Внедрение системы контроля и управления доступом в ООО

При возникновении экстренной ситуации дверь может быть разблокирована изнутри кнопкой разблокировки. При этом событие «Ручная разблокировка двери» фиксируется в протоколе событий системы.

Проход работников через точки с контролем доступа осуществляется при поднесении бесконтактной карты к считывателю на расстояние 2−8 см. В случае успешной идентификации карты доступа системой турникет разблокируется, разрешая проход.

Каждая точка прохода, контролируемая системой, может быть открыта для прохода различными способами:

Автоматический (по предъявлению бесконтактной карты считывателю) пропуск постоянных сотрудников;

Ручное управление с кнопок разблокировки.

Питание СКУД осуществляется от сети переменного напряжения 220 В, 50Гц. Защита подводящего кабеля осуществляется автоматическими выключателями.

Монтаж и включение питания RusGuard осуществлять в следующем порядке:

если ранее производился демонтаж корпуса КСК, установить его на место;

подключить к КСК кабель интерфейса Ethernet;

подключить к КСК клеммную колодку питания и линии связи RS-485;

включить питание КСК;

подключить аккумуляторную батарею, присоединив клеммы к выводам батареи (только для варианта исполнения «.

— 01″);

установить крышку корпуса КСК.

Для обеспечения работы СКУД необходимо использовать программное обеспечение «RusGuard».

Минимальная рекомендуемая конфигурация сервера и клиентских мест в соответствии с требованиями производителя СКУД приведена ниже.

Серверная часть:

Windows 7 (Home Premium, Professional, Enterprise, Ultimate);

Windows 8 (все редакции);

Windows 2008 Server R2 (Web Edition, Standard, Enterprise, Datacenter);

Windows 2012 Server (все редакции).

Клиентская часть:

все редакции Windows XP, Windows 7, Windows 2008 Server R2, Windows 8;

Windows 2012 Server.

Минимальные системные требования для установки сервера RusGuard:

ЦП — Intel Core i3 или выше;

ОЗУ 4Гб;

объем жесткого диска 100Гб;

любая из поддерживаемых ОС.

Минимальные требования для установки АРМ RusGuard:

ЦП — Intel Core i3 или выше;

ОЗУ 2Гб;

объем жесткого диска 100Гб;

любая из поддерживаемых ОС.

Рекомендуемая системная конфигурация для сервера RusGuard:

ЦП — IntelCorei 5;

ОЗУ 8Гб;

объем жесткого диска 500Гб;

ОС — Windows 2008 Server R2 WebEdition (или любая другая редакция).

Одно из преимуществ программного комплекса RusGuardSoft — гибкость настройки и возможность развертывания разных конфигураций, адаптированных под конкретную ИТ-инфраструктуру и решения определенных задач. В настоящем документе описываются стандартные варианты конфигурации и установки ПО RusGuardSoft.

Для установки программного обеспечения, необходимо определиться с вариантом развертывания.

Выбор варианта установки, прежде всего, зависит от желаемого состава программных компонентов ПО RusGuardSoft, устанавливаемых на определенный ПК. В первом случае при запуске установочного файла следует выбрать все элементы программного комплекса и запустить процесс инсталляции.

Во втором случае следует выбрать только те элементы, которые необходимо установить на конкретный сервер (сервер RusGuard) или клиент (АРМ, утилиты).

В зависимости от выбранной конфигурации развертывания ПО RusGuardSoft выбирается способ установки (или использования существующего) MS SQL Server:

MS SQL Server устанавливается автоматически, на том же ПК, на котором устанавливается сервер RusGuard (рисунок 13);

MS SQL Server уже установлен на том же ПК, на котором устанавливается сервер RusGuard, или же установка (использование существующего) MS SQL Server производится на отдельный сервер (рисунок 14).

Вариант конфигурации 1.

Вариант конфигурации 2.

Сервер БД развернут отдельно от сервера RusGuard. АРМ может быть установлено на сервере 1, а также на неограниченном числе клиентов.

Кроме администратора, в разработанной системе необходимо контролер, то есть оператор или пользователь системы.

Опишем процесс первоначальной настройки программных и аппаратных средств.

После запуска приложения «Автоматизированное рабочее место RusGuard» необходимо пройти первичную авторизацию в системе (рисунок 15), выбрать необходимый (если в системе несколько) сервер СКУД и ввести данные для вторичной авторизации (рисунок 1).

Первичная авторизация.

Выбор сервера СКУД и вторичная авторизация.

Предусмотрено два режима поиска для каждого типа подключений.

Также, для CAN-LAN устройств, помимо широковещательного поиска, предусмотрена функция поиска по IP-адресу, она позволяет находить устройства, находящиеся за пределами локальной сети (отделенные шлюзами, и т. д.) (рисунок 17−19).

Поиск и добавление устройств Поиск и добавление устройств Поиск и добавление устройств.

После завершения поиска в левой навигационной панели отображается найденный контроллер (список контроллеров). Если найдено несколько устройств (широковещательный поиск), выбираем нужное устройство в списке и добавляем его в систему. Результат добавления устройств и их первичная настройка приведена на рисунке 20.

Добавление устройств и первичная настройка контроллеров Данные об устройствах, найденных при помощи поиска, а также об изменениях конфигурации устройств можно занести в конфигуратор для последующей синхронизации с БД.

Для того чтобы занести данные об устройствах в утилиту:

Выполните поиск USB или LAN устройства. В списке результатов выделите нужный контроллер в списке Подключенные устройства окна Поиск устройств.

Нажмите на кнопку Добавить в конфигуратор. Если устройство найдено впервые, данные о нем автоматически загружаются в утилиту и отображаются в левой навигационной панели в виде списка. Если конфигурация устройства уже заносилась в утилиту ранее, а затем была отредактирована, система потребует подтверждения перезаписи конфигурации Подтвердите действие.

Система выполнит перезапись настроек.

Настройка контроллеров и исполняющих устройств приведена на рисунке 21.

Настройка контроллеров и исполняющих устройств.

Схемы программного обеспечения и технической архитектуры с учетом элементов СКУД приведены на рисунках 22, 23.

Программная архитектура с учетом внедрения СКУД.

Техническая архитектура с учетом внедрения СКУД.

Обоснование экономической эффективности проекта Выбор и обоснование методики расчёта экономической эффективности.

Экономическую эффективность мероприятий по защите информации целесообразно определять на основании оценки объема предотвращенного ущерба или величины снижения риска.

Для реализации указанного подхода необходимо обладать информацией об ожидаемых потерях при нарушении защищенности информации, а также во-вторых, зависимости между уровнем защищенности и средствами, которые затрачиваются на защиту информации.

Определение уровня затрат обеспечивающих защищенность информации реализуется на основе:

полного перечня угроз;

потенциальной опасности для каждого вида угроз;

размеров затрат, необходимых для нейтрализации каждого вида угроз.

В качестве одной из методик определения уровня затрат используется следующая эмпирическая зависимость ожидаемых потерь от i-й угрозы (1):

(1).

где: — коэффициент возможной частоты возникновения угрозы;

— коэффициент возможного ущерба при возникновении угрозы.

В таблице 20 представлены значения коэффициентов и, используемые в рамках данной работы.

Значения коэффициентов Si и Vi.

Ожидаемая (возможная) частота появления угрозы Предполагаемое значение Почти никогда 0 1 раз в 1 000 лет 1 1 раз в 100 лет 2 1 раз в 10 лет 3 1 раз в год 4 1 раз в месяц (примерно, 10 раз в год) 5 1−2 раза в неделю (примерно 100 раз в год) 6 3 раза в день (1000 раз в год) 7 Значение возможного ущерба при проявлении угрозы, руб. Предполагаемое значение 30 0 300 1 3 000 2 30 000 3 300 000 4 3 000 000 5 30 000 000 6 300 000 000 7.

Суммарная стоимость потерь определяется формулой (2):

(2).

где N — количество угроз информационным активам.

Выполним оценку потери от следующих видов угроз:

угрозы, обусловленные преднамеренными действиями;

угрозы, обусловленные случайными действиями;

угрозы, обусловленные естественными причинами (природные, техногенные факторы).

Определим значения коэффициентов Si и Vi для информационных активов ООО «Прентисон Проперти» (таблица 21).

Значения коэффициентов Si и Vi.

Актив Угроза Si Vi Персональные данные сотрудников и клиентов Несанкционированное использование носителей данных 5 3 Ошибка обслуживающего персонала 5 2 Нелегальное проникновение злоумышленника под видом санкционированных пользователей 4 4.

Продолжение таблицы 21.

Актив Угроза Si Vi Персональные данные сотрудников и клиентов Доступ несанкционированных пользователей к сети 4 4 Перехват информации за пределами контролируемой зоны 5 4 Ненадлежащее использование ресурсов 4 3 Утрата ключей и атрибутов доступа 4 2 Ухудшение состояния носителей данных 3 2 ЭМИ 7 2 Финансовая документация (платежные поручения) Несанкционированное использование носителей данных 5 3 Ошибка обслуживающего персонала 5 2 Нелегальное проникновение злоумышленника под видом санкционированных пользователей 4 4 Доступ несанкционированных пользователей к сети 4 4 Перехват информации за пределами контролируемой зоны 5 4 Ненадлежащее использование ресурсов 4 3 Утрата ключей и атрибутов доступа 4 2 Ухудшение состояния носителей данных 3 2 Электромагнитное излучение 7 2 Сведения, составляющие коммерческую тайну Несанкционированное использование носителей данных 5 3 Ошибка обслуживающего персонала 5 2 Нелегальное проникновение злоумышленника под видом санкционированных пользователей 4 4 Доступ несанкционированных пользователей к сети 4 4 Перехват информации за пределами контролируемой зоны 5 4 Ненадлежащее использование ресурсов 4 3 Утрата ключей и атрибутов доступа 4 2 Ухудшение состояния носителей данных 3 2 Электромагнитное излучение 7 2.

В таблице 22 представлены результаты оценки потерь от угроз информационным активам.

Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информации Актив Угроза Величина потерь (тыс.

руб.) Сведения, составляющие коммерческую тайну Несанкционированное использование носителей данных 10 Ошибка обслуживающего персонала 1 Продолжение таблицы 22.

Актив Угроза Величина потерь (тыс.

руб.) Сведения, составляющие коммерческую тайну Нелегальное проникновение злоумышленника под видом санкционированных пользователей 10 Доступ несанкционированных пользователей к сети 10 Перехват информации за пределами контролируемой зоны 100 Ненадлежащее использование ресурсов 1 Утрата ключей и атрибутов доступа 0,1 Ухудшение состояния носителей данных 0,01 Электромагнитное излучение 100 Финансовая документация Несанкционированное использование носителей данных 10 Ошибка обслуживающего персонала 1 Нелегальное проникновение злоумышленника под видом санкционированных пользователей 10 Доступ несанкционированных пользователей к сети 10 Перехват информации за пределами контролируемой зоны 100 Ненадлежащее использование ресурсов 1 Утрата ключей и атрибутов доступа 0,1 Ухудшение состояния носителей данных 0,01 Электромагнитное излучение 100 Персональные данные сотрудников и клиентов Несанкционированное использование носителей данных 10 Ошибка обслуживающего персонала 1 Нелегальное проникновение злоумышленника под видом санкционированных пользователей 10 Доступ несанкционированных пользователей к сети 10 Перехват информации за пределами контролируемой зоны 100 Ненадлежащее использование ресурсов 1 Утрата ключей и атрибутов доступа 0,1 Ухудшение состояния носителей данных 0,01 Электромагнитное излучение 100 Итого 696,330.

Расчёт показателей экономической эффективности проекта.

Данные о содержании и объеме разового и постоянного ресурса, выделяемого на защиту информации, представлены соответственно в таблицах 23, 24.

Содержание и объем разового ресурса, выделяемого на защиту информации Организационные мероприятия № пп Выполняемые действия Среднечасовая зарплата специалиста (руб.) Трудоемкость операции (чел.

час) Стоимость, всего (тыс.

руб.) 1 Обследование объекта и обоснование необходимости создания ПиАСИБ 300 5 1500 2 Постановка целей и задач ПиАСИБ 300 3 900 3 Проектирование системы. Общие положения 300 12 3600 4 Согласование и утверждение проекта 300 0,5 150 5 Подбор оборудования, поиск поставщика, запрос коммерческого предложения 300 8 2400 6 Составление заявки для согласования по стоимости оборудованияработ 300 0,5 150 7 реализация проекта 0 8 Ввод в эксплуатациютестирование 300 4 1200 9 Составление документациирегламента для пользователей системы 300 16 4800 № пп Выполняемые действия Среднечасовая зарплата специалиста (руб.) Трудоемкость операции (чел.

час) Стоимость, всего (тыс.

руб.) 10 Составление отчета о проделанной работе 300 4 1200.

Стоимость проведения организационных мероприятий, всего 15 900.

Продолжение таблицы 23.

Мероприятия инженерно-технической защиты № п/п Номенклатура ПиАСИБ, расходных материалов Стоимость, единицы (тыс.

руб) Кол-во (ед.измерения) Стоимость, всего (тыс.

руб.) 1 ПО «RusGuard» 0 1 0 2 Сетевой контроллер ACS-102 11 990 5 59 950 3 Proxy-считыватель 1700 22 37 400 4 Брелоккарта 98 50 4900 5 Стоимость каждого дополнительного рабочего места (компьютера). 0 5 0 6 Компьютер АРМ с монитором (350 вт) 21 000 2 42 000 7 электромагнитный замок 1 342 19 25 498 8 доводчик двери 2 222 20 44 440 9 Кабель парной скрутки U/UTP4-Cat 5e 2700 1 2700 10 Кнопка «Выход» 197 17 3349 11 Монтаж, настройка СКУД 60 000 1 60 000.

Стоимость проведения мероприятий инженерно-технической защиты 280 237.

Объем разового ресурса, выделяемого на защиту информации 296 137.

Содержание и объем постоянного ресурса, выделяемого на защиту информации Организационные мероприятия № пп Выполняемые действия Среднечасовая зарплата специалиста (руб.) Трудоемкость операции (чел.

час) Стоимость, всего (тыс. руб.) 1 проверка системы 300 1,5 450 2 создание резервной копии БД 300 1 300 3 администрирование пользователей 300 1 300 Стоимость проведения организационных мероприятий, всего 1050.

Продолжение таблицы 24.

Мероприятия инженерно-технической защиты № п/п Номенклатура ПиАСИБ, расходных материалов Стоимость, единицы (руб) Кол-во (ед.измерения) Стоимость, всего (тыс.

руб.) 1 смазка для замков 150 4 600 Стоимость проведения мероприятий инженерно-технической защиты 600 Объем постоянного ресурса, выделяемого на защиту информации 1650.

После внедрения предложенных мер наблюдается изменение частоты появления угроз (таблица 25). При этом ожидаемые потери от угроз останутся на прежнем уровне.

Величины потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации Актив Угроза Величина потерь (тыс. руб.) Сведения, составляющие коммерческую тайну Несанкционированное использование носителей данных 10 Ошибка обслуживающего персонала 1 Нелегальное проникновение злоумышленника под видом санкционированных пользователей 0,1 Доступ несанкционированных пользователей к сети 0,1 Перехват информации за пределами контролируемой зоны 100 Ненадлежащее использование ресурсов 1 Утрата ключей и атрибутов доступа 0,1 Ухудшение состояния носителей данных 0,01 Электромагнитное излучение 100 Финансовая документация Несанкционированное использование носителей данных 10 Ошибка обслуживающего персонала 1 Нелегальное проникновение злоумышленника под видом санкционированных пользователей 0,1 Доступ несанкционированных пользователей к сети 0,1 Перехват информации за пределами контролируемой зоны 100 Ненадлежащее использование ресурсов 1 Утрата ключей и атрибутов доступа 0,1.

Продолжение таблицы 25.

Актив Угроза Величина потерь (тыс. руб.) Финансовая документация Ухудшение состояния носителей данных 0,01 Электромагнитное излучение 100 Персональные данные сотрудников и клиентов Несанкционированное использование носителей данных 10 Ошибка обслуживающего персонала 1 Нелегальное проникновение злоумышленника под видом санкционированных пользователей 0,1 Доступ несанкционированных пользователей к сети 0,1 Перехват информации за пределами контролируемой зоны 100 Ненадлежащее использование ресурсов 1 Утрата ключей и атрибутов доступа 0,1 Ухудшение состояния носителей данных 0,01 Электромагнитное излучение 100 Итого 337,200.

Оценим динамику величин потерь за период 1 год.

Суммарное значение ресурса, выделенного на защиту информации, составило за год 296 137 + 12 ∙ 1650 = 315 937 рублей;

Объем среднегодовых потерь компании (Rср) из-за инцидентов информационной безопасности составлял 696 330 рублей;

Прогнозируемый ежегодный объем потерь (Rпрогн) составит 337 200 рублей.

Динамика потерь представлена в таблице 26, рис. 24.

Оценка динамики величин потерь.

1 кв. 2 кв. 3 кв. 1 год 5 кв. До внедрения СЗИ 174 000 350 000 520 000 696 330 870 330.

После внедрения СЗИ 84 000 167 000 252 000 337 200 421 200.

Снижение потерь 90 000 183 000 268 000 359 130 449 130.

Оценка динамики величин потерь.

Таким образом, после принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определим срок окупаемости системы:

(3).

Таким образом, по полученным данным:

Заключение

.

Проблемы оценки и снижения рисков информационной безопасности привлекают все большее внимание специалистов в области телекоммуникационных сетей, вычислительных систем, экономики и многих других областей современного общества. Это связано с глубокими изменениями, вносимыми современными информационными технологиями во все сферы жизни государства и граждан. Современное общество чаще всего называют информационным, и при оценке степени его развития объем произведенной им информации и информационных услуг зачастую важнее объема произведенных им предметов материального потребления. При этом изменился сам подход к понятию «информации». Ценность информации, хранящейся, обрабатываемой или передаваемой в современных информационно-вычислительных системах, зачастую во много раз превышает стоимость самих систем. Обладание ценной информацией и способность защитить ее от широкого спектра дестабилизирующих воздействий случайного или преднамеренного характера становится важнейшей причиной успеха или поражения в различных областях жизни общества.

Наиболее рациональными и широко применяемыми способами снижения уровня рисков информационной безопасности становятся защита от вредоносного программного обеспечения, организация безопасной передачи данных, предотвращение несанкционированного доступа к ресурсам сети, разработка политики безопасности. Особое место в комплексе средств защиты информации занимает система контроля и управления доступом. Именно поэтому дипломное исследование посвящено вопросам внедрения названных средств для организации эффективной защиты информации в ООО «Прентисон Проперти».

В ходе выполнения дипломного были получены следующие результаты:

Определены задачи защиты информации.

Изучены основные способы оценки рисков информационной безопасности. Проведен их анализ и выявлены способы их применения.

На основе исследования процесса оценки рисков информационной безопасности проведена экспертиза защищенности информационных активов в ООО «Прентисон Проперти»" - идентифицированы информационные активы, оценены уязвимости и угрозы, определен уровень исходной защищенности информационной среды, произведена оценка рисков.

Разработаны практические рекомендации по внедрению организационных и технических мер для снижения уровня рисков информационной безопасности в ООО «Прентисон Проперти».

Результатом дипломного проектирования стало разработаное проектное решение, позволяющее значительно ограничить вероятность попадания на территорию компании третьих лиц, а также вести учет и контроль перемещения сотрудников компании по помещениям. В ООО «Прентисон Проперти» внедрена СКУД «RusGuard», что позволило значительно снизить риски потери информационных активов и, соответственно, снизить их стоимость. Срок окупаемости СКУД составил около 9,5 месяцев.

«Конституция Российской федерации» (принята всенародным голосованием 12.

12.1993).

Гражданский кодекс Российской Федерации (часть первая): офиц. текст от 30.

11.1994 № 51-ФЗ в ред. от 23.

05.2015 г. (Собрание законодательства Российской Федерации от 05.

12.1994).

Федеральный закон от 29.

07.2004 N 98-ФЗ (ред. от 12.

03.2014) «О коммерческой тайне» (Собрание законодательства Российской Федерации от 9 августа 2004 г. N 32 ст. 3283).

Федеральный закон от 27.

07.2006 N 152-ФЗ (ред. от 21.

07.2014) «О персональных данных» (с изм. и доп., вступ. в силу с 01.

09.2015) (Собрание законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3451).

Федеральный закон от 27.

07.2006 N 149-ФЗ (ред. от 31.

12.2014) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.

09.2015) (Собрание законодательства Российской Федерации от 31 июля 2006 г. N 31 (часть I) ст. 3448).

Федеральный закон от 8 августа 2001 г. N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» (Собрание законодательства Российской Федерации от 13 августа 2001 г., N 33 (Часть I), ст. 3431).

Закон РФ от 21.

07.1993 N 5485−1 (ред. от 08.

03.2015) «О государственной тайне» (Собрание законодательства Российской Федерации от 13 октября 1997 г., N 41, ст. 4673).

Доктрина информационной безопасности Российской федерации (утверждена Президентом Российской Федерации В. Путиным 9 сентября 2000 г., № Пр-1895) («Российская газета» от 28 сентября 2000 г. N 187).

Приказ ФСТЭК России от 18.

02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

ГОСТ Р 50 922- 2006.

Защита информации. Основные термины и определения. — Введ. 2008;02−01. -М.: Стандартинформ, 2007. — 12 с.

ГОСТ Р ИСО/МЭК ТО 13 335−3-2007.

Методы и средства обеспечения безопасности Авдошин С. М., Песоцкая Е. Ю. Информатизация бизнеса. Управление рисками. — М.: ДМК, 2015. — 420с.

Баранова Е. К. Процедура применения методологии анализа рисков Octave в соответствии со стандартами серии ИСО/МЭК 27 000−27 005// Образовательные ресурсы и технологии. — № 2. — 2015. — С. 73−80.

Гришина, Н. В. Организация комплексной системы защиты информации/ Н. В. Гришина. — М.: Гелиос АРВ, 2009. — 256 с Зырянова Т. Ю. Управление информационными рисками: монография.

— Тюмень: Издательство Тюменского государственного университета, 2011. — 189с.

Информатика: Учебник. — 3-е перераб. изд. / Под ред. проф.

Н.В. Макаровой. — М.: Финансы и статистика, 2010. — 768 с.: ил.

Исаев А.С., Хлюпина Е. А. Правовые основы организации защиты персональных данных. — СПб: НИУ ИТМО, 2014. — 106 с.

Кобб М., Джост М. Безопасность IIS, ИНТУИТ, 2013 г. - 678.

Козлова Е. А. Оценка рисков информационной безопасности с помощью метода нечеткой кластеризации и вычисления взаимной информации // Молодой ученый. — 2013. — № 5. — С. 154−161.

Рыченкова И.В., Рыченков М. В., Киреев В. С. Экономический эффект от внедрения автоматизированной системы контроля и управления доступом как фактор повышения конкурентоспособности// Современные проблемы науки и образования. — Пенза: Издательский дом «Академия естествознания». — № 6. — 2014. — С.25−34.

Скрыль С.В., Окрачков А. А. Метод количественной оценки показателей эффективности систем защиты информации от несанкционированного доступа// Вестник Воронежского института МВД России. — № 3. — 2013. — С. 51−56.

Спектор Е. И. Лицензирование в Российской Федерации. — М.: Юстиц.

Информ, 2012. — 256с.

Тагиров В.К., Тагирова Л. Ф., Атанов Н. М. Инновационный метод совершенствования системы защиты на основе внедрения систем контроля и управления доступом// Инновации в науке. — Новосибирск: Издательство Ассоциация научных сотрудников «Сибирская академическая книга». — № 43. — 2015. — С. 70−75.

Хорошко В. А., Чекатков А. А. Методы и средства защиты информации, К.: Юниор, 2013 г. — 504с.

Чернова М. Время — деньги. Как превратить пассив в актив// Бизнес-журнал. — № 8. — 2013. — С.4−5.

Блог о информационной безопасности [Электронный ресурс] Режим доступа ;

http://itsecblog.ru/fizicheskie-sredstva-zashhity-informacii/.

Стандарты информационной безопасности [Электронный ресурс] Режим доступа ;

http://www.arinteg.ru/articles/standarty-informatsionnoy-bezopasnosti-27 697.html.

Приложение 1.

Оценка активов ООО «Прентисон Проперти».

№п/п Вид деятельности Наименование актива Форма предоставления актива Владелец актива Критерии определения стоимости Размерность оценки Колич. оценка (руб) Кач. оценка Информационные активы 1 регистрация заявки Договоры с партнёрами и клиентами Документ на бумажном носителе, электронный документ на ЖМД сотрудники бухгалтерии и отдела продаж, юрист Финансовый успех, репутация 55 000.

Средн. 2 регистрация заявки Персональные данные клиентов и сотрудников Документ на бумажном носителе, электронный документ на ЖМД сотрудники бухгалтерии и отдела продаж, юрист Финансовый успех, репутация 70 000.

Крит. 6 Планирование мероприятий Внутренняя документация Документ на бумажном носителе, электронный документ на ЖМД сотрудники бухгалтерии, отдела продаж, Финансовый успех, репутация 25 000.

Средн. 7 Оперативная отчетность Внутренняя документация Документ на бумажном носителе, электронный документ на ЖМД сотрудники бухгалтерии, отдела продаж, Финансовый успех, репутация 25 000.

Средн. 8 Клиентская база, управление взаимоотношениями с клиентами Персональные данные клиентов Документ на бумажном носителе, электронный документ на ЖМД сотрудники бухгалтерии отдела продаж Финансовый успех, репутация 70 000.

Крит. 9 Работа с персоналом Сведения о заработной плате сотрудников Документ на бумажном носителе, электронный документ на ЖМД сотрудники бухгалтерии отдела кадров Финансовый успех, репутация 65 000.

Высок. 10 Расчет себестоимости и анализ эффективности деятельности Ценовая политика компании Документ на бумажном носителе, электронный документ на ЖМД сотрудники бухгалтерии, коммерческий директор Финансовый успех, репутация 77 000.

Высок. 11 Анализ рентабельности и результатов работы отдела продаж Итоговые отчеты Документ на бумажном носителе, электронный документ на ЖМД сотрудники бухгалтерии, коммерческий директор Финансовый успех, репутация 56 000.

Высок. Активы программного обеспечения 1 Регистрация заявки ОС Windows Professional Операционная система Отдел по работе с клиентами Стоимость лицензии 10 000.

Крит. 2 Клиентская база, управление взаимоотношениями с клиентами ОС Windows Professional Операционная система Отдел по работе с клиентами Стоимость лицензии 10 000.

Крит. 3 Клиентская база, управление взаимоотношениями с клиентами MS Office Офисное ПО Отдел по работе с клиентами Стоимость лицензии 4000.

Сред. 4 Клиентская база, управление взаимоотношениями с клиентами Sales Expert Специализированное ПО Отдел по работе с клиентами Стоимость лицензии 18 000.

Выс. 5 Клиентская база, управление взаимоотношениями с клиентами Kaspersky small office security Антивирусное программное обеспечение Отдел по работе с клиентами Стоимость лицензии 3900.

Крит. 6 Клиентская база, управление взаимоотношениями с клиентами ИКС 4.

8.2 ФСТЭК Межсетевой экран Отдел по работе с клиентами Стоимость лицензии 17 500.

Крит. 7 Анализ рентабельности и результатов работы отдела продаж ОС Windows Professional Операционная система Коммерческий директор Стоимость лицензии 10 000.

Крит. 8 Анализ рентабельности и результатов работы отдела продаж MS Office Офисное ПО Коммерческий директор Стоимость лицензии 4000.

Сред. 9 Анализ рентабельности и результатов работы отдела продаж Kaspersky small office security Антивирусное программное обеспечение Коммерческий директор Стоимость лицензии 3900.

Крит. 10 Анализ рентабельности и результатов работы отдела продаж ИКС 4.

8.2 ФСТЭК Межсетевой экран Коммерческий директор Стоимость лицензии 17 500.

Крит. 11−12 Работа с персоналом ОС Windows Professional Операционная система Отдел кадров Стоимость лицензии 10 000*2 Крит. 13−14 Работа с персоналом MS Office Офисное ПО Отдел кадров Стоимость лицензии 4000*2 Сред. 15−16 Работа с персоналом БОСС-Кадровик Специализированное ПО Отдел кадров Стоимость лицензии 9500*2 Выс. 17−18 Работа с персоналом Kaspersky small office security Антивирусное программное обеспечение Отдел кадров Стоимость лицензии 3900*2 Крит. 19−20 Работа с персоналом ИКС 4.

8.2 ФСТЭК Межсетевой экран Отдел кадров Стоимость лицензии 17 500*2 Крит. 21 Управленческая деятельность ОС Windows Professional Операционная система Ген. директор Стоимость лицензии 10 000.

Крит. 22 Управленческая деятельность MS Office Офисное ПО Ген. директор Стоимость лицензии 4000.

Сред. 23 Управленческая деятельность Kaspersky small office security Антивирусное программное обеспечение Ген. директор Стоимость лицензии 3900.

Крит. 24 Управленческая деятельность ИКС 4.

8.2 ФСТЭК Межсетевой экран Ген. директор Стоимость лицензии 17 500.

Крит. 25−27 Обслуживание компьютерного парка и обеспечение информационной безопасности ОС Windows Professional Операционная система Отдел информационных технологий Стоимость лицензии 10 000*3 Крит. 28−30 Обслуживание компьютерного парка и обеспечение информационной безопасности MS Office Офисное ПО Отдел информационных технологий Стоимость лицензии 4000*3 Сред. 31−33 Обслуживание компьютерного парка и обеспечение информационной безопасности Kaspersky small office security Антивирусное программное обеспечение Отдел информационных технологий Стоимость лицензии 3900*3 Крит. 34−36 Обслуживание компьютерного парка и обеспечение информационной безопасности MS Office Офисное ПО Отдел информационных технологий Стоимость лицензии 4000*3 Сред. 37−39 Обслуживание компьютерного парка и обеспечение информационной безопасности Kaspersky small office security Антивирусное программное обеспечение Отдел информационных технологий Стоимость лицензии 3900*3 Крит. 40−42 Обслуживание компьютерного парка и обеспечение информационной безопасности программа 10-Страйк: Мониторинг Сети Программа мониторинга трафика сети Отдел информационных технологий Стоимость лицензии 4000*3 Выс. 43−45 Обслуживание компьютерного парка и обеспечение информационной безопасности ИКС 4.

8.2 ФСТЭК Межсетевой экран Отдел информационных технологий Стоимость лицензии 17 500*3 Крит. Физические активы 1 клиентская база, управление взаимоотношениями с клиентами Intel Core i5 персональный компьютер Отдел по работе с клиентами Стоимость оборудования 81 990.

Крит. 2 клиентская база, управление взаимоотношениями с клиентами HP МФУ Отдел по работе с клиентами Стоимость оборудования 20 550.

Низк. 3 Анализ рентабельности и результатов работы отдела продаж AMD А8 персональный компьютер Коммерческий директор Стоимость оборудования 40 500.

Крит. 4 Анализ рентабельности и результатов работы отдела продаж HP МФУ Коммерческий директор Стоимость оборудования 20 550.

Низк. 5 Работа с персоналом AMD А8 персональный компьютер Отдел кадров Стоимость оборудования 40 500*2 Крит. 6 Работа с персоналом Konica Minolta МФУ Отдел кадров Стоимость оборудования 17 880*2 Низк. 7 Управленческая деятельность Intel Core i7 персональный компьютер Ген. Директор Стоимость оборудования 93 990.

Крит. 8 Управленческая деятельность Canon МФУ Ген. Директор Стоимость оборудования 20 190.

Низк. 9 Обслуживание компьютерного парка и обеспечение информационной безопасности AMD А8 персональный компьютер Отдел информационных технологий Стоимость оборудования 40 500*3 Крит. 10 Обслуживание компьютерного парка и обеспечение информационной безопасности Konica Minolta МФУ Отдел информационных технологий Стоимость оборудования 17 880*3 Низк. 11 Обслуживание компьютерного парка и обеспечение информационной безопасности LG LDK-100 Цифровая АТС Отдел информационных технологий Стоимость оборудования 74 600.

Выс. 12 Обслуживание компьютерного парка и обеспечение информационной безопасности DLINK Коммутатор Отдел информационных технологий Стоимость оборудования 61 180.

Выс. 13 Обслуживание компьютерного парка и обеспечение информационной безопасности TP-LINK Коммутатор Отдел информационных технологий Стоимость оборудования 79 990.

Выс. 14 Обслуживание компьютерного парка и обеспечение информационной безопасности MikroTik Коммутатор Отдел информационных технологий Стоимость оборудования 41 220.

Выс.

Приложение 2.

УТВЕРЖДАЮ Генеральный директор ООО «Прентисон Проперти» ________________ _________________ (подпись) (и.о. фамилия) «____» ______________ 200__ г.

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ специалиста по информационной безопасности в ООО «Прентисон Проперти».

(Введена в действие приказом ГД от «___» _________ 20 ___ г.).

1. Общие положения На должность специалиста по информационной безопасности назначается лицо, имеющее высшее образование и специальную дополнительную подготовку в области защиты информации и стаж работы по специальности не менее 5 лет.

В своей деятельности специалист по информационной безопасности руководствуется действующим законодательством, Уставом ООО «Прентисон Проперти», Положением о службе информации ООО «Прентисон Проперти», настоящей Инструкцией.

2. Должностные обязанности Специалист по информационной безопасности:

Выполняет работы по обеспечению всесторонней защиты информационных ресурсов ООО «Прентисон Проперти» средствами программно-аппаратного инструментария.

Проводит анализ критичности информационных ресурсов ООО «Прентисон Проперти» с целью выработки и принятия решений и мер по обеспечению защиты информации.

Разрабатывает Положения по совершенствованию методов и средств защиты информации и повышению их эффективности.

Участвует в организационно-технических мероприятиях, направленных на защиту персональных данных.

Участвует в обследовании объектов защиты, их аттестации и категорировании.

Определяет потребность в технических средствах защиты и контроля, составляет заявки на их приобретение с необходимыми обоснованиями и расчетами к ним, контролирует их поставку и использование.

Содействует распространению передового опыта и внедрению современных организационно-технических мер, средств и способов защиты информации с целью повышения их эффективности.

Осуществляет проверку выполнения требований межотраслевых и отраслевых нормативных документов по защите информации.

3. Права Специалист по информационной безопасности имеет право:

Получать свободный доступ к проектам решений руководства ООО «Прентисон Проперти», касающихся его деятельности.

Выносить на обсуждение вопросы по совершенствованию работы по защите информации.

Получать от руководителя службы информации сведения и документы, необходимые для выполнения своих должностных обязанностей.

Привлекать сотрудников ООО «Прентисон Проперти» для решения возложенных на него обязанностей.

Контролировать выполнение положений политики безопасности сотрудниками ООО «Прентисон Проперти».

Вносить предложения руководству ООО «Прентисон Проперти» об отстранении сотрудников от работы с вычислительной техникой в случае невыполнения ими требований безопасности.

4. Ответственность Специалист по информационной безопасности несет ответственность:

За неисполнение или ненадлежащее исполнение своих должностных обязанностей.

Результаты и эффективность производственной деятельности предприятия в части соблюдения мер по защите информации.

За совершенные в процессе осуществления своей деятельности правонарушения — в пределах, определенных административным, уголовным и гражданским законодательством Российской Федерации.

За причинение материального ущерба — в пределах, определенных трудовым, уголовным и гражданским законодательством Российской Федерации.

Приложение 3.

УТВЕРЖДАЮ Генеральный директор ООО «Прентисон Проперти».

__________________________ _______________.

Фамилия И.О. подпись.

«___"__________________20__г.

Политики информационной безопасности ООО «Прентисон Проперти».

В соответствии с Концепцией информационной безопасности компания ООО «Прентисон Проперти» вводит отдельные правила, направленные на обеспечение безопасности и управления информационной инфраструктурой. Политики вводятся для основных информационно-технологических (ИТ) ресурсов и процессов компании.

ИТ ресурсы являются собственностью компании. Компания предоставляет персоналу в пользование свои ИТ ресурсы. Руководство компании ожидает от персонала следования политикам, регламентам и процедурам компании, локальным нормативным документам, законодательству РФ при пользовании ИТ ресурсами. Неподчинение этим условиям влечет лишение прав пользования ИТ ресурсами, дисциплинарные взыскания и другие правовые действия.

За компанией остается право проведения мониторинга, копирования, записи и/или протоколирования всех действий персонала по использованию ИТ ресурсов без предупреждения. Это включает, но не ограничивается электронной почтой, ключами, логинами, паролями, доступом в Интернет и к файлам. Персонал не может рассчитывать на приватность при использовании ИТ ресурсов компании.

Кроме того, компания не отвечает за любые убытки и вред, которые может испытывать персонал в связи с пользованием ИТ ресурсов.

Доступ к любым внешним Интернет-сервисам от имени компании (с данными компании) равно как и доступ с помощью посторонних ИТ ресурсов к бизнесу компании не компенсируется, не существует без обязательств, ответственности и согласия компании.

Ответственность персонала заключается в следующем:

считывать и передавать только данные, на которые у персонала есть авторизованные права;

сознательно придерживаться всех политик, законов и нормативных документов (локальных, федеральных, международных), касающихся использованию компьютерных систем и программ;

сообщать о нарушениях информационной безопасности ответственным за безопасность сотрудникам, тесно сотрудничать в расследованиях злоупотреблений и неправомерных действий персонала с ИТ ресурсами;

защищать назначенные персоналу имя и коды пользователя, пароли, другие ключи доступа от раскрытия;

оберегать и содержать конфиденциальную печатную информацию, магнитные и электронные носители в предназначенных для этого местах, когда они не в работе и размещать их в соответствии с политикой компании;

использовать только приобретенное компанией и лицензионное программное обеспечение, разрешенное для использования внутри компании, устанавливать программы и сервисы только через сотрудника ИТ подразделения;

выполнять все предписания и действия по информационной безопасности (например, по антивирусной защите, пользованию электронной почтой); не оставлять компьютер с включенным доступом в свое отсутствие — ставить экран на пароль или выходить из системы;

не перегружать ресурсы компании (каналы и сервера) трафиком, запуском нескольких копий программ; сворачивать или закрывать неиспользуемые программы на сервере;

периодически посещать тренинги и семинары, проводимые ИТ подразделением компании.

Политика разрешения доступа к технологическим ресурсам.

Настоящая политика является ключевым элементом ИБ и устанавливает требования к подбору персонала, допущенного к работе с информационно-технологическими (ИТ) ресурсами компании, требования к службам компании, ответственным за подбор, расстановку и обучение кадров.

Область применения Настоящая политика охватывает подразделения, службы, отделы, чья деятельность связана с использованием ИТ ресурсов компании, выдачей разрешений доступа к этим ресурсам. Описывает процедуры, которые должны быть выполнены всеми участниками процесса разрешения доступа к ИТ ресурсам компании.

Политика Весь персонал, допущенный к работе с ИТ ресурсами компании, должен:

иметь соответствующую компьютерную подготовку;

пройти тестовый контроль и, при необходимости, обучение работе с корпоративными информационными системами;

получить и иметь авторизованный доступ к выделенным ему ресурсам;

ознакомиться и соблюдать политики безопасности, установленные в компании.

ИТ подразделение обязано провести тестовый контроль каждого нового или перемещаемого сотрудника на возможность допуска к ИТ ресурсам компании, а в случае положительного решения провести следующие мероприятия по обеспечению доступа:

ознакомить с политиками ИБ компании (под роспись);

разъяснить структуру, состав и организацию информационной системы в рамках должностных обязанностей нового сотрудника;

разъяснить пределы компьютерной самопомощи, после которой персонал может обращаться в службу поддержки;

выделить сотруднику информационные ресурсы и пространство, наделить (зарегистрировать, авторизовать) его идентификационным (и) номером (ами), паролем (ями), правами согласно Политике паролей;

произвести настройки для пользования e-mail, Интернет и другими внешними ресурсами;

выдать имеющиеся инструкции, распоряжения, руководства, касающиеся его будущей работы с ИТ ресурсами;

у увольняемого сотрудника — принять ресурсы и дезактивировать его авторизацию.

Обслуживаемые ИТ подразделением технологические ресурсы должны быть настроены для аутентификации (идентификации и авторизации) конечных пользователей.

Обучение персонала работе с новыми приложениями может осуществляться с участием сторонних организаций.

При приеме на работу персонал должен быть инструктирован по вопросам режима в помещениях, хранения, обмена, подготовки бумажных/электронных документов, пользования факсом, междугородней и международной связью, а также по пожарной и электробезопасности.

Ответственность К любому сотруднику, замеченному в нарушении данной политики, могут применяться дисциплинарные взыскания, вплоть до увольнения.

Политика пользования электронной почтой.

Настоящая политика предоставляет персоналу разрешенные правила пользования ресурсами электронной почты (e-mail) компании. Политика охватывает e-mail, приходящий или отправляемый через все принадлежащие компании персональные компьютеры, сервера, ноутбуки, терминалы, карманные переносные компьютеры, сотовые телефоны и любые другие ресурсы, способные посылать или принимать e-mail по протоколам SMTP, POP3, IMAP.

Собственность Компании принадлежат все e-mail системы, в т. ч. используемые на правах аутсорсинга, сообщения сгенерированные и обработанные e-mail системами, включая архивные копии, и вся содержащаяся в них информация. Несмотря на то, что персонал получает индивидуальный пароль для доступа к e-mail системам, все они остаются собственностью компании.

Мониторинг Компания контролирует с/без предупреждения содержание e-mail для разрешения проблем, обеспечения безопасности и исследования активности. Сообразно с принятыми бизнес-практиками, компания собирает статистические данные о своих ИТ ресурсах. ИТ персонал компании контролирует использование e-mail, чтобы гарантировать текущую доступность и надежность систем.

Ответственность Персонал может подвергаться лишению прав пользования e-mail и/или дисциплинарным взысканиям, вплоть до увольнения, при выявлении действий, противоречащим настоящей политике.

Персонал должен сохранять конфиденциальность своих паролей и, независимо от обстоятельств, никогда не передавать в пользование и не раскрывать их никому.

Персонал должен использовать электронную почту компании для любой переписки, касающейся деятельности компании. Использование внешних почтовых сервисов (ящиков) допустимо только по согласованию со службой ИБ.

Персонал должен ограничивать объемы пересылаемой по e-mail информации, чтобы не перегружать и не блокировать каналы связи.

Персонал должен готовить e-mail сообщения, соответствующие по виду и содержанию официальному имиджу компании.

Приветствуется использование технологии считывания только заголовков почтовых сообщений, что резко сокращает вирусную опасность и трафик, связанный со спамом.

Антивирусная политика Настоящая политика устанавливает требования, которым должны удовлетворять все компьютеры, подключенные к сети компании, требования к пользователям по антивирусной защите, гарантирующие эффективное определение и защиту от вирусов.

Область применения.

Настоящая политика применяется ко всем компьютерам сети компании, каталогам общего пользования, к которым относятся настольные компьютеры, ноутбуки, file/ftp/proxy серверы, терминалы, любое сетевое оборудование, генерирующее трафик. Источниками вирусов могут быть e-mail, Интернет-сайты со скрытыми вредоносными активными элементами, носители информации (CD-диски, flash-диски и пр.), открытые для общего доступа папки и файлы и т. д.

Политика Защита от внешних угроз и вирусов имеет несколько уровней:

антивирусный контроль на почтовом сервере провайдера;

защита от внешних вторжений, вирусов с Интернет-сайтов и трафика во вне с помощью ISA-серверов;

антивирусный контроль файлов и почтовых вложений с помощью антивирусных программ на серверах и рабочих станциях пользователей;

анти-шпионские сканеры (дополнительно);

персональные брэндмауэры (дополнительно).

На всех компьютерах сети должно быть установлено соответствующее стандартам компании антивирусное программное обеспечение, а в некоторых случаях в сочетании с персональным брэндмауэром. Антивирус «патрулирует» жесткий диск и память компьютера на проникновение вируса, а брэндмауэр контролирует данные, попадающие и покидающие «внутренний периметр» через Интернет-соединение.

Все сотрудники, допущенные к работе с информационно-технологическими ресурсами компании, должны владеть навыками работы с антивирусными инструментами. Антивирусное сканирование конечные пользователи выполняют самостоятельно.

Любая деятельность по намеренному созданию и/или распространению вредоносных программ внутри сети компании (вирусы, черви, трояны, почтовые бомбы и пр.) запрещена.

Ответственность К любому сотруднику, замеченному в нарушении этой политики, могут применяться дисциплинарные взыскания, вплоть до увольнения.

Политика подготовки, обмена и хранения документов Настоящая политика устанавливает требования к содержанию, копированию, порядку обмена, хранения электронных и бумажных документов, файлов и информации внутри компании.

Область применения Настоящая политика охватывает все подразделения, службы, отделы, чья деятельность связана с подготовкой, копированием, хранением, обменом документами, информацией, данными с использованием информационно-технологических ресурсов компании.

Политика Персонал компании должен придерживаться следующих требований по подготовке, копированию, хранению, обмену документами, информацией, данными, файлами:

документы по виду и содержанию должны соответствовать официальному имиджу компании, следует употреблять общепринятую деловую лексику;

следует избегать употребления слов и выражений, раскрывающих критическую деятельность компании, в необходимых случаях использовать сокращения;

документы офисных, почтовых, графических и др. стандартных приложений (Word, Excel, PowerPoint, Outlook, PhotoShop и пр.) должны создаваться и храниться в папках Мои Документы; все папки должны иметь понятную вложенную структуру и наименования по темам; личные файлы, не относящиеся к деятельности компании, должны храниться в отдельной папке;

запрещено хранить личные файлы, не относящиеся к деятельности компании, на серверах компании;

периодически, раз в неделю удалять устаревшие версии файлов с сервера — из личных папок Для.

Обмена и Мои Документы;

корпоративные базы данных должны храниться на серверах компании, архивироваться по расписанию, иметь разграниченный авторизованный доступ для персонала;

копировать данные на внешние накопители типа CD/DVD-RW, USB FlashDrive, FlashCard и пр. разрешено лицам, имеющим особое разрешение.

Внутриофисный обмен и движение документов предпочтительнее организовать с помощью специальных программ документооборота и коллективной работы.

Ответственность К любому сотруднику, замеченному в нарушении этой политики, могут применяться дисциплинарные взыскания, вплоть до увольнения.

Лист ознакомления.

№ Фамилия И. О. Дата ознакомления Ознакомлен — подпись 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15.