Турникеты со сдвижными створками на электроприводе — один из наиболее удачных вариантов для объектов с большим количеством людей и, одновременно, высокими требованиями по безопасности. Однако стоимость таких турникетов в несколько раз превышает стоимость триподов.Рис. 2.5 — Турникеты с откидными створками на электроприводе.
Такие турникеты представляют собой систему из 2 или 4 моторных калиток, интегрированных в один корпус, или же устанавливаемых отдельно. Калитки располагаются напротив друг друга и могут работать как в «нормально открытом», так и в «нормально закрытом» режимах. Иногда они интегрируются в силовое ограждение (направляющие металлические штанги) и имеют внешние стойки под считыватели СКУД. Створки у разных производителей могут изготавливаться из металлических труб, противоударного стекла и стеклопластика. Как и турникеты с выдвижными створками, данный тип оптимален для интенсивного использования и обеспечивает высокую безопасность прохода. Рис. 2.6 — Роторные полнопрофильные или полноростовые турникеты.
Эти турникеты чаще всего используются для организации проходных в местах с повышенными требованиями по безопасности, поскольку он обеспечивает полное перекрытие проема. Полноростовые турникеты часто интегрируются в инженерные конструкции защиты периметра (заборы, ограды и пр.) и используются для построения удаленных проходных на территорию предприятия. Существуют, однако, модификации, которые могут использоваться и для офисного применения. Базовая конструкция полноростового турникета представляет собой центральную колонну (ротор), высотой не менее 1900 мм, к которой горизонтально крепятся мощные металлические штанги. Ряды штанг образуют одну, три или четыре плоскости, ограничивающие проход. Как и поясной вариант, полноростовые турникеты обеспечиваю проход людей по одному. Принципов работы блокирующего механизма турникетов, по сути, два: «нормально закрытые» и «нормально открытые».В «нормально открытом» режиме работы турникеты оставляют проход открытым вплоть до момента несанкционированного воздействия. Данный режим особенно актуален для объектов транспорта и крупных предприятий с большим количеством персонала. В свою очередь «нормально закрытый» режим обеспечивает более высокий уровень безопасности. И, наконец, турникеты различаются по климатическому исполнению: для внутренней и внешней установки. Основные производители турникетов.
Российские компании: ЩИТ (НИЖНИЙ НОВГОРОД). Алгонт (Калуга); К-инженеринг (Санкт-Петербург); ОМА (Санкт-Петербург); PERCo (Санкт-Петербург); Рост.
ЕвроСтрой (Ростов-на-Дону).Зарубежные компании: Automatic Systems s.a. (Бельгия);Gunnebo Entrance Control — Italdis Line (Италия);Gunnebo Entrance Control — Mayor Line (Англия-Швеция); KABA GallenschuetzGmbH (Германия);WANZL (Германия). 2.
1.4. Нормативное обеспечение ИБ в ОАО «Периметр"Основными регламентирующими нормативными документами в области ИБ для ОАО «Периметр» являются:
ГОСТ Р ИСО/МЭК 15 408−1-2002. «Информационная технология. Методы и средства обеспечения безопасности.».ФЗ «О персональных данных»;Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.
07.2006г. № 149-ФЗ;ГОСТ Р ИСО/МЭК 17 799−2005 «Практические правила управления информационной безопасностью».Данный перечень обусловлен сферой деятельности организации ОАО «Периметр».
2.1.
5. Организационно-административная основа создания системы обеспечения ИБ в ОАО «Периметр"Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими средствами. Мероприятия по обеспечению физической охраны помещений компании:
четко определен периметр безопасности;
все проходы должны быть оборудованы турникетами и шлагбаумами;
создана зона регистрации посетителей;
доступ в помещения предоставлен только авторизованному персоналу;
выходы должны быть оборудованы аварийной сигнализацией и плотно закрываться. В целях обеспечения информационной безопасности ОАО «Периметр» разработаны внутренние регламентирующие документы. Перечень документов приведен в таблице 2.
1.Таблица 2.1Перечень внутренних инструкций.
НаименованиеНазначение.
Инструкция дежурного бюро пропусков.
Предназначена для специалиста по ИБ службы безопасности Инструкция охранника на посту.
Предназначена для специалиста по ИБ службы безопасности 2.
2. Комплекс проектируемых программно-аппаратных средств ИБДля повышения эффективности физической охраны помещений компании внедряется СКУД Сфинкс. Основным пользователем систем будет являться служба безопасности компании. Пульты управления СКУД выведен в комнату дежурного. Программные средства обеспечения ИБ управляются централизовано через администратора. Объекты, подлежащие оснащению комплексом защиты корпоративной сети: сервер и рабочие станции компании. Доступ в серверную ограничен для все сотрудников компании, кроме лиц согласно перечня утвержденного управляющим компании и начальника службы безопасности. Доступ к приложениям разграничен согласно функциональным задачам отделов. Все действия сотрудников в корпоративной сети предприятия журналируются. Доступ в помещения сотрудников компании журналируется системой СКУД. Рабочие станции кредитного отдела выделены в локальную подсеть не связанную с корпоративной сетью компании. Доступ в Интернет с рабочих станций ограничен. Сеть разделена на публичный и защищенный сегмент, в защищенный сегмент входят сервера компании и рабочие станции администраторов. Настройка антивирусного программного обеспечения осуществляется специалистом по информационной безопасности. В компании применяется резервирование системы питания, резервирование сервера и рабочих станций. На рис. 2.2 представлена схема размещения элементов СКУД. На схеме:
Красные квадраты — считыватели бесконтактных карт;
Голубой прямоугольник — турникет поста охраны.Рис. 2.2 — Схема размещения элементов СКУДНа рис. 2.3 представлена схема размещения элементов СКУД на внешнем периметре предприятия. На схеме:
Красные квадраты — считыватели бесконтактных карт;
Голубой прямоугольник — шлагбаум КПП.Рис. 2.3 — Схема размещения элементов СКУД на внешнем периметре.
Выводы по 2 главе.
В ходе написания 2 главы описан перечень регламентирующих нормативных документов в области ИБ для ОАО «Периметр».Разработан перечень организационных мероприятий по обеспечению ИБ. Разработаны внутренние руководящие документы:
Инструкция дежурного бюро пропусков;
Инструкция охранника на посту. Также описана схема размещения элементов СКУД в помещениях компании. Глава III. Обоснование экономической эффективности проекта системы защиты информации3.
1 Выбор и обоснование методики расчёта экономической эффективности.
Для определения уровня затрат возможно использование эмпирической зависимости ожидаемых потерь (рисков) от i-йугрозы информации, формула 3.
1.Ri = 10(Si + Vi — 4)(3.1)Si — коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi — коэффициент, характеризующий значение возможного ущерба при ее возникновении. Значения коэффициентов SiиVi, приведенные в таблице 3.1 и 3.
2.Таблица 3.1Значениякоэффициентов SiОжидаемая (возможная).
частота появления угрозы.
Предполагаемое значениеSiПочти никогда01 раз в 1 000 лет11 раз в 100 лет21 раз в 10 лет31 раз в год41 раз в месяц (примерно, 10 раз в год).
51−2 раза в неделю (примерно 100 раз в год).
63 раза в день (1000 раз в год).
7Таблица 3.2Значения коэффициентовViЗначение возможного ущербапри проявлении угрозы, руб. Предполагаемое значение Vi30030013 230 3 300 43 000 530 000 6 300 000 0007.
Значения данных коэффициентов являются справочными для определения суммарной стоимости потерь для всех угроз ИБ предприятия. Суммарная стоимость потерь определяется формулой 3.2R=(3.2)где N — количество угроз информационным активам. Результаты расчетов для активов ОАО «Периметр» представлены в таблице 3.
3.Таблица 3.3Величины потерь (рисков) для критичных информационных ресурсовдо внедрения/модернизации системы защиты информации.
АктивУгроза.
Величина потерь (тыс.
руб.)Персональные данные сотрудников.
Намеренное повреждение500Кража600Документация технологии производства.
Намеренное повреждение2000.
Кража5000.
Несанкционированное использование носителей данных600Нелегальное проникновение злоумышленников под видом санкционированных пользователей20 000.
Персональные данные контрагентов.
Намеренное повреждение500Кража1000.
Система моделирования мебели.
Намеренное повреждение800Кража200Вредоносное программное обеспечение800Ошибка операторов10Ошибка обслуживающего персонала10Ошибка при обслуживании10Программные сбои10Ошибка операторов10Сбои в функционировании услуг связи10Производственные станки.
Намеренное повреждение100Вредоносное программное обеспечение90продолжение таблицы 3.3Кража90Неисправности в системе электроснабжения20Аппаратные отказы20Ошибка обслуживающего персонала20Ошибка при обслуживании20Программные сбои20Ошибка операторов20Сбои в функционировании услуг связи5Колебания напряжения5Затопление5Суммарная величина потерь32 475.
Как видно из таблицы до модернизации системы ИБ компании ОАО «Периметр» суммарные потери от угроз ИБ составляют 32 475 тыс. руб.
3.2 Расчёт показателей экономической эффективности проекта.
Для определения экономической эффективности системы защиты информации необходимы следующие данные:
расходы на создание/модернизацию системы;
величины потерь, обусловленных угрозами информационным активам. Содержание и объеме разового ресурса, выделяемого на защиту информации приведен в таблице 3.
4.Таблица 3.4Содержание и объем разового ресурса, выделяемого на защиту информации.
Организационные мероприятия№ пп.
Выполняемые действия.
Среднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час) Стоимость, всего (руб.).
1Установка СКУД 25 080 200 002.
Проведение обучающих занятий с сотрудниками компании300 103 000продолжение таблицы 3.43Настройка программного обеспечения2 004 080 004.
Аудит системы ИБ 350 207 000.
Стоимость проведения организационных мероприятий, всего48 000.
Перечень затрат на ПиАСИБ приведен в таблице 3.
5.Таблица 3.5Перечень затрат на ПиАСИБ№ п/пНоменклатура ПиАСИБ, расходных материалов.
Стоимость, единицы (руб)Кол-во (ед. измерения) Стоимость, всего (руб.)СКУД Сфинкс1Контроллер450 001 450 002.
Устройство сопряжения с компьютером3 000 260 003.
Программное обеспечение 6 000 160 004.
Картыдоступа50 300 150 005.
Считыватель бесконтактных карт доступа100 040 400 006.
Турникет40 000 280 000.
Стоимость проведения мероприятий инженерно-технической защиты192 000.
Объем разового ресурса, выделяемого на защиту информации240 000.
Объеме постоянного ресурса, выделяемого на защиту информации, приведен в таблице 3.
5.Таблица 3.5Содержание и объем постоянного ресурса, выделяемого на защиту информации.
Организационные мероприятия№ пп.
Выполняемые действия.
Среднечасовая зарплата специалиста (руб.)Трудоемкость операции (чел. час) Стоимость, всего (руб.).
1Выполнение плановых мероприятий по ИБ администратором ЛВС200 120 240 002.
Дежурство администратора ЛВС20 015 603 120 003.
Физическая охрана помещений компании1 001 560 156 000продолжение таблицы 3.54Дежурство по техническим средствам охраны15 015 602 340 005.
Обслуживание технических средств охраны20 022 044 000.
Стоимость проведения организационных мероприятий, всего770 000.
Мероприятия инженерно-технической защиты№ п/пНоменклатура ПиАСИБ, расходных материалов.
Стоимость, единицы (руб.)Кол-во (ед. измерения) Стоимость, всего (руб.).
1Резервные рабочие станции20 000 102 000 002.
Резервные сервера14 000 011 400 003.
Резервные источники питания1 500 460 004.
Резервные камеры видеонаблюдения1 000 550 005.
Резервные считыватели100 055 000.
Стоимость проведения мероприятий инженерно-технической защиты356 000.
Объем постоянного ресурса, выделяемого на защиту информации1 126 000.
Суммарный объем выделенного ресурса составил: 240 000+1126000=1 366 000 рублей. Рассчитанная величина ущерба составила: 32 475 000 рублей. Тем не менее, часть угроз является маловероятными и ими можно пренебречь, таковыми, например, являются стихийные бедствия (потопы, ураганы).Величина потерь для активов предприятия после внедрения системы ИБ приведена в таблице. Таблица 3.6Величины потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации.
АктивУгроза.
Величина потерь (тыс.
руб.)Персональные данные сотрудников.
Намеренное повреждение100Кража100Документация технологии производства.
Намеренное повреждение200продолжение таблицы 3.6Кража500Несанкционированное использование носителей данных100Нелегальное проникновение злоумышленников под видом санкционированных пользователей200Персональные данные контрагентов.
Намеренное повреждение100Кража100Система моделирования мебели.
Намеренное повреждение300Кража100Вредоносное программное обеспечение40Ошибка операторов10Ошибка обслуживающего персонала10Ошибка при обслуживании10Программные сбои10Ошибка операторов10Сбои в функционировании услуг связи10Производственные станки.
Намеренное повреждение80Вредоносное программное обеспечение40Кража40Неисправности в системе электроснабжения10Аппаратные отказы10Ошибка обслуживающего персонала10Ошибка при обслуживании10Программные сбои10Ошибка операторов10Сбои в функционировании услуг связи5Колебания напряжения5Затопление5Суммарная величина потерь2135.
После внедрения СКУД, а также проведения ряда организационных мероприятий суммарная величина потерь от угроз ИБ была значительно снижена. Динамику величин потерь за 2 года с использование СЗИ и без использования СЗИ приведена в таблице 3.
7.Таблица 3.7Оценка динамики величин потерь1 кв. 2 кв.3 кв. 1 год1 кв. 2 кв.3 кв. 2 год.
До внедрения СЗИ8118,7 516 237,524356,253 247 540 593,7548712,556 831,2564950.
После внедрения СЗИ533,751 067,51601,2 521 352 668,753202,53 736,254270.
Снижение потерь758 515 170 227 553 029 318 783 870 481 918 328 832.
Таким образом, период окупаемости, рассчитываемый по формуле Ток = R∑ / (Rср — Rпрогн) (3.3)Составляет Ток = 1 559 500/ (2 401 875 — 32 475 000) = 1 559 500/30073125= 0,05 года.
На рисунке 3.1 приведена динамика потерь.Рис. 3.1 — Динамика потерь.
Рис. 3.2 — Суммарная величина потерь до и после внедрения СКУД на предприятии.
Рис. 3.3 — Структура затрат на внедрение и эксплуатацию СКУДВыводы по 3 главе.
В ходе написания 3 главы описана методики расчёта экономической эффективности проекта ИБ для ОАО «Периметр».Дана оценка возможного ущерба для критичных информационных ресурсов до модернизации системы ИБ. Дана оценка расходов на модернизацию системы ИБ. Дана оценка возможного ущерба для критичных информационных ресурсов после модернизации системы ИБ. После внедрения СКУД, а также проведения ряда организационных мероприятий суммарная величина потерь от угроз ИБ была значительно снижена.
Заключение
.
Целью данной работы является разработка проекта внедрения СКУД на ОАО «Периметр».В ходе выполнения работы были выполнены следующие задачи:
Рассмотрены основные направления деятельности ОАО «Периметр»;Изучена организационная структура организации;
Сформирован перечень активов организации;
Оценены риски и уязвимости активов организации;
Осуществлен выбор организационных и инженерно-технических мер по защите информации. Для повышения эффективности системы ИБ организации принято решение внедрить СКУД Сфинкс;
Рекомендован перечень нормативных документов в области ИБ для ОАО «Периметр»;Разработан перечень организационно-административных мероприятий по ИБ. Разработан перечень внутренней документации;
Оценена экономическая эффективность проекта. Использована методика, основанная на оценке величины снижения риска для информационных активов организации. Период окупаемости системы составил 1 месяц. Таким образом, внедрение СКУД на ОАО «Периметр» позволит:
настраивать права операторов системы;
осуществлять удаленное управление точками прохода (блокирование, разблокирование);задавать списки персонала предприятия;
задавать ограничения допуска персонала предприятия по точкам прохода, по направлению и по времени;
получать отчеты о событиях системы контроля доступа за любой исторический период;
задавать сотрудникам рабочие графики;
создавать и редактировать шаблоны пропусков;
наблюдать в режиме реального времени за событиями, происходящими в системе контроля доступа; при запросе прохода сотрудником отображается его учетная карточка из базы, включающая фотографию;
задавать реакцию на события.
Список литературы
Абрамов А. М., Никулин О. Ю, Петрушин А. И. Системы управления доступом. М.: Оберег-РБ, 2012.
Барсуков В. С. Интегральная защита информации // Системы безопасности, 2012. № 5, 6. Барсуков, В. С. Безопасность: технологии, средства, услуги / В. С. Барсуков. — М., 2011 — 496 с. Барсуков, В. С. Современные технологии безопасности / В. С. Барсуков, В. В. Водолазский.
— М.: Нолидж, 2010. — 496 с., ил.
Ворона В.А., Тихонов В. А. Системы контроля и управления доступом, М.: 2010.
Горлицин И. Контроль и управление доступом — просто и надежно КТЦ «Охранные системы», 2012.
Гинце А. Новые технологии в СКУД // Системы безопасности, 2011.
Ярочкин, В. И. Информационная безопасность. Учебник для студентов вузов / 3-е изд. — М.: Академический проект: Трикста, 2010. — 544 с. Стасенко Л.
СКУД — система контроля и управления доступом // Все о вашей безопасности. Группа компаний «Релвест» (Sleo@relvest.ru).Флорен М. В. Организация управления доступом // Защита информации «Конфидент», 2010. № 5.
С. 87−93.Крахмалев А. К. Средства и системы контроля и управления доступом. Учебное пособие. М.: НИЦ «Охрана» ГУВО МВД России. 2012.
Мальцев И. В. Системы контроля доступом // Системы безопасности, 2010. № 1. С. 43−45.ГОСТ Р 52 633.
0−2006 ЗИ. Техника защиты информации. Требования к средствам биометрической аутентификации.
Руководство по эксплуатации СКУД ElsysРуководство по эксплуатации СКУД Кронверк.
Руководство по эксплуатации СКУД Сфинкс.
Статья «Рынок СКУД в 2014 году» [Электронный ресурс], режим доступа:
http://www.secnews.ru/articles/16 647.htmБачило И.Л., Лопатин В. Н., Федотов М. А. Информационное право: Учебник/Под ред. Акад. РАН Б. Н. Топорникова. — СПб.: Издательство «Юридический центр Пресс», 2011.
Герасименко В.А., Малюк А. А. Основы защиты информации. — М.: 2009.
Девянин П.Н., Михальский О. О., Правиков Д. И., Щербаков А. Ю. Теоретические основы компьютерной безопасности: Учебное пособие для ВУЗов. — М.: Радио и связь, 2008. — 192с. Диева С. А., Шаеаева А. О. Организация и современные методы защиты информации. — М: Концерн «Банковский Деловой Центр», 2010.
Мельников В. В. Безопасность информации в автоматизированных системах. — М.: Финансы и статистика, 2009. — 368с. Мельников В. В., Клейменов С. А., Петраков А. М. Информационная безопасность. — М.: Академия, 2008.
— 336с. Назаров С. В. Локальные вычислительные сети. Книга 1. Москва «Финансы и статистика» 2009, с. 24Хореев П. Б. Методы и средства защиты информации в компьютерных системах. — М.: Академия, 2008.
Ярочкин В. И. Информационная безопасность. — М.: Гаудеамус, 2009. — 544с. Родс-Оусли Марк, Защита от хакеров корпоративных сетей/Марк Родс-Оусли, М.: ДМК-Пресс, 2012 — 245. Брэгг Роберта, Безопасность сетей. Полное руководство/Роберта Брэгг, М.: Эком, 2010 — 912. Уилсон Эд, Мониторинг и анализ сетей. Методы выявления неисправностей/Эд Уилсон, М.: Лори, 2012 — 386. Колисниченко Д. Анонимность и безопасность в Интернете. От «чайника» к пользователю/Д. Колисниченко, Спб.: БВХ-Петербург, 2012 — 240.
