Совершенствование системы защиты информации ОАО

Турникеты со сдвижными створками на электроприводе – один из наиболее удачных вариантов для объектов с большим количеством людей и, одновременно, высокими требованиями по безопасности. Однако стоимость таких турникетов в несколько раз превышает стоимость триподов.Рис. 2.5 - Турникеты с откидными створками на электроприводеТакие турникеты представляют собой систему из 2 или 4 моторных калиток, интегрированных в один корпус, или же  устанавливаемых отдельно. Калитки располагаются напротив друг друга и могут работать как в «нормально открытом», так и в «нормально закрытом» режимах. Иногда  они интегрируются в силовое ограждение (направляющие металлические штанги) и имеют внешние стойки под считыватели СКУД. Створки у разных производителей могут изготавливаться из металлических труб, противоударного стекла и стеклопластика. Как и турникеты с выдвижными створками, данный тип оптимален для интенсивного использования и обеспечивает высокую безопасность прохода. Рис. 2.6 - Роторные полнопрофильные или полноростовые турникетыЭти турникеты чаще всего используются для организации проходных в местах с повышенными требованиями по безопасности, поскольку он обеспечивает полное перекрытие проема. Полноростовые турникеты часто интегрируются в инженерные конструкции защиты периметра (заборы, ограды и пр.) и используются для построения удаленных  проходных на территорию предприятия. Существуют, однако, модификации, которые могут использоваться и для офисного применения. Базовая конструкция полноростового турникета представляет собой центральную колонну (ротор), высотой   не менее 1900 мм, к которой горизонтально крепятся мощные металлические штанги. Ряды штанг образуют одну, три или четыре плоскости, ограничивающие проход. Как и поясной вариант, полноростовые турникеты обеспечиваю проход людей по одному.Принципов работы блокирующего механизма турникетов, по сути, два: «нормально закрытые» и «нормально открытые».В «нормально открытом» режиме работы турникеты оставляют проход открытым вплоть до момента несанкционированного воздействия.  Данный режим особенно актуален для объектов транспорта и крупных предприятий с большим количеством персонала. В свою очередь «нормально закрытый» режим обеспечивает более высокий уровень безопасности.И, наконец, турникеты различаются по климатическому исполнению:  для внутренней и внешней установки.Основные производители турникетовРоссийские компании: ЩИТ (НИЖНИЙ НОВГОРОД). Алгонт (Калуга); К-инженеринг (Санкт-Петербург); ОМА (Санкт-Петербург); PERCo (Санкт-Петербург); РостЕвроСтрой (Ростов-на-Дону).Зарубежные компании:Automatic Systems s.a. (Бельгия);Gunnebo Entrance Control – Italdis Line (Италия);Gunnebo Entrance Control - Mayor Line (Англия-Швеция); KABA GallenschuetzGmbH (Германия);WANZL (Германия). 2.1.4. Нормативное обеспечение ИБ в ОАО «Периметр»Основными регламентирующими нормативными документами в области ИБ для ОАО «Периметр» являются:ГОСТ Р ИСО/МЭК 15408-1-2002. «Информационная технология. Методы и средства обеспечения безопасности.».ФЗ «О персональных данных»;Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью».Данный перечень обусловлен сферой деятельности организации ОАО »Периметр».2.1.5. Организационно-административная основа создания системы обеспечения ИБ в ОАО «Периметр»Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими средствами.Мероприятия по обеспечению физической охраны помещений компании:четко определен периметр безопасности;все проходы должны быть оборудованы турникетами и шлагбаумами;создана зона регистрации посетителей;доступ в помещения предоставлен только авторизованному персоналу;выходы должны быть оборудованы аварийной сигнализацией и плотно закрываться.В целях обеспечения информационной безопасности ОАО «Периметр» разработаны внутренние регламентирующие документы. Перечень документов приведен в таблице 2.1.Таблица 2.1Перечень внутренних инструкцийНаименованиеНазначениеИнструкция дежурного бюро пропусковПредназначена для специалиста по ИБ службы безопасности Инструкция охранника на постуПредназначена для специалиста по ИБ службы безопасности 2.2. Комплекс проектируемых программно-аппаратных средств ИБДля повышения эффективности физической охраны помещений компании внедряется СКУД Сфинкс. Основным пользователем систем будет являться служба безопасности компании.Пульты управления СКУД выведен в комнату дежурного. Программные средства обеспечения ИБ управляются централизовано через администратора.Объекты, подлежащие оснащению комплексом защиты корпоративной сети: сервер и рабочие станции компании.Доступ в серверную ограничен для все сотрудников компании, кроме лиц согласно перечня утвержденного управляющим компании и начальника службы безопасности.Доступ к приложениям разграничен согласно функциональным задачам отделов.Все действия сотрудников в корпоративной сети предприятия журналируются.Доступ в помещения сотрудников компании журналируется системой СКУД.Рабочие станции кредитного отдела выделены в локальную подсеть не связанную с корпоративной сетью компании. Доступ в Интернет с рабочих станций ограничен.Сеть разделена на публичный и защищенный сегмент, в защищенный сегмент входят сервера компании и рабочие станции администраторов.Настройка антивирусного программного обеспечения осуществляется специалистом по информационной безопасности.В компании применяется резервирование системы питания, резервирование сервера и рабочих станций.На рис. 2.2 представлена схема размещения элементов СКУД.На схеме:Красные квадраты – считыватели бесконтактных карт;Голубой прямоугольник – турникет поста охраны.Рис. 2.2 – Схема размещения элементов СКУДНа рис. 2.3 представлена схема размещения элементов СКУД на внешнем периметре предприятия.На схеме:Красные квадраты – считыватели бесконтактных карт;Голубой прямоугольник – шлагбаум КПП.Рис. 2.3 – Схема размещения элементов СКУД на внешнем периметреВыводы по 2 главеВ ходе написания 2 главы описан перечень регламентирующих нормативных документов в области ИБ для ОАО «Периметр».Разработан перечень организационных мероприятий по обеспечению ИБ.Разработаны внутренние руководящие документы:Инструкция дежурного бюро пропусков;Инструкция охранника на посту.Также описана схема размещения элементов СКУД в помещениях компании.Глава III. Обоснование экономической эффективности проекта системы защиты информации3.1 Выбор и обоснование методики расчёта экономической эффективностиДля определения уровня затрат возможно использование эмпирической зависимости ожидаемых потерь (рисков) от i-йугрозы информации, формула 3.1.Ri = 10(Si + Vi – 4)(3.1)Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении.Значения коэффициентов SiиVi, приведенные в таблице 3.1 и 3.2.Таблица 3.1Значениякоэффициентов SiОжидаемая (возможная)частота появления угрозыПредполагаемое значениеSiПочти никогда01 раз в 1 000 лет11 раз в 100 лет21 раз в 10 лет31 раз в год41 раз в месяц (примерно, 10 раз в год)51-2 раза в неделю (примерно 100 раз в год)63 раза в день (1000 раз в год)7Таблица 3.2Значения коэффициентовViЗначение возможного ущербапри проявлении угрозы, руб.Предполагаемое значение Vi30030013 000230 0003300 00043 000 000530 000 0006300 000 0007Значения данных коэффициентов являются справочными для определения суммарной стоимости потерь для всех угроз ИБ предприятия.Суммарная стоимость потерь определяется формулой 3.2R=(3.2)где N – количество угроз информационным активам.Результаты расчетов для активов ОАО «Периметр» представлены в таблице 3.3.Таблица 3.3Величины потерь (рисков) для критичных информационных ресурсовдо внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь (тыс.руб.)Персональные данные сотрудниковНамеренное повреждение500Кража600Документация технологии производстваНамеренное повреждение2000Кража5000Несанкционированное использование носителей данных600Нелегальное проникновение злоумышленников под видом санкционированных пользователей20000Персональные данные контрагентовНамеренное повреждение500Кража1000Система моделирования мебелиНамеренное повреждение800Кража200Вредоносное программное обеспечение800Ошибка операторов10Ошибка обслуживающего персонала10Ошибка при обслуживании10Программные сбои10Ошибка операторов10Сбои в функционировании услуг связи10Производственные станкиНамеренное повреждение100Вредоносное программное обеспечение90продолжение таблицы 3.3Кража90Неисправности в системе электроснабжения20Аппаратные отказы20Ошибка обслуживающего персонала20Ошибка при обслуживании20Программные сбои20Ошибка операторов20Сбои в функционировании услуг связи5Колебания напряжения5Затопление5Суммарная величина потерь32475Как видно из таблицы до модернизации системы ИБ компании ОАО «Периметр» суммарные потери от угроз ИБ составляют 32475 тыс. руб.3.2 Расчёт показателей экономической эффективности проектаДля определения экономической эффективности системы защиты информации необходимы следующие данные:расходы на создание/модернизацию системы;величины потерь, обусловленных угрозами информационным активам.Содержание и объеме разового ресурса, выделяемого на защиту информации приведен в таблице 3.4.Таблица 3.4Содержание и объем разового ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час)Стоимость, всего (руб.)1Установка СКУД 25080200002Проведение обучающих занятий с сотрудниками компании300103000продолжение таблицы 3.43Настройка программного обеспечения2004080004Аудит системы ИБ 350207000Стоимость проведения организационных мероприятий, всего48000Перечень затрат на ПиАСИБ приведен в таблице 3.5.Таблица 3.5Перечень затрат на ПиАСИБ№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (руб)Кол-во (ед. измерения)Стоимость, всего (руб.)СКУД Сфинкс1Контроллер450001450002Устройство сопряжения с компьютером3000260003Программное обеспечение 6000160004Картыдоступа50300150005Считыватель бесконтактных карт доступа100040400006Турникет40000280000Стоимость проведения мероприятий инженерно-технической защиты192000Объем разового ресурса, выделяемого на защиту информации240000Объеме постоянного ресурса, выделяемого на защиту информации, приведен в таблице 3.5.Таблица 3.5Содержание и объем постоянного ресурса, выделяемого на защиту информацииОрганизационные мероприятия№ п\пВыполняемые действияСреднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час)Стоимость, всего (руб.)1Выполнение плановых мероприятий по ИБ администратором ЛВС200120240002Дежурство администратора ЛВС20015603120003Физическая охрана помещений компании1001560156000продолжение таблицы 3.54Дежурство по техническим средствам охраны15015602340005Обслуживание технических средств охраны20022044000Стоимость проведения организационных мероприятий, всего770000Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материаловСтоимость, единицы (руб.)Кол-во (ед. измерения)Стоимость, всего (руб.)1Резервные рабочие станции20000102000002Резервные сервера14000011400003Резервные источники питания1500460004Резервные камеры видеонаблюдения1000550005Резервные считыватели100055000Стоимость проведения мероприятий инженерно-технической защиты356000Объем постоянного ресурса, выделяемого на защиту информации1126000Суммарный объем выделенного ресурса составил: 240000+1126000=1366000 рублей.Рассчитанная величина ущерба составила: 32475000 рублей.Тем не менее, часть угроз является маловероятными и ими можно пренебречь, таковыми, например, являются стихийные бедствия (потопы, ураганы).Величина потерь для активов предприятия после внедрения системы ИБ приведена в таблице.Таблица 3.6Величины потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информацииАктивУгрозаВеличина потерь (тыс.руб.)Персональные данные сотрудниковНамеренное повреждение100Кража100Документация технологии производстваНамеренное повреждение200продолжение таблицы 3.6Кража500Несанкционированное использование носителей данных100Нелегальное проникновение злоумышленников под видом санкционированных пользователей200Персональные данные контрагентовНамеренное повреждение100Кража100Система моделирования мебелиНамеренное повреждение300Кража100Вредоносное программное обеспечение40Ошибка операторов10Ошибка обслуживающего персонала10Ошибка при обслуживании10Программные сбои10Ошибка операторов10Сбои в функционировании услуг связи10Производственные станкиНамеренное повреждение80Вредоносное программное обеспечение40Кража40Неисправности в системе электроснабжения10Аппаратные отказы10Ошибка обслуживающего персонала10Ошибка при обслуживании10Программные сбои10Ошибка операторов10Сбои в функционировании услуг связи5Колебания напряжения5Затопление5Суммарная величина потерь2135После внедрения СКУД, а также проведения ряда организационных мероприятий суммарная величина потерь от угроз ИБ была значительно снижена.Динамику величин потерь за 2 года с использование СЗИ и без использования СЗИ приведена в таблице 3.7.Таблица 3.7Оценка динамики величин потерь1 кв.2 кв.3 кв.1 год1 кв.2 кв.3 кв.2 годДо внедрения СЗИ8118,7516237,524356,253247540593,7548712,556831,2564950После внедрения СЗИ533,751067,51601,2521352668,753202,53736,254270Снижение потерь758515170227553034037925455105309560680Таким образом, период окупаемости, рассчитываемый по формуле Ток = R∑ / (Rср – Rпрогн) (3.3)Составляет Ток = 1559500/ (2401875 - 32475000) = 1559500/30073125= 0,05 годаНа рисунке 3.1 приведена динамика потерь.Рис. 3.1 - Динамика потерьРис. 3.2 – Суммарная величина потерь до и после внедрения СКУД на предприятииРис. 3.3 – Структура затрат на внедрение и эксплуатацию СКУДВыводы по 3 главеВ ходе написания 3 главы описана методики расчёта экономической эффективности проекта ИБ для ОАО «Периметр».Дана оценка возможного ущерба для критичных информационных ресурсов до модернизации системы ИБ.Дана оценка расходов на модернизацию системы ИБ.Дана оценка возможного ущерба для критичных информационных ресурсов после модернизации системы ИБ.После внедрения СКУД, а также проведения ряда организационных мероприятий суммарная величина потерь от угроз ИБ была значительно снижена.ЗаключениеЦелью данной работы является разработка проекта внедрения СКУД на ОАО «Периметр».В ходе выполнения работы были выполнены следующие задачи:Рассмотрены основные направления деятельности ОАО «Периметр»;Изучена организационная структура организации;Сформирован перечень активов организации;Оценены риски и уязвимости активов организации;Осуществлен выбор организационных и инженерно-технических мер по защите информации. Для повышения эффективности системы ИБ организации принято решение внедрить СКУД Сфинкс;Рекомендован перечень нормативных документов в области ИБ для ОАО «Периметр»;Разработан перечень организационно-административных мероприятий по ИБ. Разработан перечень внутренней документации;Оценена экономическая эффективность проекта. Использована методика, основанная на оценке величины снижения риска для информационных активов организации. Период окупаемости системы составил 1 месяц.Таким образом, внедрение СКУД на ОАО «Периметр» позволит:настраивать права операторов системы;осуществлять удаленное управление точками прохода (блокирование, разблокирование);задавать списки персонала предприятия;задавать ограничения допуска персонала предприятия по точкам прохода, по направлению и по времени;получать отчеты о событиях системы контроля доступа за любой исторический период;задавать сотрудникам рабочие графики;создавать и редактировать шаблоны пропусков;наблюдать в режиме реального времени за событиями, происходящими в системе контроля доступа; при запросе прохода сотрудником отображается его учетная карточка из базы, включающая фотографию;задавать реакцию на события.Список литературыАбрамов А. М., Никулин О. Ю, Петрушин А. И. Системы управления доступом. М.: Оберег-РБ, 2012.Барсуков В. С. Интегральная защита информации // Системы безопасности, 2012. №5, 6.Барсуков, В.С. Безопасность: технологии, средства, услуги / В.С. Барсуков. – М., 2011 – 496 с. Барсуков, В.С. Современные технологии безопасности / В.С. Барсуков, В.В. Водолазский. – М.: Нолидж, 2010. – 496 с., ил. Ворона В.А., Тихонов В.А. Системы контроля и управления доступом, М.: 2010.Горлицин И. Контроль и управление доступом - просто и надежно КТЦ «Охранные системы», 2012.Гинце А. Новые технологии в СКУД // Системы безопасности, 2011.Ярочкин, В.И. Информационная безопасность. Учебник для студентов вузов / 3-е изд. – М.: Академический проект: Трикста, 2010. – 544 с. Стасенко Л. СКУД - система контроля и управления доступом // Все о вашей безопасности. Группа компаний «Релвест» (Sleo@relvest.ru).Флорен М. В. Организация управления доступом // Защита информации «Конфидент», 2010. № 5. С. 87-93.Крахмалев А. К. Средства и системы контроля и управления доступом. Учебное пособие. М.: НИЦ «Охрана» ГУВО МВД России. 2012.Мальцев И. В. Системы контроля доступом // Системы безопасности, 2010. № 1. С. 43-45.ГОСТ Р 52633.0-2006 ЗИ. Техника защиты информации. Требования к средствам биометрической аутентификацииРуководство по эксплуатации СКУД ElsysРуководство по эксплуатации СКУД КронверкРуководство по эксплуатации СКУД СфинксСтатья «Рынок СКУД в 2014 году» [Электронный ресурс], режим доступа: http://www.secnews.ru/articles/16647.htmБачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник/Под ред. Акад. РАН Б.Н. Топорникова. - СПб.: Издательство «Юридический центр Пресс», 2011.Герасименко В.А., Малюк А.А. Основы защиты информации. – М.: 2009.Девянин П.Н., Михальский О.О., Правиков Д.И., Щербаков А.Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. – М.: Радио и связь, 2008. – 192с.Диева С.А., Шаеаева А.О. Организация и современные методы защиты информации. — М: Концерн «Банковский Деловой Центр», 2010.Мельников В.В. Безопасность информации в автоматизированных системах. – М.: Финансы и статистика, 2009. – 368с.Мельников В.В., Клейменов С.А., Петраков А.М. Информационная безопасность. – М.: Академия, 2008. – 336с.Назаров С.В. Локальные вычислительные сети. Книга 1. Москва «Финансы и статистика» 2009, с. 24Хореев П.Б. Методы и средства защиты информации в компьютерных системах. - М.: Академия, 2008.Ярочкин В.И. Информационная безопасность. – М.: Гаудеамус, 2009. – 544с.Родс-Оусли Марк, Защита от хакеров корпоративных сетей/Марк Родс-Оусли, М.: ДМК-Пресс, 2012 – 245.Брэгг Роберта, Безопасность сетей. Полное руководство/Роберта Брэгг, М.: Эком, 2010 – 912.Уилсон Эд, Мониторинг и анализ сетей. Методы выявления неисправностей/Эд Уилсон, М.: Лори, 2012 – 386.Колисниченко Д. Анонимность и безопасность в Интернете. От «чайника» к пользователю/Д. Колисниченко, Спб.: БВХ-Петербург, 2012 – 240.