Модификация комплексной системы защиты безопасности образовательного учреждения на примере выделенного помещения

Система защиты информации — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия.

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. Для того, чтобы создать в общеобразовательном учреждении условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек.

Создание системы защиты информации (СЗИ) не является главной задачей общеобразовательного учреждения. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе, и ее создание должно быть экономически оправданным. Тем не менее, система зашиты информации должна обеспечивать защиту важных информационных ресурсов учреждения от всех реальных угроз.

При построении любой системы необходимо определить принципы, в соответствии с которыми она будет построена. Комплексная система защиты информации (КСЗИ) — сложная система, функционирующая, как правило, в условиях неопределенности, требующая значительных материальных затрат. Поэтому определение основных принципов КСЗИ позволит определить основные подходы к ее построению:

ь принцип законности заключается в соответствии принимаемых мер законодательству РФ о защите информации, а в случае отсутствия соответствующих законов — другим государственным нормативным документам по защите;

ь в соответствии с принципом полноты защищаемой информации защите подлежит не только информация, составляющая государственную, коммерческую или служебную тайну, но и та часть несекретной информации, утрата которой может нанести ущерб ее собственнику либо владельцу. Реализация этого принципа позволяет обеспечить и охрану интеллектуальной собственности;

ь принцип обоснованности защиты информации заключается в установлении путем экспертной оценки целесообразности засекречивания и защиты той или другой информации, вероятных экономических и других последствий такой защиты исходя из баланса жизненно важных интересов государства, общества и граждан. Это, в свою очередь, позволяет расходовать средства на защиту только той информации, утрата или утечка которой может нанести действительный ущерб ее владельцу;

ь принцип создания специализированных подразделений по защите информации заключается в том, что такие подразделения являются непременным условием организации комплексной защиты, поскольку только специализированные службы способны должным образом разрабатывать и внедрять защитные мероприятия и осуществлять контроль за их выполнением;

ь принцип участия в защите информации всех соприкасающихся с нею лиц исходит из того, что защита информации является служебной обязанностью каждого лица, имеющего по роду выполняемой работы отношение к защищаемой информации, и такое участие дает возможность повысить качество защиты;

ь принцип персональной ответственности за защиту информации требует, чтобы каждое лицо персонально отвечало за сохранность и неразглашение вверенной ему защищаемой информации, а за утрату или распространение такой информации оно несет уголовную, административную или иную ответственность;

ь принцип наличия и использования всех необходимых сил и средств заключается в том, что КСЗИ требует, во-первых, участия в ней руководства предприятия и специальной службы защиты информации; во-вторых, использования различных организационных форм и методов защиты; в-третьих, наличия необходимых материально-технических ресурсов, включая технические средства защиты;

ь принцип превентивности предполагает заблаговременное принятие мер по защите информации. Из этого принципа вытекает, в частности, необходимость разработки защищенных информационных технологий.

Принято выделять три основных направления защиты информации:

ь правовая защита;

ь организационная защита;

ь инженерно-техническая защита Организационно-правовая защита информации Правовая защита — это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе.

В рассматриваемом выделенном помещении — бухгалтерииобщеобразовательного учреждения правовая защита информации отсутствует.

Для построения правовых методов защиты информации выделенного помещения общеобразовательного учреждения, рассматриваемого в курсовой работе, следует опираться на государственные правовые акты, а также разработать собственные нормативно-правовые документы, учитывая ведомственные интересы данного предприятия.

В эти документы предлагаю включить:

ь положение о сохранении конфиденциальной информации;

ь перечень сведений, составляющих конфиденциальную информацию;

ь инструкция о порядке допуска сотрудников бухгалтерии к сведениям, составляющим конфиденциальную информацию;

ь положение о специальном делопроизводстве и документообороте;

ь обязательство сотрудников бухгалтерии о сохранении конфиденциальной информации;

Достоинство правовых мер в том, что эти меры определяют правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение, недостаток — меры являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и несанкционированного доступа (НСД) к автоматизированным системам (АС) и информации. В некоторых случаях они являются единственно применимыми, как, например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или ослабляющая нанесение какого-либо ущерба исполнителям.

В документ об организационной защите выделенного помещения общеобразовательного учреждения (бухгалтерии) я предлагаю включить следующие пункты:

ь организация работы с персоналом бухгалтерии;

ь организация внутри объектового и пропускного режимов и охраны;

ь организация работы с носителями сведений бухгалтерии;

ь комплексное планирование мероприятий по защите информации;

ь организация аналитической работы и контроля работников бухгалтерии.

Обязательства каждого отдельного сотрудника бухгалтерии в части защиты информации должны быть оговорены в трудовом договоре.

Инженерно-техническая защита информации Инженерно-техническая защита — это использование различных технических средств, препятствующих нанесению ущерба коммерческой деятельности.

По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:

ь физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий. К физическим средствам относятся механические, электромеханические электронные, электронно-оптические, радиои радиотехнические и другие устройства для воспрещение несанкционированного доступа (входа выхода) проноса (выноса) средств и материалов, и других возможных видов преступных действий;

ь аппаратные средства. В них входят приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. В практике деятельности предприятия находит широкое применение самая различная аппаратура, начиная с телефонного аппарата до совершенных автоматизированных систем, обеспечивающих производственную деятельность. Основная задача аппаратных средств — обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;

ь программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных;

ь криптографические средства — это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Рассмотрим существующую инженерно-техническую защиту выделенного помещения.

Инженерно-техническая защита выделенного помещения включает в себя:

ь 1 деревянная дверь;

ь 2 окна с классом защиты: В1 (класс защиты В1 выдерживает 30—50 ударов по окну);

ь фильтр питания «ФСП-1Ф-7А»;

ь модуль защиты телефонной линии SEL.

На мой взгляд, это является недостаточным для защиты выделенного помещения, поэтому я предлагаю:

1. Внедрить в практику использования в выделенном помещении:

ь датчик разбитого стекла;

ь датчик движения;

ь генератор шума;

ь охранно-пожарную сигнализацию (извещатель пожарный ручной; извещатель пожарный дымовой; извещатель светозвуковой; огнетушитель, аптечка);

ь систему видеонаблюдения.

2. Заменить:

ь деревянную дверь.

Датчик разбитого стекла — предназначен для контроля разбития окон и стёкол в помещении и передачи тревожного сигнала на систему сигнализации.

Для выбора конкретной модели датчика разбитого стекла, я предлагаю провести сравнительный анализ датчиков Стекло-Ex и БОЛИД С2000;СТ.

Сравнительный анализ датчиков разбитого стекла приведен в таблице 2.

Таблица 2 - Сравнительный анализ датчиков разбитого стекла.

Для использования в выделенном помещении предлагаю приобрести датчик разбитого стекла БОЛИД С2000;СТ, так как он требует меньших затрат энергии с небольшой разницей по цене.

Датчик движения — датчик, обнаруживающий перемещение каких-либо объектов. В быту чаще всего под этим термином подразумевается электронный инфракрасный датчик, обнаруживающий присутствие и перемещение человека, и коммутирующий питание электроприборов (чаще всего освещения).

Для выбора конкретной модели датчика движения, я предлагаю провести сравнительный анализ датчиков IS 2180−5 BLK и ИК IS 130−2 WHT.

Сравнительный анализ датчиков движения приведен в таблице 3.

Таблица 3 - Сравнительный анализ датчиков движения.

В выделенном помещении эффективнее всего использовать датчик движения IS 2180−5 BLK, так как у данного датчика угол охвата больше, чем ИК IS 130−2 WHT, несмотря на то, что второй выгоднее первого по цене.

Генератор шума представляет собой устройство для подачи шумовых волн на телефонной линии, используется для сохранения конфиденциальной информации при передаче информации по линиям связи.

Чтобы подобрать генератор шума для выделенного помещения общеобразовательного учреждения, предлагаю провести сравнительную характеристику генераторов шума. Сравнительная характеристика генераторов «ГШ-100М», «Гном-3» и «Гном-3М» приведена в таблице 4.

Таблица 4 — Сравнительная характеристика генераторов шума.

Целесообразным будет выбор генератора шума наименее дорогого, так как главное отличие генератора «ГШ-100М» и «Гном-3» в цене и массе устройства, а диапазон рабочих частот одинаков.

Система пожарной сигнализации — совокупность установок пожарной сигнализации, смонтированных на одном объекте и контролируемых с общего пожарного поста.

Установки и системы пожарной сигнализации, оповещения и управления эвакуацией людей при пожаре должны обеспечивать автоматическое обнаружение пожара за время, необходимое для включения систем оповещения о пожаре в целях организации безопасной (с учетом допустимого пожарного риска) эвакуации людей в условиях конкретного объекта.

Системы пожарной сигнализации, оповещения и управления эвакуацией людей при пожаре должны быть установлены на объектах, где воздействие опасных факторов пожара может привести к травматизму и (или) гибели людей.

В состав ОПС рассматриваемого выделенного помещения предлагаю включить:

ь извещатель пожарный ручной;

ь извещатель пожарный дымовой;

ь извещатель светозвуковой;

ь огнетушитель;

ь аптечка.

Извещатель пожарный ручной предназначен для ручного включения сигнала тревоги в системах пожарной и охранно-пожарной сигнализации.

В выделенном помещении предлагаю использовать стандартный ручной пожарный извещатель «ИПР-55».

Извещатель пожарный ручной «ИПР-55» представляет собой электронное устройство, предназначенное для ручного включения сигнала тревоги в системах пожарной и охранно-пожарной сигнализации. «ИПР-55» рассчитан на непрерывный круглосуточный режим работы. Диапазон рабочих температур окружающей среды — от минус 40 °C до плюс 50 °C.

Особенности «ИПР-55»:

ь напряжение: 18—24 В;

ь потребление тока в дежурном режиме: 0.35 мА;

ь потребление тока в режиме тревога: 18 мА;

ь рабочая температура: −40…+50°с;

ь габариты: 105×65×33 мм;

ь масса: 0.095 кг;

ь цена: 230 р.

Извещатель пожарный дымовойустройство для формирования сигнала о пожаре.

В выделенном помещении предлагаю использовать Извещатель пожарный дымовой ИРСЭТ 212−3СМ-И.

Современный дымовой микропроцессорный оптико-электронный извещатель с улучшенными характеристиками.

Извещатель предназначен для круглосуточной и непрерывной работы в помещениях с регулируемыми и нерегулируемыми климатическими условиями. Извещатель имеет встроенную оптическую индикацию — светодиод красного свечения (дежурный режим — прерывистое свечение, срабатывание — постоянное).

Особенности ИРСЭТ 212−3СМ-И:

ь чувствительность: 0,05—0,2 дБ/м;

ь масса: не более 0,2 кг;

ь напряжение питания: 9—28 В;

ь диапазон рабочих температур: −30…+55°С;

ь ток потребления в дежурном режиме: 18—25 мА;

ь средний срок службы: не менее 10 лет.

Извещатель светозвуковой — световое и звуковое оповещение о состоянии объекта, охраняемого с помощью приборов охранно-пожарной сигнализации.

В выделенном помещении предлагаю использовать светозвуковой ИзвещательМАЯК-12-КП.

Особенности МАЯК-12-КП:

ь непрерывный круглосуточный режим работы;

ь малогабаритный корпус;

ь напряжение питания: 12 В;

ь прозрачный корпус красного цвета;

ь светодиоды высокой яркости.

Огнетушитель — переносное или передвижное устройство для тушения очагов пожара за счет выпуска запасенного огнетушащего вещества.

Ручной огнетушитель обычно представляет собой цилиндрический баллон с соплом или трубкой. При введении огнетушителя в действие из его сопла под большим давлением начинает выходить вещество, способное потушить огонь. Таким веществом может быть пена, вода, какое-либо химическое соединение в виде порошка, а также диоксид углерода, азот и другие химически инертные газы.

В выделенном помещении предлагаю использовать углекислотный огнетушительОУ-3, подходящий для тушения: архивов, офисов, музеев и более опасных возгораний.

Особенности огнетушителя порошкового ОУ-3:

ь объем: 4,3 л;

ь продолжительность подачи: 8 сек;

ь длина струи огнетушащего вещества: 3,0 м;

ь масса: 11 кг.

Аптечка предназначена для оказания первой помощи детям младшего возраста или находящихся в общеобразовательных учреждениях до прибытия врача.

Аптечки первой помощи по распоряжению Правительства Москвы № 1292 РПот 29.12.2000 г. Рассчитаны на оказание первой помощи при чрезвычайныхситуациях природного и техногенного характера. Рассчитанная для оказания помощи на 100 человек.

В состав аптечки входит:

ь бинт марлевый стерильный;

ь бинт эластичный трубчатый;

ь валидол таб;

ь вата гигроскопическая нестерильная;

ь жгут кровоостанавливающий;

ь ибупрофен таб.№ 10 (анальгин);

ь йода р-р 5%;

ь лейкопластырь в рулоне;

ь нитроглицерин капсулы;

ь ножницы;

ь олазоль;

ь пакет;

ь перекиси водорода р-р 3%;

ь перчатки латексные (пара);

ь салфетка антимикробная № 1;

ь салфетка кровоостанавливающая № 3;

ь салфетка марлевая стерильная;

ь салфетка с прополисом и фурагином;

ь салфетка спиртовая;

ь стаканчик мерный для приёма лекарств;

ь сульфацил натрия, флакон;

ь термометр;

ь устройство для проведения искусственного дыхания.

План охранно-пожарной сигнализации, а также план размещения оборудования для защиты выделенного помещения приведены в приложении 3 и 4.

Помимо внедрения ОПС в выделенное помещение, для наилучшей защиты конфиденциальной информации, предлагаю заменить уже присутствующую деревянную дверь на металлическую, так как металлическую дверь намного сложнее преодолеть, по сравнению с деревянной дверью.

Металлическая дверь является неотъемлемой частью физической защиты выделенного помещения.

Рассмотрим несколько классов физической защиты дверей:

ь 1 класс К данному классу дверей относятся ненадежные и дешевые двери, как раз установленная в выделенном помещении общеобразовательного учреждения. Такие двери не могут нужным образом защитить помещение и их легко взломать простейшими инструментами, например, монтировка.

ь 2 класс К дверям второго класса относятся двери с повышенной надежностью, такие двери подойдут для: жилых помещений; офисов; КПП и охранных пунктов.

Такие двери не просто взломать с помощью монтировки или других подручных средств, из-за повышенного уровня устойчивости необходимо использовать специальные инструменты.

ь 3 класс Двери данного класса отличаются наиболее серьезным уровнем устойчивости к взлому. Для взлома таких дверей понадобится большое количество времени или специальные электрические инструменты.

В настоящее время двери третьего класса используются для защиты большинства помещений, приобретая их в специализированных магазинах.

На вход в выделенное помещение общеобразовательного учреждения (бухгалтерия) рекомендую поставить дверь второго или третьего класса защиты, так как двери первого класса являются ненадежными и неустойчивыми к взлому.

Программная защита информации.

Программные средства защиты информации — это система специальных программ, реализующая функции защиты информации и конфиденциальности.

Так как в информационной системе помещения (бухгалтерии) хранится не столь значительное количество информации, предполагаю, что для защиты информационных сетей достаточно мощной антивирусной программы.

Для подбора антивирусной программы, устанавливаемой на ПК, предлагаю провести сравнительный анализ программ «Антивирус Касперского», «Антивирус ESETNOD32 SmartSecurity» и «АнтивирусDR.Web» в таблице 5.

Таблица 5. Сравнительный анализ антивирусных программ.

По данным проведенного анализа, можно определить, что антивирусная программа KASPERSKYInternetSecurity является очень эффективной с поддержкой всевозможных параметров защиты, а также с привлекающей ценой. Поэтому целесообразно использовать именно эту программу для защиты информационных ресурсов автоматизированной системы.

Предложенная система защиты информации выделенного помещения общеобразовательного учреждения повысит эффективность защиты, но не обеспечит визуальный просмотр времени попыток несанкционированного доступа к информации, поэтому предлагаю разработать систему видеонаблюдения объектов защиты учреждения.