрытия корпуса
|
Извещатель охранный объемный оптико-электронный объемный О1:
Таблица 21. Характеристики О1
|
Характеристика
|
Параметр
|
|
Напряжение питания
|
12В
|
|
Дальность действия
|
15м
|
|
Диапазон рабочих температур
|
-30…+50° С
|
|
Угол зоны обнаружения
|
90°
|
|
Сертификат соответствия
|
имеется
|
|
Дополнительно
|
Контроль вскрытия корпуса
|
Извещатель охранный точечный электроконтактный ручной Р1:
Таблица 22. Характеристики Р1
|
Характеристика
|
Параметр
|
|
Напряжение питания
|
12В
|
|
Максимальный коммутируемый ток
|
0.2А
|
|
Диапазон рабочих температур
|
-30…+50° С
|
|
Сертификат соответствия
|
имеется
|
Сумма затрат на пожарную сигнализацию:
Таблица 23. Затраты на пожарную сигнализацию
|
Наименование
|
Количество
|
Стоимость (шт.)
|
Сумма (руб.)
|
|
Извещатель П1
|
16
|
120
|
1920
|
|
Извещатель П2
|
2
|
71
|
142
|
|
Извещатель П3
|
2
|
150
|
300
|
|
Сирена С1
|
4
|
960
|
3840
|
|
Монтаж
|
1
|
2100
|
2100
|
|
Итого:
|
|
|
8302
|
Схема пожарной сигнализации
Рисунок 11. Схема пожарной сигнализации
Сумма затрат на дополнительное питание
Таблица 24. Затраты на питание
|
Наименование
|
Количество
|
Стоимость (шт.)
|
Сумма (руб.)
|
|
Источник бесперебойного питания И1
|
2
|
3050
|
6100
|
|
Итого:
|
|
|
6100
|
Сумма затрат на охранную сигнализацию:
Таблица 25. Сумма затрат на охранную сигнализацию
|
Наименование
|
Количество
|
Стоимость (шт.)
|
Сумма (руб.)
|
|
Извещатель М1
|
4
|
120
|
480
|
|
Извещатель А1
|
10
|
486
|
4860
|
|
Извещатель О1
|
6
|
857
|
5142
|
|
Извещатель Р1
|
1
|
140
|
140
|
|
Монтаж
|
1
|
5000
|
5000
|
|
Итого:
|
|
|
15622
|
Сумма затрат на обслуживание и пр.
Таблица 26. Затраты на обслуживание
|
Наименование
|
Сумма (руб.)
|
|
Затраты на обслуживание в расчёте на год
|
1000
|
|
Годовое амортизационное отчисление (срок амортизации 10
лет)
|
2392
|
|
Составляющая в з.п. сотрудников, ответственных за
охранно-пожарную систему, в расчёте на год
|
1608
|
|
Итого в расчёте на год:
|
5000
|
Схема охранной сигнализации
Рисунок 12. Схема охранной сигнализации
3.3 Система противодействия утечке информации по техническим каналам
К категорированным помещениям в организации можно отнести:
помещение для проведения конфиденциальных переговоров и совещаний
(Защищаемое помещение);
· серверная;
· кабинет руководителя;
· отдел кадров;
· отдел по работе с клиентами;
· бухгалтерия.
Описание помещения для проведения конфиденциальных
переговоров и совещаний
· площадь (кв. м), высота потолков (м): зал. - 71,25 м2,
(9,5*7,5 м), h - 3,30 м
· подвесной (воздушный зазор): потолок гипсолитовый,
зазор h - 0,3 м
· Перекрытия (потолок, пол), толщина
(м):железобетонные перекрытии, 0,5 м
· Стеновые перегородки: железобетон,
толщина 0,5 м
· Стены наружные: железобетонные
· толщина (0,7 м)
· экранирование и штукатурка:
присутствует
· другие материалы: с внутренней
стороны стены отделаны под «евростандарт»
Окна:
· размер проема:........... 2,0*1,5 м
· количество проемов: 4
· наличие пленок (назначение, тип,
марка) отсутствуют
· тип окна (с двойным утолщенным
стеклом): толщина стекла 6 мм (ОРС 18-15 В)
Двери:
· размер проема: 2,2*1,8м
· двери: 2,2*1,8м двухстворчатые
· тип: двойные деревянные с тамбуром
глубиной 0,5 м, замок механический.
Описание смежных помещений:
· назначение, характер проводимых работ: север - кабинет
руководителя, юг - внешняя стенка, запад - внешняя стена, восток - коридор,
мужской туалет
· наличие в них технических средств
передачи и обработки данных:
· ПЭВМ, телефоны.
· Система электропитания (освещение):
· сеть: 220 В / 50 Гц
· тип светильников и их количество:
галогеновые потолочные светильники (6 шт.)
· Система заземления: имеется
· Системы сигнализации (тип): пожарная
(дымовые и тепловые детекторы) - 4
· шт., охранная (акустические
детекторы) - 6 шт.
· Система вентиляции (тип):
приточно-вытяжная, смех, побуждением, проем
· 0,25*0,16 м
· Система отопления:
· центральное водяное: водяное, три стояка, проходящие
транзитом снизу вверх
· наличие экранов на батареях:
декоративное укрытие Телефонные линии:
· количество и тип ТА: 1 шт Panasonic - беспроводной 900 МГц )
· городская сеть: 1 шт
· тип розеток: евророзетка.
· тип проводки: двухпроводные линии
· Оргтехника: ПЭВМ в полной
конфигурации - 1 шт.
· Бытовая техника:
· проектор
Анализ каналов утечки для помещения предназначенного
для проведения конфиденциальныч переговоров.
На основании проведенной оценки угроз коммерческой
тайне и частной модели угроз для данного защищаемого помещения выявлены
следующие актуальные угрозы:
· угрозы утечки информации по оптическому;
· акустическому;
· виброакустическому каналу.
Основные формы информации, представляющие интерес с
точки зрения защиты:
· документальная;
· акустическая (речевая);
Документальная информация содержится в графическом или
буквенно-цифровом виде на бумаге, а также в электронном виде на магнитных и
других носителях. Особенность документальной информации в том, что она в сжатом
виде содержит сведения, подлежащие защите.
Речевая информация возникает в ходе ведения в помещениях разговоров, а
также при работе систем звукоусиления и звуковоспроизведения.
В воздушных (прямых акустических) технических каналах
утечки информации средой распространения акустических сигналов является воздух.
Для перехвата акустической (речевой) информации используются:
· портативные диктофоны и проводные микрофонные системы скрытой
звукозаписи;
· направленные микрофоны;
· акустические радиозакладки (передача информации по
радиоканалу);
· акустические сетевые закладки (передача информации по сети
электропитания 220В);
· акустические ИК-закладки (передача информации по оптическому
каналу в ИК-диапазоне длин волн);
· акустические телефонные закладки (передача информации по
телефонной линии на высокой частоте);
· акустические телефонные закладки типа “телефонное ухо”
(передача информации по телефонной линии “телефону-наблюдателю” на низкой
частоте).
Рисунок 13. Схема помещения для проведения
конфиденциальных переговоров (1 - розетка, 2 - ноутбук, 3 - проектор)
В вибрационных (виброакустических) технических каналах утечки информации
средой распространения акустических сигналов являются ограждения конструкций
зданий, сооружений (стены, потолки, полы), трубы водоснабжения, канализации и
другие твердые тела.
Для перехвата акустических колебаний в этом случае используются средства
разведки с контактными микрофонами:
· электронные стетоскопы;
· радиостетоскопы (передача информации по радиоканалу).
Методы и средства защиты информации принятые в
помещении для конфиденциальных переговоров
Защита информации от утечки по техническим каналам
достигается проектно-архитектурными решениями, проведением организационных и
технических мероприятий, а также выявлением портативных электронных устройств
перехвата информации .
К основным организационным и режимным мероприятиям
относятся:
· категорирование и аттестация объектов ОТСС и выделенных для проведения
закрытых мероприятий помещений (далее выделенных помещений) по выполнению
требований обеспечения защиты информации при проведении работ со сведениями
соответствующей степени секретности;
· использование на объекте сертифицированных ОТСС и ВТСС;
· установление контролируемой зоны вокруг объекта;
· привлечение к работам по строительству, реконструкции
объектов ОТСС, монтажу аппаратуры организаций, имеющих лицензию на деятельность
в области защиты информации по соответствующим пунктам;
· организация контроля и ограничение доступа на объекты ОТСС и
в выделенные помещения;
· отключение на период закрытых мероприятий технических
средств, имеющих элементы, выполняющие роль электроакустических
преобразователей, от линий связи.
К техническим мероприятиям с использованием пассивных средств относятся:
· установка на объектах ОТСС и в выделенных помещениях технических средств
и систем ограничения и контроля доступа.
Локализация излучений:
· заземление ОТСС и экранов их соединительных линий;
· звукоизоляция защищаемыхых помещений.
Развязывание информационных сигналов:
· установка автономных или стабилизированных источников электропитания
ОТСС;
· установка устройств гарантированного питания ОТСС;
· установка в цепях электропитания ОТСС, а также в линиях
осветительной и розеточной сетей выделенных помещений помехоподавляющих
фильтров типа ФП.
К мероприятиям с использованием активных средств относятся:
· поиск закладных устройств с использованием индикаторов поля «Лидер 3G»
Защита речевой информации
Для защиты акустической (речевой) информации используются пассивные
методы и средства.
Пассивные методы защиты акустической (речевой) информации направлены на:
· ослабление акустических (речевых) сигналов на границе контролируемой зоны
до величин, обеспечивающих невозможность их выделения средством разведки на
фоне естественных шумов;
· исключение (ослабление) прохождения сигналов высокочастотного
навязывания во вспомогательные технические средства, имеющие в своем составе
электроакустические преобразователи, обладающие микрофонным эффектом;
· обнаружение излучений акустических закладок и побочных
электромагнитных излучений диктофонов в режиме записи;
Звукоизоляция помещений направлена на локализацию источников акустических
сигналов внутри них и проводится в целях исключения перехвата акустической
(речевой) информации по прямому акустическому (через щели, окна, двери,
технологические проемы, вентиляционные каналы и т.д.) и вибрационному каналам.
Основное требование к звукоизоляции помещений заключается в том, чтобы за
его пределами отношение акустический с/ш не превышало некоторого допустимого
значения, исключающего выделение речевого сигнала на фоне естественных шумов
средством разведки. Поэтому к помещениям, в которых проводятся закрытые
мероприятия, предъявляются определенные требования по звукоизоляции.
Звукоизоляция помещений обеспечивается с помощью архитектурных и инженерных
решений, а также применением специальных строительных и отделочных материалов.
Одним из наиболее слабых звукоизолирующих элементов ограждающих
конструкций выделенных помещений являются двери и окна. Двери имеют существенно
меньшие по сравнению со стенами и межэтажными перекрытиями поверхностные
плотности и трудно уплотняемые зазоры и щели. Увеличение звукоизолирующей
способности дверей достигается плотной пригонкой полотна двери к коробке,
устранением щелей между дверью и полом, применением уплотняющих прокладок,
обивкой или облицовкой полотен дверей специальными материалами и установкой
доводчика. Для повышения звукоизоляции проводится облицовка внутренних
поверхностей тамбура звукопоглощающими покрытиями, а двери обиваются
материалами со слоями ваты или войлока, используются и дополнительные
уплотнительные прокладки.
Для лучшей звукоизоляции используются окна с остеклением в раздельных
переплетах с шириной воздушного промежутка более 200 мм или тройное
комбинированное остекление.
Применение упругих прокладок значительно улучшает звукоизоляционные
качества окон.
Защита телефонных линий
Отключение телефонных аппаратов от линии при ведении в
помещении конфиденциальных разговоров является наиболее эффективным методом
защиты информации.
Описание серверной
· Площадь (кв. м), высота потолков (м): зал. - 3,6 м2,
(2*1,8 м), h - 3,30 м
· подвесной (воздушный зазор): потолок гипсолитовый,
зазор h - 0,3 м
· Перекрытия (потолок, пол), толщина
(м):железобетонные перекрытии, 0,5 м
· Стеновые перегородки: железобетон,
толщина 0,5 м
· Стены наружные: железобетонные
· толщина (0,7 м)
· экранирование и штукатурка:
присутствует
· другие материалы: с внутренней
стороны стены отделаны под «евростандарт»
· наличие пленок (назначение, тип,
марка) отсутствуют
· тип окна (с двойным утолщенным
стеклом): толщина стекла 6 мм (ОРС 18-15 В)
· Двери :
· размер проема: 2,2*1,8м
· двери: 2,2*1,8м двухстворчатые
· тип: двойные деревянные с тамбуром
глубиной 0,5 м, замок
механический.
· Описание смежных помещений:
· назначение, характер проводимых работ: север - отдел
службы безопасности, юг - внешняя стенка, запад - отдел службы безопасности, восток
- отдел по работе с клиентами.
· наличие в них технических средств
передачи и обработки данных:
· ПЭВМ, телефоны.
· Система электропитания (освещение):
· сеть: 220 В / 50 Гц
· тип светильников и их количество:
галогеновые потолочные светильники (2 шт.)
· Система заземления: имеется
· Системы сигнализации (тип): пожарная
(дымовые и тепловые детекторы) - 2
· шт., охранная (магнитоконтактный
детектор) - 1 шт.
· Система вентиляции (тип):
приточно-вытяжная, смех, побуждением, проем
· 0,25*0,16 м
· Система отопления:
· центральное водяное: водяное, три стояка, проходящие
транзитом снизу вверх
· наличие экранов на батареях:
декоративное укрытие
· тип розеток: евророзетка.
· тип проводки: двухпроводные линии, «хлорка»
· Оргтехника: сервер в полной
конфигурации - 1 шт., коммутатор D- link, ИБП
Анализ каналов утечки для помещения, предназначенного
для проведения конфиденциальных переговоров.
Рисунок 14. Схема серверной (1 - коммутатор, 2 -
сервер, 3 - ИБП, 4 - розетка)
Угрозы анализа сетевого трафика с перехватом передаваемой по сети
информации, угозы утечки информации по каналу ПЭМИН, а так же угрозы оптической
информации характерны для следующих категорированных помещений:
· серверная;
· кабинет руководителя;
· отдел кадров;
· отдел по работе с клиентами;
· бухгалтерия.
Основной формой информации, представляющую интерес с
точки зрения защиты является телекоммуникационная информация.
Телекоммуникационная информация циркулирует в
технических средствах обработки и хранения информации, а также в каналах связи
при ее передаче. Носителем информации при ее обработке техническими средствами
и передаче по проводным каналам связи является электрический ток, а при
передаче по радио и оптическому каналам - электромагнитные волны.
В зависимости от физической природы возникновения
информационных сигналов, а также среды их распространения и способов перехвата
TCP технические каналы утечки можно разделить на: электромагнитные,
электрические и параметрические -для телекоммуникационной информации;
К электромагнитным каналам утечки информации относятся:
· перехват побочных электромагнитных излучений (ПЭМИ) элементов ОТСС;
· перехват ПЭМИ на частотах работы высокочастотных (ВЧ)
генераторов в ОТСС и ВТСС;
· перехват ПЭМИ на частотах самовозбуждения усилителей низкой
частоты (УНЧ) ОТСС.
Перехват побочных электромагнитных излучений ОТСС осуществляется
средствами радио-, радиотехнической разведки, размещенными вне контролируемой
зоны.
Электрические каналы утечки информации включают съем:
· наводок ПЭМИ ОТСС с соединительных линий ВТСС и посторонних проводников;
· информационных сигналов с линий электропитания ОТСС;
· информации путем установки в ОТСС электронных устройств
перехвата информации.
Перехват информационных сигналов по электрическим каналам утечки возможен
путем непосредственного подключения к соединительным линиям ВТСС и посторонним
проводникам, проходящим через помещения, где установлены ОТСС, а также к
системам электропитания и заземления ОТСС.
Для этих целей используются специальные средства радио- и
радиотехнической разведки, а также специальная измерительная аппаратура.
Электронные устройства перехвата информации, устанавливаемые в ОТСС,
часто называют аппаратными закладками. Они представляют собой мини-передатчики,
излучение которых модулируется информационным сигналом. Наиболее часто закладки
устанавливаются в ОТСС иностранного производства, однако возможна их установка
и в отечественных средствах.
Перехваченная с помощью закладных устройств информация или
непосредственно передается по радиоканалу, или сначала записывается на
специальное запоминающее устройство, а уже затем по команде передается на
запросивший ее объект.
Параметрический канал утечки информации образуется путем
“высокочастотного облучения” ОТСС.
Для перехвата информации по данному каналу необходимы специальные
высокочастотные генераторы с антеннами, имеющими узкие диаграммы
направленности, и специальные радиоприемные устройства.
Методы и средства защиты информации принятые в
серверной.
К основным организационным и режимным мероприятиям относятся:
· привлечение к проведению работ по защите информации организаций, имеющих
лицензию на деятельность в области защиты информации, выданную соответствующими
органами;
· категорирование и аттестация объектов ОТСС и выделенных для
проведения закрытых мероприятий помещений (далее выделенных помещений) по
выполнению требований обеспечения защиты информации при проведении работ со
сведениями соответствующей степени секретности;
· использование на объекте сертифицированных ОТСС и ВТСС;
· установление контролируемой зоны вокруг объекта;
· привлечение к работам по строительству, реконструкции
объектов ОТСС, монтажу аппаратуры организаций, имеющих лицензию на деятельность
в области защиты информации по соответствующим пунктам;
· организация контроля и ограничение доступа на объекты ОТСС и
в выделенные помещения;
· введение территориальных, частотных, энергетических,
пространственных и временных ограничений в режимах использования технических
средств, подлежащих защите;
· отключение на период закрытых мероприятий технических
средств, имеющих элементы, выполняющие роль электроакустических
преобразователей, от линий связи и т.д.
К техническим мероприятиям с использованием пассивных средств относятся:
Контроль и ограничение доступа на объекты ОТСС и в выделенные помещения:
· установка на объектах ОТСС и в выделенных помещениях технических средств
и систем ограничения и контроля доступа.
Локализация излучений:
· экранирование ОТСС и их соединительных линий;
· заземление ОТСС и экранов их соединительных линий;
Развязывание информационных сигналов:
· установка автономных или стабилизированных источников электропитания
ОТСС;
· установка устройств гарантированного питания ОТСС;
Эффективным методом снижения уровня ПЭМИ является экранирование их
источников. Различают следующие способы экранирования :
· электростатическое;
· магнитостатическое;
· электромагнитное.
Электростатическое и магнитостатическое экранирования основаны на
замыкании экраном (обладающим в первом случае высокой электропроводностью, а во
втором - магнитопроводностью) соответственно электрического и магнитного полей.
· Заземление коммуникационных технических средств.
В организации используется многоточечная система заземления.
Основные характеристики системы заземления, заключаются в следующем:
· система заземления включает общий заземлитель, заземляющий кабель, шины и
провода, соединяющие заземлитель с объектом;
· каждый заземляемый элемент присоединен к заземлителю или к
заземляющей магистрали при помощи отдельного ответвления;
Фильтрация информационных сигналов.
Фильтры цепей питания отвечают следующим требованиям:
· затухание, вносимое фильтрами в цепи постоянного или переменного тока
основной частоты является минимальным (порядка 0,2 дБ и менее. Смета на
создание защиты от утечки по техническим каналам.
Затраты на систему
Затраты на ввод системы в действие:
Таблица 27. Затраты на систему противодействия утечки по техническим
каналам
|
Наименование
|
Кол-во, шт
|
Цена, руб
|
Сумма, руб
|
|
Ндикатор поля «Лидер 3G»
|
1
|
1 6900
|
16900
|
|
Стеклопакет с двойнм утолщенным стеклом
|
4
|
37440
|
37440
|
|
1
|
20000
|
20000
|
|
Монтажные работы
|
10400
|
|
ИТОГО:
|
84 740
|
Затраты на обслуживание системы:
защита
информация корпоративный сеть
Таблица 28. Затраты на обслуживание
|
Наименование
|
Сумма
|
|
Обслуживание системы, в расчёте на год
|
2 000
|
|
Годовые амортизационные отчисления (срок амортизации 10
лет)
|
10 019
|
|
Отчисления в з.п. ответственных сотрудников, в расчёте на
год
|
4 081
|
|
Итого в расчёте на год
|
15000
|
3.5 Разработка подсистемы защиты корпоративной сети
Сведения об объекте защиты
Объекты, подлежащие оснащению комплексом защиты корпоративной сети:
Таблица 29. Объекты защиты
|
Наименование
|
Наличие конфиденциальной информации
|
|
Файловый сервер
|
Коммерческая тайна
|
|
ЭВМ бухгалтера
|
Персональные данные, коммерческая тайна
|
|
ЭВМ генерального директора
|
Коммерческая тайна
|
|
ЭВМ юридический отдельного
|
нет
|
|
ЭВМ секретаря
|
нет
|
|
ЭВМ отдела кадров
|
Персональные данные
|
|
3 ЭВМ отдела по работе с клиентами
|
Персональные данные, коммерческая тайна
|
|
ЭВМ отдела службы безопасности
|
Коммерческая тайна
|
Общие данные о функционировании информационной системы.
Для стабильной работы к северу подключен ИБП, на сервере осуществляется
резервирование с помощью зеркального RAID массива.
Также в отделе по работе с клиентами установлен МЭ 5 класса защищенности.
В соответствии с «Классификацией автоматизированных систем и требования
по защите информации» и Приказом ФСТЭК России, ФСБ России, Мининформсвязи
России от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения
классификации информационных систем персональных данных» АРМ в бухгалтерии и
отделе кадров соответствует классу 2К для персональных данных. Все машины в
сети входят в АС, классифицируемую как 1Г.
Все данные клиентской базы, а так же персональные данные хранятся на
сервере. На время работы сотрудники получают доступ к необходимым данным с
сервера по средством АРМ.
Порядок назначения прав по доступу к критичным ресурсам
Пользователем ИС является любой сотрудник предприятия, зарегистрированный
в сети, в соответствии с установленным порядком, и прошедший идентификацию в
службе каталогов, которому предоставляется доступ к информационным ресурсам
корпоративной сети и приложениям, в соответствии с его должностными
обязанностями.
Доступ к специализированным автоматизированным системам утверждается
руководством службы безопасности в соответствии должностными инструкциями,
утвержденным руководством предприятия.
Особую категорию пользователей корпоративной сети составляет руководитель
предприятия и сотрудники отдела работы с клиентами. АРМ данной категории
пользователей подключены к ИС и нуждаются в использовании дополнительных
(усиленных) мер защиты информации, с целью предотвращения кражи информации,
составляющей коммерческую тайну предприятия.
Регламент резервирования и восстановления критичной информации.
Резервное копирование автоматизированных систем производится на основании
следующих данных:
· состав и объем копируемых данных, периодичность проведения резервного
копирования;
· максимальный срок хранения резервных копий - 1 месяц;
· хранение 3-х следующих архивов:
· архив на 1-е число текущего месяца;
· архив среда-четверг, либо пятница-суббота текущей недели;
· архив сделанный в текущую ночь.
В случае необходимости восстановление данных из резервных копий
производится на основании Заявки владельца информации согласованной с
уполномоченным сотрудником отдела безопасности;
Наличие ответственного администратора сети (безопасности сети).
В организации введена должность администратора безопасности сети.
Информационные потоки критичной информации, относительно рабочих станций,
серверов, сегментов.
Внутри ИС выделяются следующие информационные потоки:
· Передача файлов между файловыми серверами и пользовательскими рабочими
станциями по протоколу SMB (протокол открытого обмена информацией между АРМ
пользователей и серверами на основе стека TCP/IP).
· Передача юридической и справочной информации между сервером
БД и пользовательскими рабочими станциями.
· Передача бухгалтерской информации между пользовательскими
рабочими станциями и сервером БД в рамках автоматизированных систем «1С
Бухгалтерия».
Основной объем критичной информации находится на файловом сервере. С ЭВМ
генерального директора и ЭВМ расположенных в отделе по работе с клиентами можно
обратится к клиентской базе данных расположенной на сервере.
Помимо стандартных механизмов безопасности Windows Server 2003 для
поддержания правил доступа средствами межсетевого экрана были введены правила
маршуртизации пакетов между различными областями. В частности, машины отдела по
работе с клиентами и сервер были выделены в отдельную подсеть, недоступную с
чужих компьютеров (кроме руководителя и системного администратора, по умолчанию
имеющих доступ ко всем машинам в локальной сети). Компьютеры секретаря и
бухгалтера также были выделены в отдельную подсеть.
Карта сети
ИС объекта защиты включает в себя корпоративную сеть предприятия в
составе:
·
Сервер.
·
Рабочие станции.
·
Линии связи и
активное сетевое оборудование.
·
Корпоративную
телефонную систему.
В качестве базового сетевого протокола в корпоративной сети используется
протокол TCP/IP.
В
качестве адресного пространства используется сеть класса А - 10.0.0.0/8,
определенная документом IETF RFC 1597
<#"537575.files/image023.gif">
Рисунок 15. Схема корпоративной сети
Смета затрат на ввод в действие
Таблица 32. Затраты на ввод системы в действие
|
Наименование
|
Кол-во, шт
|
Цена, руб
|
Сумма, руб
|
|
Межсетевой экран
|
1
|
1 650
|
1650
|
|
ОС Windows Server 2003
|
1
|
37440
|
37440
|
|
ОС Windows XP SP 3
|
10
|
2692
|
26920
|
|
DeviceLock 6.3
|
10
|
1500
|
1500
|
|
Антивирусное обеспечение «Kaspersky Enterprise Space Security», 10 раб. станций/файл. серверов.
|
1
|
20000
|
20000
|
|
Коммутационное обеспечение
|
|
782,83
|
782,83
|
|
Монтаж и настройка оборудования
|
8400
|
|
Установка и настройка ПО
|
3500
|
|
ИТОГО:
|
100192,83
|
Смета на обслуживание корпоративной сети
Таблица 33. Обслуживание системы
|
Наименование
|
Сумма, руб
|
|
Плановое обслуживание оргтехники
|
13500
|
|
Плановое обслуживание ЛВС
|
12300
|
|
Антивирусное обеспечение «Kaspersky Enterprise Space Security», 10 раб. станций/файл. Серверов.
Годовая подписка
|
20000
|
|
Заработная плата ответственным сотрудникам в расчёте на год
|
10 000
|
|
ИТОГО:
|
55800
|
Перечень резервируемой информации
Таблица 34. Резервируемая информация
|
№ п/п
|
Адрес хранения информации
|
Примечание
|
|
1
|
\\server\SystemState
|
Состояние контроллера домена
|
|
2
|
\\server\c$
|
Системный диск контроллера домена
|
|
3
|
\\server\e$
|
Файл-сервер офиса - персональные данные пользователей и
данные отделов
|
Перечень лиц, ответственных за резервное копирование
Таблица 35. Ответственные за копирование
|
№ п/п
|
Выполняемая роль
|
ФИО ответственного сотрудника
|
|
1
|
Первоначальная настройка системы резервного копирования
(создание медиа-сетов, расписаний, selection lists, оповещений). Запуск в
промышленную эксплуатацию системы резервного копирования.
|
|
|
2
|
Внесение существенных изменений в настройку системы
резервного копирования.
|
|
|
3
|
Анализ логов резервного копирования, отслеживание
необходимости изменений настроек резервного копирования, обеспечение
ротирования носителей.
|
|
|
4
|
Ротирование носителей, проверка корректности резервной
копии, обеспечения хранения резервной копии вне офиса на случай катастрофы.
|
|
3.6 Расчёт экономической эффективности КСЗИ
Экономическая эффективность вода в действия системы определяет надобность
создания такой системы, и варианты обработки рисков. Например, если система не
эффективно, руководство может принять решение на уклонение от рисков вместо их
снижения. Для КСЗИ ООО «Кредит Коллектор» расчёт экономической эффективности
будет производится на основе следующих входных данных:
1. Экспертные оценки меры риска (см. приложение 5);
2. Чистая прибыль организации за годовалый период;
. Сметы расходов на ввод в действие КСЗИ по каждой подсистеме;
. Сметы расходов на обслуживание системы.
Расчёт эффективности производится путём распределения стоимости КСЗИ на
определённый период времени, который должен быть выбран в соответствии с
особенностями организации. Организация ООО «Кредит Коллектор» небольших
размеров, но чистая прибыль предприятия в годовалый период в среднем составляет
1 миллион рублей, что позволяет создавать сложные обеспечивающие подсистемы.
Эквивалентный ущерб, определённый экспертами, рассчитывается по каждой
угрозе на промежуток равный одному году.
Затраты на ввод в действие рассчитываются единовременным образом, и
распределяются на себестоимость услуг, на срок равный сроку амортизации, т.е.
10 лет.
Затраты на обслуживание рассчитываются на годовалый период.
Сумма эквивалентного ущерба угроз безопасности определяется исходя из
частной модели угроз, и равна - 6 710 000 рублей.
Затраты на ввод в действие:
· СКУД - 346 254 рубля;
· Видеонаблюдение - 73 776 рублей;
· Охранно-пожарная сигнализация - 23 924рубля;
· Защита от утечки по техническим каналам - 84 740 рублей;
· Защита корпоративной сети - 100 192 рубля;
· Итого - 700 000 рублей.
Затраты на обслуживание систем:
· СКУД - 50 000 рублей;
· Видеонаблюдение - 20 000 рублей;
· Охранно-пожарная сигнализация - 5 000 рублей;
· Защита от утечки по техническим каналам - 15 000 рублей;
· Защита корпоративной сети - 55 800 рублей;
· Итого - 146 000 рублей в год.
Затраты на КСЗИ в годовалый период можно рассчитать как сумму затрат на
ввод в действие в расчёте на год и затрат на обслуживание:
Общие затраты в расчёте на год - 146 000 + 70 000 = 216 000 рублей при
расчёте на год.
Таким образом, для ввода КСЗИ в действие организации необходимо включить
в себестоимость продукции затраты на сумму 216 000 рублей, т.е. около 20% от
чистой прибыли организации, и около 3% от эквивалентной меры ущерба.
Система признана эффективной по трём критериям:
· суммарный годовалый ущерб системе при отсутствии защитных мер равен 6 710
000, неприемлем для организации таких размеров;
· затраты на ввод в действие и обслуживание КСЗИ составляют 3%
от эквивалентной меры ущерба;
· затраты на ввод в действие и эксплуатацию системы составляют
около 20% от чистой прибыли организации.
ЗАКЛЮЧЕНИЕ
В курсовом проекте была разработана комплексная система защиты информации
на предприятии ООО «Кредит Коллектор». При разработке КСЗИ были учтены
особенности организации, такие как её небольшой размер, но большое количество
обрабатываемой конфиденциальной информации. С учётом этих особенностей были
приняты следующие решения:
· использовать требования стандарта ГОСТ Р 27001-2006, а также
сертифицировать СМИБ по требованиям этого стандарта;
· использовать рекомендательные стандарты серии ISO 27 000 для разработки
организационной документации и системы обработки рисков;
· совместить политику безопасности с политикой информационной
безопасности и политикой менеджмента безопасности предприятия;
· совместить инструкцию по охране и инструкцию по пропускному
режиму, и использование их в качестве основополагающих документов в этом
направлении (без частных политик в этой области);
· сделать положение о коммерческой тайне основополагающим
документом стратегического уровня по режиму коммерческой тайны;
· включить в частную модель угроз безопасности методику оценки
рисков, и неформальную модель нарушителя;
· использовать в качестве пропусков смарт-карты;
· использовать базовые постоянные пропуска сотрудников для
доступа в некоторые особо охраняемые отделы;
· делегировать силовую охрану объекта группе быстрого
реагирования;
· использовать встроенные системы windows для организации защиты от НСД к информации;
· совместить автоматизированную систему обработки КТ и ИСПДн, и
принять меры по защите общей системы, а также, множество других организационных
и конструкторских решений.
По результатам работы можно сделать выводы об эффективности разработанной
системы по трём критериям:
· суммарный годовой ущерб, рассчитанный методом эквивалентного ущерба, на
порядок выше стоимости предложенной системы защиты и её обслуживания в
годовалом периоде;
· величина суммарного годового ущерба неприемлема для
организации таких размеров, тем самым ввод в эксплуатацию КСЗИ является
неотлагательной мерой по обеспечению стабильности деятельности предприятия;
· затраты на ввод в действие и эксплуатацию составляют пятую
часть чистой прибыли организации, что считается приемлемым.
По результату работы, с учётом выводов о эффективности системы, можно
рекомендовать СКЗИ на внедрение во вспомогательные процессы производства с
частными доработками.
СПИСОК
ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
1. Игнатьев
В.А. «Информационная безопасность современного коммерческого предприятия»; ТНТ,
2005; ISBN 5-94178070-2;
. Ярочкин
В.И. «Информационная безопасность»; Гаудеамус, 2004; ISBN 5-98426-008-5;
. ГОСТ
Р ИСО/МЭК 27000-2011 «Системы менеджмента информационной безопасности. Общий
обзор и терминология», проект;
. ГОСТ
Р ИСО/МЭК 27001-2006 «Системы менеджмента информационной безопасности.
Требования»;
. ГОСТ
Р ИСО/МЭК 17799-2005 «Практические правила управления информационной
безопасностью»;
. ГОСТ
Р ИСО/МЭК 27003-2011 «Системы менеджмента информационной безопасности.
Руководство по реализации системы менеджмента информационной безопасности»,
проект;
7. ISO/IEC 27005-2008 «Информационные технологии. Менеджмент
рисков информационной безопасности»;
. ГОСТ
Р ИСО/МЭК 13335-1-2006 «Концепции и модели менеджмента безопасности
информационных и телекоммуникационных технологий»;
. ГОСТ
Р ИСО/МЭК 13335-3-2007 «Методы менеджмента безопасности информационных
технологий»;
. ГОСТ
Р ИСО/МЭК 15408-1-2008 «Критерии и методы оценки безопасности информационных
технологий. Введение и общая модель»;
. РС
БС ИББС 2.0-2007 «Методические рекомендации по документации в области
обеспечения информационной безопасности по требованиям СТО БР ИББС 1.0»;
. ГОСТ
Р 51583-2000 «Порядок создания автоматизированных систем в защищённом
исполнении»;
. Руководящий
документ Гостехкомиссии «Межсетевые экраны. Показатели защищённости от
несанкционированного доступа к информации»;
. Руководящий
документ Гостехкомиссии «Средства вычислительной техники. Показатели
защищённости от несанкционированного доступа к информации»;
. Руководящий
документ Гостехкомиссии «Классификация автоматизированных систем и требования
по защите информации»;
. Руководящий
документ ФСТЭК «Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных»;
. Руководящий
документ ФСТЭК «Методика оценки уровня исходной защищённости информационных
систем персональных данных».