|
Наименование
актива
|
Ценность
актива (ранг)
|
|
Престиж
компании
|
1
|
|
Информация
|
1
|
|
Активное
оборудование
|
2
|
|
Сетевое
и серверное оборудование
|
2
|
|
Программное
обеспечение
|
3
|
Активами, имеющим наибольшую ценность, являются:
Конфиденциальная информация.
Престиж компании.
Оценка уязвимостей активов.
В данном разделе проведена идентификация
уязвимостей предметной области (Таблица 4), которые могли бы быть использованы
источником угроз для нанесения ущерба активам и деловой деятельности компании,
осуществляемой с их использованием. В качестве источника информации для оценки
уязвимости активов использовались открытые базы данных в сети Интернет.
Таблица 4 - Идентификация уязвимостей предметной
области
|
Группа
уязвимостей
|
Престиж
компании
|
Информация
|
Сетевое
оборудование
|
Серверное
оборудование
|
Программное
обеспечение
|
|
Содержание
уязвимости
|
|
|
|
|
|
|
1.
Среда и инфраструктура
|
|
Уязвимость
в системе охраны
|
высокая
|
высокая
|
высокая
|
высокая
|
высокая
|
|
Нестабильная
работа электросети (колебания напряжения или полное отключение электроэнергии)
|
низкая
|
высокая
|
высокая
|
высокая
|
средняя
|
|
2.
Аппаратное обеспечение
|
|
Уязвимости
в микропрограммном обеспечении
|
средняя
|
высокая
|
средняя
|
средняя
|
средняя
|
|
3.
Программное обеспечение
|
|
Критические
уязвимости средств антивирусной защиты и контроля доступа
|
высокая
|
высокая
|
низкая
|
низкая
|
высокая
|
|
4.
Коммуникации
|
|
Проведение
атаки на отказ в обслуживании
|
средняя
|
средняя
|
высокая
|
высокая
|
средняя
|
|
5.
Документы (документооборот)
|
|
Хищение
документов
|
высокая
|
высокая
|
низкая
|
низкая
|
средняя
|
|
6.Персонал
|
|
Использование
методов социальной инженерии
|
средняя
|
средняя
|
низкая
|
низкая
|
средняя
|
|
7.
Общие уязвимые места
|
|
Не
определены
|
Описание уязвимостей предметной области:
Уязвимость в системе охраны - может повлечь за
собой хищение и повреждение оборудования, хищение и использование
конфиденциальной информации компании против нее самой, а так же, подмену или
уничтожение конфиденциальной информации.
Нестабильная работа электросети (колебания
напряжения или полное отключение электроэнергии) - несохраненная информация
может быть утеряна при аварийном выключении или перезагрузке персонального
рабочего компьютера сотрудника, а так же аппаратному обеспечению могут быть
нанесены электрические повреждения.
Уязвимости в микропрограммном обеспечении -
могут быть использованы для вывода из строя оборудования компании.
Критические уязвимости средств антивирусной
защиты и контроля доступа - могут быть использованы для хищения, подмены,
уничтожения конфиденциальной информации и создания помех в работе локальной
сети компании.
Проведение атаки на отказ в обслуживании - может
стать причиной отказа в работе локальной сети компании и ограничить возможности
сотрудников в обмене информацией.
Хищение документов - может повлечь за собой
шантаж руководства компании или отдельных сотрудников, переманивание сотрудников
в другую компанию, использование информации о заказах для перехвата проекта у
заказчика.
Использование методов социальной инженерии -
может повлечь за собой рассекречивание аутентификационных данных сотрудников,
коммерческой информации, информации о договорах, архитектуры охранной системы
безопасности (расположение камер, датчиков движения).
Оценка угроз активам.
Угроза - это потенциальная причина инцидента,
который может нанести ущерб системе или организации, а инцидент, (инцидент
информационной безопасности) - это любое непредвиденное или нежелательное
событие, которое может нарушить деятельность организации или информационную
безопасность.
Основанием для проведения оценки угроз активам
является необходимость их описания в данной дипломной работе. Отдел
информационных технологий не располагает информацией о подобной оценке.
Источниками угроз могут выступать:
Халатность персонала или их ошибочные действия,
которые могут повлечь за собой порчу оборудования, хранящего и обрабатывающего
конфиденциальную информацию; непреднамеренное искажение информации (например,
при подмене новых файлов старыми) или ее удаление. Угрозы данного вида могут
нанести существенный вред компании в виду фактора внезапности их возникновения.
При несообщении провинившимся сотрудником о происшествии и непринятии мер по
ликвидации угрозы, последствия могут нанести серьезный финансовый ущерб
компании. В связи с отсутствием материалов об оценке угроз активам, является
довольно затруднительным установить частоту появления данного вида угроз,
однако, несомненно, данный вид угроз является одним из самых частых по
появлению.
Стихийные, техногенные и природные катаклизмы -
чрезвычайные происшествия, не связанные или косвенно связанные с деятельностью
человека, такие как пожары, затопления водой, землетрясения, саморазрушение
здания вследствие нарушения технологии строительства или других факторов, в
результате которых оборудование, хранящее и обрабатывающее информацию, может
быть повреждено или уничтожено, а в здание при ликвидации последствий
происшествий, либо во время эвакуации персонала, может проникнуть нарушитель
под видом сотрудника пожарной службы, службы спасения, и др. Рядом со зданием
компании строятся четыре новых офисных корпуса, в связи с этим возрастает риск
техногенного инцидента.
Угрозы со стороны третьих лиц, либо умышленные
действия персонала такие как: рейдерский захват здания, саботаж, забастовки,
террористические акты, локальные беспорядки, сопровождаемые нападением на
здание компании и др. Данный вид угроз может носить как спонтанный характер,
так и быть заранее спланированной акцией, созданной злоумышленниками с целью
проникновения в здание и получения доступа к конфиденциальной информации и
оборудованию.
По результатам оценки угроз активам, была
составлена таблица 5 для характеризации возможных угроз активам и проведения их
качественной оценки.
Таблица 5 - Результаты оценки угроз активам
|
Категория
угроз
|
Угрозы
|
Актив
|
|
|
Информация
|
Престиж
компании
|
|
Халатность
персонала или их ошибочные действия
|
Неумышленная
порча оборудования
|
Средняя
|
Средняя
|
|
Неумышленное
разглашение информации
|
Высокая
|
Высокая
|
|
Неумышленная
порча или утеря информации, включая носители информации
|
Высокая
|
Высокая
|
|
Стихийные
и природные катаклизмы
|
Пожар
|
Высокая
|
Высокая
|
|
Обрушение
здания вследствие нарушения технологии строительства
|
Высокая
|
Высокая
|
|
Угрозы
со стороны третьих лиц, либо умышленные действия персонала
|
Умышленная
порча или вывод из строя оборудования
|
Средняя
|
Средняя
|
|
Несанкционированное
получение конфиденциальной информации
|
Высокая
|
Высокая
|
|
Хищение
носителей информации
|
Высокая
|
Высокая
|
Оценка существующих и планируемых средств
защиты.
Обеспечением информационной безопасности
компании занимается отдел информационных технологий.
Из защитных мер против проникновения в здании
имеются два поста охраны с турникетом, открываемым либо с помощью смарт-карты,
либо с пульта охранника, несущего круглосуточное дежурство. Доступ к служебному
входу ограничен дверью с электронным замком и видеофоном. Доступ к грузовому
подъезду осуществляется только по предварительной записи и только в заранее
оговоренное время, однако он не охраняется в виду того, что двери грузового
подъезда открываются только изнутри и только когда грузовой лифт находится на
первом этаже.
Дверь в каждый офис блокируется магнитным
замком, открываемым индивидуальной смарт-картой (пропуском) сотрудника
компании. На ночь на каждой комнате включается сигнализация. Есть возможность
выборочного включения и отключения сигнализации в определенных комнатах,
например, для сотрудников, остающихся работать на ночь. Однако пропуска
уволенных сотрудников не декодируются, а остаются в соответствующем отделе у
технического специалиста; если злоумышленник получит доступ к хранилищу этих
пропусков, то сможет получить не только доступ в офис, но и право беспрепятственного
прохода через турникет на посте охраны при входе в здание. Схема систем
безопасности приведена на рисунках 2 и 3.
Рис. 2 - Система
видеонаблюдения
Рис. 3 -
Инфракрасные датчики движения
В общем коридоре на каждом этаже имеется по
одной камере видеонаблюдения, однако общий коридор имеет Г-образную форму,
вследствие чего сотрудники охраны не имеют возможности следить за помещением за
углом.
Видеонаблюдение осуществляется купольными
камерами SAMSUNG SCC-B5366В со следующими техническими характеристиками:
Тип камеры - купольная аналоговая.
Цветность - цветная.
Матрица - 1/3” Super HAD IT.
Объектив - варифокальный с диапазоном фокусных
расстояний 2,5 - 6мм.
Разрешение - 600 ТВ линий.
Чувствительность - 0,12 лк (15 IRE) в цветном
режиме и 0,012 лк (15 IRE) в черно-белом.
Соотношение сигнал/шум - более 52 дБ при
выключенном АРУ.
День/ночь - цветной/монохромный/автоматический.
Баланс белого - более 52 дБ при выключенном АРУ.
Электронный затвор (скорость) - 1/50 - 1/10000.
Автодиафрагма - управляемая сигналом постоянного
тока DC или с фиксированная.(компенсация встречной засветки).
Экранное меню на русском языке.
Детектор движения.
Интерфейс RS-485 и CCVC.
Питание - 12 B DC и 24 В АС.
Диапазон рабочих температур - 10 - +50 градусов
Цельсия.
Габариты - 128х78 мм.
Вес - 330 г.
Рис. 4 - Камера SAMSUNG SCC-B5366В
В кабинетах имеются инфракрасные датчики
движения. Однако они являются единственным средством оповещения охраны, в
результате чего при срабатывании датчика у охраны не будет данных ни о точке
входа злоумышленников в помещение, ни об их количестве.
Антивирусная система защиты на большинстве
компьютеров либо отсутствует, либо находится в неактивном состоянии в виду
личной неприязни большинства сотрудников к замедлению работы их персональных
рабочих компьютеров вследствие работы антивирусной системы защиты.
Профилактических мероприятий по информационной безопасности не проводится.
Доступ к каждому компьютеру сотрудников
ограничен индивидуальным паролем. Доступ к общему сетевому диску так же
ограничен паролем, однако на большинстве компьютеров этот пароль вводится
системой автоматически для ускорения процесса подключения.
Все персональные рабочие компьютеры сотрудников
подключены к локальной сети компании и имеют доступ в Интернет.
Техническая архитектура компании изображена на
рисунке 4.
Рис. 5 - Техническая архитектура компании
Для подключения к Интернет используется модем
Prestige 841C EE, для подключения компьютеров к локальной сети - маршрутизаторы
D-Link DIR-140L.
Главный сервер представляет собой серверный шкаф
под управлением процессора Intel iCore7 с дисковым массивом HP P2000 G3 MSA
Array System объемом 16ТБ, маршрутизатором LynkSys RV042, патч-панелью RJ45
Cat. 5e и источником бесперебойного питания Ippon Smart Winner 3000.
Рабочие персональные компьютеры сотрудников
собираются из комплектующих в стенах компании, и их конфигурация сильно отличается.
У каждого отдела в распоряжении имеется МФУ
Canon 220 i-SENSYS MF 4018.
На персональных рабочих компьютерах сотрудников
установлена операционная система Windows7 Ultimate или Windows XP Professional
с пакетом Microsoft Office 2003, 2007 или 2010, на сервере - Windows Server
2012 с системой управления базой данных Oracle.
Более подробного описания технических
характеристик отделом Информационных Технологий предоставлено не было.
В рамках данной дипломной работы рассматривается
разработка защиты против хищения информации, таким образом, рассмотрению
подлежит только один актив: конфиденциальная информация компании, включающая в
себя:
Данные аутентификации пользователей - пароли
сотрудников, зная которые, злоумышленник может получить доступ к содержимому их
жестких дисков, а так же к общему сетевому диску.
Данные о текущих договорах компании - заказы на
предоставление оборудования в аренду, на написание программного обеспечения или
проведения иных мероприятий.
По итогам проведения анализа существующих средств
защиты, была составлена таблица степени обеспечения безопасности активов
(таблица 6).
Таблица 6 - Степень обеспечения безопасности
активов
|
Актив
|
Оцениваемый
критерий
|
Результат
анализа
|
Влияние
на безопасность
|
|
Данные
аутентификации пользователей
|
Хранение
|
В
памяти сотрудников, либо в бумажном виде
|
Высокое
|
|
Доступность
|
Индивидуальная
для каждого сотрудника
|
Высокое
|
|
Данные
о текущих договорах компании
|
Хранение
|
В
цифровом виде на жестких дисках личных ноутбуков руководителей проектов, либо
в бумажном виде в личных сейфах руководителей проектов, либо временное
хранение на общем сетевом диске
|
Среднее
|
|
Доступность
|
Индивидуальная
для руководителей проектов, либо практически у всех сотрудников компании
|
Среднее
|
С целью снижения уровня угроз актива был
проведен анализ, по результатам которого был составлен список планируемых
мероприятий по его защите:
Уничтожение информации, хранимой в бумажном
виде, после дублирования ее в цифровой вид.
Принудительное отключение автоматического ввода
пароля при подключении к сетевому диску.
Принудительное включение средств антивирусной
защиты на компьютерах сотрудников.
Деактивация пропусков уволенных сотрудников во
избежание их использования с целью несанкционированного проникновения в
кабинеты компании.
Оснащение общего коридора дополнительной камерой
видеонаблюдения.
Дооснащение кабинетов камерами видеонаблюдения в
дополнение к инфракрасным датчикам движения.
Оценка рисков.
Риск - характеристика ситуации, имеющей
неопределённость исхода, при обязательном наличии неблагоприятных последствий в
виде ущерба или убытков. Риск обладает следующими свойствами:
Неопределённость. Риск существует тогда и только
тогда, когда возможно не единственное развитие событий.
Ущерб. Риск существует, когда исход может
привести к негативному последствию.
Наличие анализа. Риск существует, только когда
сформировано субъективное мнение «предполагающего» о ситуации и дана
качественная или количественная оценка негативного события будущего периода.
Значимость. Риск существует, когда
предполагаемое событие имеет практическое значение и затрагивает интересы хотя
бы одного субъекта.
Функции, присущие риску:
Защитная - проявляется в том, что для
хозяйствующего субъекта риск это нормальное состояние, поэтому должно
вырабатываться рациональное отношение к неудачам.
Аналитическая - наличие риска предполагает
необходимость выбора одного из возможных вариантов правильного решения.
Инновационная - проявляется в стимулировании
поиска нетрадиционных решений проблем.
Регулятивная - имеет противоречивый характер и
выступает в двух формах: конструктивной и деструктивной.
Для оценки риска необходимо знать следующие
элементы управления:
Ценности - информация, подлежащая защите.
Угрозы - вредные факторы, от которых
производится защита информации.
Последствия - проблемы, которые могут возникнуть
в случае успешной реализации угроз.
Меры защиты - комплекс мер по предотвращению
угроз.
В виду того, что в компании не ведется отдельной
оценки рисков информационной безопасности, оценка была проведена специально для
данной дипломной работы. Результаты оценки приведены в таблице 7 и условно
ранжированы по степени риска от 1 (наивысший) до 5 (низший).
Таблица 7 - Результаты оценки рисков
информационным активам компании
|
Риск
|
Актив
|
Ранг
риска
|
|
Сбой
или взлом систем антивирусной защиты и средств контроля доступа
|
Престиж
компании, конфиденциальная информация, данные аутентификации сотрудников
|
1
|
|
Риск
|
Актив
|
Ранг
риска
|
|
Хищение
документов
|
Престиж
компании, конфиденциальная информация, данные аутентификации сотрудников
(зависит от уровня подготовки злоумышленника)
|
2
|
|
Отказ
системы охраны против несанкционированного проникновения
|
Престиж
компании, конфиденциальная информация, данные аутентификации сотрудников (зависит
от уровня подготовки злоумышленника)
|
3
|
|
Сбой
аппаратного обеспечения
|
Конфиденциальная
информация, активное оборудование
|
4
|
|
Сбой
систем коммуникаций и халатность персонала в сфере сохранения информации
|
Престиж
компании, конфиденциальная информация
|
5
|
Таким образом, получается, что наибольшему риску
подвергаются престиж компании и конфиденциальная информация, а так же
аутентификационные данные сотрудников.
1.3 Задачи и обоснование
необходимости совершенствования системы обеспечения информационной безопасности
и защиты информации на предприятии
Выбор комплекса задач обеспечения информационной
безопасности и защиты информации из выполняемых предприятием задач и
существующих рисков, характеристика существующих средств информационной
безопасности.
В комплекс задач по обеспечению информационной
безопасности и защиты информации входят:
Сведение к минимуму хранения информации в
бумажном виде и перевод ее в цифровой вид с обязательным сохранением резервных
копий для восстановления в случае сбоя.
Уничтожение информации, хранимой в бумажном
виде, после дублирования ее в цифровой вид.
Принудительное отключение автоматического ввода
пароля при подключении к сетевому диску.
Принудительное включение средств антивирусной
защиты на компьютерах сотрудников и установка автоматического обновления
антивирусных баз и операционных систем на рабочих компьютерах сотрудников.
Декодирование пропусков уволенных сотрудников во
избежание их использования с целью несанкционированного проникновения в
кабинеты компании.
Оснащение общего коридора дополнительной камерой
видеонаблюдения.
Дооснащение кабинетов камерами видеонаблюдения в
дополнение к инфракрасным датчикам движения.
На схеме ниже указано схематическое расположение
комплекса задач по обеспечению безопасности информации. Задачи, решаемые в
рамках данной дипломной работы выделены более темным фоном.
Рис. 6 - Комплекс задач по обеспечению защиты
информации
Определение места проектируемого комплекса задач
в комплексе задач предприятия, детализация задач информационной безопасности и
защиты информации.
Местом рассматриваемого комплекса задач,
описанного в предыдущей главе, является офисное помещение ООО «Р.Т.А.».
Границами рассматриваемой задачи является разработка системы защиты против
хищения информации в ООО «Р.Т.А.», включающее в себя улучшение существующей
системы охранной защиты и описание мер, направленных на более защищенное
хранение информации на компьютерах сотрудников и на общем сетевом диске.
1.4 Выбор защитных мер
Выбор организационных мер.
В качестве организационных мер рекомендуется
провести следующие мероприятия:
Таблица 8
|
Мероприятие
|
Организационная
мера
|
|
Провести
уведомление сотрудников компании о неразглашении их паролей, запретить
отключать систему антивирусной защиты с объяснением возможных последствий
несоблюдения данных мер предосторожности
|
Выпуск
приказа и доведение его до сведения начальников каждого подразделения,
участвующего в обороте конфиденциальной информации компании
|
|
Провести
уведомление руководителей проектов о неразглашении и надежном хранении
документов, содержащих данные о текущих проектах компании
|
Организация
собрания с руководителями проектов
|
Выбор инженерно-технических мер.
В качестве инженерно-технических мер будет
проведена модернизация текущей охранной системы безопасности с целью повышения
защищенности и мониторинга, а так же повышение стабильности работы компьютеров,
обрабатывающих и хранящих конфиденциальную информацию, путем установки
дополнительного оборудования:
Установка дополнительной камеры видеонаблюдения
в общем коридоре для повышения степени охранного мониторинга.
Дооснащение кабинетов камерами видеонаблюдения в
дополнение к инфракрасным датчикам движения, либо замена датчиков движения на
камеры со встроенными датчиками движения для повышения охранного мониторинга.
Оснащение грузового подъезда здания компании
системой видеонаблюдения и инфракрасным датчиком движения для повышения
охранного мониторинга.
Закупка и установка источников бесперебойного
питания для обеспечения сотрудникам своевременного сохранения текущих
документов во избежание потери данных в условиях отключения электричества для
повышения надежности хранения информации.
Декодирование смарт-карт уволенных сотрудников
для повышения охранной безопасности.
Приведение данных мер в исполнение повысит как
уровень охранной безопасности компании, так и уровень сохранности информации,
находящейся на компьютерах сотрудников.
2. ПРОЕКТНАЯ ЧАСТЬ
2.1 Комплекс проектируемых
нормативно-правовых и организационно-административных средств обеспечения
информационной безопасности
Отечественная и международная
нормативно-правовая основа системы обеспечения информационной безопасности.
В данной дипломной работе рассмотрен процесс
проектирования, внедрения и улучшения средств защиты информации, которые
опираются на нормативные акты отечественного и международного права.
К отечественным нормативно-правовым актам
относятся:
Конституция Российской Федерации от 12 декабря
1993 г.
Закон Российской Федерации от 27.12.1991 г. №
2124-1 "О средствах массовой информации".
Закон Российской Федерации от 21.07.1993 г. №
5485-1 "О государственной тайне"
Федеральный Закон Российской Федерации от
8.08.2001 г. №128-ФЗ "О лицензировании отдельных видов деятельности".
Федеральный закон Российской Федерации от
10.01.2002 № 1-ФЗ "Об электронной цифровой подписи".
Федеральный закон Российской Федерации от
31.05.2002 № 62-ФЗ "О гражданстве Российской Федерации".
Федеральный закон Российской Федерации от
27.12.2002 № 184-ФЗ "О техническом регулировании".
Федеральный закон Российской Федерации от
29.07.2004 № 98-ФЗ "О коммерческой тайне".
Федеральный закон Российской Федерации от
22.10.2004 № 125-ФЗ "Об архивном деле в Российской Федерации".
Федеральный закон Российской Федерации от
27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о
защите информации".
Федеральный закон Российской Федерации от
27.07.2006 г. № 152-ФЗ "О персональных данных".
Федеральный закон от 28 декабря 2010 г. № 390-ФЗ
"О безопасности".
Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об
электронной подписи".
Доктрина информационной безопасности Российской
Федерации - Утверждена Президентом Российской Федерации 9 сентября 2000 года №
Пр-1895.
Стратегия Национальной безопасности Российской
Федерации до 2020 года - Утверждена Указом Президента Российской Федерации 12
мая 2009 года № 537.
Военная Доктрина Российской Федерации -
Утверждена Указом Президента Российской Федерации 5 февраля 2010 года № 146.
Указ Президента Российской Федерации от 3 апреля
1995 г. № 334 "О мерах по соблюдению законности в области разработки,
производства, реализации и эксплуатации шифровальных средств, а также
предоставления услуг в области шифрования информации".
Указ Президента Российской Федерации от 30
ноября 1995 г. № 1203 " Об утверждении перечня сведений, отнесенных к
государственной тайне".
Указ Президента Российской Федерации от 9 января
1996 г. № 21 "О мерах по упорядочению разработки, производства,
реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза
за ее пределы, а также использования специальных технических средств,
предназначенных для негласного получения информации".
Указ Президента Российской Федерации от 6 марта
1997 г. № 188 "Об утверждении перечня сведений конфиденциального
характера".
Указ Президента Российской Федерации от 16
августа 2004 г. № 1085 "Положение о Федеральной службе по техническому и
экспортному контролю".
Указ Президента Российской Федерации от 6
октября 2004 г. № 1286 "Вопросы Межведомственной комиссии по защите
государственной тайны".
Распоряжение Президента Российской Федерации от
16 апреля 2005 года № 151-рп "О перечне должностных лиц органов
государственной власти и организаций, наделяемых полномочиями по отнесению
сведений к государственной тайне".
Указ Президента Российской Федерации от 17 марта
2008 г. № 351 "О мерах по обеспечению информационной безопасности
Российской Федерации при использовании информационно-телекоммуникационных сетей
международного информационного обмена".
Указ Президента Российской Федерации от 26
февраля 2009 г. № 228 "Об утверждении структуры и состава Межведомственной
комиссии по защите государственной тайны".
Постановление Правительства Российской Федерации
от 4 июля 1992 г. № 470 "Об утверждении перечня территорий Российской
Федерации с регламентированным посещением для иностранных граждан".
Постановление Правительства Российской Федерации
от 3 ноября 1994 г. № 1233 "Об утверждении положения о порядке обращения
со служебной информацией ограниченного распространения в федеральных органах
исполнительной власти".
Постановление Правительства Российской Федерации
от 15 апреля 1995 г. № 333 "О лицензировании деятельности предприятий,
учреждений и организаций по проведению работ, связанных с использованием
сведений, составляющих государственную тайну, созданием средств защиты
информации, а также с осуществлением мероприятий и (или) оказанием услуг по
защите государственной тайны".
Постановление Правительства Российской Федерации
от 26 июня 1995 г. № 608 "О сертификации средств защиты информации".
Постановление Правительства Российской Федерации
от 4 сентября 1995 г. № 870 "Об утверждении правил отнесения сведений,
составляющих государственную тайну, к различным степеням секретности".
Постановление Правительства Российской Федерации
от 2 августа 1997 г. № 973 "Об утверждении положения о подготовке к
передаче сведений, составляющих государственную тайну, другим государствам или
международным организациям".
Постановление Правительства Российской Федерации
от 22 августа 1998 г. № 1003 "Об утверждении положения о порядке допуска
лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа
иностранных граждан, эмигрантов и реэмигрантов к государственной тайне".
Постановление Правительства Российской Федерации
от 26 января 2006 г. № 45 "Об организации лицензирования отдельных видов
деятельности".
Постановление Правительства Российской Федерации
от 15 августа 2006 г. № 504 "О лицензировании деятельности по технической
защите конфиденциальной информации".
Постановление Правительства Российской Федерации
от 31 августа 2006 г. № 532 "О лицензировании деятельности по разработке и
(или) производству средств защиты конфиденциальной информации".
Постановление Правительства Российской Федерации
от 18 сентября 2006 г. № 573 "О предоставлении социальных гарантий гражданам,
допущенным к государственной тайне на постоянной основе, и сотрудникам
структурных подразделений по защите государственной тайны".
Постановление Правительства Российской Федерации
от 2 июня 2007 г. № 339 "Об утверждении положения о проведении международных
выставок образцов продукции военного назначения на территории Российской
Федерации и об участии российских организаций в таких выставках на территориях
иностранных государств".
Постановление Правительства Российской Федерации
от 17 ноября 2007 г. № 781 "Об утверждении положения об обеспечении
безопасности персональных данных при их обработке в информационных системах
персональных данных".
Постановление Правительства Российской Федерации
от 29 декабря 2007 г. № 957 "Об утверждении положений о лицензировании
отдельных видов деятельности, связанных с шифровальными (криптографическими)
средствами".
Постановление Правительства Российской Федерации
от 6 июля 2008 г. № 512 "Об утверждении требований к материальным
носителям биометрических персональных данных и технологиям хранения таких
данных вне информационных систем персональных данных".
Постановление Правительства Российской Федерации
от 15 сентября 2008 г. № 687 "Об утверждении положения об особенностях
обработки персональных данных, осуществляемой без использования средств
автоматизации".
Постановление Правительства Российской Федерации
от 6 февраля 2010 г. № 63 "Об утверждении инструкции о порядке допуска
должностных лиц и граждан Российской Федерации к государственной тайне".
Постановление Правительства Российской Федерации
от 3 февраля 2012 г. № 79 "О лицензировании деятельности по технической
защите конфиденциальной информации"
ГОСТ Р 50922-2006 - Защита информации. Основные
термины и определения.
Р 50.1.053-2005 - Информационные технологии. Основные
термины и определения в области технической защиты информации.
ГОСТ Р 51188-98 - Защита информации. Испытание
программных средств на наличие компьютерных вирусов. Типовое руководство.
ГОСТ Р 51275-2006 - Защита информации. Объект
информатизации. Факторы, воздействующие на информацию. Общие положения.
ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная
технология. Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 1. Введение и общая модель.
ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная
технология. Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 2. Функциональные требования
безопасности.
ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная
технология. Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 3. Требования доверия к
безопасности.
ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки
безопасности информационных технологий» - стандарт, определяющий инструменты и
методику оценки безопасности информационных продуктов и систем; он содержит
перечень требований, по которым можно сравнивать результаты независимых оценок
безопасности - благодаря чему потребитель принимает решение о безопасности
продуктов. Сфера приложения «Общих критериев» - защита информации от
несанкционированного доступа, модификации или утечки, и другие способы защиты,
реализуемые аппаратными и программными средствами.
ГОСТ Р ИСО/МЭК 17799 - «Информационные
технологии. Практические правила управления информационной безопасностью».
Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
ГОСТ Р ИСО/МЭК 27001 - «Информационные
технологии. Методы безопасности. Система управления безопасностью информации.
Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
ГОСТ Р 51898-2002 - Аспекты безопасности.
Правила включения в стандарты.
К международным нормативно-правовым актам
относятся:7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part
1 - Code of Practice for Information Security Management (Практические правила
управления информационной безопасностью) описывает 127 механизмов контроля,
необходимых для построения системы управления информационной безопасностью
(СУИБ) организации, определённых на основе лучших примеров мирового опыта (best
practices) в данной области. Этот документ служит практическим руководством по
созданию СУИБ7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS
7799 Part 2 - Information Security management - specification for information
security management systems (Спецификация
системы
управления
информационной
безопасностью)
определяет
спецификацию
СУИБ.
Вторая часть стандарта используется в качестве критериев при проведении
официальной процедуры сертификации СУИБ организации.7799-3:2006 - Британский
стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления
рисками информационной безопасности/IEC 17799:2005 - «Информационные технологии
- Технологии безопасности - Практические правила менеджмента информационной
безопасности». Международный стандарт, базирующийся на BS 7799-1:2005./IEC
27000 - Словарь и определения./IEC 27001:2005 - «Информационные технологии -
Методы обеспечения безопасности - Системы управления информационной безопасностью
- Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
ISO/IEC
27002 - Сейчас: ISO/IEC
17799:2005. «Информационные технологии - Технологии безопасности - Практические
правила менеджмента информационной безопасности». Дата выхода - 2007 год./IEC
27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
German Information Security Agency.
IT Baseline Protection Manual - Standard security safeguards (Руководство
по
базовому
уровню
защиты
информационных
технологий).
Организационно-административная основа создания
системы обеспечения информационной безопасности и защиты информации
предприятия.
Организационно-техническая защита информации
обеспечивается проведением следующих мероприятий:
Ограничение доступа посторонних лиц в здание компании
и в офисные помещения благодаря магнитным замкам на дверях и охраняемым
турникетам при входе в здание.
Компьютеры руководителей проектов оснащены
операционной системой Mac OS, что снижает вероятность утери данных вследствие
вирусной атаки.
Уровни доступа сотрудников к информации
разделены по степени секретности.
Приказом Генерального директора «О проводимых
мероприятиях в области защиты коммерческой тайны» были сформированы следующие
документы: «Инструкция и обязанности сотрудников в области защиты коммерческой
тайны», которую подписывает каждый сотрудник, устраивающийся на работу в
компанию. «Инструкция системному администратору для обеспечения информационной
безопасности от утечки информации по техническим каналам связи».
2.2 Комплекс проектируемых
программно-аппаратных средств обеспечения информационной безопасности и защиты
информации предприятия
Структура программно-аппаратного комплекса
информационной безопасности и защиты информации предприятия.
Система видеонаблюдения.
Система видеонаблюдения (закрытые системы
кабельного телевидения, CCTV) - система аппаратно-программных средств,
предназначенная для осуществления видеонаблюдения.
Локальная система - система, область действия и
применения которой ограничена географически территорией здания, предприятия,
организации и т. п.
Системы видеонаблюдения бывают централизованные
и децентрализованные:
Централизованная система имеет один центр и
некоторое количество видеокамер.
Децентрализованная система представляет себя как
совокупность нескольких централизованных, объединенных логически в одну
структуру, но физически разделенных и способных функционировать независимо.
Характеристики и единицы измерения, используемые
в системах видеонаблюдения:
Чувствительность видеокамеры характеризуется
минимальным отверстием диафрагмы (максимальным F-числом), дающим видеосигнал
размаха 1В на тестовой таблице, освещенность которой 2000лк и цветовой
температурой 3200°К. Чувствительность видеокамеры, четко определенная в
широковещательном ТВ, в охранном телевидении часто понимается неверно, её
обычно путают с минимальной освещенностью.
Минимальная освещенность - (в характеристиках
видеокамер этот параметр часто указывают как чувствительность) это наименьшая
освещенность на объекте, при которой видеокамера дает распознаваемый сигнал,
выражается в люксах на объекте. Ряд производителей использует термин
распознаваемый сигнал в широком смысле и не указывают уровень сигнала на выходе
видеокамеры. Этот уровень может составлять даже 10 %, что при включенной АРУ
будет казаться значительно больше.
Типичные уровни освещенности:
Облачная безлунная ночь - 0,0001лк
Ясная безлунная ночь - 0,001лк
Полнолуние - 0,01-0,1лк
Уличное освещение - 1-10лк
Офисное освещение - 100-1000лк
Ясный день - до 100000лк
Динамический диапазон ПЗС-матрицы видеокамеры
определяется как максимальный сигнал по отношению к среднеквадратичному
значению фона экспозиции, то есть отношение темных и ярких объектов в пределах
одной сцены. Чем выше это отношение, тем более темные элементы видны на ярком
общем фоне кадра.
Разрешающая способность видеокамеры - это
максимальное число линий, помещающихся в одном кадре монитора (ТВЛ -
телевизионные линии). Обычно указывается разрешающая способность по
горизонтали, разрешающая способность по вертикали составляет 3/4 от горизонтальной.
Разрешающая способность устройств обработки и
отображения видеоинформации измеряется, как правило, в пикселях. Это
способность прибора раздельно наблюдать, фиксировать и (или) отображать рядом
расположенные точки графического образа объекта. Измеряется числом раздельно
отображаемых точек, приходящихся на дюйм поверхности кадра. Первое число -
количество точек по горизонтали, второе - по вертикали. Иногда её измеряют в
CIF.
Отношение сигнал/шум - это превышение уровня
сигнала над уровнем шума при минимальной освещенности, измеряется в дБ и
зависит от качества ПЗС матрицы видеокамеры. На экране зашумленное изображение
выглядит как зернистость или снег, а в цветном изображении появляются короткие
цветные полоски или вспышки. Формула по напряжению имеет вид S/N=20lg(Uc/Uш)
Формула по мощности сигнала имеет вид S/N=10lg(Pc/Pш)
Скорость записи (воспроизведения или просмотра)
- Кадровая частота - количество кадров, которое видеосистема записывает
(воспроизводит или передает) за одну секунду. Измеряется в кадрах в секунду
(англ. frames per second, fps). Иногда производителями используется pps -
количество полуполей, отображаемых видеосистемой за секунду. 1fps = 2pps.
Режимы записи:
Непрерывная запись - это постоянная
круглосуточная запись видеоизображения.
Запись по расписанию - запись в определенное
время суток.
Запись по тревоге - запись начинается при
поступлении определенного сигнала.
Запись по детектору движения - запись
осуществляется только во время изменения изображения.
Экстренная запись или запись в ручном режиме -
запись начинается по команде оператора (при нажатии кнопки).
Купольная камера видеонаблюдения на сегодняшний
момент является одним из самых универсальных типов камер для организации
системы видеонаблюдения любого уровня сложности. Многие модели купольных камер
видеонаблюдения оснащаются 3D кронштейном, который позволяет произвести монтаж
купольной камеры, как на потолок, так и на стену, без искажения изображения с
камеры. Современные купольные камеры видеонаблюдения оборудуются целым ассортиментом
опций от простейших с разрешением в 420твл и матрицей CMOS или SHARP до самого
полного набора, в который входят и DNR (цифровое шумоподавление) и WDR
(расширенный диапазон). Некоторые купольные камеры видеонаблюдения выпускаются
с встроенной ИК подсветкой и объективом с варьируемым фокусом.Камера - под
IP-камерой понимают цифровую видеокамеру, особенностью которой является
передача видеопотока в цифровом формате по сети Ethernet, использующей протокол
IP.
Являясь сетевым устройством, каждая IP-камера в
сети имеет свой IP-адрес.
В отличие от аналоговых камер, при использовании
IP-камер, после получения видеокадра с ПЗС (прибор с зарядовой связью) или КМОП
(комплементарная логика на транзисторах металл-оксид-полупроводник) матрицы
камеры, изображение остаётся цифровым вплоть до отображения на мониторе.
Как правило, перед передачей, полученное с
матрицы изображение сжимается с помощью покадровых (MJPG) или потоковых
(MPEG-4, H.264) методов видеосжатия. Существуют специализированные IP-камеры,
осуществляющие передачу видео в несжатом виде.
В качестве протокола транспортного уровня в
IP-камерах могут использоваться протоколы: TCP, UDP и другие транспортные
протоколы сетевого протокола IP. Распространена возможность электропитания
IP-камер через PoE.
Благодаря тому, что IP-камерам не требуется
передавать аналоговый сигнал в формате PAL или NTSC, в IP-камерах могут
использоваться большие разрешения, включая мегапиксельные. Типичное разрешение
для сетевых камер: 640x480 точек. Существуют камеры с мегапиксельными
разрешениями: 1280x1024, 1600x1200 и более высокими.
Благодаря отказу от использования стандартов
аналогового телевидения PAL и NTSC, IP-камеры могут передавать видеокадры с
требуемой частотой. Существуют IP-камеры с частотой передачи больше 60 кадров в
секунду.
АРУ - система автоматической регулировки
усиления сигнала. Служит для стабилизации выходного сигнала на уровне 1В, так
как ПЗС матрица камеры наблюдения не всегда формирует сигнал достаточной
амплитуды, поэтому, наличие в камере автоматической регулировки усиления
позволяет довести выходной сигнал до нужного уровня. Однако следует учитывать,
что, усиливая видеосигнал, АРУ в равной степени усиливает и шумы, оставляя
соотношение сигнал/шум неизменным. В некоторых видеокамерах система АРУ может быть
отключена, что в ряде случаев, когда требуется, чтобы не ухудшалось соотношение
сигнал/шум. Глубина АРУ у различных видеокамер может быть от 12 до 30 дБ.
В компании установлена централизованная система
видеонаблюдения, сохраняющая данные на видеосервере в режиме непрерывной
записи. Видеонаблюдение осуществляется купольными камерами SAMSUNG SCC-B5366В
со следующими техническими характеристиками:
Тип камеры - купольная аналоговая.
Цветность - цветная.
Матрица - 1/3” Super HAD IT.
Объектив - варифокальный с диапазоном фокусных
расстояний 2,5 - 6мм.
Разрешение - 600 ТВ линий.
Чувствительность - 0,12 лк (15 IRE) в цветном
режиме и 0,012 лк (15 IRE) в черно-белом.
Соотношение сигнал/шум - более 52 дБ при
выключенном АРУ.
День/ночь - цветной/монохромный/автоматический.
Баланс белого - более 52 дБ при выключенном АРУ.
Электронный затвор (скорость) - 1/50 - 1/10000.
Автодиафрагма - управляемая сигналом постоянного
тока DC или с фиксированная.(компенсация встречной засветки).
Экранное меню на русском языке.
Детектор движения.
Интерфейс RS-485 и CCVC.
Питание - 12 B DC и 24 В АС.
Диапазон рабочих температур - 10 - +50 градусов
Цельсия.
Габариты - 128х78 мм.
Вес - 330 г.
Рис. 7 - Камера SAMSUNG SCC-B5366В
Система пропускного контроля.
Турникет - устройство, предназначенное для
ограничения прохода людей в случае, когда необходима проверка права входа и
выхода для каждого проходящего. Основная задача турникета - создать физическую
преграду перед человеком, до его авторизации, которая может осуществляться с
помощью механизмов или электронных устройств, или до принятия решения
сотрудником, отвечающим за пропуск на территорию. Турникет относится к классу
систем контроля и управления доступом.
Основные типы турникетов:
Трипод - представляет собой наиболее простую
конструкцию турникета. Преградой являются планки, установленные на барабане под
таким углом к оси его вращения, что в исходном положении одна из планок
параллельна поверхности земли и преграждает проход, в то время как две другие планки
находятся в нижнем положении за пределами прохода. Человек, проходя через
турникет, толкает планку, в результате чего барабан поворачивается и планка
оказывается за пределами прохода, в то время как её место занимает другая,
преграждая проход следующему человеку.
Преимущества триподов:
Простота конструкции
Малые габариты
В конструкции таких турникетов обычно
предусмотрена функция «антипаника» - возможность снятия или опускания планок
для беспрепятственного пропуска людей в экстренной ситуации.
Недостатком трипода является простота обхода
турникета: барьер представляет собой лишь планку, под которой несложно
пролезть, или даже перешагнуть её. Таким образом, трипод можно устанавливать
только в тех случаях, когда есть возможность оперативно задержать нарушителя.
Рис. 8 - Трипод
Роторный - в турникетах этого типа путь
преграждают ряды горизонтальных планок, установленных на вертикальной оси.
Преимущества роторных турникетов:
Такие турникеты более надёжно перекрывают проход.
Существуют полноростовые модификации роторных турникетов, которые человеку
принципиально невозможно обойти.
К недостаткам можно отнести тот факт, что такие
турникеты имеют большие габариты, они сужают проход в 2 раза. Кроме того, нет
возможности полностью открыть роторный турникет в случае экстренной ситуации.
Створчатый - самый распространенный тип
турникета, преграждает путь створками. Створчатые турникеты обычно оснащаются
датчиками (чаще всего, оптическими), сообщающими исполнительному механизму о
подходе человека к турникету и о проходе через него. Если для турникетов других
типов такие датчики обычно устанавливаются как дублирующие - для сигнализации о
попытках несанкционированного прохода, то в створчатых турникетах они
необходимы для предотвращения прохода нескольких человек при открытии турникета
для одного. Существуют разновидности, в которых створки закрываются только при
попытке несанкционированного прохода, так и такие, в которых створки постоянно
закрыты, и открываются только если поступило разрешение на проход. Створки
такого турникета могут быть как распашными, так и сдвижными.
Данный тип турникета менее пригоден к
использованию на контрольно-пропускном пункте компании, чем трипод, по
следующим причинам:
Створки довольно легко повредить при их
блокировке, и потребуется дорогостоящий ремонт.
Пропускная способность створчатого турникета
намного ниже пропускной способности трипода в виду того, что для прохода через
створчатый турникет сотрудникам приходится ждать, пока человек, проходящий
перед ними, дождется открытия створок, пройдет вперед и полностью покинет зону
действия датчиков движения турникета, в то время как при прохождении трипода
сотрудники могут идти друг за другом, почти не останавливаясь.
Смарт-карты - представляют собой пластиковые
карты со встроенной микросхемой. В большинстве случаев смарт-карты содержат
микропроцессор и операционную систему, контролирующую устройство и доступ к
объектам в его памяти. Кроме того, смарт-карты, как правило, обладают
возможностью проводить криптографические вычисления.
Назначение смарт-карт - одно- и двухфакторная
аутентификация пользователей, хранение ключевой информации и проведение
криптографических операций в доверенной среде.
Все смарт-карты можно разделить по способу
обмена со считывающим устройством на:
Контактные смарт-карты с интерфейсом ISO 7816.
Такие смарт-карты имеют зону соприкосновения, содержащую несколько небольших
контактных лепестков. Когда карта вставляется в считыватель, чип соприкасается
с электрическими коннекторами, и считыватель может считать и\или записать
информацию с чипа. Форма карты, контактов, их расположение и назначение
регламентируются в стандартах ISO/IEC 7816 и ISO/IEC 7810.Стандарт ISO/IEC 7816
регламентирует также протоколы обмена и некоторые аспекты работы с данными,
которые используются и для других смарт-карт.
Контактные карты не содержат батареек; энергия
поддерживается считывателями.
Наиболее массовые контактные смарт-карты - это
SIM карточки сотовой связи, таксофонные карты, некоторые банковские карточки.
Контактные смарт-карты с USB интерфейсом. Такие
карты зачастую представляют собой микросхему обычной ISO 7816 карты совмещенную
с USB-считывателем в одном миниатюрном корпусе. Это делает применение
смарт-карт для компьютерной аутентификации гораздо удобнее.
Бесконтактные смарт-карты (БСК). Это
смарт-карты, в которых карта общается со считывателем через технологию RFID
(Radio Frequency IDentification). Требуется подносить карточки достаточно
близко к считывателю, чтобы провести необходимые операции. Они часто
применяются в областях, где необходимо провести операцию быстро, например, в
общественном транспорте.
Стандарт для бесконтактных смарт-карт - ISO/IEC
14443, реже ISO/IEC 15693.
Для работы с бесконтактными смарт-картами
применяется технология RFID. Как и контактные смарт-карты, бесконтактные не
имеют батареек. В них встроена катушка индуктивности, чтобы запасти энергию для
начального радиочастотного импульса, который затем выпрямляется и используется
для работы карточки.
Примеры широко используемых бесконтактных
смарт-карт: проездные в метрополитене и наземном транспорте, электронные
(«биометрические») паспорта, некоторые виды карт в системах контроля доступа.
Карты памяти. Такие карты содержат некоторое
количество данных и фиксированный механизм разграничения доступа к ним. Как
правило, это карты для микроплатежей на транспорте, таксофонах, в парках
отдыха, карты лояльности клиентов и т. п.
В качестве механизма ограничения доступа могут
выступать как очень простые (однократная запись, пароль, уникальный номер) так
и посложнее (взаимная аутентификация с использованием стандартных симметричных
криптоалгоритмов AES, DES). Примеры: проездные в метрополитене и наземном
транспорте, таксофонные карты.
Интеллектуальные карты. Содержат микропроцессор
и возможность загружать алгоритмы его работы. Возможные действия таких карт
включают в себя комплексные действия при аутентификации, сложные протоколы
обмена, регистрация фактов доступа и т. п.
Помимо симметричной криптографии (AES, DES)
знают асимметричную (RSA), алгоритмы инфраструктуры открытых ключей (PKI),
имеют аппаратные генераторы случайных чисел, усиленную защиту от физической
атаки.
Как правило, функционируют под управлением
операционной системы (например JCOP или MULTOS), снабжены соответствующей
пачкой сертификатов.
Примеры: электронные («биометрические») паспорта
и визы, SIM карточки сотовой телефонии.
Контрольно-пропускной контроль в компании
осуществляется с помощью двух турникетов-триподов ARGO TRT 11-02G,
открывающихся как с пульта охранника, так и индивидуальной бесконтактной
смарт-картой сотрудника, для чего на стенах рядом с турникетами расположены
соответствующие считывающие устройства.
Источник бесперебойного питания.
Источник бесперебойного питания, (ИБП) -
источник вторичного электропитания, автоматическое устройство, назначение
которого - обеспечить подключенное к нему электрооборудование бесперебойным
снабжением электрической энергией в пределах нормы.
ГОСТ 13109-97 (взамен ГОСТ 13109-87) определяет
следующие нормы в электропитающей сети: напряжение 220 В ± 5% (предельные
значения ± 10%); частота 50 Гц ± 0,2 Гц (предельные значения ± 0,4 Гц);
коэффициент нелинейных искажений формы напряжения менее 8 % (длительно) и менее
12 % (кратковременно).
Неполадками в питающей сети считаются:
Авария сетевого напряжения (напряжение в
питающей сети полностью пропало).
Высоковольтные импульсные помехи (резкое
увеличение напряжения до 6 кВ продолжительностью от 10 до 100 мс).
Долговременные и кратковременные подсадки и
всплески напряжения.
Высокочастотный шум (высокочастотные помехи,
передаваемые по электросети).
Побег частоты (отклонение частоты более чем на 3
Гц).
Массовое использование ИБП связано с
обеспечением бесперебойной работы компьютеров, позволяющее подключенному к ИБП
оборудованию при пропадании электрического тока или при выходе его параметров
за допустимые нормы, некоторое непродолжительное (как правило - до одного часа)
время продолжить работу. Кроме компьютеров, ИБП обеспечивают питанием и другую
электрическую нагрузку, критичную к наличию питания с нормальными параметрами
электропитающей сети, например схемы управления отопительными котлами. ИБП
способен корректировать параметры (напряжение, частоту) выходной сети. Может
совмещаться с различными видами генераторов электроэнергии (например, дизель-генератором).
Важными показателями, обуславливающими выбор
схемы построения ИБП, являются время переключения нагрузки на питание от
аккумуляторных батарей и время работы от аккумуляторной батареи.
Комплекс программных средств информационной
безопасности.
Сетевой экран - комплекс аппаратных или
программных средств, осуществляющий контроль и фильтрацию проходящих через него
сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита
компьютерных сетей или отдельных узлов от несанкционированного доступа. Также
сетевые экраны часто называют фильтрами, так как их основная задача - не
пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в
конфигурации.
Некоторые сетевые экраны также позволяют
осуществлять трансляцию адресов - динамическую замену внутрисетевых (серых)
адресов или портов на внешние, используемые за пределами ЛВС.
Другие названия сетевого экрана:
Брандма́уэр
(нем. Brandmauer) - заимствованный из немецкого языка термин, являющийся
аналогом английского firewall в его оригинальном значении (стена, которая
разделяет смежные здания, предохраняя от распространения пожара). Интересно,
что в области компьютерных технологий в немецком языке употребляется слово
«Firewall».
Файрво́лл,
файрво́л,
файерво́л,
фаерво́л
- образовано транслитерацией английского термина firewall.
Типичные возможности:
Фильтрация доступа к заведомо незащищенным
службам.
Препятствование получению закрытой информации из
защищенной подсети, а также внедрению в защищенную подсеть ложных данных с
помощью уязвимых служб.
Контроль доступа к узлам сети.
Может регистрировать все попытки доступа как
извне, так и из внутренней сети, что позволяет вести учёт использования доступа
в Интернет отдельными узлами сети.
Регламентирование порядка доступа к сети.
Уведомление о подозрительной деятельности,
попытках зондирования или атаки на узлы сети или сам экран.
Вследствие защитных ограничений могут быть
заблокированы некоторые необходимые пользователю службы, такие как Telnet, FTP,
SMB, NFS, и так далее. Поэтому настройка файрвола требует участия специалиста
по сетевой безопасности. В противном случае вред от неправильного
конфигурирования может превысить пользу.
Также следует отметить, что использование
файрвола увеличивает время отклика и снижает пропускную способность, поскольку
фильтрация происходит не мгновенно.
Межсетевой экран сам по себе не панацея от всех
угроз для сети. В частности, он:
Не защищает узлы сети от проникновения через
«люки» или уязвимости ПО.
Не обеспечивает защиту от многих внутренних
угроз, в первую очередь - утечки данных.
Не защищает от загрузки пользователями
вредоносных программ, в том числе вирусов.
Для решения последних двух проблем используются
соответствующие дополнительные средства, в частности, антивирусы. Обычно они
подключаются к файрволу и пропускают через себя соответствующую часть сетевого
трафика, работая как прозрачный, для прочих сетевых узлов, прокси, или же
получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует
значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети
самостоятельно.
Антивирусная программа (антивирус) - любая
программа для обнаружения компьютерных вирусов, а также нежелательных
(считающихся вредоносными) программ вообще и восстановления зараженных
(модифицированных) такими программами файлов, а также для профилактики -
предотвращения заражения (модификации) файлов или операционной системы
вредоносным кодом.
На данный момент антивирусное программное
обеспечение разрабатывается, в основном, для ОС семейства Windows от компании
Microsoft, что вызвано большим количеством вредоносных программ именно под эту
платформу (а это, в свою очередь, вызвано большой популярностью этой ОС, так
же, как и большим количеством средств разработки, в том числе бесплатных и даже
«инструкций по написанию вирусов»). В настоящий момент на рынок выходят
продукты и под другие платформы настольных компьютеров, такие, как Linux и Mac
OS X. Это вызвано началом распространения вредоносных программ и под эти
платформы, хотя UNIX-подобные системы всегда славились своей надежностью.
Обнаружение, основанное на сигнатурах
(реактивные технологии) - метод работы антивирусов и систем обнаружения
вторжений, при котором программа, просматривая файл или пакет, обращается к
словарю с известными вирусами, составленному авторами программы. В случае
соответствия какого-либо участка кода просматриваемой программы известному коду
(сигнатуре) вируса в словаре, программа антивирус может заняться выполнением
одного из следующих действий:
Удалить инфицированный файл.
Отправить файл в «карантин» (то есть сделать его
недоступным для выполнения, с целью недопущения дальнейшего распространения
вируса).
Попытаться восстановить файл, удалив сам вирус
из тела файла.
Проактивные технологии антивирусной защиты -
совокупность технологий и методов, используемых в антивирусном программном
обеспечении, основной целью которых, в отличие от реактивных (сигнатурных)
технологий, является предотвращение заражения системы пользователя, а не поиск
уже известного вредоносного программного обеспечения в системе.
Классифицировать антивирусные продукты можно
сразу по нескольким признакам, таким, как: используемые технологии антивирусной
защиты, функционал продуктов, целевые платформы.
По используемым технологиям антивирусной защиты:
Классические антивирусные продукты (продукты,
применяющие только сигнатурный метод детектирования).
Продукты проактивной антивирусной защиты
(продукты, применяющие только проактивные технологии антивирусной защиты).
Комбинированные продукты (продукты, применяющие
как классические, сигнатурные методы защиты, так и проактивные).
По функционалу продуктов:
Антивирусные продукты (продукты, обеспечивающие
только антивирусную защиту).
Комбинированные продукты (продукты,
обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама,
шифрование и резервное копирование данных, и другие функции).
По целевым платформам:
Антивирусные продукты для ОС семейства Windows.
Антивирусные продукты для ОС семейства *NIX (к
данному семейству относятся ОС BSD, Linux, Mac OS X и др.).
Антивирусные продукты для мобильных платформ
(Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.).
Антивирусные продукты для корпоративных
пользователей можно также классифицировать по объектам защиты:
Антивирусные продукты для защиты рабочих
станций.
Антивирусные продукты для защиты файловых и
терминальных серверов.
Антивирусные продукты для защиты почтовых и
Интернет-шлюзов.
Антивирусные продукты для защиты серверов
виртуализации.
К программным средствам защиты информации
компании можно отнести запущенные на каждом компьютере сетевой экран Брандмауэр
Windows и один из антивирусов: Avira, Dr.Web, Kaspersky (антивирус
устанавливается по выбору сотрудника).
Контрольный пример реализации проекта и его
описание.
Объектом модернизации является система
безопасности компании, а именно охранные, технические и программные системы
безопасности.
Модернизация системы видеонаблюдения.
Для повышения защиты против утечки информации с
видеокамер по аналоговому каналу связи, а так же для повышения скорости
обновления информации у охраны, аналоговые видеокамеры следует заменить на IP
камеры, так как они обладают рядом преимуществ перед аналоговыми камерами:
Скорость съемки, не ограниченная системами
аналогового кодирования PAL и NTSC.
Сигнал с камеры не перекодируется в аналоговый и
обратно, вследствие чего повышается скорость обработки и передачи видеопотока,
а так же снижается риск перехвата сигнала по аналоговому каналу связи.
Разрешение видеопотока IP камер превосходит
разрешение аналоговых камер.камеры могут передавать сигнал по беспроводным
каналам связи.
Рис. 9 - Принцип работы IP-Камеры
Для замены камер была выбрана модель Evidence
Apix-MiniDome/M2 Lite 40.
Рис. 10 - IP-Камера
Evidence Apix-MiniDome/M2 Lite 40
Камера Evidence Apix-MiniDome/M2 Lite 40
выполнена в купольном корпусе и предназначена для эксплуатации внутри
помещений. Матрица с разрешением 2 МП и прогрессивной разверткой формирует
четкую картинку высокой четкости с разрешением Full HD 1080p. Кроме этого,
устройство имеет ряд функций по улучшению детализации изображения: AWB
(автоматический баланс белого), BLC (компенсация встречной засветки), AGC
(автоматический уровень усиления), WDR (расширение динамического диапазона).
Для компрессии видеосигнала используются распространенные кодеки H.264, MJPEG и
MPEG4, поддерживается двойной поток, что позволяет рационально расходовать
трафик локальной сети. Фиксация звуков с объекта производится за счет
установленного микрофона. В устройстве предусмотрен многоуровневый доступ по
локальной сети. Высокое качество изображения, компактные размеры и оптимальный
набор функций, делают камеру Evidence Apix - MiniDome / M2 Lite 40 отличным
выбором для современных цифровых систем видеонаблюдения, где существуют особые
требования к качеству видеосигнала.
Характеристики камеры Evidence Apix - MiniDome /
M2 Lite 40, повлиявшие на выбор:
• Режим «день-ночь» - для съемок в любое
время суток.
• Формат сжатия - Motion JPEG, MPEG-4,
H.264 - самые распространенные и одни из самых лучших форматов для вещания.
• Цветность - цветная - для получения
более подробной информации о посетителях на случай, если потребуется составить
точное описание по приметам: цвет одежды, волос и др.
• Скорость передачи (кадров в секунду) -
до 25 - для наиболее оперативного обновления информации.
• Разрешение (точек на дюйм) - 1920х1080
- максимально доступное разрешение для большинства видеопроцессоров.
• Чувствительность, ЛЮКС - 0,1 ЛК - для
съемок в условиях плохой освещенности.
• Габаритные размеры, мм - 110х47.
• Работа по сети Ethernet.
• Компенсация встречной засветки - камеру
невозможно «ослепить».
• Вес - 0,18 кг.
• Энергопотребление - 6 Вт.
• Экранное меню.
Оптовая стоимость камеры Evidence
Apix-MiniDome/M2 Lite 40 составляет 7697р., что на 353 рубля дешевле, чем
SAMSUNG SCC-B5366В.
Установка источников бесперебойного питания.
В связи с тем, что рядом со зданием компании
ведутся работы по строительству новых корпусов, в электросети часто возникают
сбои с возможным отключением питания, предлагаю купить и установить источники
бесперебойного питания IPPON Back Verso 800 со следующими характеристиками:
Выходная мощность, VA - 800.
Выходная мощность, Вт - 480.
Номинальное входное напряжение 220В.
Выходная частота (рав. сети) - 50Гц
(автоопознавание).
Форма выходного напряжения - аппроксимированная
синусоида.
Диапазон входного напряжения - 170-260В.
Номинальное выходное напряжение - 220 В +/- 10%.
Выходная частота - 50 Гц +/- 1 Гц.
Форма выходного напряжения - ступенчатая
аппроксимация синусоиды.
Время перехода на батареи, мс - 2-6.
Постоянная защита от всплесков/шумов.
Защита от короткого замыкания.
Защита от перегрузки - ИБП автоматически
выключится, если нагрузка составит 110% от допустимой в течении 60 сек. и 130%
в течение 3 сек.
Защита от глубокого разряда батарей -
автоматически выключится после 30 минут автономной работы вне зависимости от
величины нагрузки.
Защита входной цепи - возвращаемый в исходное
положение автоматический выключатель.
Защита компьютерной сети или телефонной линии -
порт RJ-45/RJ-11
Количество и тип аккумуляторной батареи, В/Вт*шт
- 12V9Ah x 1
Обычное время заряда максимум - 12 часов
до 90% после полной разрядки.
Время работы от аккумулятора при нагрузке PC +
15" монитор (обычно 100 Вт) - ~ 27-30 мин.
Светодиодная индикация: Сеть (индикатор зеленого
цвета), Работа от аккумулятора (индикатор жёлтого цвета), Неисправность
(индикатор красного цвета).
Размеры, мм - 252х130х209.
Выходные разъемы - 6 x Schuko CEE 7 (2 с
фильтрацией, 4 с батарейной поддержкой).
Поддерживаемые стандарты ISO9002, CE,
cUL, PCT.
Вес НЕТТО/БРУТТО, кг - 7,0.
Данное устройство стоит 2 870 рублей за штуку и
имеет весьма положительные отзывы в интернет-магазинах.
видеонаблюдение информационный
безопасность компания
Рис. 11 - Источник бесперебойного питания IPPON
Back Verso 800
Модернизация программной системы защиты
информации.
В качестве единого антивируса, устанавливаемого
на компьютеры всех сотрудников предлагаю установить корпоративную версию
Антивируса Касперского в виду того, что он не только превосходно выполняет роль
противовирусной защиты (с его помощью был уничтожен один из вирусов-руткитов,
подменявших системные команды отправки интернет-пакетов и таким образом
передававших копию всего трафика злоумышленникам, перед которым оказались
бессильны и Dr.Web, и Avira), но и предоставляет возможность фильтрации
интернет-трафика в качестве сетевого экрана.
В дополнение к стандартному диспетчеру задач
Windows рекомендую установить бесплатный диспетчер задач AnVir Task Manager,
который в отличие от стандартного taskmgr.exe запрещать запуск процессов,
показывать дерево автозагрузки для последующей выгрузки ненужных программ из
нее, ведет лог всех событий, связанных с работой программ (время запуска,
полный путь к файлу, открытие/закрытие окон, процесс-родитель и др.), позволяет
перейти к исполняемому файлу запущенной программы или процесса, позволяет
отправить интересующий исполняемый файл на проверку 40 антивирусами, а так же
имеющий большие возможности по настройке и оптимизации загрузки Windows. По
большей части AnVir Task Manager использует для работы стандартные средства
Windows, но при этом все эти средства объединены в одной программе и удобно
распределены по разделам, что облегчает процесс настройки и администрирования
компьютера. Так же данный диспетчер задач предоставляет ряд удобств для
пользователей, таких как:
Возможность поместить любое окно поверх всех
остальных, сворачивать окна в трей, чтобы не занимать места на панели задач.
Создать плавающую иконку, чтобы свернуть
программу не на панель задач, а на рабочий стол.
Вывод информации о количестве информации,
хранимой на системных дисках под иконками дисков (очень актуально особенно для
Windows XP).
Учитывая, что на всех компьютерах компании
установлены только лицензионные версии Windows, рекомендуется проверить
состояние системы автоматического обновления операционной системы. В рамках
данной дипломной работы система автоматического обновления требуется для
обеспечения целостности системных программ и процессов, которые могут быть
повреждены вирусами, которых еще нет в базах данных антивирусов. Благодаря этой
системе был восстановлен системный процесс, отвечавший за доступ в интернет и
аудиоустройства, который был заражен новым вирусом, не определяемым ни одним и
перечисленных выше антивирусом.
3. ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ
ЭФФЕКТИВНОСТИ ПРОЕКТА
.1 Выбор и обоснование методики
расчёта экономической эффективности
В качестве методики расчета экономической
эффективности был использован метод расчета, описывающий затраченные ресурсы на
проведение модернизации и выявляющий зависимость величины потерь организации.
Данный метод является оптимальным в рамках проведения модернизации системы
безопасности против хищения информации в компании ООО «Р.Т.А.» той причине, что
предоставляет руководству детальную информацию для принятия решения.
Таким образом, для определения экономической
эффективности системы защиты информации необходимы следующие данные
Расходы (выделенные ресурсы) на
создание/модернизацию данной системы и поддержание её в работоспособном
состоянии.
Величины потерь, обусловленных угрозами
информационным активам после внедрения/модернизации системы защиты информации.
В таблице ниже отображен результат выполнения
экспертной оценки величины потерь для критичных информационных ресурсов до
модернизации БЛВС в компании ООО «Р.Т.А.».
Таблица 9 - Величины потерь для критичных
информационных ресурсов до модернизации системы защиты против хищения
информации
|
Актив
|
Угроза
|
Величина
потерь (тыс.руб.)
|
|
Престиж
компании
|
Кража
интеллектуальной собственности компании
|
500
|
|
Информация
|
Нарушение
целостности информации
|
50
|
|
Информация
|
Уничтожение
данных
|
50
|
|
Информация
|
Несанкционированный
доступ к информации
|
400
|
|
Информация
|
Неумышленная
утеря носителей информации
|
70
|
|
Информация
|
Перехват
данных, передаваемых по каналам связи
|
60
|
|
Информация
|
Разглашение,
передача или утрата идентификационных данных
|
73
|
|
Персонал
|
Утечка
специалистов
|
150
|
|
Персонал
|
Вербовка
персонала
|
200
|
|
Суммарная
величина потерь
|
1553
|
Исходя из результатов расчета, можно заявить,
что в числе угроз большую часть занимают угрозы защищенности информации
компании. В ходе модернизации основной задачей было устранение данных угроз с
целью уменьшения величины потерь.
3.2 Расчёт показателей экономической
эффективности проекта
В рамках данного дипломного проекта в проведении
работы были задействованы только сотрудники компании. В таблице ниже
представлены показатели для сотрудников компании, вся информация предоставлена
сотрудниками отдела бухгалтерского учета в компании.
Таблица 10 - Показатели среднечасовой зарплаты
специалистов
|
Должность
|
Среднечасовая
зарплата специалиста (руб.)
|
|
Начальник
отдела технической поддержки
|
375
|
|
Старший
инженер отдела технической поддержки
|
325
|
|
Системный
администратор
|
320
|
|
Сотрудник
службы охраны
|
265
|
Все дальнейшие расчеты, связанные с затратами на
работы будут проводиться на основе таблицы представленной выше.
Далее в таблице ниже рассмотрим данные о
содержании и объеме разового ресурса, выделяемого на модернизацию систем
безопасности баз данных предприятия.
Таблица 11 - Объем разового ресурса, выделяемого
на защиту информации
|
Организационные
мероприятия
|
|
№
п\п
|
Выполняемые
действия
|
Среднечасовая
зарплата специалиста (руб.)
|
Трудоем-кость
операции (чел.час)
|
Стоимость,
всего (тыс.руб.)
|
|
1
|
Проведение
оценки активов
|
375
|
40
|
15
|
|
2
|
Разработка
и внесение изменений в политику информационной безопасности компании
|
375
|
30
|
11,25
|
|
3
|
Выпуск
распоряжения для сотрудников на тему защиты конфиденциальной информации
|
375
|
8
|
3
|
|
Стоимость
проведения организационных мероприятий, всего
|
29,25
|
|
Мероприятия
инженерно-технической защиты
|
|
1
|
Проектирование
модернизации системы защиты от хищения информации
|
325
|
70
|
22,75
|
|
2
|
Закупка
и монтаж новых камер видеонаблюдения и источников бесперебойного питания
|
325
|
50
|
16,25
|
|
3
|
Установка
антивирусного ПО, дополнительного диспетчера задач и проверка состояния
системы автоматического обновления
|
320
|
21
|
6,72
|
|
Стоимость
проведения инженерно-технических мероприятий, всего
|
45,72
|
|
Объем
разового ресурса, выделяемого на защиту информации
|
74,97
|
|
|
|
|
|
|
Как видно из таблицы, объем разового ресурса
составляет всего семьдесят четыре тысячи девятьсот семьдесят рублей. В основе
трудоемкости лежат значения, затраченные специалистам на решение конкретных
задач.
Далее будет рассмотрен объем постоянного ресурса
выделяемого на обеспечение работоспособности и должного уровня защищенности
системы безопасности. Все трудозатраты указанные в объеме рассчитаны на год
эксплуатации системы. Исходя из того, что необходимо обеспечивать постоянную
поддержку работоспособность баз данных предприятия и серверов, задействованных
в процессе аутентификации пользователей, требуется выделить ресурсы на
постоянную поддержку. В дополнение к инженерно-техническим мероприятиям раз в
квартал должен проводиться аудит работы систем защиты информации и степени
защищенности с целью выявления новый уязвимостей.
В таблице ниже представлен расчет объема
постоянного ресурса.
Таблица 12
|
Организационные
мероприятия
|
|
№
п\п
|
Выполняемые
действия
|
Среднечасовая
зарплата специалиста (руб.)
|
Трудоемкость
операции (чел.час)
|
Стоимость,
всего (тыс.руб.)
|
|
1
|
Проведения
аудита защиты информации и степени защищенности
|
325
|
28
|
9,1
|
|
Стоимость
проведения организационных мероприятий, всего
|
9,1
|
|
Мероприятия
инженерно-технической защиты
|
|
№
п\п
|
Выполняемые
действия
|
Среднечасовая
зарплата специалиста (руб.)
|
Трудоемкость
операции (чел.час)
|
Стоимость,
всего (тыс.руб.)
|
|
1
|
Поддержка
работоспособности системы защиты информации предприятия
|
325
|
112
|
36,4
|
|
2
|
Обслуживание
охранного оборудования и источников бесперебойного питания
|
320
|
112
|
35,84
|
|
Стоимость
проведения инженерно-технических мероприятий, всего
|
72,24
|
|
Объем
постоянного ресурса, выделяемого на защиту информации
|
81,34
|
Организационные мероприятия будет выполнять
начальник отдела технической поддержки. Планируемый график работ - раз в
квартал.
Инженерно-технические мероприятия будут
выполнять системный администратор (поддержка работоспособности) и старший инженер
отдела техподдержки. Выделенное время на проведение работ - 2 часа в неделю для
каждого вида работ.
После получения значений разового и постоянного
ресурса, выделяемого на модернизацию и защиту баз данных можно отразить
суммарное значение ресурса.
Расчет суммарного значения ресурса выполнен по
формуле:
Отсюда:
74,97+ 81,34=156,31
тыс. руб.
Далее будет проведен расчет времени окупаемости
модернизируемой системы защиты информации, выполненный аналитическим и
графическим способом.
Для проведения расчета необходимо путем
экспертной оценки были получены прогнозируемые данные о величине потерь
(рисков) для критичных информационных ресурсов после модернизации системы
защиты информации.
Таблица 13
|
Актив
|
Угроза
|
Величина
потерь (тыс.руб.)
|
|
Престиж
компании
|
Кража
интеллектуальной собственности компании
|
500
|
|
Информация
|
Нарушение
целостности информации
|
0
|
|
Информация
|
Уничтожение
данных
|
50
|
|
Информация
|
Несанкционированный
доступ к информации
|
0
|
|
Информация
|
Неумышленная
утеря носителей информации
|
70
|
|
Информация
|
Перехват
данных, передаваемых по каналам связи
|
60
|
|
Информация
|
Разглашение,
передача или утрата идентификационных данных
|
0
|
|
Персонал
|
Утечка
специалистов
|
150
|
|
Персонал
|
Вербовка
персонала
|
200
|
|
Суммарная
величина потерь
|
1030
|
Как видно из представленной выше таблицы
суммарная величина возможных проблем значительно уменьшилась после модернизации
систем защиты баз данных.
Отметим следующую информацию:
суммарное значение ресурса, (R∑)выделенного
на защиту информации, составило 156,31 тысяч рублей;
объем среднегодовых потерь компании (Rср)из-за
инцидентов информационной безопасности составлял 1553 тыс. рублей;
прогнозируемый ежегодный объем потерь
(Rпрогн)составит 1030 тыс. рублей.
На основе полученной информации необходимо
оценить динамику величин потерь за период в один год.
Таблица 14
|
1
кв.
|
2
кв.
|
3
кв.
|
1
год
|
|
До
внедрения СЗИ
|
323,25
|
646,5
|
969,75
|
1293
|
|
После
внедрения СЗИ
|
257,5
|
515
|
772,5
|
1030
|
|
Снижение
потерь
|
65,75
|
131,5
|
197,25
|
263
|
После принятия обязательных допущений о
неизменности частоты появления угроз, а также о неизменном уровне надежности
созданной системы защиты информации необходимо определить срок окупаемости
системы (Ток).
Это выполняется аналитическим способом на основе
формулы из методического пособия Ток = R∑ / (Rср - Rпрогн).
Соответственно, Ток = 156,31 / (1293 - 1030) ≈
0,5943346, что составляет приблизительно 7 месяцев и 1 неделю.
Внедрение рассмотренной в данном дипломном
проекте системы защиты позволит сократить затраты на устранение инцидентов
информационной безопасности и обеспечит высокий уровень защищённости. Как видно
из представленных расчетов, проект по обладает небольшой ценой внедрения
(156,31 тысяч рублей) при обеспечении необходимого уровня защиты.
В связи с уменьшением числа рисков удалось
существенно уменьшить ежегодный показатель величины потерь Предприятия. До
модернизации он составлял 1293 тыс. руб. в год, после модернизации 1030 тыс.
руб. в год.
Стоит отметить и тот факт, что срок окупаемости
системы составляет всего 7 месяцев и 1 неделю, что является существенным
преимуществом по сравнению с другими решениями.
ЗАКЛЮЧЕНИЕ
В представленном дипломном проекте была
разработаны и внедрены системы защиты против хищения информации в ООО «Р.Т.А.»
В ходе дипломного проектирования были выполнены
следующие работы.
В аналитической части была описана общая
характеристика видов деятельности предприятия, ее организационно-функциональная
структура в рамках предметной области, была проведена идентификация и оценка
активов, а так же оценка уязвимостей и угроз активам. Была проведена оценка
существующих систем защиты в базах данных и уровень защищенности системы целом.
На основе полученных данных был сделан выбор защитных мер.
В проектной части диплома были рассмотрены все
технологии, используемые в рамках модернизации системы защиты в базах данных.
После рассмотрения технологий был описан сам объект модернизации.
В основной части было проведено проектирование
модернизации систем защиты базы данных на предприятии.
В третьей части было проведено обоснование
экономической эффективности проекта на основе методического материала к
дипломному проекту. В рамках обоснования экономической эффективности проекта
был сделан выбор методики расчета и проведен расчет показателей. В ходе выполнения
расчета был отражен уровень заработных плат сотрудников, привлекаемых к
процессу модернизации, объем разового и постоянного ресурса, выделяемого на
защиту информации.
На основе полученных данных была проведена
оценка динамики потерь в организации за год эксплуатации системы. После этого
был проведен расчет сроков окупаемости данного проекта. В заключение третьей
части на основе расчетов, проведенных ранее, были описаны выводы об
экономической эффективности проекта.
К основным преимуществам разработанной системы
следует отнести высокий уровень защиты информации от хищения и повреждения,
низкую стоимость внедрения и достаточно высокую скорость окупаемости.
Поставленные цели достигнуты.
СПИСОК ЛИТЕРАТУРЫ
1. Национальный
стандарт Российской Федерации ГОСТ Р 50922-2006 “Защита информации. Основные
термины и определения” (утв. Приказом Федерального агентства по техническому
регулированию и метрологии от 26 декабря 2006г. № 373-ст.).
2. Национальный
стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-1-2008 “Информационная
технология. Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 1. Введение и общая модель” (утв.
Приказом Федерального агентства по техническому регулированию и метрологии от
18 декабря 2008г. № 519-ст.).
. Национальный
стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2008 “Информационная
технология. Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 2. Функциональные требования
безопасности” (утв. Приказом Федерального агентства по техническому
регулированию и метрологии от 18 декабря 2008г. № 520-ст.).
. Национальный
стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2008 “Информационная
технология. Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 3. Требования доверия к
безопасности” (утв. Приказом Федерального агентства по техническому
регулированию и метрологии от 18 декабря 2008г. № 521-ст.).
. Федеральный
закон № 149-ФЗ «Об информации, информационных технологиях и о защите
информации» (принят Государственной Думой от 8 июля 2006 года).
. Методические
указания по дипломному проектированию для специальности «Информационные системы
и технологии», специализация «Безопасность информационных систем». МФПУ. 2012.
. Комплексная
автоматизация управления предприятием: Информационные технологии - теория и
практика. / Петров Ю.А. М.: Финансы и статистика, 2008.
. Голдовский
И. М. Банковские микропроцессорные карты. - М.: «Альпина Паблишер», 2010. - 694
с. - (Библиотека Центра исследований платежных систем и расчетов). - ISBN
978-5-9614-1233-8.
. Дэвид
В. Чепмен, мл., Энди Фокс Брандмауэры Cisco Secure PIX = Cisco® Secure PIX®
Firewalls. - М.: «Вильямс», 2003. - С. 384. - ISBN 1-58705-035-8
. Статья
«Антивирусная программа» - http://ru.wikipedia.org/wiki/Антивирусная_программа
. Статья
«Смарт-карта» - http://ru.wikipedia.org/wiki/Смарт-карта
. Статья
«Межсетевой экран» - http://ru.wikipedia.org/wiki/Межсетевой_экран
. Статья
«Проактивная защита» - http://ru.wikipedia.org/wiki/Проактивная_защита
. Статья
«Обнаружение, основанное на сигнатурах» -
http://ru.wikipedia.org/wiki/Обнаружение,_основанное_на_сигнатурах
. Статья
«IP-камера» - http://ru.wikipedia.org/wiki/IP-камера
. Статья
«Турникет» - http://ru.wikipedia.org/wiki/Турникет
. Статья
«ПЗС-матрица» - http://ru.wikipedia.org/wiki/ПЗС-матрица
18. Willard
S. Boyle Nobel Lecture: CCD-An extension of man’s view (англ.)
// Rev. Mod. Phys.. - 2010. - В. 3. - Т. 82. - С.
2305-2306.
19. George
E. Smith Nobel Lecture: The invention and early history of the CCD (англ.)
// Rev. Mod. Phys.. - 2010. - В. 3. - Т. 82. - С. 2307-2312.
. Статья
«КМОП-матрица» - http://ru.wikipedia.org/wiki/КМОП-матрица.
. Гуревич
В. И. Устройства электропитания релейной защиты: проблемы и решения. - М.:
Инфра-Инженерия, 2012. - 288 с. - 1000 экз. - ISBN 978-5-9729-0043-5.