|
Найменування
об'єкту
|
Науково-дослідна
лабораторія
|
|
Поверх
(поверхів в багатоповерховій будівлі)
|
1-й
поверх залізобетонного будинку з підвалом, котрий знаходиться на межі
контрольованої зони
|
|
Наявність
кімнат з неконтрольованим доступом
|
4 з
неконтрольованим доступом
|
|
Порядок
доступу в приміщення
|
Усі
кімнати здаються під охорону по завершенню робочого дня
|
|
Наявність
інших підприємств
|
На
даному поверсі інших підприємств немає
|
Лабораторія займаючись своєю діяльністю
використовує 1 сервер, 20 комп’ютерів, на 10 з яких обробляється інформація
комерційного характеру. Використовується комп’ютерна мережа, що з’єднує 4
кімнати в одну мережу з виходом в Інтернет.
Рисунок 1.1 - План об’єкту
1.3 Інформація, що складає комерційну таємницю
Комерційною таємницею є інформація, яка є
секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її
складових є невідомою та не є легкодоступною для осіб, які звичайно мають
справу з видом інформації, до якого вона належить, у зв'язку з цим має
комерційну цінність та була предметом адекватних існуючим обставинам заходів
щодо збереження її секретності, вжитих особою, яка законно контролює цю
інформацію.
Комерційною таємницею можуть бути відомості технічного,
організаційного, комерційного, виробничого та іншого характеру, за винятком
тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці.
Серед ознак інформації, яку можливо віднести до
комерційної таємниці, можна виділити: відсутність загальновідомості,
відсутність загальнодоступності, комерційна цінність.
Легальне визначення комерційної таємниці
міститься у ст. 505 Цивільного кодексу України: інформація, що є секретною в
тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є
невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом
інформації, до якого вона належить, у зв'язку з цим має комерційну цінність та
була предметом адекватних існуючим обставинам заходів щодо збереження її секретності,
вжитих особою, яка законно контролює цю інформацію.
Поняття комерційної таємниці слід розглядати і
визначати у зв'язку з більш загальною категорією інформації і менш загальною,
похідною від неї категорією конфіденційної інформації.
За критерієм правового режиму комерційну таємницю
слід віднести до конфіденційної інформації, яка, у свою чергу, за критерієм
режиму доступу є видом інформації з обмеженим доступом. Таким чином, комерційна
таємниця - це вид конфіденційної інформації і різновид інформації з обмеженим
доступом.
Комерційній таємниці повністю властиві всі ознаки
інформації як самостійного виду об'єктів прав суб'єктів господарювання, і разом
з тим - специфічні ознаки, що відрізняють її від інших видів і різновидів
інформації. Виходячи з легального визначення комерційної таємниці в ст. 505 ЦК
України, відповідно до українського законодавства (як і законодавства багатьох
країн), комерційній таємниці властиві такі ознаки.
По-перше, інформація має дійсну або потенційну
комерційну цінність унаслідок її невідомості третім особам.
По-друге, до інформації, що складає комерційну
таємницю, немає вільного доступу на законній підставі. Згідно зі ст. 505 ГК
України абсолютна таємність інформації не потрібна. Інформацію слід вважати
секретною, поки вона не стає загальновідомою або легкодоступною особам, які
належать до тих кіл, які звичайно пов'язані з подібною інформацією.
По-третє, прийняття власником інформації заходів
щодо охорони її секретності. До них можуть бути віднесені різноманітні заходи
технічного, організаційного та юридичного характеру, спрямовані на те, щоб
захистити інформацію від несанкціонованого доступу третіх осіб. При визначенні
того, чи були прийняті належні, адекватні заходи для збереження комерційної
таємниці, слід враховувати ті зусилля і грошові кошти, що були витрачені її
законним володільцем для розробки секретної інформації, цінність цієї
інформації для нього та його конкурентів, сферу дії тих заходів, що були
прийняті законним володільцем для збереження цієї інформації в таємниці, а також
простоту або складність одержання цієї інформації законним чином іншими
особами. Комерційна таємниця і банківська таємниця розрізняються за двома
основними критеріями: за рівнем визначення відомостей, що складають таємницю,
та правовим оформленням такого визначення.
Склад відомостей, що складають комерційну
таємницю, визначається самостійно суб'єктом господарювання (за винятком тих,
які відповідно до законодавства не можуть складати комерційну таємницю), у той
час як коло відомостей, що складають банківську таємницю, визначений Законом.
Відповідно, обсяг і коло відомостей, що складають комерційну таємницю, різний у
різних суб'єктів господарювання, на відміну від відомостей, що складають
банківську таємницю, який є однаковим для всіх банків. Для оформлення правового
режиму комерційної таємниці необхідне закріплення його на рівні локальних
актів, у той час як банківська таємниця не вимагає спеціального оформлення на
локальному рівні. Суб'єкт господарювання самостійно визначає коло осіб, які
мають право доступу до комерційної таємниці. Що ж стосується банківської
таємниці, то коло осіб, які мають право її одержувати, встановлюється законом і
не може бути розширене або звужене банком. Разом з тим банківська таємниця не
виключає існування комерційної таємниці самого банку як самостійного суб'єкта
господарських відносин, що, однак, не може бути включена до банківської
таємниці. Категорія «комерційна таємниця» є одним з важливих понять
господарського права, тому що її володільцями є суб'єкти господарювання і вона
необхідна для здійснення господарської діяльності. Комерційна таємниця
суб'єктів господарювання знаходиться в господарському обігу та є об'єктом
відносин, що підлягають правовому регулюванню. Комерційна таємниця як юридично
значущий вид інформації є об'єктом суспільних відносин щодо її використання і
захисту, що через врегулювання правом набувають характеру правовідносин.
Виділення комерційної таємниці як самостійного об'єкта прав суб'єктів
господарювання обумовлено як її комерційною значущістю, цінністю та участю в
обігу, так і необхідністю її захисту.
З урахуванням специфічних ознак комерційної
таємниці можна дати таке її визначення: комерційна таємниця - це будь-яка
комерційно цінна конфіденційна інформація, що охороняється суб'єктом
господарювання і доступ до якої обмежений з метою захисту прав та законних
інтересів її володаря від неправомірного доступу до неї, розголошення або
використання.
Оскільки комерційна таємниця, що охороняється
законом, не може існувати поза суб'єктами господарювання, а відносини, що
складаються між суб'єктами у зв'язку з комерційною таємницею, нерозривно
пов'язані зі сферою господарювання (підприємництва), сукупність правових норм,
що регулюють ці відносини, слід вважати інститутом господарського права.
Інститут комерційної таємниці суб'єктів господарювання - це сукупність правових
норм, які регулюють відносини, що виникають у процесі реалізації права суб'єкта
господарювання на комерційну таємницю, у тому числі віднесення інформації до
комерційної таємниці, визначення режиму її конфіденційності, порядку одержання,
зберігання, використання комерційної таємниці іншими особами. Відсутність
загальнодоступності полягає в тому, що порядок отримання цієї інформації та
доступ до неї не є вільним. Для визначення ознаки відсутності загальнодоступності
визначено, що дана інформація не є доступною іншим особам [1].
Відповідно до чинного законодавства комерційна та
службова таємниці є різновидами конфіденційної інформації, тому її також
віднесемо до конфіденційної у даній лабораторії.
Службову інформацію складають відомості, які
отримуються працівником під час виконання своїх трудових функцій. Особами, які
зобов'язані дотримуватись обов'язку не розголошувати службову таємницю, є
працівники підприємства, які перебувають з ним у трудових відносинах.
Проте задля оптимізації збереження необхідного
обсягу відомостей, службова інформація в належному порядку віднесена до
комерційної таємниці, а особи, які допущені до її використання, повинні не
розголошувати ці відомості та утримуватися від протиправних дій щодо такої
інформації.
Також в якості комерційної таємниці захищається
інформацію про клієнтів.
Заходи щодо охорони комерційної таємниці мають
різний характер, зокрема закріплення за працівниками обов'язку не розголошувати
певну інформацію, наявність в договорах з контрагентами положень щодо
неприпустимості розголошення визначеної інформації [2].
Однак, для забезпечення схоронності комерційної
таємниці необхідно забезпечити її визначення та фіксацію, оскільки у разі
виникнення питання, чи є інформація комерційною таємницею, обов'язково виникне
необхідність визначення того, чи визнавали сторони цю інформацію
конфіденційною.
На підприємстві розроблено та затверджено
положення щодо порядку використання комерційної таємниці [1, 2].
В переліку інформація, яка є комерційною
таємницею, визначена описово з наведенням характеристик, яким відповідає дана
інформація, і залежно від того, чи підпадає інформація під наведені
характеристики, особа, яка користується цією інформацією, має ідентифікувати цю
інформацію як комерційну таємницю.
Окрім того, визначено, хто має право
використовувати дану інформацію, в якому порядку її отримувати, яким чином має
забезпечуватись її зберігання. Визначення даних положень допоможе у разі
необхідності встановити, чи належним чином особою було отримано інформацію та в
разі необхідності - чи було порушено особою порядок отримання та зберігання
інформації.
Також у трудовому договорі з працівником
зазначається, що йому заборонено поширювати інформацію про розмір його
заробітної плати.
Для такої інформації визначено окремий порядок
розкриття такої інформації. Так, наприклад, установчі документи товариства не
можуть бути комерційною таємницею, проте не всі особи мають право знайомитися з
цими документами. Так, відповідно до ст. 10 Закону України «Про господарські
товариства» учасники товариства мають право одержувати інформацію про
діяльність товариства. На вимогу учасника товариство зобов'язане надавати йому
для ознайомлення річні баланси, звіти товариства про його діяльність, протоколи
зборів. Зрозуміло, що підприємство не буде розкривати дану інформацію будь-яким
особам, які не є учасниками товариства. Тому визначено такого роду інформацію
не як комерційну таємницю, а як конфіденційну інформацію, що зобов'язує
працівників підприємства не розголошувати дану інформацію.
1.4 Політика інформаційної безпеки
Інформаційні технології все більш наполегливо
проникають в усі сфери людської діяльності, вірніше, людство все більш сміливо
інтегрується з інформаційними технологіями. Тому, особливо актуальною є
проблема забезпечення інформаційної безпеки (ІБ).
Проте сама по собі інформаційна безпека є
достатньо абстрактним поняттям. Має бути деякий додаток ІБ, тобто необхідні
систематизація і правила, що дозволяють зробити технології ІБ застосовними до
реального середовища, де і повинна бути забезпечена безпека інформаційного
простору. Тому й виникає поняття політики інформаційної безпеки.
При розгляді питань безпеки інформації в
компютерних системах (КС) завжди говорять про наявність деяких бажаних станів системи.
Ці бажані стани описують захищеність системи. Поняття захищеності принципово не
відрізняється від інших властивостей технічної системи, наприклад надійної
роботи.
Особливістю поняття захищеність є його тісний
зв'язок з поняттям загроза (те, що може бути причиною виведення системи із
захищеного стану).
Отже, виділяються три компоненти, що пов'язані з
порушенням безпеки системи:
─ загроза ─ зовнішнє, відносно
системи, джерело порушення властивості захищеність;
─ канал дії ─ середовище перенесення
зловмисної дії.
Інтегральною характеристикою, яка об'єднує всі ці
компоненти, є політика безпеки (ПБ) - якісний (або якісно-кількісний) вираз
властивостей захищеності в термінах, що представляють систему. Опис ПБ повинен
включати або враховувати властивості загрози, об'єкта атаки та каналу дії.
За означенням, під ПБ інформації розуміється
набір законів, правил, обмежень, рекомендацій тощо, які регламентують порядок
обробки інформації і спрямовані на захист інформації від певних загроз.
Термін політика безпеки може бути застосований до
організації, КС, операційної системи (ОС), послуги, що реалізується системою
(набору функцій) для забезпечення захисту від певних загроз, і т. ін. Чим
дрібніший об'єкт, щодо якого вживається цей термін, тим конкретніші й
формальніші стають правила.
ПБ інформації в КС є частиною загальної ПБ
організації і може успадковувати, зокрема, положення державної політики у сфері
захисту інформації. Для кожної системи ПБ інформації може бути індивідуальною і
залежати від конкретної технології обробки інформації, що реалізується,
особливостей ОС, фізичного середовища та багатьох інших чинників.
Частина ПБ, яка регламентує правила доступу
користувачів і процесів до ресурсів комп'ютерної системи (КС), становить
правила розмежування доступу.
Розробка і підтримка ПБ майже завжди означає
досягнення компромісу між альтернативами, які обирають власники цінної
інформації для її захисту. Отже, будучи результатом компромісу, ПБ ніколи не
задовольнить усі сторони, що беруть участь у захисті інформації.
Водночас, вибір ПБ ─ це остаточне рішення:
що добре й що погано в поводженні з цінною інформацією. Після прийняття такого
рішення можна будувати захист, тобто систему підтримки виконання правил ПБ.
Тоді цілком природним критерієм якості системи захисту інформації (СЗІ) стає
такий: «побудована СЗІ вдала, якщо вона надійно підтримує виконання правил ПБ,
і, навпаки, СЗІ невдала, якщо вона ненадійно підтримує ПБ».
Такий розв'язок проблеми захищеності інформації і
проблеми побудови СЗІ дає змогу залучити до теорії захисту точні математичні
методи, тобто доводити, що певна СЗІ в заданих умовах підтримує ПБ. Саме в
цьому полягає суть доказового підходу щодо захисту інформації, який дозволяє
говорити про гарантовано захищену систему.
Сенс гарантованого захисту в тому, що за
додержання вихідних умов заздалегідь виконуються всі правила ПБ. Термін
гарантований захист уперше
зустрічається в стандарті міністерства оборони
США на вимоги до захищених систем.
Зважаючи на технічні та програмно-апаратні
проблеми, що виникають при організації захисту в захищених АС, у багатьох
випадках належний рівень захищеності досягається за рахунок вдало реалізованої
ПБ, причому іноді ПБ може залишитися майже єдиним засобом забезпечення захисту.
Тому розробка, дослідження та правильнее застосування ПБ є надзвичайно
актуальною проблемою сучасних СЗІ.
Побудова ПБ ─ це зазвичай такі кроки:
─ в інформацію вноситься структура
цінностей і проводиться аналіз ризику;
─ визначаються правила для будь-якого
процессу користування певним видом доступу до елементів інформації, які мають
певну оцінку цінностей.
Однак реалізація цих кроків є дуже складним
завданням. Результатом помилкового або бездумного визначення правил ПБ
здебільшого є руйнування цінності інформації без порушення ПБ. Тобто при
незадовільній ПБ навіть надійна СЗІ може бути прозорою для зловмисника.
ПБ може бути викладена як на описовому рівні, так
і за допомогою певної формальної мови. Вона є необхідною (а іноді й достатньою)
умовою безпеки системи.
Формальний вираз політики безпеки називають
моделлю ПБ. Основна мета створення ПБ інформаційної системи й опису її у
вигляді формальної моделі ─ це визначення умов, яким має
підпорядковуватися поведінка системи, вироблення критерію безпеки і проведення
формального доведення відповідності системи цьому критерію при додержанні
встановлених правил і обмежень. На практиці це означає, що тільки уповноважені
користувачі можуть отримати доступ до інформації і здійснювати з інформацією
тільки санкціоновані дії.
Незважаючи на те що створення формальних моделей
вимагає суттєвих витрат, вони складні для розуміння і вимагають певної
інтерпретації для застосування в реальних системах. Слід констатувати той факт,
що формальні моделі потрібні, тому що тільки за їх допомогою можна довести
безпеку системи, спираючись на об'єктивні й незаперечні постулати математичної
теорії. Загальним підходом щодо всіх моделей є поділ множини сутностей, що
становлять систему, на множини суб'єктів і об'єктів, хоча самі визначення понять
об'єкт і суб'єкт у різних моделях можуть істотно відрізнятися. Взаємодії в
системі моделюються встановленням відношень певного типу між суб'єктами та
об'єктами.
Множина типів відношень визначається у вигляді
набору операцій, які суб'єкти можуть здійснювати над об'єктами. Усі операції в
системі контролюються певним спеціально призначеним для цього суб'єктом і
забороняються або дозволяються відповідно до правил ПБ.
ПБ задається у вигляді правил, відповідно до яких
мають виконуватися всі взаємодії між суб'єктами та об'єктами. Взаємодії, що
призводять до порушень цих правил, припиняються засобами контролю доступу й не
можуть бути здійснені.
Для підвищення ефективності використання політику
безпеки доцільно оформляти не єдиним документом, а у вигляді декількох
документів, що спростить їх використання та впровадження. Основну сукупність
цих документів складають:
- Цілі і завдання політики
безпеки
- Обов'язки в області
інформаційної безпеки
- Правила інформаційної
безпеки
- Забезпечення фізичної
безпеки
- Загальні вимоги до
управління та використання КС
- Антивірусний захист КС
- Управління та
експлуатація криптографічних систем в КС
- Правила безпеки при
використанні зовнішніх ресурсів (Internet)
- Правила впровадження
програмного забезпечення
- Правила безпеки при
використанні електронної пошти
- Впровадження та супровід
політики безпеки
- Зобов'язання виконання
політики безпеки
- Порядок впровадження та
контролю виконання політики безпеки
- Порядок перегляду
політики безпеки.
Порядок впровадження і контролю виконання
політики безпеки:
. Тестування і ефективність правил:
- на даному етапі правила,
охоплюють процеси збору статистики і складання звітів;
- керівництво має
заохочувати проведення навчання з питань безпеки, щоб кожен співробітник
організації розумів правила безпеки та їх вплив на виробничі процеси;
- включити положення про
звичайні заходи, що використовуються для тестування правил на їх ефективність.
. Публікація документів правил:
- регламентувати публікацію
документів і записати вимоги щодо повідомлення про терміни публікації;
- вказати, хто буде
відповідати за цю роботу.
. Моніторинг, засоби управління і міри покарання:
- визначення прав
організації зі спостереження;
- правила управління
стверджують право організації на впровадження алгоритмів, дозволяють вбудувати
в систему певні засоби управління. Крім того, необхідно визначити склад осіб,
які будуть займатися адмініструванням і тестуванням;
- затвердити розроблені
інструкції з призначенням покарань. Вони не повинні викликати запитань про те,
чи має організація право застосовувати заходи покарання при порушеннях правил
безпеки;
- правила повинні
охоплювати незаконну діяльність, здійснювану
- внутрішніми користувачами
та зовнішніми зловмисниками.
. Обов'язки адміністраторів:
- ці правила охоплюють питання
адміністративного узгодження і впровадження, які не входять в сферу
адміністративного управління;
- визначають порядок
розриву трудового угоди з організацією;
- встановлюють коло осіб,
які несуть відповідальність за своєчасне анулювання права доступу, звільнення
ресурсів, виділених користувачеві, виявлення в призначених для користувача
ресурсах порушень безпеки та інших помилок, а також за архівне зберігання
призначених для користувача файлів і інших даних.
. Міркування по реєстрації подій:
- перевірка журналів
аудиту, які створюються в системі і в основних додатках;
- в журналах фіксуються всі
операції, які користувачі виконують у системі або мережі, а також фіксуються
всі помилкові і успішні спроби доступу до системи;
- правила реєстрації досить
складні, оскільки неможливо скласти загальну формулювання, що підходить для
будь-якої конфігурації системи. Напевно, непрактично реєструвати кожну
операцію, виконувану в комп'ютерній системі, але необхідно забезпечити
підтримку сервісних систем, що обслуговують бази даних;
- описати порядок обробки
інформації з журналів;
- правила поновлення
журналів можуть змінюватися залежно від роду діяльності організації, а також
від різновиду журналів.
. Звітність про порушення безпеки.
- звіти про інциденти
можуть приходити з декількох джерел. Проблеми з захистом виявляють
адміністратори, і для того, щоб користувачі могли фіксувати порушення, вони
повинні мати правила, що визначають, як це робити:
- встановлюються вимоги
щодо звітності для адміністраторів і користувачів,
- в правила роботи з
відкритими широкодоступними звітами включаємо методи розділення інформації, яку
інформацію вважати достовірною, а яку перевіряти,
- після повідомлення про
інцидент збираються відповідні дані, і застосовуються правові санкції, що
базуються на цьому повідомленні. Достатньо складно повідомити про те, що щось
сталося. Якщо в ході розслідування інциденту встановлено, що потрібно
застосувати міри покарання, які можуть обмежуватися дисциплінарними заходами
або застосуванням заходів передбачених законодавством, то в правилах описані
вимоги по обробці цих доказів.
2. Розробка комплексної системи захисту інформації
.1 Системи контролю і управління доступом на об'єкті
Система контролю управління доступом є необхідною
складовою частиною комплексів забезпечення безпеки. Система контролю доступу
(СКД) - представляє набір програмно-технічних засобів, які виконують завдання
контролю і управління відвідуванням і окремими його частинами, а також контроль
за переміщенням персоналу і часом перебування.
Основні завдання системи контролю доступу - це запобігання
несанкціонованого проникнення на територію, що охороняється, розмежування
доступу до окремих приміщень, облік часу перебування, збір, аналіз і зберігання
інформації про дії співробітників і відвідувачів. Контроль управління доступом забезпечує
збереження інформації і матеріальних цінностей, а також служить для безпеки
відвідувачів об'єкту і персоналу (системи контролю доступом, контроль
управління доступом).
Система контролю доступу повинна виконати такі
дії:
- читання даних з певного
носія (наприклад, електронна карта) або безпосереднє введення інформації з
панелі;
- передача зчитаних даних
на контролер, який в простіших варіантах може бути вбудований в прочитану
панель або бути у вигляді окремого комп'ютера. У контролері зберігається
інформація про режим роботи, конфігурації, права доступу до приміщень;
- система приймає рішення
на допуск або на блокування, переводить приміщення в режим охорони, включає
сигнал тривоги і так далі При позитивному рішенні посилається сигнал на
електричний замок.
Виходячи з цих завдань системи контролю доступом
складається з таких блоків: пристрій ідентифікації, контроллер, виконавчий
пристрій. А вже залежно від рівня безпеки, який повинна надати СКД, вибираються
відповідні пристрої. Складніші системи контролю і управління доступом виконують
не лише функції допуску або не допуску, а і веде детальну статистику «хто,
куди, скільки часу».
До даної групи входять такі пристрої: замки, що
замикають пристрої, домофони, електронні ключі, зчитувачі, турнікети, прохідні,
системи ідентифікації, шлагбауми.
Крім усіх вище наведених можливостей, СКД
дозволяє управляти різними пристроями, генерувати звіти, зберігати базу даних
працівників.
Системи контролю і управління доступом пройшли
тривалий еволюційний шлях від простих кодонабірних пристроїв, керуючих дверним
замком, до складних комп'ютерних систем, що охоплюють комплекси будівель,
віддалених один від одного.
Сучасні системи контролю і управління доступом по
своїх можливостях можуть забезпечити необхідний рівень охорони на крупних
об'єктах, що містять сотні точок доступу і тисячі користувачів. Крім цього,
системи служать основою для побудови інтегрованих систем безпеки, об'єднуючих охоронну
і пожежну сигналізацію, засоби відео контролю і ін.
Розрізняють два основні класи систем контролю
доступом: автономні та мережеві.
Автономні СКД - інформація не передається на
центральний пункт охорони і не контролюється операторами.
На рисунку 2.1 зображено автономну систему
контролю доступом де: 1 - датчик відкриття дверей; 2 - блок живлення; 3 -
електромагнітний (електромеханічний) замок; 4 - зовнішній світло діод; 5 -
кнопка відкриття замку; 6 - зовнішній зумер; 7 - зчитувач.
Рис. 2.1 - автономна систем контролю доступом
Така система виконує функцію тільки обмеження
доступу в певні приміщення як якщо б ви користувалися звичайним механічним
замком і ключем, але значно полегшує і прискорює процес проходу через двері, а також спрощує процес
тиражування ключів, роль яких виконують картки або брилки, виконані на базі електронних чіпів.
Мережеві СКД - відбувається обмін з центральним
пунктом охорони для управління виконавчими пристроями.
Мережеві СКД більш складні системи, включають в
себе один або кілька комп'ютерів, від двох і більше контролерів об'єднаних в
одну мережу (звідси і назва «Мережеві») можуть контролювати доступ, ґрунтуючись
на розклад робочих графіків. Система може складати протокол всіх подій: проходів
користувача через певні двері в певний час, спроб несанкціонованого доступу і
так далі.
Програмне забезпечення дозволяє отримувати різні
види звітів про події, які відбувалися в системі за певний час. Також, різні
системиконтролю доступу можуть мати великий набір додаткових функцій, таких як:
захист від несанкціонованого проникнення в приміщення шляхом передачі карти
доступу іншій особі, графічне представлення на моніторі комп'ютера плану
об'єкту, що охороняється з відображенням тривожних ситуацій, а також можуть
бути інтегровані з відеоспостереженням і охоронною сигналізацією.
На рисунку 2.2 зображена мережева система
контролю доступу.
Рис. 2.2 - мережева систем контролю доступу
Також можна розглядати універсальні системи
контролю доступу. Універсальні СКД - можуть працювати як автономному режимі,
так і мережевому. Якщо відбувається збій центрального пристрою управління, то
перемикається на автономний режим.
Використаємо для контролю і управління доступом
на підприємстві систему управління доступом SDK-Z2USB MF. Даний SDK-Z2USB MF
призначений для швидкого освоєння розробниками програмного забезпечення всіх
нюансів роботи з виробом «Z2 USB MF» і зниження сумарних витрат на інтеграцію
вироби в цільову систему споживача. SDK містить всі необхідні для складання
працюючого макета для інтеграції з цільовою системою.
Система керування доступом відповідає основним
вимогам політики інформаційної безпеки для даного об’єкту. Дану систему можна
буде модифікувати (покращити) у майбутньому.
2.2 Системи відеоспостереження
Відеоспостереження - система передачі інформації з відеокамер, телевізійних камер на обмежену
кількість моніторів та/або записуючих
пристроїв.
Сьогодні на ринку України існують
найрізноманітніші системи відеоспостереження. Системи відеоспостереження
характеризуються пристроєм запису, і масштабами самого периметра
відеоспостереження, і кількістю камер.
Умовно системи відеоспостереження можна поділити
на дві категорії. Перша, це система відеоспостереження з використанням
відеореєстратора, а другий, з використанням відеосервера. Видеорегистратор, це
повноцінний записує «магнітофон», який не вимагає ніяких дополнітеольних дій
для роботи. Все що вам потрібно робити, так це включити його налаштувати деякі
параметри, пов'язані із зображенням, і все.
Системи відеоспостереження, що використовують
відео сервер вимагає деяких знань в області комп'ютерів. Вам потрібно підібрати
правельний комп'ютер під плату відеозахоплення, встановити її, налаштувати
програму і т.д. Видеосервер, як показує досвід, більш схильний до яких-небудь
збоїв в роботі, тому, що окрім як записувати відеосигнал, на ньому зазвичай
люблять пограти співробітники, зайти в інтернет і т.д. За цим якщо у вас не
жорстка дисцыплина, краще встановити систему відеоспостереження з використанням
відеореєстратора.
За якістю запису і відображення відеосигналу
відео сервер відрізняється від відеореєстратора. Видеосервер, який за ціною
може пріравніватся до відеореєстратора, перевищує його якістю. Тоість при
рівних цінах відео сервер виходить краще. При виборі системи відеоспостереження
потрібно визначити цілі цієї системи відеоспостереження.
Перш за все потрібно зрозуміти, що конкретно ви
хочете бачити. Від якості картинки, яку ви будите бачити на екрані, і яка буде
запісиватся, залежатиме і ціна системи відеоспостереження. Ціна може
перевищувати і в два і в три рази, залежно від того, що вам потрібно бачити.
Ціна всієї системи відеоспостереження повністю залежати від завдань і цілей,
які необхідно вирішити. Потрібно спочатку враховувати всі ці моменти, також
слід не забувати про дистанцію. Тоість про відстань між камерами, і точкою
прийому, відеореєстратори. Відстань має велике значення, оскільки якісні
кабелю, які здатні проводити сигнал більше кілометра, коштують не мало.
Телевізійні засоби спостереження утворюють так
звану систему замкнутого телебачення або відеоконтролю, в якій передача
відеосигналів від телевізійних камер до моніторів проводиться в межах
контрольованої (охороняється) зони, як правило, по кабелях [15].
У нашому випадку система відеоконтролю включає
такі основні засоби:
- передавальні телевізійні
камери;
- пристрої відображення
відеоінформації - монітори;
- пристрої обробки
відеоінформації;
- пристрої реєстрації
інформації;
Функції системи відеоконтролю доповнюються
процедурою автоматичного виявлення руху, що істотно підвищує ефективність його
виявлення при спостереженні.
Для лабораторії використано безпровідну систему
відеоспостереження. Її основними перевагами є:
- компактність.
Використання Wi-Fi технології ніяким чином не впливає на розміри відеокамер,
просто замість кабелю буде встановлена невеличка антена.
- мобільність. Оскільки
тепер немає обмежень в довжині кабелю, а є тільки дальністю передачі сигналу
(досягає до 100 м в зоні прямої видимості без перешкод), то розмістити камеру
можна в будь якому куточку приміщення чи за його межами. І не потрібно тратити
час на монтаж кабелів.
- Зручність у використанні.
Завдяки спеціальному програмному забезпеченню не потрібно тратити багато часу
на процес налаштування.
- практичність. В домашніх
умовах можна підключити відеокамери відразу до Wi-Fi маршрутизатора і
виконувати як запис відео на вінчестер, так і перегляд відео в режимі он-лайн.
В лабораторії використано бездротову систему
відеоспостереження Danrou KCM-6370DRх4. Складається з 4-х передавачів і
багатоканального приймача відеосигналу. Призначений для організації
бездротового відеоспостереження преміум класу для 4-х камер. Працює система за
наступним принципом: провідні камери підключається до передавача відеосигналу
за допомогою BNC портів. Відео з камери передається на передавач, а передавач в
свою чергу транслює цифровий зашифрований відеосигнал по радіоканалу. Цифровий
приймач приймає сигнал одночасно з 4х камер, розшифровує і передає через BNC
портів відео в режимі квадратура на відеореєстратор, телевізор або професійний
монітор.
Зашифрований відеосигнал захищений від
несанкціонованого доступу.
Завдяки використанню бездротової технології, Ви
можете встановити систему відеоспостереження без збитку інтер'єру. Цифровий
спосіб передачі відеоданих забезпечує ідеальну якість картинки та звуку.
Максимальна відстань між передавачами і приймачем - 300 метрів при прямої
видимості. Рухаючись сигнал на 100% захищений від усіляких перешкод, картинка
завжди чітка.
Новітня цифрова технологія дозволяє передавати
відео зі швидкістю 5 Мб/с. Зашифрований відеосигнал захищений від
несанкціонованого доступу Дана пропускна здатність дозволяє передавати
відеосигнал високої якості.
Швидкість передачі відео становить 30 кадрів / с
- безпрецедентна плавність відео на сьогоднішній день.
Дозвіл переданого відео - D1 (NTSC: 720 × 480, PAL: 720 × 576). Подібним якістю
не може похвалитися жодна бездротова система відеоспостереження.
Сигнал захищений технологією шифрування AES. Дана
технологія забезпечує 100% конфіденційність інформації. Для дешифрування такого
сигналу майже неможливе.
Завдяки новітній технології бездротова цифрова
передача не впливає на якість Wi-Fi, і Bluetooth мереж, а так само інших мереж
в частоті 2,4 ГГц.
Використовувана бездротова технологія абсолютно
безпечна для здоров'я.
Система працює на частоті 2,4 ГГц, яка
загальнодоступна і не вимагає ліцензії на використання.
Підтримується сучасний формат стиснення відео
MPEG4.
Дозволяють передавати відео в дозволі D1 NTSC: 720
× 480, 360 × 240 або PAL: 720 × 576, 360 × 288.
Підтримується передача звуку, аудіо стискається
сучасною технологією G.721.
Присутній 1 порт під аудіо-вхід з портом RCA,
завжди зможемо легко і зручно підключити камеру зі звуком.
Пульт ДУ допоможе на відстані керувати монітором,
якщо прикріпити його на стіну, або просто розташувати у віддаленому місці.
Робоча напруга: 12 В. Струм в режимі
бездіяльності / тривоги: 145/350 мА.
Ціна на бездротова система відеоспостереження
Danrou KSR-7004D становить 6763.50 грн.
Система відеоспостереження відповідає основним
вимогам політики інформаційної безпеки для даного об’єкту.
2.3 Системи охоронно-пожежної сигналізації
Система охоронно-пожежної сигналізації
представляє собою складний комплекс технічних пристроїв, які слугують для
своєчасного виявлення пожежі та несанкціонованого проникнення в охороняючи
зону. Як правило, охоронно-пожежна сигналізація інтегрується в комплекс,
об’єднуючий системи безпеки та інженерні системи будівлі, забезпечуючи точної
адресною інформацією системи оповіщення, пожежегасіння, димовидалення, контролю
доступу та ін.
В залежності від масштабу задач, які вирішує
охоронно-пожежна сигналізація, в її склад входить устаткування трьох основних
категорій:
Устаткування централізованого управління охоронно-пожежною
сигналізацією (наприклад, центральний комп’ютер, з встановленим на ньому
програмним забезпеченням для управління охоронно-пожежною сигналізацією; в
невеликих системах охоронно-пожежної сигналізації задачі централізованого
управління виконує охоронно-пожежна панель).
Устаткування збору і обробки інформації з
датчиків охоронно-пожежної сигналізації: прилади приймально-контрольні
(панелі).
.Сенсорні прилади - датчики та оповіщувачі
охоронно-пожежної сигналізації.
Інтеграція охоронної та пожежної сигналізації в
складі єдиної системи охоронно-пожежної сигналізації здійснюється на рівні
централізованого моніторингу і управління. При цьому системи охоронної і
пожежної сигналізації адмініструються незалежними один від одного постами
управління, які зберігають автономність в складі системи охоронно-пожежної
сигналізації. На невеликих об’єктах охоронно-пожежна сигналізація управляється
прймально-контрольними приладами.
Приймально-контрольний прилад здійснює живлення
охоронних і пожежних оповіщувачі по шлейфам охоронно-пожежної сигналізації,
прийом тривожних оповіщень від оповіщувачі, формує тривожні повідомлення, а
також передає їх на станцію централізованого спостереження.
Система охоронної сигналізації в складі
охоронно-пожежної сигналізації виконує задачі своєчасного оповіщення служби
охорони щодо факту несанкціонованого проникнення чи спроби проникнення людей в
будинок чи його окремих частин з фіксацією дати, місця і часу порушення рубежу
охорони.
Система пожежної сигналізації призначена для
своєчасного виявлення місця спалаху вогню і формування управляючих сигналів для
системи оповіщення щодо пожежі і автоматичного пожежогасіння.
Вітчизняні нормативні документи по пожежній
безпеці строго регламентують перелік будівель і споруд, що підлягають оснащенню
автоматичною пожежною сигналізацією. В даний час весь перелік
організаційно-технічних заходів на об'єкті під час пожежі має одну головну мету
- врятування життя людей. Тому на перше місце виходять завдання раннього
виявлення спалаху і оповіщення персоналу. Рішення цих задач покладене на
пожежну сигналізацію, основні функції якої сформульовані в наступному
визначенні.
Пожежна сигналізація (по ГОСТ 26342-84) - це
отримання, обробка, передача і представлення в заданому вигляді споживачам за
допомогою технічних засобів інформації про пожежу на об'єктах, що охороняються.
Основні функції пожежної сигналізації
забезпечуються різними технічними засобами. Для виявлення пожежі слугують
оповіщувачі, для обробки і протоколювання інформації і формування сигналів
тривоги, що управляють, - приймальний-контрольна апаратура і периферійні
пристрої. Охоронна сигналізація для лабораторії базується на обладнанні відомої
польської фірми Satel. Охоронна сигналізація Satel CA-10 LS призначена для
запобігання та виявлення несанкціонованого проникнення в приміщення і являє
собою комплекс технічних пристроїв, основними компонентами якого є оповіщувачі
(датчики виявлення) і пульт-концентратор. Сучасна сигналізація контролює і
сповіщає про руйнування скла, перекриттів, стін, розтині вікон і пересування
людей всередині приміщень.CA-10 LS прилад приймально-контрольний
охоронно-пожежний 10-16 зон, 6 виходів, 4 групи, RS-232, тел. комун-р,
клавіатура. Ціна такого приладу становить 975 грн.
Пожежна сигналізація виявляє загоряння та передає
сигнал тривоги черговому персоналу і на пульт спостереження для швидкої
локалізації пожежі.
Отже, DX-60 Plus - це модель сповіщувача
охоронного комбінованого, який по всім характеристикам підходить для
використання у лабораторії.
Ціна такої моделі сповіщувача становить 720 грн.
Його основними технічними характеристиками є:
- площа детекції 18х18 м
- висота установки 1.5-2.4
м
- час тривоги 2.0 ± 0.5 сек
- напруга живлення 9.5-18 В
- споживаний струм не
більше 40 мА
- радіочастотне
випромінювання тривоги до 30 В / м
- діапазон робочих
температур -10… +50° С
- габаритні розміри
70х125х49 мм
- маса 150 г.
Система охоронно-пожежної сигналізації відповідає
основним вимогам політики інформаційної безпеки для даного об’єкту та
сертифікована на території України.
2.4 Системи пожежогасіння
Системи пожежогасіння призначені для запобігання,
обмеження розвитку, гасіння пожежі, а також захисту від пожежі людей і
матеріальних цінностей [4].
Пожежа - це неконтрольований процес горіння, який
може відбуватися з різних причин: це коротке замикання, перевантаження
електроустаткування і електричних мереж, самозаймання сільськогосподарських
продуктів і будівельних матеріалів, статичні розряди електрики, необережне і
недбале поводження з вогнем, підпали. Автоматична пожежогасіння призначене для
виявлення і ліквідації пожежі. В якості вогнегасної речовини використовуються
вода, піна низької, середньої або високої кратності, інертні гази, хладон,
вуглекислий газ, аерозоль.
За видом вогнегасного засобу автоматичні системи
пожежогасіння розділяють на:
водяні системи пожежогасіння;
пінні системи пожежогасіння;
газові системи пожежогасіння;
порошкові системи пожежогасіння;
аерозольні установки гасіння пожежі;
Системи газового пожежогасіння призначені для
виявлення спалаху на всій контрольованій площі приміщень, подачі вогнегасного
газу і сповіщення про пожежу. На відміну від аерозольного, порошкового,
водяного і пінного гасіння газове пожежогасіння не викликає корозії і
пошкоджень устаткування, що захищається. Установки газової пожежогасіння
використовують для захисту приміщень з широким діапазоном температур
навколишнього середовища в інтервалі: від -40° до +50°C. Системи газового
пожежогасіння використовують для ліквідації пожеж і спалаху
електроустаткування, що знаходиться під напругою. Газові установки
пожежогасіння використовують для захисту об'єктів наступних категорій:
Серверні приміщення;
Складські приміщення;
Телевізійне устаткування;
Технологічні установки;
Приміщення з чутливим електронним
устаткуванням;
Захист культурних цінностей;
Одним з найнадійніших засобів для вирішення цих
завдань є системи автоматичного пожежогасіння, які на відміну від систем
ручного пожежогасіння і систем керованих оператором приводяться в дію пожежною
автоматикою за об'єктивними свідченнями і забезпечують оперативне гасіння
вогнища спалаху без участі людини.
Мною було запропоновано використовувати станцію
пожежогасіння WILO. Це автоматична установка водопостачання на базі
самовсмоктуючого, одноступінчатого горизонтального насоса, що працює в режимі
всмоктування або подачі.
Пряме фланцеве з'єднання мотора однофазного або
трифазного струму. Для однофазного струму з вбудованою термічним захистом
мотора, окремим вимикачем і кабелем для підключення 2 м із штекером з захисним
контактом. При трифазному виконанні без кабелю для підключення. Готова до
під'єднання з мембранним баком, манометром і реле тиску.
Запропонована до використання станція
пожежогасіння WILO HWJ 202 EM 20L коштує 2208 грн., і вона повністю відповідає
всім встановленим нормам.
2.5 Комплексний захист корпоративної мережі
Одним з декількох основних етапів створення
комплексного захисту корпоративної мережі є організаційні заходи захисту.
Досягнення високого рівня безпеки неможливо без
прийняття належних організаційних заходів. З одного боку, ці заходи повинні
бути спрямовані на забезпечення правильності функціонування механізмів захисту
і виконуватися адміністратором безпеки системи. З іншого боку, керівництво
організації, що експлуатує засоби автоматизації має регламентувати правила
автоматизованої обробки інформації, включаючи і правила її захисту, а також
встановити міру відповідальності за порушення цих правил.
Основні функції служби полягають в наступному:
- формування вимог до
системи захисту в процесі створення АС;
- участь у проектуванні
системи захисту, її випробування і приймання в експлуатацію;
- планування, організація та
забезпечення функціонування системи захисту інформації в процесі функціонування
АС;
- розподіл між
користувачами необхідних реквізитів захисту;
- спостереження за
функціонуванням системи захисту і її елементів;
- організація перевірок
надійності функціонування системи захисту;
- навчання користувачів і
персоналу АС правилам безпечної обробки інформації;
- контроль за дотриманням
користувачами і персоналом АС встановлених правил пророщення з захищається
інформацією в процесі її автоматизованої обробки;
- реалізація заходів при
спробах несанкціонованого доступу до інформації і при порушеннях правил
функціонує системи захисту.
Організаційно-правовий статус служби захисту
визначається наступним чином:
- служба захисту повинна
підкорятися тій особі, яка в лабораторії несе персональну відповідальність за
дотримання правил поводження з інформацією, що захищається;
- штатний склад служби
захисту не повинен мати інших обов'язків, пов'язаних з функціонуванням КС;
- співробітники служби
захисту повинні мати право доступу до всіх приміщень, де установлено апаратура
КС і право припиняти автоматизовану обробку інформації при наявності
безпосередньої загрози для захищається інформації;
- службі захисту інформації
повинні забезпечуватися всі умови, необхідні для виконання своїх функцій.
За статистикою 99 відсотків загроз, що вражають
комп’ютери, приходять з Інтернету. Це робить шлюз важливою точкою безпеки
мережі. Захист встановлений у цьому пункті значно знизить ризик потенційних
проблем, перед тим як вони дістануться внутрішньої мережі.
Інтернет-загрози можуть бути поділені на дві
групи:
Загрози мережі (недозволені з’єднання,
вторгнення, викрадення даних…)
Загрози контенту (віруси, хробаки,
шпигуни, спам…).
Це різноманіття можливих загроз створює нагальну
потребу для адміністраторів мережі мати рішення, здатне об’єднати весь захист в
одному простому у використанні інтерфейсі. А також рішення, за допомогою якого
можна централізувати управління безпекою в критичній точці мережі -
інтернет-з’єднанні.
Вирішенням цієї проблеми є Panda GateDefender
Integra.GateDefender Integra простий у встановленні пристрій для
комплексного захисту периметру. Він захищає периметр корпоративної мережі від
усіх типів загроз як на рівні мережі, так і у контенті через єдиний простий
інтерфейс.
Доступні види захисту:
Брандмауер: Сприяє тому, щоб
внутрішні і зовнішні комунікації
відповідали політиці безпеки компанії.
Система запобігання вторгненням (IPS):
Захищає мережу від вторгнень.
Віртуальна приватна мережа (VPN): Захищає
важливу інформацію, що
передається через Інтернет.
Антивірус: Захищає від усіх типів
зловмисних програм.
Фільтр контенту: Дозволяє компаніям
визначати критерії захисту,
спираючись на профілі політики безпеки.
Антиспам: Очищує електронну пошту від
спаму і небажаних повідомлень.
Веб-фільтр: Забороняє доступ до
непов’язаного з роботою контенту.
Представлено дві моделі в таблиці 2.1 пристрою
для того, щоб невеликі компанії могли обрати оптимальний варіант рішення, яке б
задовольняло всі вимоги корпоративної безпеки:
Таблиця 2.1 - Види моделей пристроїв
|
Модель пристрою
|
Пропускна
здатність брандмауера
|
Паралельні сесії
|
10/100/1000 порти Ethernet
|
|
SB
|
До 50
|
400
Мбіт/сек
|
180.000
|
4
|
|
300
|
До 250
|
850
Мбіт/сек
|
550.000
|
8
|
Основні характеристики Panda GateDefender Integra
Багатофункціональний пристрій
«Встановіть і отримаєте захист»: одразу після включення рішення автоматично
запускає захист від вірусів і спаму, а також модуль веб-фільтру, не потребуючи
попередніх налаштувань.
Повний захист від усіх типів загроз.
Рішення містить найкращій у своєму виді захист Panda від зловмисного ПЗ і
потенційно небезпечного контенту, захист Cloudmark від спаму, захист Cobion від
небажаного веб-контенту, також брандмауер з ретельною перевіркою пакетів,
багатофункціональний IPS і VPN для централізованого управління безпекою з
єдиного пункту.
Безперервні автоматичні оновлення:
правила і сигнатури для вірусів, IPS та веб-фільтру оновлюються кожні 90
хвилин, для спаму - кожної хвилини, не допускаючи появи слабких місць у
захисті.
- Оптимізація завантаження мережі:
заборона доступу до непродуктивних веб-сторінок покращує використання
пропускної здатності каналу, а 98% ефективне виявлення спаму знімає значне
навантаження з поштових серверів і внутрішньої
мережі.
Проактивний захист контенту: сканує
вхідний і вихідний трафік для виявлення небезпечного контенту відповідно до
профілю політики безпеки компанії. Усі комунікації можуть бути зашифровані за
допомогою VPN.
Головні переваги Panda GateDefender Integra такі:
Готовий захищати одразу після
підключення. Не потребує налаштування. Ви отримуєте захист відразу після
встановлення.
Простий у використанні. Усі необхідні
функції об’єднані у зручному для користувача інтерфейсі.
Мінімізує поточні витрати. Підтримка
безпеки відбувається практично без участі користувача через автоматичні
оновлення і графічні звіти про роботу.
Збільшує продуктивність користувачів
завдяки блокуванню спаму і обмеженню доступу до непродуктивного веб-контенту.
Запобігає втраті важливої інформації за
допомогою контролю змісту вхідних і вихідних повідомлень, а також зашифровуючи
інформацію, яка проходить через Інтернет.
Ціна на 1 пристрій GD Integra Soho + перший рік
підтримки Total Protection (до 25 користувачів) становить приблизно 25 тисяч
гривень.
Сформовано також рекомендації із захисту
інформаційної безпеки підприємства, а саме:
- постійне відстежування
можливих уразливостей і їх нейтралізація;
- встановити міжмережевий
екран на сервері та на всіх комп'ютерах з врахуванням топології;
- розробити політику
використання надійних паролів і безпечного їх зберігання;
- встановити на всіх
комп'ютерах ліцензійне антивірусне програмне забезпечення та включити функцію
автоматичного оновлення бази даних вірусів;
- нейтралізувати програмні
помилки у системі управління ресурсами кластера;
- проводити постійний аудит
і періодично передивлятися облікові записи користувачів і прав доступу на
системному рівні;
- по можливості
використовувати шифрування даних для передачі.
Комплексна система захисту корпоративної мережі
розрахована відповідно основним вимогам політики інформаційної безпеки
лабораторії.
3. Рекомендації щодо комплексного захисту
.1 Основні організаційно-технічні заходи по підтримці
функціонування комплексної системи захисту лабораторії
Для коректного функціонування комплексної системи
захисту в лабораторії необхідно запровадити ряд організаційних та
організаційно-технічних заходів з підтримки та покращення системи.
Вони включають:
- разові (одноразово
проведені і повторювані тільки при повному перегляді прийнятих рішень) заходи;
- заходи, що проводяться
при здійсненні або виникненні певних змін в самому захищається АС чи
зовнішнього середовища (за необхідності);
- періодичні (через певний
час) заходи;
- постійно (безперервно або
дискретно у випадкові моменти часу) проведені заходи [18, 19].
До разових заходів відносять:
- загальносистемні заходи
щодо створення науково-технічних та методологічних основ (концепції та інших
керівних документів) захисту АС;
- заходи, що здійснюються
при проектуванні, будівництві та обладнанні числівників центрів та інших
об'єктів АС (виключення можливості таємного проникнення в приміщення,
виключення можливості встановлення прослуховуючої апаратури тощо);
- заходи, що здійснюються
при проектуванні, розробці та введенні в експлуатацію технічних засобів та
програмного забезпечення (перевірка та сертифікація використовуваних технічних
і програмних засобів, документування тощо);
- проведення спецперевірок
всіх застосованих в АС засобів обчислювальної техніки і проведення заходів щодо
захисту інформації від витоку каналами побічних електромагнітних випромінювань
і наведень;
- розробка та затвердження
функціональних обов'язків посадових осіб служби комп'ютерної безпеки;
- внесення необхідних змін
і доповнень в усі організаційно-розпорядчі документи (положення про підрозділи,
функціональні обов'язки посадових осіб, інструкції користувачів системи і т.
п.) з питань забезпечення безпеки програмно-інформаційних ресурсів АС і діям у
разі виникнення кризових ситуацій;
- оформлення юридичних
документів (у формі договорів, наказів і розпоряджень керівництва організації)
з питань регламентації відносин з користувачами (клієнтами), що працюють в
автоматизованій системі, між учасниками інформаційного обміну і третьою
стороною (арбітражем, третейським судом) про правила вирішення спорів,
пов'язаних них із застосуванням електронного підпису;
- визначення порядку
призначення, зміни, твердження і надання конкретних посадовим особам необхідних
повноважень по доступу до ресурсів системи;
- заходи щодо створення
системи захисту АС і створення інфраструктури;
- заходи з розробки правил
управління доступом до ресурсів системи;
- організацію надійного
пропускного режиму;
- визначення порядку
обліку, видачі, використання та зберігання знімних магнітних носіїв інформації,
які містять еталонні і резервні копії програм і масивів інформації, архівні
дані і т. п.;
- організацію обліку,
зберігання, використання та знищення документів і носіїв із закритою
інформацією;
- визначення порядку
проектування, розробки, налагодження, модифікації, придбання, спецдослідження,
прийому в експлуатацію, зберігання та контролю цілісності програмних продуктів,
а також порядок поновлення версій використовуваних і встановлення нових
системних і прикладних програм на робочих місцях захищеної системи (хто володіє
правом дозволів таких дій, хто здійснює, хто контролює і що при цьому вони
повинні робити);
- створення відділів
(служб) комп'ютерної безпеки або, у випадку невеликих організацій і
підрозділів, призначення позаштатних відповідальних, здійснюють єдине
керівництво, організацію та контроль за дотриманням усіма категоріями посадових
осіб вимог щодо забезпечення безпеки програмно-інформаційних ресурсів
автоматизованої системи обробки інформації;
- визначення переліку
необхідних регулярно проводяться превентивних заходів і оперативних дій
персоналу по забезпеченню безперервної роботи та відновленню обчислювальному
процесу АС у критичних ситуаціях, що виникають як наслідок НСД, збоїв [20].
До періодичних заходам відносять:
- розподіл реквізитів
розмежування доступу (паролів, ключів шифрування і т. п.);
- аналіз системних
журналів, уживання заходів по виявлених порушень правил роботи;
- заходи з перегляду правил
розмежування доступу користувачів до інформації в організації;
- періодично з залученням
сторонніх фахівців здійснення аналізу стану та оцінки ефективності заходів і
застосовуваних засобів захисту. На основі, отриманої в результаті такого
аналізу інформації вживати необхідних заходів щодо вдосконалення системи
захисту;
- заходи з перегляду складу
і побудови системи захисту [20, 21].
До заходів, що проводяться за необхідності,
відносять:
- заходи, що здійснюються
при кадрових змінах у складі персоналу системи;
- заходи, що здійснюються
при ремонті і модифікаціях обладнання та програмного забезпечення (суворе
санкціонування, розгляд і затвердження всіх змін, перевірка їх на задоволення
вимогам захисту, документальне відображення змін, тощо);
- заходи щодо добору і
розстановки кадрів (перевірка прийнятих на роботу, навчання правилам роботи з
інформацією, ознайомлення з заходами відповідальності за порушення правил
захисту, навчання, створення умов, при яких персоналу було б невигідно
порушувати свої обов'язки).
- заходи щодо забезпечення
достатнього рівня фізичного захисту всіх компонентів АС (протипожежна охорона,
охорона приміщень, пропускний режим, забезпечення збереженості та фізичної
цілісності СВТ, носіїв інформації тощо).
- заходи щодо безперервної
підтримки функціонування та управління використовуючими засобами захисту;
- відкритий і прихований
контроль за роботою персоналу системи;
- контроль за реалізацією
обраних заходів захисту в процесі проектування, розробки, введення в лад і
функціонування АС;
- постійно (силами відділу
(служби) безпеки) і періодично (із залученням сторонніх фахівців) здійснюваний
аналіз стану та оцінка ефективності заходів і застосовуваних засобів захисту.
3.2 Організаційна форма забезпечення інформаційної безпеки у
науково-дослідній лабораторії
захист контроль охоронний сигналізація
Серед цілей, які можуть забезпечити успішний
розвиток підприємства по лінії безпеки інформації, можуть бути:
- захист інтелектуальних
форм власності підприємства, а також інтелектуальних форм власності її
працівників;
- збереження та ефективне
використання фінансових, матеріальних і інформаційних ресурсів;
- виявлення та усунення
причин і умов, що сприяють реалізації загроз безпеки інтелектуальної,
матеріальної та фінансової власності підприємства;
- своєчасне виявлення і
перекриття можливих каналів витоку, несанкціонованого доступу, а також
виключення негативних наслідків у випадках реалізації загроз безпеки
інтелектуальної, матеріальної та фінансової власності підприємства;
- виняток не обґрунтованого
допуску та доступу осіб до відомостей, що становлять комерційну таємницю, та
іншої інформації, доступ до якої обмежується відповідно до законодавства.
При розробці завдань із захисту інформації
необхідно виходити з об'єктів (предметів), що підлягають захисту, технології її
обробки, з урахуванням поставлених цілей.
Якщо носіями конфіденційної інформації є людина,
фізичний носій інформації, технологія обробки і передачі інформації проводиться
з використанням технічних засобів, і в приміщенні, де ведуться конфіденційні
переговори, то необхідно виконання наступних завдань:
- Створення ефективної
системи захисту конфіденційної інформації та іншої інформації, доступ до якої
обмежується відповідно до законодавства
- Організація і проведення
комплексу робіт в області забезпечення безпеки інтелектуальної власності,
матеріальних і фінансових ресурсів, запобігання несанкціованих раніше дій за
розголошення, передачу, втрати, копіювання, знищення, спотворення, модифікації,
фальсифікації, блокування інформації (носіїв інформації), запобігання інших
форм незаконного втручання в інформаційні ресурси і банки даних.
- Забезпечення режиму
безпеки та захисту інформації при проведенні всіх видів робіт з конфіденційною
інформацією, виключення несанкціонованого доступу до інформації сторонніх осіб
під час зберігання, обробки, передачі, ведення конфіденційних переговорів,
нарад та інших закритих заходів.
- Добування інформації про
події чи діях, створюють загрозу втрати або розголошення відомостей, що
становлять комерційну таємницю.
- Контроль ефективності
захисту інформації, що включає контроль технічних засобів захисту, контроль
організації та проведення заходів щодо захисту інформації, контроль виконання
працівниками вимог нормативних документів при роботі з відомостями
конфіденційного характеру.
Для реалізації цих завдань необхідно виконання
структурними підрозділи по захисті інформації на підприємстві наступного:
- Розробка і організація
заходів щодо забезпечення режиму безпеки на підприємстві при проведенні робіт з
конфіденційною інформацією і контроль за їх виконанню.
- Аналіз стану режиму
безпеки та захисту інформації з метою виявлення та попередження можливих
каналів витоку конфіденційної інформації.
- Розробка відомчих
нормативних правових актів, керівних та методичних документів з питань режиму
безпеки та захисту інформації, участь в узгодженні наказів, вказівок,
інструкцій, нормативно-технічних та методичних документів.
- Розробка розгорнутого
переліку відомостей конфіденційного характеру, проведення експертних робіт по
наявності конфіденційної інформації на підприємстві відповідно до чинного
законодавства.
- Складання номенклатури
посад працівників підприємства, яким необхідний допуск до конфіденційної
інформації.
- Організація і проведення
робіт по допуску та доступу працівників до конфіденційної інформації.
- Ведення обліку
обізнаності працівників підприємства про відомості конфіденційного характеру.
- Організація спеціального
діловодства: реєстрація, облік, порядок передачі, пересилці, прийом, видача
документальних матеріалів.
- Забезпечення умов режиму
безпеки, захисту інформації при підготовці та реалізації міжвідомчих договорів
та угод.
- Розробка та здійснення
комплексу заходів щодо забезпечення режиму безпеки.
- Захисту інформації при
відвідуванні об'єктів суспільства іноземними громадянами (іноземними делегаціями
і групами), працівниками сторонніх організацій, а також контроль за станом
внутрішньооб'єктного та пропускного режимів як складової частини загального
режиму.
- Забезпечення безпеки
об'єктів, пропускного режиму з доступу осіб на охоронюваних територію
підприємства.
- Розробка та оформлення
пропускних документів, що дають право перебування осіб на охороняється
підприємства.
- Проведення робіт з
інженерно-технічного захисту об'єктів від фізичного доступу сторонніх осіб,
забезпечення режиму охорони об'єктів (предметів) захисту.
- Проведення спільно зі
структурними підрозділами підприємства єдиної технічної політики в галузі
забезпечення інформаційної безпеки і захисту інформації.
- Організація робіт зі
створення системи захисту інформації при її обробці, зберіганні та передачі з
використанням засобів обчислювальної техніки, засобів телекомунікаційної та
інших технічних засобів.
- Розробка та здійснення
заходів щодо зашифровки, маскування спеціальних об'єктів підприємства,
виявлення демаскуючих ознак спеціальних об'єктів та вжиття заходів щодо їх
усунення.
- Розробка і реалізація
організаційно-технічних заходів щодо захисту інформації від витоку технічними
каналами, у тому числі виявлення можливих технічних каналів витоку інформації,
організація, проведення спецдосліджень, спецперевірок технічних коштів.
- Виконання робіт із
захисту інформації від несанкціонованого доступу при обробці інформації на СВТ.
- Розробка та впровадження
технічних рішень і елементів захисту інформації при проектуванні, будівництві
(реконструкції) та експлуатації об'єктів захисту.
- Атестація об'єктів
інформатизації на відповідність вимогам щодо захисту інформації [22].
- Виконання функції
замовника або участь у розгляді та узгодженні технічних завдань на проведення
науково-дослідних, дослідно-конструкторських та інших робіт з питань,
пов'язаних з режимом безпеки об'єкта, із захистом інформації.
- Застосування спеціальних
методів, технічних заходів і засобів захисту, що виключають перехоплення
інформації, що передається по каналах зв'язку.
- Організація та здійснення
в будівлях і приміщеннях захисно-пошукових мір по виявленню спеціальних
технічних засобів знімання інформації.
- Контроль радіоефіру
(радіомоніторинг і радіорозвідка). Забезпечення технічної захисту інформації в
ході проведених конфіденційних переговорів, нарад і т. п.
- Організація роботи з
підготовки договорів (контрактів) на поставку матеріальних коштів, виконання
робіт і надання послуг із захисту інформації, а також здійснення контролю за
дотриманням договірних зобов'язань.
- Організація закупівель та
поставок матеріальних засобів, виконання робіт і надання послуг по закріпленій
номенклатурі.
- Збір, накопичення,
узагальнення та аналіз інформації про випадки (факти) порушень працівниками
режиму безпеки та захисту інформації.
- Вживання заходів з
виявлення та попередження причин і умов, що сприяють порушення вимог режиму
безпеки та захисту інформації.
- Контроль виконання
працівниками вимог нормативних актів з питань забезпечення безпеки інформації,
виявлення, попередження та усунення причин і умов, сприяють порушенню вимог
режиму та захисту інформації.
- Проведення службових
перевірок та розслідувань за фактами розголошення конфіденційність інформації,
втрати документів (носіїв інформації) порушень у сфері комп’ютерної інформації.
- Організація та проведення
заходів з профілактичної роботи з працівниками підприємства, спрямованої на
запобігання порушень режиму безпеки і витоку відомостей конфіденційного
характеру.
- Організація підготовки
працівників підприємства, що виконують роботи, пов'язані з використанням
конфіденційної інформації та надання їм методичної та практичної допомоги.
- Забезпечення взаємодії
підприємства з МВС та іншими органами виконавчої влади з питань безпеки та
захисту інформації.
Висновки
В даному курсовому проекті було здійснено
розробку комплексної системи захисту об’єкту, а саме науково-дослідної
лабораторії.
Під час виконання курсового проекту було
досліджено об`єкт інформаційної діяльності, визначено інформацію, яка складає
комерційну таємницю. Відштовхуючись від проведеного аналізу було розроблено
політику інформаційної безпеки для лабораторії та спроектовано системи контролю
доступом, систему охоронного телебачення, системи охоронно-пожежної
сигналізації та системи пожежогасіння.
На базі спроектованих систем були розроблені
рекомендації, щодо підтримки комплексної системи захисту.
В результаті розробки курсового проекту було
отримано повністю готову робочу комплексну систему захисту науково-дослідної
лабораторії, яка складається з багатьох елементів захисту.
Перелік посилань
1. Комерційна таємниця [Електронний ресурс] І.Г. Диба −
Режим доступу: http://licasoft.com.ua/component/lica/? href=0&
view=text& base=1& id=256840& menu=374024
. Особливості роботи з документами, що містять комерційну
таємницю підприємства [Електронний ресурс] О.В. Загорецька − Режим
доступу:
http://kadrovik.ua/content/osoblivost-roboti-z-dokumentami-shcho-m-styat-komerts-inu-ta-mnitsyu-p-dpri-mstva&ei=T4qcL4j74u
% 26client % vns
3. В.В.
Носов, П.И. Орлов, И.А. Громыко, Организация и обеспечение безопасности
информации. Учебное
пособие. Издательство Х. - 2002. - 652 с.
4. Пожежогасіння [Електронний ресурс]−Режим доступу:
http://auras.ho.ua/page.php? 2
. Системи передачі сповіщень охоронно-пожежної сигналізації
[Електронний
ресурс]−Режим доступу:
http://allofremont.com.ua/sistemy_peredachi_izveshhenij_oxranno_pozharnoj_signalizacii_16
. Шепитько Г.Е., Локтев А.А. Гудов Г.Н. и др. Комплексная
система защиты информации на предприятии. Часть 1. Учебное пособие / Под
ред. Локтева А.А. - М.: МФЮА, 2008.
7. Гришина
Н.В. Организация комплексной системы зашиты информации. - М.: Гелиос АРВ, 2007.
- 256 с.
8. Загинайлов
Ю.Н. Комплексная система защиты информации на предприятии: учебно-методическое
пособие / Ю.Н. Загинайлов и др., Алт.гос. техн. ун-т им. И.И. Ползунова. - Барнаул: АлтГТУ. -
2010-287 с.
. Курило
А.П., Зефиров С.Л., Голованов В.Б. и др. Аудит информационной безопасности. -
М.: Издательская группа «БДЦ-пресс», 2006. - 304 с.
10. Малюк
А.А. Информационная безопасность: концептуальные и методологические основы
защиты информатизации. Учеб.пособие для вузов - М.: Горячая линия - Телеком,
2004. - 280 с.
. Мельников
В.В. Безопасность информации в автоматизированных системах. - М.:Финансы и
статистика, 2003. - 368 с.
. Мельников
В.В. Защита инофрмации в компьютерных системах. - М.: Финансы и статистика,
1997. - 364 с.
. Основы
информационной безопасности. Учебное пособие для вузов / Е.Б. Белов, В.П. Лось,
Р.В. Мещеряков, А.А. Шелупанов. - М.: Горячая линия - Телеком. 2006. - 544 с:
ил.
. Шумский
А.А. Системный анализ в защите информации: учеб. пособие для студентов вузов,
обучающихся по специальностям в обл. информ. безопасности / А.А. Шумский, А.А.
Шелупанов. - М.: Гелиос АРВ, 2005. - 224 с.
16. Гайкович
В.Ю., Ершов Д.В. Основы безопасности информационных технологий. - М.:МИФИ,
1995. - 40 с.
17. Шепитько
Г.Е. Проблемы охранной безопасности объектов. - Часть 1 Под ред. В.А. Минаева.
- М.: Русское слово, 1995. - 352 с.
. Меньшаков
Ю.К. Защита объектов и информации от технических средств разведки. - М.: РГГУ,
2002. - 399 с.
19. Халяпин
Д.Б., Ярочкин В.И. Основы защиты информации: Учеб. пособие. - М.: РРГУ, 2004. -
125 с.
. Основы
информационной безопасности: Учеб. пособие / Е.Б. Белов, В.П. Лось, Р.В.
Мещеряков, А.А. Шелупанов. - М.: Горячая линия-Телеком, 2006. - 544 с.
. Экономическая
безопасность России: Общий курс: Учебник / Под ред. В.К. Сенчагова. - 2-е изд.
- М.: Дело, 2005. - 896 с.
22. Техническая
безопасность объектов предпринимательства, IІ том / Сост. Дворский М.Н.,
Палатченко С.Н. - К.: «А-ДЕПТ», 2006. -252 с.