Разработка комплексной системы защиты информации
Во второй главе дипломной работы представлены результаты аудита информационной безопасности защищаемого объекта. В ходе проведения аудита информационной безопасности был выполнен анализ информации, циркулирующей на защищаемом объекте, определены её виды, гриф и степень секретности; выявлены угрозы, актуальные для данной информации. Помимо этого, были проанализированы действующие средства и методы… Читать ещё >
Разработка комплексной системы защиты информации (реферат, курсовая, диплом, контрольная)
Аннотация В данной дипломной работе рассмотрены вопросы, связанные с разработкой комплексной системы защиты информации административного здания промышленного предприятия Новозыбковского завода «Индуктор». В ходе выполнения работы был проведен анализ информационной безопасности защищаемого объекта, в результате которого выявлены состав источников и носителей информации, проведено категорирование информации, выявлены возможные каналы утечки информации. В рамках аудита информационной безопасности была проанализирована текущая деятельность предприятия по вопросам защиты информации, проведена оценка информационной системы организации, в которой циркулирует конфиденциальная информация; были выявлены недостатки системы защиты, способы, устранения которых представлены в работе.
В результате выполнения дипломной работы была разработана комплексная система защиты объекта, был произведен подбор технических и программно-аппаратных средств, а так же разработана документация, используемая при работе с программно-аппаратными средствами защиты;
В работе представлены схемы, отображающие расположение предложенных в работе средств защиты.
В экономической части работы рассчитаны затраты на проектирование и эксплуатацию системы защиты. Кроме того, были рассмотрены вопросы безопасности и экологичности работы.
Annotation
This thesis addressed issues related to the development of information security management system for administrative building of an industrial enterprise JSC «Novozybkov plan «Inducer». During the implementation of an analysis of the information security of the protected object, which revealed the composition of sources and media, conducted categorization of information, identify possible channels of information leakage. As part of the audit of information security was analyzed ongoing activities on the protection of information, evaluated the information system of the organization, which is circulating confidential information, were identified deficiencies in the system of protection, the manner in which elimination are at work.
As a result of the thesis has developed a complex system of object, was made the selection of hardware and software and hardware, as well as developed documentation used when working with software and hardware protection;
The paper presents the scheme showing the location of the proposed work remedies.
In the economic part of the estimated costs of design and operation protection system. In addition, the issues of safety and environmental work.
Введение
Цель данной дипломной работы заключается в разработке комплексной системы защиты документооборота управления пенсионного фонда России Советского района г. Брянска.
Реализация предложенного проекта позволит повысить уровень защищенности документооборота Управления.
При разработке и построении комплексной системы защиты документооборота необходимо придерживаться определенных методологических принципов проведения исследований, проектирования, производства, эксплуатации. Системы защиты информации относятся к числу сложных систем, и для их построения могут использоваться разные принципы построения систем с учетом специфики решаемых ими задач.
Система защиты должна быть спроектирована таким образом, чтобы обеспечить надлежащую степень защищенности данных.
В первой главе дипломной работы представлена характеристика объекта защиты, описан документооборот предприятия, приведён технический паспорт объекта защиты и рассмотрен состав его информационной системы, рассмотрена структура локальной вычислительной сети Управления.
Во второй главе дипломной работы представлены результаты аудита информационной безопасности защищаемого объекта. В ходе проведения аудита информационной безопасности был выполнен анализ информации, циркулирующей на защищаемом объекте, определены её виды, гриф и степень секретности; выявлены угрозы, актуальные для данной информации. Помимо этого, были проанализированы действующие средства и методы защиты информации и дана оценка их работе.
В третьей главе дипломной работы представлены требования, которые следует предъявить к комплексной системе защиты документооборота; описаны требования к правовой, организационной, инженерно-технической и программно-аппаратной составляющей системы защиты; определён состав и характеристики соответствующих подсистем и средств защиты.
В четвертой главе дипломной работы проведён подбор инженерно технических средств защиты, таких как средства охранно-пожарной сигнализации и средства системы видеонаблюдения, программно аппаратных средств защиты, таких как средства антивирусной защиты и источники бесперебойного питания. Также была осуществлена разработка необходимых организационных и правовых мероприятий по защите информации.
В пятой главе дипломной работы приводится расчёт суммарных затрат на комплексную защиту объекта и обоснование экономической целесообразности разработки КСЗИ.
В шестой главе дипломной работы рассмотрены факторы рабочей среды, оказывающие влияние на здоровье и работоспособность человека в процессе труда.
В заключении дипломной работы сформулированы общие выводы касательно разработанной комплексной системы защиты.
1. ХАРАКТЕРИСТИКА ОБЪЕКТА
1.1 Характеристика предприятия Краткая характеристика ОАО «Новозыбковский завод электротермического и электросварочного оборудования «Индуктор» приведена в таблице 1.1.
Таблица 1.1 Описание предприятия
Полное фирменное наименование на русском языке | Открытое акционерное общество «Новозыбковский завод электротермического и электросварочного оборудования «Индуктор» | |
Сокращенное фирменное наименование на русском языке | ОАО «Новозыбковский завод «Индуктор» | |
Форма собственности | Открытое акционерное общество | |
Виды деятельности | · Выполнение научно-исследовательских, проектно-конструкторских технологических, монтажных и пусконаладочных работ; · Производство специальных видов электротермического и электросварочного оборудования, товаров народного потребления и других видов оборудования и продукции; · строительство и эксплуатация жилых домов, гостиничный сервис; · услуги по исследованию рынка; · организация и проведение научно-практических мероприятий, производственно-техническое обучение, обмен опытом и специалистами, реклама достижений и прием специалистов зарубежных стран; · строительство, приобретение, аренда, сдача в аренду производственных помещений, оборудования, транспортных средств, производственного инвентаря и другого движимого и недвижимого имущества в установленном законом порядке; · посредническая и торгово-закупочная деятельность; · восстановление и капитальный ремонт оборудования; · осуществление перевозок легковым и грузовым автотранспортом, оказание авторемонтных услуг; · внешнеэкономическая деятельность; · организация деятельности, направленной на улучшение здравоохранения и экологии, разработка и реализация программ и мероприятий, связанных с развитием экологически чистых зон; · лечебно-профилактическая и санитарно-гигиеническая деятельность, в том числе направленная на социально-трудовую реабилитацию инвалидов; · оказание предприятиям, учреждениям, организациям, населению, работникам услуг общественного питания и других различных услуг; · информационно-рекламная деятельность; · проведение аукционов, ярмарок, выставок-продаж; · инвестиции в другие предприятия, организации, учреждения; · оказание торгово-посреднических и других услуг коммерческого характера юридическим и физическим лицам; · защита прав и представление интересов трудового коллектива и акционеров в органах власти, коммерческих и некоммерческих организациях. Помимо указанных основных видов деятельности Общество ни в коей мере не ограничивает себя в праве осуществления: · любых, не противоречащих действующему законодательству РФ, видов внешнеэкономической деятельности; · любых иных видов деятельности, не запрещенных действующим законодательством РФ. | |
Руководитель | Зиновьев Михаил Александрович | |
Юридический адрес | РФ, 243 020, г. Новозыбков, ул. Рошаля, 72 | |
1.2 Цели и задачи предприятия Основной целью предприятия является извлечение прибыли.
Исходя из цели и, предприятие решает следующие задачи:
1. Производство продукции и обеспечение процесса производства;
2. Обеспечение персонала всем необходимым для выделенной работы;
3. Обеспечение информационного взаимодействия между подразделениями предприятия, между начальством предприятия и персоналом, между предприятием и поставщиками, клиентами.
Для достижения поставленной цели предприятие сохранило за собой возможность вести следующие виды деятельности:
— Выполнение научно-исследовательских, проектно-конструкторских, технологических, монтажных и пусконаладочных работ;
— Производство специальных видов электротермического и электросварочного оборудования, товаров народного потребления и других видов оборудования и продукции;
— Строительство и эксплуатация жилых домов, гостиничный сервис;
— Услуги по исследованию рынка;
— Организация и проведение научно-практических мероприятий, производственно-техническое обучение, обмен опытом и специалистами, реклама достижений и приём специалистов зарубежных стран;
— Строительство, приобретение, аренда, сдача в аренду производственных помещений, оборудования, транспортных средств, производственного инвентаря и другого движимого и недвижимого имущества в установленном законом порядке;
— Посредническая и торгово-закупочная деятельность;
— Восстановление и капитальный ремонт оборудования.
Помимо указанных основных видов деятельности предприятие ни в коей мере не ограничивает себя в праве осуществления:
— Любых не противоречащих действующему законодательству РФ, видов внешнеэкономической деятельности;
— Любых иных видов деятельности, не запрещенных действующим законодательством РФ.
1.3 Функции предприятия В соответствии с возложенными задачами основными функциями предприятия, связанными с созданием и внедрением автоматизированных рабочих мест и систем информационно-аналитического обеспечения, являются:
1. Формирование внутренних информационных ресурсов на основе постановленных задач структурными подразделениями предприятия;
2. Подключение пользователей предприятия к внутренним и внешним информационным ресурсам.
3. Методическая помощь работникам предприятия в сфере доступа к внешним информационным ресурсам с использованием информационных технологий.
4. Создание, внедрение, сопровождение и развитие автоматизированной программно-технической и коммуникационной системы, обеспечивающей эффективное информационное взаимодействие пользователей на предприятии между собой, а также другими организациями.
5. Организация самостоятельных разработок и внедрения новых проектов, а также участие в разработках и внедрении проектов, программ и автоматизированных систем, направленных на обеспечение эффективной работы всех направлений деятельности предприятия.
6. Исследование тенденции и закономерностей развития перспективных направлений информатизации в стране и за рубежом с целью внедрения средств вычислительной техники, информационных систем и новых информационных технологий на предприятии.
1.4 Структура предприятия Предприятие является Открытым Акционерным Обществом, в связи с чем оно возглавляется Советом директоров во главе с Генеральным директором.
Структурная схема предприятия показана на рис. 1.1.
Рис. 1.1 Структурная схема предприятия
2. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.1 Анализ информации, циркулирующей на предприятии Анализ информации, циркулирующей на защищаемом объекте, позволяет определить какую информацию следует защищать, и каким образом построить эту защиту. Основной задачей данного анализа является выявление полного перечня источников и носителей информации и определение структуры конфиденциальности информации.
На объекте защиты нет сведений, составляющих государственную тайну.
Информация, циркулирующая на предприятии и имеющая конфиденциальный вид, собрана и представлена в таблице 2.1.
Таблица 2.1 Элементы информации, подлежащие защите на объекте
№ | Наименование элемента информации | Конфиденциальность информации | Наименование источника информации | Местонахождение информации | |
1. | Служебные записки | КТ | Персонал, документы, ТСОИ | Отделы, кабинеты начальства | |
2. | Докладные | КТ | Персонал, документы, ТСОИ | Отделы, кабинеты начальства | |
3. | Приказы | КТ | Персонал, документы, ТСОИ | Отделы, кабинеты начальства | |
4. | Распоряжения | КТ | Персонал, документы, ТСОИ | Отделы, кабинеты начальства | |
5. | Отчеты | КТ | Персонал, документы, ТСОИ | Отделы, кабинеты начальства | |
6. | Сведения о работниках | ПД | Персонал, документы, ТСОИ | Отдел кадров | |
Данные о юридических лицах | КТ | Персонал, документы, ТСОИ, ЭНИ | Отдел маркетинга | ||
2.2 Категорирование информации Проведено категорирование информации и оценка стоимости ущерба в случае ее разглашения. Результаты категорирования представлены в таблице 2.2.
Таблица 2.2 Анализ информационных активов на предприятии
Наименование элемента информации | Гриф | Цена информации (руб.) | Наименование источника информации | Местонахождение источника информации | |
Приказ о мерах защиты | КД | 20 000 | Начальник службы безопасности | Служба безопасности | |
Приказ о вводе в эксплуатацию ПЭВМ | КД | 8 000 | Начальник службы безопасности | Служба безопасности | |
Должностные инструкции сотрудников предприятия | КД | 5 000 | Зам. директора по кадрам и соц. вопросам | Отдел кадров | |
Трудовые договоры сотрудников, работающих с конфиденциальной информацией | КД | 7 000 | Зам. директора по кадрам и соц. вопросам | Отдел кадров | |
Договоры, заключенные с поставщиками | КТ | 300 000 | Главный бухгалтер | Бухгалтерия | |
Акт сдачи-приемки выполненных работ | КД | 6 000 | Главный бухгалтер | Бухгалтерия | |
2.3 Виды угроз информации Угроза безопасности информации — возможность возникновения такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение физической целостности, логической структуры, несанкционированная модификация информации, несанкционированное получение информации, несанкционированное размножение информации.
Основными видами угроз безопасности информации являются следующие источники угроз:
· стихийные бедствия;
· сбои и отказы оборудования;
· ошибки эксплуатации;
· преднамеренные действия нарушителей и злоумышленников.
Классификация видов угроз представлена на рисунке 2.1.
Рис. 2.1 Классификация угроз Перечень возможных угроз и средств борьбы с ними представлен в таблице 2.3.
Таблица 2.3 Возможные угрозы и средства борьбы с ними
Возможные угрозы | Средства для уменьшения количества уязвимостей и снижения степени ущерба от угроз | |
Основные непреднамеренные искусственные угрозы | ||
1) неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы (удаление, искажение файлов с важной информацией или программ, в том числе системных и т. п.); 2) неумышленная порча носителей информации | программа резервного копирования Macrium Reflect | |
3) заражение компьютера вирусами; | Антивирус «Dr.Web», на сервере установлен UserGate | |
4) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной; | Утверждение инструкций по работе с конфиденциальной информацией | |
5) игнорирование организационных ограничений (установленных правил) при работе в системе; | Контроль за соблюдением правил работы с защищаемой информацией и привлечение к ответственности за ее нарушение. | |
6) некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом средств защиты; | Утверждение Должностной инструкции системного администратора по информационным технологиям (IT-специалист). В ней перечислены обязанности данного работника по организации информационной системы и ее безопасности. | |
7) неумышленное повреждение каналов связи. | Провода каналов связи проложены в коробах | |
Основные преднамеренные искусственные угрозы | ||
1) отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, охлаждения и вентиляции, линий связи и т. п.); | Установлены источники бесперебойного питания. (позволяют сохранить данные и завершить работу ПК.) | |
2) несанкционированный доступ в помещения учреждения для совершения кражи или других действий в не рабочее время; | На данном предприятии дежурит охранник. Рекомендуется так же установка охранно-пожарной сигнализации, с возложением на охранника обязанностей вызова милиции или пожарной службы при срабатывании сигнализации. | |
3) нарушение конфиденциальности при почтовой пересылке в электронном виде отчетности; | Обеспечивается программными продуктами Система «СТЭК-Траст», ViPNet [Деловая почта], которые поддерживают шифрование. | |
4) нарушение аппелируемости при почтовой пересылке в электронном виде отчетности. | Обеспечивается программными продуктами Система «СТЭК-Траст», ViPNet [Деловая почта]. Данные продукты поддерживают ЭЦП. Так же обеспечивают категории информационной безопасности как целостность и аутентичность. | |
Естественные угрозы | ||
1) пожары; | Установлена охранно-пожарная сигнализация Инструкция по пожарной безопасности. | |
2) прорыв трубы, протечка в крыше. | Инструкция по технике безопасности. Инструкция действий в нештатных ситуациях. Ознакомления персонала с ней, и распределение отвечающих при возникшей данной ситуации. | |
2.4 Потенциальные каналы утечки информации Классификация потенциальных каналов утечки информации представлена в таблице 2.4.
Таблица 2.4 Потенциальные каналы утечки информации на объекте
№ элемента информации | Источник сигнала | Путь утечки информации | Вид канала | Оценки реальности канала, % | |
1−7 | Персонал | Инициативное сотрудничество | МВ, АК | 10 (маловероятно) | |
Склонение к сотрудничеству | МВ, АК | 5 (маловероятно) | |||
Подслушивание | АК | 45 (вероятно) | |||
Наблюдение | ВО | 45 (вероятно) | |||
Хищение | МВ | 5 (маловероятно) | |||
Модификация | МВ | 35 (вероятно) | |||
Уничтожение | МВ | 5 (маловероятно) | |||
Негласное ознакомление | ВО | 80 (высоковероятно) | |||
Несознательное разглашение | МВ, АК | 80 (высоковероятно) | |||
1−7 | Документы, бумажные носители | Наблюдение | ВО | 80 (высоковероятно) | |
Хищение | МВ | 10 (маловероятно) | |||
Копирование | МВ | 10 (маловероятно) | |||
Модификация | МВ | 35 (вероятно) | |||
Уничтожение | МВ | 10 (маловероятно) | |||
Перехват | МВ | 10 (маловероятно) | |||
Негласное ознакомление | ВО | 35 (вероятно) | |||
Фотографирование | ВО | 10 (маловероятно) | |||
Сбор и аналитическая обработка | МВ | 45 (вероятно) | |||
1−7 | Техническое средство обработки информации | Наблюдение | ВО | 40 (вероятно) | |
Хищение | МВ, ЭМ | 5 (маловероятно) | |||
Копирование | МВ, ЭМ | 10 (маловероятно) | |||
Модификация | МВ, ЭМ | 5 (маловероятно) | |||
Уничтожение | МВ, ЭМ | 5 (маловероятно) | |||
Незаконное подключение | МВ, ЭМ | 10 (маловероятно) | |||
Перехват | МВ, ЭМ | 5 (маловероятно) | |||
1−7 | Отходы | Хищение | МВ | 25 (вероятно) | |
Сбор и аналитическая обработка | МВ | 25 (вероятно) | |||
7. | Электронные носители информации | Хищение | МВ | 25 (вероятно) | |
Копирование | МВ | 35 (вероятно) | |||
Модификация | МВ | 20 (маловероятно) | |||
Уничтожение | МВ | 10 (маловероятно) | |||
Искажение | МВ | 20 (маловероятно) | |||
Сбор и аналитическая обработка | МВ | 45 (вероятно) | |||
2.5 Эффективность существующей системы безопасности предприятия По результатам аудита информационной безопасности существующей системы безопасности предприятия было выявлено следующее:
Существующая система защиты недостаточно надёжная.
Существуют открытые каналы выноса материальных ценностей в обход контрольно пропускного пункта при использовании неравномерности защиты периметра территории завода.
Вынос документации по разработкам не сопровождается подписанием документов о не разглашении (Имеется лишь устная договорённость).
Кражи перспективных разработок сводят на нет инновационную деятельность предприятия.
Существующие недостатки рассмотрены в следующих категориях.
2.5.1 Организационно-правовое направление защиты Аудит информационной безопасности объекта защиты показал, что на предприятии циркулирует большой объём информации, имеющей высокую степень важности.
В положениях о подразделениях и должностных инструкциях руководителей и работников никакой ответственности за уничтожение, искажение или утерю информации не предусмотрено, упоминания об информационной безопасности отсутствуют. Никаких инструкций и правил, регламентирующих информационную безопасность, не предусмотрено.
Среди установленных организационных мер по обращению с техническими средствами особо выделены следующие:
1) На входе организован контрольно пропускной пункт для предотвращения бесконтрольного перемещения по зданию.
2) Конфиденциальные документы хранятся в сейфах.
Дополнительных мероприятий по отношению обеспечения информационной безопасности IT-специалистами, работающими на предприятии не выявлено.
С целью совершенствования защищенного документооборота дополнению подлежат существующие на данном предприятии нормативно-правовые документы:
1.Инструкция по конфиденциальному делопроизводству;
2. Положение о конфиденциальной информации предприятия;
3. Обязательства работника о сохранении коммерческой тайны.
2.5.2 Программно-аппаратные направление защиты Программно-аппаратные средства реализованные на предприятии:
1. Использование систем управления доступом (защита от несанкционированной загрузки персонального компьютера, ограничение доступа к внутренним ресурсам).
2. Использование антивирусных средств.
Программно-аппаратные меры позволят уменьшить риск таких угроз как нарушение доступности информации, и вероятность возникновения уязвимостей ошибки, сбои и отказы.
Выявлены следующие возможные меры защиты:
Использование неавторизованных USB устройств представляет угрозу корпоративным сетям и данным.
Кроме доступа к USB портам существует спектр потенциально опасных устройств: дисководы, CD-ROM, а также FireWire, инфракрасные, принтерные (LPT) и модемные (COM) порты, WiFi и Bluetooth адаптеры.
2.5.3 Инженерно-технические направление защиты Помещения ОАО «Новозыбковский завод электротермического и электросварочного оборудования «Индуктор» расположены в нескольких корпусах на огороженной территории предприятия.
1. Здания оборудованы современными средствами пожарной безопасности.
2. Все точки входа / выхода и въезда / выезда контролируются посредством контрольно-пропускных пунктов, оснащенных постами охраны, турникетами, системами оповещения и видеомониторинга.
4. Территория огорожена забором и охраняется силами охраны и сторожевыми собаками.
5. Все помещения оборудованы взломостойкими сейфами по мере необходимости.
6. Налажена чёткая система пожарной и аварийной безопасности.
Из вышеуказанной информации следует, что в данный момент на предприятии отсутствует комплексная система защиты информации. Меры, принимаемые для защиты информации, являются недостаточными. Информация на предприятии недостаточно защищена от угроз утери, искажения и уничтожения.
3. Определение требований к КСЗИ объекта
3.1 Требования к АС Для определения требований предъявляемых к ИС воспользуемся двумя руководящими документами: «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
Согласно руководящему документу и данным, приведенным выше, информационная система ОАО «Новозыбковский завод «Индуктор» относится к 1-й группе классов АС. Класс АС — 1Д.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1 Г, 1 В, 1Б и 1А.
Требования к классу защищенности 1Д.
Для подсистемы управления доступом:
— осуществление идентификации и проверки подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов (осуществляется средствами ОС).
Подсистема регистрации и учета:
— обеспечение регистрация входа (выхода) субъектов доступа в систему, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются (осуществляется средствами ОС):
дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
результат попытки входа: успешная или неуспешная — несанкционированная;
идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
— учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (учетную карточку) (осуществляется организационными мероприятиями);
— учет защищаемых носителей в журнале (картотеке) с регистрацией их выдачи (приема) (осуществляется организационными мероприятиями).
Подсистема обеспечения целостности:
— обеспечение целостности программных средств СЗИ от НСД, обрабатываемой информации, а также неизменности программной среды (осуществляется средствами ОС);
— осуществление физической охраны СВТ (устройств и носителей информации), предусматривающей контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время (осуществляется организационными и инженерно-техническими мероприятиями);
— периодическое тестирование функций СЗИ от НСД при изменении программной среды и персонала АС с помощью тест — программ, имитирующих попытки НСД (осуществляется организационными мероприятиями);
— наличие средств восстановления СЗИ от НСД, предусматривающие ведение двух копий программных средств СЗИ от НСД и их периодического обновления и контроля работоспособности (осуществляется организационными мероприятиями, а также использованием систем резервного копирования).
3.2 Требования к КСЗИ в области выполнения требований, регламентирующих обработку персональных данных Для информационных систем 1 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:
1. Определение, документальное фиксирование и утверждение руководством организации цели обработки персональных данных.
2. Определение необходимости уведомления Уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных.
3. Для каждой цели обработки персональных данных определение, документальное фиксирование и утверждение руководством организации:
— объема и содержания персональных данных;
— сроков обработки, в том числе сроков хранения персональных данных;
— необходимости получения согласия субъектов персональных данных.
4. Проведение классификации персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.
Выделены следующие категории персональных данных:
— персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных"[5] к специальным категориям персональных данных;
— персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных"[5] к биометрическим персональным данным;
— персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
— персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных"[5] к общедоступным или обезличенным персональным данным.
5. Осуществление передачи персональных данных организацией третьему лицу с согласия субъекта персональных данных. В том случае, если организация поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
6. Прекращение обработки персональных данных и уничтожение собранных персональных данных, если иное не установлено законодательством РФ, в следующих случаях и в сроки, установленные законодательством РФ:
— по достижении целей обработки или при утрате необходимости в их достижении;
— по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных
— если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ;
— при невозможности устранения оператором допущенных нарушений при обработке персональных данных.
Определение и документальное фиксирование порядка уничтожения персональных данных (в том числе и материальных носителей персональных данных).
7. Определение и документальное фиксирование порядка обработки обращений субъектов персональных данных (или их законных представителей) по вопросам обработки их персональных данных.
8. Определение и документальное фиксирование порядка действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных.
9. Для каждой ИСПДн организации определение и документальное фиксирование:
— цели обработки персональных данных;
— объема и содержания обрабатываемых персональных данных;
— перечня действий с персональными данными и способа их обработки.
Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных в соответствии целям обработки.
10. При обработке различных категорий персональных данных для каждой категории персональных данных рекомендуется использовать отдельный материальный носитель.
11. Определение и документальное фиксирования перечня (списка) работников, осуществляющих обработку персональных данных в ИСПДн либо имеющих доступ к персональным данным.
Возможно существование перечня (списка) в электронном виде при условии предоставления работникам прав доступа в ИСПДн только на основании распорядительного документа в документально зафиксированном в организации порядке.
Доступ работников организации к персональным данным и обработка персональных данных работниками организации осуществляется только для выполнения их должностных обязанностей.
12. Работники организации, осуществляющие обработку персональных данных в ИСПДн, информируются о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также ознакомляются под роспись со всей совокупностью требований по обработке и обеспечению безопасности персональных данных в части, касающейся их должностных обязанностей.
13. Определение и документальное фиксирование порядка доступа работников организации и иных лиц в помещения, в которых ведется обработка персональных данных.
14. Определение и документальное фиксирование порядка хранения материальных носителей персональных данных, устанавливающего:
— места хранения материальных носителей персональных данных;
— требования по обеспечению безопасности персональных данных при хранении их носителей;
— работников, ответственных за реализацию требований по обеспечению безопасности персональных данных;
— порядок контроля выполнения требований по обеспечению безопасности персональных данных при хранении материальных носителей персональных данных.
15. При обработке персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных,. соблюдаются требования, установленные «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15сентября 2008 г. № 687[6].
4. Разработка КСЗИ и разработка мероприятий и методики по её внедрению на защищаемый объект
4.1 Структурная и функциональная схемы КСЗИ объекта Для разработки КСЗИ объекта и соблюдения комплексности была составлена структурная схема КСЗИ, представленная на рисунке 4.1.
Рис. 4.1 Структурная схема КСЗИ Объекта Структурно КСЗИ подразделена на три основных направления: организационно-правовое, инженерно-техническое и программно-аппаратное.
Организационно-правовое направление содержит работу с составлением новых и переработке существующих организационно-распорядительных документов, циркулирующих на предприятии.
Инженерно-техническое направление заключается в обеспечении информационной безопасности средствами охранной сигнализации и системы видеонаблюдения.
Программно-аппаратное направление включает комплекс мер, направленный на защиту информационных процессов на рабочем месте персонала средствами программной защиты.
На основе структурной схемы была разработана функциональная, отображающая процесс обеспечения информационной безопасности. Функциональная схема представлена на рисунке 4.2.
Рис. 4.2 Функциональная схема КСЗИ Объекта Функциональная схема отображает стадии обеспечения безопасности в производственном процессе. Для обеспечения этого процесса задействованы различные подразделения службы безопасности, а так же весь персонал предприятия. Каждый этап защиты информационной безопасности предприятия сопровождается организационно-распорядительной документацией, регламентирующей деятельность службы безопасности и персонала в отношении конкретного защитного процесса.
Результатом данного подхода должно быть безопасное делопроизводство предприятия.
4.2 Организационно-правовые мероприятия На основании списка угроз, выявленных в ОАО «Новозыбковский завод электротермического и электросварочного оборудования «Индуктор», были выбраны средства для уменьшения количества уязвимостей и снижения степени ущерба от угроз. Были выработаны поправки в систему документооборота, необходимые для полного соответствия документации и материально-технического оснащения рекомендуемым.
Персонал, работающий на предприятии, является основным источником утечки информации. В связи с этим были рассмотрены дополнительные меры по обеспечению безопасности.
Проведение инструктажа персонала после проведения всех остальных мероприятий, направленных на защиту. Проведение обязательного обучения сотрудников после установки нового оборудования или программного обеспечения, чтобы избежать некорректного обращения с ним. Разъяснение всем сотрудникам их действий в случае возникновения различного рода опасностей. Разъяснение сотрудникам, не имеющим права работы с защищенными документами, порядок их действий в случае обнаружения такого документа. Для этого составляется «инструкция по обеспечению сохранности сведений составляющих коммерческую тайну». Постоянное повышение квалификации сотрудников путем отправления их на курсы повышения квалификации.
Выработаны дополнительные мероприятия по отношению к IT-специалистам, работающим на предприятии.
Основными задачами IT-специалиста являются: внедрение передовых информационных технологий с целью автоматизации управления предприятием; использование минимума IT-средств для достижения целей автоматизации; формирование культуры корпоративной работы пользователей.
Эта должность имеет две основные составляющие — технологическую и социально-руководящую. С одной стороны, необходимо внедрить на предприятии информационную систему, максимально удовлетворяющую запросы пользователей, с другой — объяснить ее структуру и функции, обучить правилам пользования, распределить обязанности и зоны ответственности среди персонала по поддержанию ее работоспособности.
Внесение дополнений в Устав предприятия: «Предприятие имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты.» увеличит возможности организационных мероприятий.
С целью совершенствования защищенного документооборота дополнению подверглись существующие на данном предприятии нормативно-правовые документы:
1. Инструкция по конфиденциальному делопроизводству;
2. Положение о конфиденциальной информации предприятия;
3. Обязательства работника о сохранении коммерческой тайны.
4.3 Программно-аппаратные средства защиты информации Для защиты ценной информации на ПЭВМ выявлена важность проведения плановых обновлений программного обеспечения повсеместно на всех рабочих станциях, занятых в процессе обмена информацией. Необходимость этого на отдельных рабочих местах снижена в виду вспомогательного использования вычислительных средств.
Компьютер включенный в локальную сеть и имеющий конфиденциальную информацию, подвержен достаточно большому количеству различных угроз, величину которых можно уменьшить применением программно-аппаратных средств защиты.
Программно-аппаратные средства, внедренные на предприятии:
1. Использование систем управления доступом (защита от несанкционированной загрузки персонального компьютера, ограничение доступа к внутренним ресурсам).
2. Регистрация, хранение и обработка сведений о событиях, имеющих отношение к безопасности системы.
3. Использование антивирусных средств.
Программно-аппаратные меры позволят уменьшить риск таких угроз как нарушение доступности информации, и вероятность возникновения уязвимостей ошибки, сбои и отказы.
Выявлены следующие меры защиты:
Для ограничения доступа к оборудованию и usb портам — использование DeviceLock, который представляет собой средство контроля доступа к сменным носителям и устройствам в системах, работающих под управлением Windows NT/2000/XP и Windows Server 2008. DeviceLock позволяет назначать права доступа для пользователей и групп пользователей, контролировать доступ к дисководам, приводам CD-ROM, принтерным и модемным портам и любым другим устройствам. При этом поддерживаются все виды файловых систем — FAT, NTFS (версии 4+), CDFS и другие.
DeviceLock имеет встроенные средства удаленного администрирования, позволяющие контролировать доступ к устройствам на каждом компьютере в локальной сети.
Использование неавторизованных USB устройств представляет угрозу корпоративным сетям и данным. Все это делает механизм аутентификации USB устройств, встроенный в DeviceLock, незаменимым и подчас безальтернативным решением проблем внутренней корпоративной безопасности.
Кроме доступа к USB портам, DeviceLock позволяет контролировать весь спектр потенциально опасных устройств: дисководы, CD-ROM, а также FireWire, инфракрасные, принтерные (LPT) и модемные (COM) порты, WiFi и Bluetooth адаптеры.
Для защиты от вредоносных кодов и программ использована антивирусная система Dr. Web — это мощный антивирус, с очень частым обновлением антивирусных баз. В период вирусной эпидемии вы будете получать обновления несколько раз в час, что позволит эффективно защитить ваш компьютер от внешней угрозы.
Dr. Web определяет:
1. почтовые черви;
2. сетевые черви;
3. файловые вирусы;
4. троянские программы;
5. стелс-вирусы;
6. полиморфные вирусы;
7. бестелесные вирусы;
8. макро-вирусы;
9. вирусы, поражающие документы MS Office;
10. скрипт-вирусы;
11. шпионское ПО (Spyware);
12. программы-похитители паролей;
13. клавиатурные шпионы;
14. программы-дозвонщики;
15. рекламное ПО (Adware);
16. потенциально опасное ПО;
17. хакерские утилиты;
18. программы-люки;
19. программы-шутки;
20. вредоносные скрипты;
21. другие нежелательные коды;
Ключевые функции:
1. Сканер Dr. Web — качественные детектирование и нейтрализация вирусов и вредоносных объектов на жестких дисках, сменных носителях и в оперативной памяти;
2. Защита от вирусов, использующих rootkit-технологии;
3. Обнаружение и нейтрализация вирусов, существующих в оперативной памяти и никогда не встречающиеся в виде отдельных файлов (бестелесные черви);
4. Определение вирусов в архивах любой степени вложенности и в упакованных объектах;
5. Проверка файлов, сжатых упаковщиками, в том числе, не известными;
6. Проверка входящей и исходящей корреспонденции на вирусы по протоколам SMTP/POP3/NNTP/IMAP;
7. Защита от массовых рассылок с компьютера сообщений почтовыми червями;
8. Защита от несанкционированного доступа извне, предотвращение утечек важных данных по сети, блокировка подозрительных соединений на уровне пакетов и приложений;
9. Сканирования по требованию и индивидуальные графики проверок ПК;
10. Автоматический прием обновлений вирусной базы Dr. Web с любой нужной периодичностью;
11. Автоматические уведомления об обнаруженных инфицированных, неизлечимых или подозрительных объектах;
12. Напоминания о необходимости проведения обновлений вирусных баз;
13. Централизованное управление настройками всех компонентов;
14. Прозрачность работы — подробные отчеты о работе каждого модуля.
4.4 Инженерно-технические меры защиты информации Способы и средства технической защиты информации применяются для создания вокруг объекта защиты преграды, препятствующей реализации угроз безопасности информации.
4.4.1 Установка и размещение охранной сигнализации Для защиты информационных ресурсов на объекте выбраны охранные извещатели, реагирующие на открытие дверей, окон, а также на разбитие стекол.
Для контроля дверей в качестве извещателя, реагирующего на открытие выбран извещатель охранный магнитоконтактный ИО-102−6 (СМК-6), предназначенный для скрытого монтажа в металлические двери. Внешний вид извещателя представлен на рисунке 4.1. Характеристики приведены в таблице 4.3.
Рис. 4.3 Извещатель ИО-102−6 (СМК-6)
Таблица 4.1 Характеристики извещателя ИО-102−6 (СМК-6)
Расстояние между герконом и магнитом, мм: для замыкания контактов для размыкания контактов | ||
Диапазон рабочих температур, С | — 50…+50 | |
Стоимость, р. | 39.36 | |
В качестве извещателя, реагирующего на разбивание окна, выбран извещатель охранный звуковой (акустический) GBD-2.
Требования по размещению извещателя
1. Расстояние от извещателя до самой удаленной точки охраняемой стеклянной поверхности не должно превышать 10 м;
2. При установке извещателя рекомендуется, чтобы все участки охраняемого стекла находились в пределах его прямой видимости, не рекомендуется маскировка извещателя декоративными шторами или жалюзи, которые могут снижать чувствительность извещателя;
4. Не допускается использование извещателя в помещении с уровнем звуковых шумов более 70 дБ;
5. В помещении на период охраны должны быть закрыты двери, форточки, отключены вентиляторы, трансляционные громкоговорители и другие возможные источники звуковых помех.
Внешний вид извещателя представлен на рисунке 2.6. Характеристики представлены в таблице 2.7.
Сравнительные характеристики извещателей, регистрирующих разбитие стекол представлены в таблице 2.1.
Таблица 4.2 Сравнительные характеристики звуковых извещателей
Хар-ка Наименование | Тип | Дальность обнаружения, м | Угол обнаружения по горизонтали | |
Стекло-3 (ИО-329−4) | извещатель охранный звуковой (акустический) | 360? | ||
Стекло-4 | извещатель охранный звуковой (акустический) | 360? | ||
Арфа (ИО-329−3) | извещатель охранный звуковой (акустический) | 120? | ||
Арфа-2 (ИО 329−12) | извещатель охранный звуковой (акустический) | 120? | ||
Астра-531СМ | извещатель комбинированный (ИК+АК) | 120? | ||
Сова-2Б (ИО 315−2) | извещатель комбинированный (ИК+АК) | 120? | ||
Сова-3Б (ИО 315−3) | извещатель комбинированный (ИК+АК) | 120? | ||
Орлан-Ш (ИО 315−1) | извещатель комбинированный (ИК+АК) | 180? | ||
Звон-1 (ИО329−8) | Извещатель охранный поверхностный звуковой | ; | ||
GBD-2 | извещатель охранный звуковой (акустический) | 360? | ||
Поскольку дальность обнаружения всех извещателей достаточна для выбранных помещений, наиболее оптимальным вариантом будет выбор извещателя GBD-2. Внешний вид извещателя представлен на рисунке 4.4. Характеристики приведены в таблице 4.3.
Рис. 4.4 Извещатель GBD-2
Таблица 4.3 Характеристики извещателя GBD-2
Максимальная дальность действия АК канала | 10 м | |
Угол обзора АК канала в горизонтальной плоскости | не менее 360° | |
Максимальная площадь охраняемого стеклянного листа | 100 м2 | |
Минимальная площадь охраняемого стеклянного листа | 0,05 м2 | |
Напряжение питания | 10В — 16В | |
Ток потребления | Не более 22мА | |
Каналы | двухканальный (ВЧ+НЧ) | |
Высота установки | 2 м -5м. | |
Диапазон рабочих температур | — 20°С…+50°С | |
Габаритные размеры | 140×65×20мм | |
Выбор и порядок установки охранных извещателей произведён в соответствии с РД 78.145−93 п. 3.1.
При выборе типа охранных извещателей учтены такие факторы, как уязвимость помещений к несанкционированному проникновению посторонних лиц, модель нарушителя (защита осуществляется в основном от злоумышленников, имеющих намерение в ночное время в отсутствие физической охраны проникнуть на объект путем взлома двери, разбития или открытия окон, а также путем пролома перекрытия из подвала или со второго этажа) и соответствие руководящим документам (гарантия надежной работы).
4.4.2 Выбор средств видеоконтроля для объекта защиты В данном разделе рассматривается система телевизионного наблюдения на объекте защиты и охраняемой территории с видеозаписью с обоснованием выбора.
Категория значимости объекта Согласно рекомендациям ГУВО МВД России Р 78.36.002 — 99 все объекты делятся по значимости на разные категории. Наш объект защиты следует отнести к категории значимости Б. В данную категорию внесены объекты, «несанкционированное проникновение на которые может принести значительный материальный и финансовый ущерб, создать угрозу здоровью и жизни людей, находящихся на объекте».
Таблица 4.4 Категорирование значимости объекта
Класс системы | Категория значимости объекта | Характеристика значимости объекта | Производственное или другое назначение объекта | |
Высший | А | Объекты, зоны объектов (здания, помещения, территории), несанкционированное проникновение на которые может принести особо крупный или невосполнимый материальный и финансовый ущерб, создать угрозу здоровью и жизни большого количества людей, находящихся на объекте и вне его, привести к другим тяжелым потерям | Хранилища и депозитарии банков, места хранения вредных и радиоактивных веществ и отходов, места хранения оружия, боеприпасов, наркотических веществ и т. п. | |
Средний | Б | Объекты, зоны объектов, несанкционированное проникновение на которые может принести значительный материальный и финансовый ущерб, создать угрозу здоровью и жизни людей, находящихся на объекте | Кассовые залы банков, подъезды инкассаторских машин, пути переноса денег, автостоянки, склады и помещения с ценными материалами, оргтехникой и т. п. | |
Общего применения | В | Прочие объекты | Торговые залы магазинов, служебные помещения учреждений и т. п. | |
Режим работы системы Учитывая особенности рассматриваемого объекта, необходимо вести круглосуточное видеонаблюдение. Это позволит в случае необходимости своевременно обнаружить причину и виновников того или иного происшествия на объекте защиты.
Первичная оценка состава системы Для начала следует отметить, что на объекте защиты имеются помещения различной категории значимости, поэтому видеонаблюдение за каждым помещением имеет ряд особенностей и учитывать следующие условия:
* Необходимо контролировать движение всех людей на первом этаже.
* Необходимо контролировать вход в кабинеты начальника АХО, зам. директора, отдел маркетинга, АТС.
Поэтому на этаже следует установить 5 камер видеонаблюдения:
* напротив лестничных клеток и парадного входа, пожарного выхода, прохода в Бытовой корпус,
* для наблюдения за кабинетами начальника АХО, зам. директора, отделом маркетинга, АТС, Исходя из этих условий, производим подбор камер видеонаблюдения.
Выбор телевизионной камеры Правильный выбор телевизионных камер является принципиально самым важным моментом в проектировании системы, так как именно характеристиками камер определяются, в конечном счете, характеристики других компонентов системы. При выборе телекамеры и места ее установки учитываются:
1. Категория значимости зоны;
2. Геометрические размеры зоны;
3. Необходимость идентификации наблюдаемого предмета:
4. Освещенность объекта наблюдения;
5. Условия эксплуатации;
6. Вид наблюдения — скрытое или открытое.
Так как объекту присвоена категория «В», то вполне оправдано использование камер среднего класса.
Контроль коридоров Для контроля коридоров и прохода в Бытовой корпус необходим угол обзора 40? при длине контролируемой зоны 10 м.
Конороль входов и лестничных клеток Виденаблюдение необходимо установить в коридорах этажа напротив лестничных клеток. Длина контролируемой зоны равна 8 м, для контроля этой зоны необходим угол обзора 60?.
По техническим характеристикам подходит миниатюрная черно-белая видеокамера KT&C KPC-190SP4.
Ее основные характеристики: ПЗС матрица 1/3'', 420 TВ линий, 0.05 Lx, f= 4.3 мм,, уровень сигнал/шум — 50 дБ, напряжение 12 В, размеры 19?42 мм.
Идентификация наблюдаемого объекта Идентификации наблюдаемого объекта определяется минимальным размером объекта, различимый видеокамерой по формуле 1:
где L — расстояние от камеры до наблюдаемого объекта, м;
S — минимальный размер объекта, который требуется различать, мм;
R — разрешение камеры, ТВ-линий.
По формуле определяется минимальный размер объекта, различаемый видеокамерой:
1) для 60?: S = 150*6*tg (60/2)/420=1,23 м;
2) для 40?: S = 150*10*tg (40/2)/420=1,29 м;
Расчеты показали, что камеры с такими характеристиками будет достаточно, чтобы достаточно чётко определить приметы возможного злоумышленника.
KPC-190SP4 используются для ближнего обзора, не требующего повышенного качества чувствительности и разрешения. Благодаря малым габаритам, могут применяться в помещении как для открытого, так и для для скрытого наблюдения. Комплектация объективом, упрощает их выбор, так как их характеристики неизменны и заданы заводом изготовителем. Наличие кронштейна позволяет прикрепить камеру к любой поверхности и сориентировать в нужном направлении.
Внешний вид видеокамеры KT&C KPC-190SP4 представлен на рисунке 4.5. Технические характеристики представлены в таблице 4.5.
Рис. 4.5 Миниатюрная видеокамера KT&C KPC-190SP4 черно-белая Таблица 4.5 Технические характеристики видеокамеры KT&C KPC 190SP4
Автоматический электронный затвор AES | 1/50−1/100 000 сек. | |
Встроенный объектив: | да | |
Габариты: | ?19?42 мм мм | |
Гамма коррекция: | 0,45 | |
Диапазон рабочих температур: | ?10…+50 °С | |
Климатическое исполнение: | внутреннее | |
Объектив: | есть | |
Производитель ПЗС матрицы: | LG | |
Размер ПЗС матрицы: | 1,0 ? | |
Разрешение: | 500?582 | |
Система АРУ: | есть | |
Стандарт сигнала: | черно-белый (CCIR) | |
Тип видеовыхода: | композитный, BNC | |
Тип корпуса: | миниатюрный | |
Тип развертки: | чересстрочная | |
Тип резьбы крепления объектива: | М12?0,5 | |
Тип синхронизации: | внутренняя | |
Минимальная освещенность на объекте: | 0,050 Лк | |
Напряжение: | 12 В | |
Относительное отверстие объектива F: | 2,0 | |
Отношение сигнал шум s/n: | 50 дБ | |
Потребляемая мощность: | 0,001 кВт | |
Разрешение по горизонтали: | 420 ТВЛ | |
Фокусное расстояние встроенного объектива: | 4 мм | |
Расположение видеокамер в инспекции и канал передачи видеосигнала
1. Количество видеокамер — 5 шт.
2. Высота установки видеокамеры — 2,7 метра;
3. Канал передачи — коаксиальный кабель РК-75−4 (волновое сопротивление 75 Ом).
2.3.5 Выбор системы приема и обработки видеоизображения Рассмотрим несколько вариантов устройства приема и обработки видеоизображения и выберем оптимальный. Сравнительные данные приведены в таблице 4.6.