При разработке проекта пожарной сигнализации необходимо учитывать требования НПБ 88-2001 - «Нормы и правила проектирования установок пожаротушения и сигнализации».

Здание ЗАО «ЧОП «ОСА»»» относится к административным сооружениям, поэтому его помещения при применении автоматической пожарной сигнализации, следует оборудовать дымовыми пожарными извещателями.

Дымовой пожарный извещатель - пожарный извещатель, реагирующий на частицы твердых или жидких продуктов горения и (или) пиролиза в атмосфере [3].

В каждом защищаемом помещении следует устанавливать не менее двух пожарных извещателей, так как высота помещений объекта не превышает 3,5 м, максимальное расстояние между извещателями составляет не более 9 м, расстояние от датчика до стены не более 4,5 м.

Дымовые пожарные извещатели рекомендуется применять для оперативного, локального оповещения и определения места пожара в помещениях, в которых одновременно выполняются следующие условия:

­ основным фактором возникновения очага загорания в начальной стадии является появление дыма;

­ в защищаемых помещениях возможно присутствие людей.

Такие извещатели должны включаться в единую систему пожарной сигнализации с выводом тревожных извещений на прибор приемно-контрольный пожарный, расположенный в помещении дежурного персонала. Прибор приемно-контрольный пожарный - это устройство, предназначенное для приема сигналов от пожарных извещателей, обеспечения электропитанием активных пожарных извещателей, выдачи информации на световые, звуковые оповещатели и пульты централизованного наблюдения, а также формирования стартового импульса запуска прибора пожарного управления.

Ручной пожарный извещатель - устройство, предназначенное для ручного включения сигнала пожарной тревоги в системах пожарной сигнализации и пожаротушения [4].

Ручные пожарные извещатели следует устанавливать на стенах и конструкциях на высоте 1,5 м от уровня земли или пола в коридорах, холлах, вестибюлях, на лестничных площадках, у выходов из здания.

Но эффективная система пожарной сигнализации должна обязательно включать в себя систему оповещения людей о пожаре.

Система оповещения и управления эвакуацией (СОУЭ) - комплекс организационных мероприятий и технических средств, предназначенный для своевременного сообщения людям информации о возникновении пожара и (или) необходимости и путях эвакуации. СОУЭ должна функционировать в течение времени, необходимого для завершения эвакуации людей из здания.

Здание рассматриваемого объекта относится ко второму типу СОУЭ, следовательно, оно должно оборудоваться световыми оповещателями «Выход» и звуковыми оповещателями (сиреной или тонированным сигналом).

Для обеспечения четкой слышимости звуковые сигналы СОУЭ должны обеспечивать уровень звука не менее чем на 15 дБ выше допустимого уровня звука постоянного шума в защищаемом помещении.

На внешней стене здания перед входом следует расположить комбинированный, светозвуковой оповещатель.

1.3.3 Требования нормативно-методических документов по защите информации на объект

Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.

Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений

Статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.

В Гражданском кодексе Российской Федерации фигурируют такие понятия, как банковская, коммерческая и служебная тайна.

Статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.

Современный в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года).

Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:

­ статья 272. Неправомерный доступ к компьютерной информации. (имеет дело с посягательствами на конфиденциальность)

­ статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. (имеет дело с вредоносным ПО)

­ статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. (имеет дело с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ)

Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.

Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.

Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.

Закон "Об информации, информационных технологиях и защите информации"

Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 27 июля 2006 года номер 149-ФЗ (принят Государственной Думой 8 июля 2006 года, одобрен советом федерации 14 июля 2006 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.

Некоторые из этих определений:

­ информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

­ документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

­ информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

­ информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;

­ информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);

­ информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

­ конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

­ пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.

­ Закон выделяет следующие цели защиты информации:

­ предотвращение утечки, хищения, утраты, искажения, подделки информации;

­ предотвращение угроз безопасности личности, общества, государства;

­ предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

­ предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

­ защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

­ сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

­ обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

ГЛАВА 2. РАЗРАБОТКАПРОЕКТА КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ОБЪЕКТА ЗАЩИТЫ

2.1 Технические каналы утечки информации

2.1.1 Классификация технических каналов утечки

Прежде всего, при разработке комплексной системы защиты информации следует определить каналы утечки информации.

Под каналом утечки информации понимают канал коммуникации, позволяющий процессу передавать информацию путем, нарушающим безопасность системы. По физической природе носителя различают следующие каналы утечки информации:

- оптический;

- радиоэлектронный;

- акустический;

- материально-вещественный.

Оптические каналы -- это, как правило, непосредственное или удаленное (в том числе и телевизионное) наблюдение. Переносчиком информации выступает свет, испускаемый источником конфиденциальной информации или отраженный от него в видимом, инфракрасном и ультрафиолетовом диапазонах.

Классификация визуально-оптических каналов утечки информации:

1) По природе образования

­ За счёт отражения сетевой энергии

­ За счёт собственного излучения объектов

2) По диапозону излучения

­ Видимая область

­ ИК-область

­ УФ область

3) По среде расспостранения

­ Свободное пространство

­ Направляющие линии

В радиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток (поток электронов), распространяющийся по металлическим проводам.

Классификация радиоэлектронных каналов утечки информации:

1) По природе образования

­ Акустопреобразовательные

­ Электромагнитные излучения

­ Паразитные связи и наводки

2) По диапазону излучения

­ Сверхдлинные волны

­ Длинные волны

­ Среднии волны

­ Короткие волны

­ УКВ

3) По среде расспостранения

­ Безвоздушное пространство

­ Воздушное пространство

­ Земная среда

­ Водная среда

­ Направляющие системы

В акустическом канале носителями информации являются механические упругие акустические волны в инфразвуковом (менее 16 Гц), звуковом (16 Гц-20 Гц) и ультразвуковом (свыше 20 Гц) диапазонах частот, распространяющиеся в атмосфере, воде и твердой среде.

Когда в воздухе распространяется акустическая волна, частицы воздуха приобретают колебательные движения, передавая колебательную энергию друг другу. Если на пути звука нет препятствия, он распространяется равномерно во все стороны. Если же на пути звуковой волны возникают какие-либо препятствия в виде перегородок, стен, окон, дверей, потолков и т. п., звуковые волны оказывают на них соответствующее давление, приводя их также в колебательный режим. Эти воздействия звуковых волн и являются одной из основных причин образования акустического канала утечки информации.

Различают определенные особенности распространения звуковых волн в зависимости от среды. Это прямое распространение звука в воздушном пространстве, распространение звука в жестких средах (структурный звук). Кроме того, воздействие звукового давления на элементы конструкции зданий и помещений вызывает их вибрацию.

В свободном воздушном пространстве акустические каналы образуются в помещениях при ведении переговоров в случае открытых дверей, окон, форточек. Кроме того, такие каналы образуются системой воздушной вентиляции помещений. В этом случае образование каналов существенно зависит от геометрических размеров и формы воздуховодов, акустических характеристик фасонных элементов задвижек, воздухораспределителей и подобных элементов.

Под структурным звуком понимают механические колебания в твердых средах. Механические колебания стен, перекрытий или трубопроводов, возникающие в одном месте, передаются на значительные расстояния, почти не затухая. Опасность такого канала утечки состоит в неконтролируемой дальности распространения звука.

Преобразовательный, а точнее, акусто-преобразовательный канал -- это изменение тех или иных сигналов электронных схем под воздействием акустических полей. На практике такое явление принято называть микрофонным эффектом.

В материально-вещественном канале утечка информации производится путем несанкционированного распространения за пределы организации вещественных носителей с защищаемой информации, прежде всего, выбрасываемых черновиков документов и использование копировальной бумаги, забракованных деталей и узлов, демаскирующих веществ.

Классификация материально-вещественных каналов утечки информации

1) По физическому состоянию

­ Твердые массы

­ Жидкости

­ Газообразные вещества

2) По физической природе

­ Химические

­ Биологические

­ Радиоактивные

3) По среде расспостранения

­ В земле

­ В воде

­ В воздухе

Очевидно, что каждый источник конфиденциальной информации может обладать в той или иной степени какой-то совокупностью каналов утечки информации.

2.1.2 Технические каналы утечки информации обрабатываемой на объекте защиты

В основе утечки лежит неконтролируемый перенос конфиденциальной информации посредством акустических, световых, электромагнитных, радиационных и других полей и материальных объектов.

Причины утечки связаны, как правило, с несовершенством норм по сохранению информации, а также нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию.

Условия включают различные факторы и обстоятельства, которые складываются в процессе научной, производственной, рекламной, издательской, отчетной, информационной и иной деятельности предприятия (организации) и создают предпосылки для утечки информации. К таким факторам и обстоятельствам могут, например, относиться:

- недостаточное знание работниками предприятия правил защиты информации и непонимание (или недопонимание) необходимости их тщательного соблюдения;

- использование неаттестованных технических средств обработки конфиденциальной информации;

- слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;

- текучесть кадров, в том числе владеющих сведениями конфиденциального характера.

Таким образом, большая часть причин и условий, создающих предпосылки и возможность утечки конфиденциальной информации, возникает из-за недоработок руководителей предприятий и их сотрудников.

Кроме того, утечке информации способствуют:

- стихийные бедствия (шторм, ураган, смерч, землетрясение, наводнение);

- неблагоприятная внешняя среда (гроза, дождь, снег);

- катастрофы (пожар, взрывы);

- неисправности, отказы, аварии технических средств и оборудования.

Известно, что информация вообще передается полем или веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги с текстом. Но, ни переданная энергия, ни посланное вещество сами по себе никакого значения не имеют, они служат лишь носителями информации. Человек не рассматривается как носитель информации. Он выступает субъектом отношений или источником.

Изучив особенности расположения объекта и близлежащих зданий, можно представить возможные каналы утечки информации в виде таблицы 1.

Таблица 1

Классификация возможных каналов утечки информации

Каналы утечки информации с объекта защиты
1	2	3	4
1	Оптический канал	Окно помещения	Выделенное помещение
2	Радиоэлектронный канал	ПЭВМ	ОТСС
		СИРД
		Телефон ГАТС	ВТСС
		Телефон ВАТС
		Система ОПС
		Система энергоснабжения и розетки	Выделенное помещение
3	Акустический канал	Теплопровод подземный
		Водопровод подземный
		Стены помещения
		Система центрального отопления
		Вентиляция
4	Материально-вещественный канал	Документы на бумажных носителях
		Персонал предприятия

Для исключения угроз утечки информации по техническим каналам следует внедрить систему комплексной защиты информации на ООО ЧОП «ОСА».

2.2 Вероятная модель злоумышленника

Фирмы, предоставляющие другим организациям услуги охраны собственности, берут на себя огромную ответственность. А именно частное охранное предприятие берет на себя материальную ответственность перед теми фирмами, которые являются его клиентами. Утечка информации из частного охранного предприятия может нанести серьезный урон не только ему, но и клиентам.

Потенциальными злоумышленниками могут быть и конкуренты, и недобросовестные клиенты, и сотрудники фирмы.

Если угроза будет исходить от лиц, не работающих в данной организации, то возможность проникновения в выделенное помещение исключается, во-первых, на первом этаже расположен пост охраны, во-вторых, в приемной перед кабинетом директора находится приемная, в которой постоянно находится секретарь. К тому же проникновение в выделенное помещение будет контролироваться средствами охраны.

Нередко для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему организации изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, известны так же случаи запугивания сотрудников.

Для исключения возможности несанкционированного доступа к данным сотрудниками организации на двери выделенного помещения установлен электронный считыватель.

Модель проникновения вероятного злоумышленника в выделенное помещение представлена в приложении 4.

Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники фирмы, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.

2.3 Разработка проекта комплексной системы защиты информации частного охранного предприятия ООО «ОСА»

Комплексная система защиты информации включает в себя следующие основные элементы:

­ правовую защиту информации;

­ организационную защиту информации;

­ инженерно-техническую защиту информации;

­ программно-аппаратную защиту информации;

­ криптографическую защиту информации.

Разработка комплексной системы защиты информации подразумевает тщательную отработку каждого элемента.

Правовые меры защиты информации обладают рядом признаков, которые отличают их от прочих видов защиты данных. С одной стороны, юридические меры выполняют охранительную функцию. Они формируют отношение субъектов оборота информации к нормам и правилам Закона. С другой стороны - компенсационная функция: в случае нанесения вреда законному владельцу информации Закон привлекает нарушителя к ответственности и обязывает его возместить причиненный ущерб.

К правовой защите информации на объекте относится:

­ Установленный перечень сведений, составляющих конфиденциальную информацию;

­ Инструкции по работе с документами, содержащими конфиденциальную информацию;

­ Трудовые договора с каждым сотрудником, в которых отдельным пунктом прописаны условия работы с конфиденциальной информацией и ответственность за ее разглашение.

Также с сотрудниками, непосредственно работающими с конфиденциальной информацией, заключается типовой договор, в котором оговорены все аспекты и особенности работы с конфиденциальной информацией.

Организационный элемент системы защиту информации содержит меры управленческого, ограничительного (режимного) и технологического характера. Данные меры должны побуждать персонал соблюдать правила защиты информации на объекте. Эти меры определяют:

­ Ведение всех видов аналитических работ;

­ Формирование и организацию деятельности службы безопасности, службы конфиденциальной информации, обеспечение деятельности этих служб нормативно-методической документацией;

­ Организацию, составление и регулярное обновление состава защищаемой банком информации. Составление и ведение перечня защищаемых бумажных и электронных документов;

­ Формирование разрешительной системы разграничения доступа персонала к конфиденциальной информации;

­ Методы отбора персонала для работы с конфиденциальной документацией, методику обучения и инструктирования работников;

­ Контроль соблюдения работниками порядка защиты информации;

­ Технологию защиты, обработки и хранения бумажных и электронных документов;

­ Регламентацию не машинной технологии защиты электронных документов;

­ Порядок защиты ценной информации от случайных или умышленных несанкционированных действий персонала;

­ Порядок защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе и представителями СМИ;

­ Оборудование и аттестацию помещений и рабочих зон, выделенных для работы с конфиденциальной информацией;

­ Регламентацию пропускного режима на территории, в здании, помещениях, идентификации транспорта и персонала фирмы;

­ Организацию системы охраны территории;

­ Регламентацию действий персонала в экстренных ситуациях;

­ Регламентацию работы по управлению системой защиты информации.

Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы защиты. Меры по организационной защите информации составляют 50-60 % в структуре большинства систем защиты информации.

Автоматизированная система объекта относится к классу защищенности 1Г. Для обеспечения программно-аппаратной защиты в банке используется система «Secret Net».

Основные возможности комплекса «Secret Net»:

­ Поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;

­ Разграничение доступа пользователей к ресурсам компьютера с помощью механизмов дискретного и мандатного управления доступом;

­ Создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ;

­ Управление временем работы всех пользователей;

­ Регистрация действий пользователя в системном журнале;

­ Защита компьютера от проникновения и размножения вредоносных программ;

­ Контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;

­ Централизованный мониторинг состояния безопасности информационной системы и управления защитными механизмами;

­ Криптографическая защита данных.

К программно-аппаратным средствам защиты информации относится защита ПЭВМ и СИРД от ПЭМИН.

Побочные электромагнитные излучения и наводки (ПЭМИН) -- это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными.

В выделенном помещении для исключения ПЭМИН используется генератор шума ГШ-К-1000М. Он предназначен для защиты информации от утечки, обусловленной побочными электромагнитными излучениями и наводками ПЭВМ и других средств обработки информации. Генератор является бескорпусным и устанавливается в PCI слот системного блока ПЭВМ. Генератор имеет внешнюю гибкую рамочную антенну диаметром 50 см. Изделие имеет индикацию работоспособности, в случае неисправности подается звуковой сигнал.

Для защиты СИРД используется ГШ-1000М. В отличие от модели представленной выше он имеет корпус и устанавливается непосредственно рядом с СИРД. Его рабочий диапазон такой же, как и у ГШ-К-1000М и составляет 0,1-1000 МГц. Оба прибора имеют сертификаты ФСТЭК.

Инженерно-техническая защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности организации или учреждения.

Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:

- сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);

- средства защиты помещений от визуальных способов технической разведки;

- средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);

- средства противопожарной охраны;

- технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг.

Исходя из перечисленных ранее возможных каналов утечки информации, необходимо смоделировать способы ее защиты.

Таблица 2

Модель защиты информации от утечки по техническим каналам с объекта защиты

№ п\п	Место установки	Тип устройства защиты информации	Способ применения	Технический канал закрытия утечки информации
1.	Окно помещения	Установка на окна защитной пленки	Постоянно	Оптический
2.	Розетки 220 В в выделенном помещении	Фильтр сетевой помехоподавляющий ФСП-1Ф-7А	Постоянно	Радиоэлектронный
3.	ПЭВМ	Генератор шума ГШ-К-1000М	Постоянно	Радиоэлектронный
4.	СИРД	Генератор шума ГШ-1000М	Постоянно	Радиоэлектронный
5.	Линии системы энергоснабжения	Генератор шума SEL SP 41	Постоянно	Радиоэлектронный
6.	Рядом с телефоном	Многофункциональный модуль защиты телефоной линии"SEL SP-17/D"	Постоянно	Радиоэлектронный
7.	Системы центрального отопления, стены, подземные водопроводы и теплопроводы	Виброакустический генератор Соната АВ 1М	Постоянно	Акустический

Так как окна выделенного помещения выходят на стоянку автомобилей, поэтому для исключения утечки информации по оптическому каналу, на окна устанавливается защитная пленка, которая не только исключает возможность просмотра происходящего в помещений через окна, но и поглощает ИК-излучение и является бронированной.

Защита информации от утечки по радиоэлектронному каналу -- это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.

Для линий системы энергоснабжения устанавливается сетевой фильтр помехоподавляющий ФСП-1Ф-7А.

Защита сети 220 осуществляется устройством защиты цепей электросети и заземления SEL SP-41. Оно представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи. SEL SP-41 имеет сертификат соответствия ФСТЭК № 1445.

Для защиты телефонных линий от абонента до городской телефонной станции (ГТС) или от мини-АТС до ГТС используется многофункциональный модуль защиты телефонных линий SEL SP-17/D. При этом обеспечивается: снижение эффективности (вплоть до полного подавления) гальванически подключенных устройств несанкционированного съёма информации любого типа, средств магнитной записи и параллельных телефонных аппаратов, защита от прослушивания помещений через телефонный аппарат при положенной трубке за счёт использования микрофонного эффекта и высокочастотного (ВЧ) навязывания, а также контроль состояния защищаемой телефонной линии. SEL SP-17/D имеет сертификат соответствия ФСТЭК № 1082.

Защита информации от утечки по акустическому каналу -- это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.

В данной курсовой работе для защиты информации от утечки по акустическому и виброакустическому каналам используется система защиты помещений по виброакустическому каналу Соната АВ 1М.

Система имеет сертификат соответствия ФСТЭК № 1082.

Таким образом, применение данных средств защиты обеспечит достаточно надежную защиту информации в выделенном помещении по выявленным нами каналам утечки информации.

Так же возникает необходимость оборудования помещений ООО ЧОП «ОСА» системой пожарной сигнализации.

Система охранно-пожарной сигнализации представляет собой сложный комплекс технических средств, служащих для своевременного обнаружения возгорания и несанкционированного проникновения в охраняемую зону. Как правило, охранно-пожарная сигнализация интегрируется в комплекс, объединяющий системы безопасности и инженерные системы здания, обеспечивая информацией системы оповещения, пожаротушения, контроля доступа. Планы охранно-пожарной сигнализации этажей объекта защиты и выделенного помещения представлены в приложении 5,6 и 7 соответственно.

Таблица 3

Номенклатура средств системы охранной и пожарной сигнализации

№ п.п	Наименование	Схемное обозначение
I. Система охранной сигнализации
1.	Извещатель оптико-электронный объёмный (7 шт.)
2.	Извещатель акустический (6 шт.)
3.	Извещатель магнитоконтактный ( 7 шт.)
4.	Пульт управления программируемый (2 шт.)
5.	Модуль защиты телефоной линии"SEL SP-17/D" (1 шт.)
6.	Генератор шума ГШ-К-1000М (1 шт.)
7.	Генератор шума ГШ-1000М (1 шт.)
8.	Генератор шума SEL SP 44 (1 шт.)
9.	Виброакустический генератор Соната АВ 1М (1 шт.)
10.	Фильтр питания «ФСП-1Ф-7А» (2 шт.)
11.	Пленка бронированная, (9 шт.)
II. Система пожарной сигнализации
1.	Извещатель пожарный дымовой ( 20 шт.)
2.	Оповещатель световой (2 шт.)
3.	Оповещатель речевой, звуковой (2 шт.)
III . Система допуска сотрудников
1.	Считыватель (2 шт.)

Разработанная система не только обеспечит надежную защиту информации от утечки по техническим каналам, но и позволит предупредить владельца информации о возникновении возгорания, в местах хранения материальных носителей, оповестит сотрудников о пожаре, и определит попытку несанкционированного доступа к носителям информации.

Но эта система будет неполной без интегрирования с ней системы видеонаблюдения, которая обеспечит визуальный просмотр времени и попыток несанкционированного доступа к информации и обеспечит идентификацию личности нарушителя.

2.4 Разработка системы видеонаблюдения объекта защиты

Целевыми задачами видеоконтроля объекта защиты является:

1) обнаружение:

- общее наблюдение за обстановкой;

- верификация тревоги от системы охранной сигнализации;

- обнаружение всех перемещающихся в определенном направлении;

2) различение:

- контроль наличия посторонних;

- наблюдение за работой сотрудников;

- контроль за подходом посторонних лиц к запретной зоне или чужому имуществу;

3) идентификация:

- получение четкого изображения лица любого человека, который подходит к зоне (или находится в ней), позволяющего впоследствии узнать ранее незнакомого человека;

- идентификация записанного изображения с хранящимся в базе данных;

- определение номера автомобиля.

В системах видеонаблюдения объекта защиты используются следующие

виды наблюдения:

1) открытое демонстративное: видеокамеры привлекают внимание, хорошо видны места их расположения, ориентация, направление и скорость сканирования. Используют, как правило, для отпугивания потенциальных преступников. С этой целью часто устанавливают дополнительные видеомониторы непосредственно в охраняемой зоне;

2) открытое малозаметное: видеокамера устанавливают в декоративных кожухах, которые не нарушают интерьер и отвечают требованиям эстетики. Используют, как правило, для того чтобы не отвлекать внимание сотрудников и посетителей, а также не привлекать внимание нарушителя;

3) скрытое: видеокамера не видны, для чего обычно применяют миниатюрные телевизионные камеры и объективы «pin-hole». Используют, как правило, для получения конфиденциальной информации или защиты от несанкционированных воздействий.

Системы видеонаблюдения должны обеспечивать устойчивость к несанкционированным воздействиям:

1) силовые воздействия;

2) электромагнитные воздействия;

3) управляющие воздействия с применением специальных устройств;

4) воздействия на программное обеспечение;

5) воздействия на архивы.

Устройства управления и коммутации должны обеспечивать приоритетнее автоматическое отображение на экране мониторов зон, откуда поступило извещение о тревоге.

Электроснабжение технических средств системы охранного телевидения от сети переменного тока должно осуществляется от отдельной группы электрощита.

Конструктивно системы охранного телевидения должны строиться по модульному принципу и обеспечивать:

- взаимозаменяемость сменных однотипных технических средств;

- удобство технического обслуживания и эксплуатации, а также ремонтопригодность

- исключение несанкционированного доступа к элементам управления;

- санкционированный доступ ко всем элементам, узлам и блокам, требующим регулирования, обслуживания или замены в процессе эксплуатации.

К рабочему месту оператора системы видеонаблюдения предъявляются следующие требования:

1) достаточность рабочего пространства для выполнения оператором своих функций;

2) значения факторов рабочей среды (освещенность, шум, вибрации);

3) количество видеомониторов на одного оператора.

Так как объект защиты входит в подгруппу БII, то по требованиям РД 78.36.003-2002 характеристики аппаратуры системы видеонаблюдения должны удовлетворять следующим параметрам (табл. 4).

Таблица 4

Требования к характеристикам аппаратуры системы видеонаблюдения объекта защиты

Характеристика	Значение параметра
Телевизионные камеры
Разрешение, ТЛВ, не менее	450
Чувствительность лк, не хуже	0,5
Отношение сигнал/шум, дБ	50
Глубина АРУ, дБ	26
Наличие синхронизации	Внешняя
Видеонакопители
Разрешение, ТЛВ, не менее:
Цветное изображение	400
чёрно-белое изображение	400
Отношение сигнал/шум, дБ	47
Тип видеонакопителя	S-VHS или цифровой
Устройства управления и коммутации
Разрешение, ТЛВ, не менее:	450
Количество видеовходов	больше или равно количеству ТК
Количество видеовыходов	не менее 2
Количество входов тревоги	больше или равно количеству ТК
Количество выходов тревоги	не менее 1
Мониторы
Разрешение, ТЛВ, не менее:
полноэкранное изображение ч/б (цветное)	600 (300)
полиэкранное изображение ч/б (цветное)	800(400)
Размер экрана по диагонали, дюйм, не менее:
полноэкранное изображение	15
полиэкранное изображение	20
Максимальная яркость экрана видеомонитора, кд/м2, не менее	70
Характеристика	Значение параметра
Максимальная дальность передачи видеосигнала по коаксиальному кабелю в метрах
РК-75-4	50
РК-75-6	100
РК-75-9	200

В данном проекте будет использоваться компьютерная система видеонаблюдения на базе программного обеспечения ISS+ “Securos”. Для видеонаблюдения за периметром будут использоваться две мультисенорные IP камеры, день-ночь AV3130M. Из преимуществ этой камеры можно назвать автоматическое переключение камеры с одного объектива на другой. Причем дневной объектив является цветным 3 Mpix и способен идентифицировать личность с расстояния 25 м. Камера в режиме «ночь» является монохромной 1,3 Mpix. Размеры матрицы, в точках: цветная - 2040(Н)х1530(V), монохром - 1280(Н)х1024(V). Максимальное соотношение сигнал-шум: 45db. Эти видеокамеры подключаются напрямую к компьютеру через «витую пару» и не требуют установки дополнительного оборудования.

Для помещений ООО ЧОП «ОСА» предусмотрено три корпусные видеокамеры марки PVCD-0121C цветная, 480 ТВЛ, встроенное двадцатикратное увеличение, авто фокус, авто диафрагма.

Видеокамеры для помещений требуют установки платы видеозахвата TVISS 1-4 HL4 с четырьмя чипсетами. Камеры для помещений будут установлены на каждый чипсет отдельно. Четвертый чипсет будет являться запасным.

Расположение средств системы видеонаблюдения представлено в приложениях 8 и 9.

Таким образом, применение данных средств системы видеонаблюдения обеспечит круглосуточный просмотр территории охраняемого объекта, а следовательно усилит надежность всей комплексной системы защиты информации в целом.

2.5 Введение в эксплуатацию системы защиты информации

Введение в эксплуатацию системы защиты информации подразумевает выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам по монтажу технических средств обработки информации, вспомогательных технических средств, а также проведения технических мероприятий по защите информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.

Монтажной организацией или заказчиком проводятся закупка сертифицированных ТСОИ и специальная проверка не сертифицированных ТСОИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации (“закладок”) и их специальные исследования.

По результатам специальных исследований ТСОИ уточняются мероприятия по защите информации. В случае необходимости вносятся соответствующие изменения в технический проект, которые согласовываются с проектной организацией и заказчиком.

Проводятся закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка в соответствии с техническим проектом.

Службой (специалистом) безопасности организуется контроль проведения всех мероприятий по защите информации, предусмотренных техническим проектом.

В период установки и монтажа ТСОИ и средств защиты информации особое внимание должно уделяться обеспечению режима и охране защищаемого объекта.

К некоторым мероприятиям по организации контроля в этот период можно отнести:

- перед монтажом необходимо обеспечить скрытную проверку всех монтируемых конструкций, особенно установочного оборудования, на наличие разного рода меток и отличий их друг от друга, а также закладных устройств;

- необходимо организовать периодический осмотр зон выделенных помещений в вечернее или в нерабочее время при отсутствии в нем строителей в целях выявления подозрительных участков и мест;

- организовать контроль за ходом всех видов строительных работ на территории и в здании. Основная функция контроля заключается в подтверждении правильности технологии строительно-монтажных работ и соответствия их техническому проекту;

- организовать осмотр мест и участков конструкций, которые по технологии подлежат закрытию другими конструкциями. Такой контроль может быть организован легально под легендой необходимости проверки качества монтажа и материалов или скрытно;

- необходимо тщательно проверять соответствие монтажных схем и количество прокладываемых проводов техническому проекту. Особое внимание необходимо уделять этапу ввода проводных коммуникаций и кабелей в зону выделенных помещений. Все прокладываемые резервные провода и кабели необходимо нанести на план-схему с указанием мест их начала и окончания.

Перед установкой в выделенные помещения и на объекты информатизации мебели и предметов интерьера технические устройства и средства оргтехники должны проверяться на отсутствие закладных устройств. Одновременно целесообразно провести проверку технических средств на уровни побочных электромагнитных излучений. Такую проверку целесообразно проводить в специально оборудованном помещении или на промежуточном складе.

После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.

По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.

По завершении ввода в эксплуатацию СЗИ проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации.

При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (“закладных устройств”), возможно внедренных в выделенные помещения, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.

В период эксплуатации периодически должны проводиться специальные обследования и проверки выделенных помещений и объектов информатизации. Специальные обследования должны проводиться под легендой для сотрудников организации или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей организации и сотрудников службы безопасности).

ГЛАВА 3. ОЦЕНКА ФИНАНСОВЫХ ЗАТРАТ НА УСТАНОВКУ И ЭКСПЛУАТАЦИЮ КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ

Затраты на оборудование для комплексной защиты информации можно представить в виде таблицы 5.

Таблица 5

Затраты на оборудование для комплексной защиты информации

№	наименование оборудования	кол-во шт.	цена руб	всего руб
1	Извещатель пассивный оптико-электронный объёмный Фотон-9	7	345	4550
2	Извещатель акустический Стекло-3	6	375	3300
3	Извещатель магнитоконтактный ИО 102-5	7	45	455
4	Тревожная кнопка Астра-321	1	210	210
5	Приемно-контрольный прибор Сигнал 20	2	3500	7000
6	Модуль защиты телефоной линии"SEL SP-17/D"	1	13100	13100
7	Генератор шума ГШ-К-1000М	1	5700	5700
8	Генератор шума ГШ-1000М	1	4900	4900
9	Генератор шума SEL SP 44	1	14000	14000
10	Виброакустический генератор Соната АВ 1М	1	24000	24000
11	Фильтр питания «ФСП-1Ф-7А»	2	13500	27000
12	Извещатель пожарный дымовой ИП-212-45	20	250	5000
13	ИПР-3СУ	2	200	400
14	Оповещатель световой Молния	2	300	600
15	Оповещатель речевой, звуковой Флейта	2	250	500
16	Камера уличная AV3130M	2	28000	56000
17	Камера офисная PVCD-0121C	3	5600	16800
18	ПО ISS+ “Securos”	1	25000	25000
19	Плата видеозахвата TVISS 1-4 HL4	1	8000	8000
20	Пленка бронированная	9	1100	9900
21	Электромагнитный замок	2	780	1560
ИТОГО:	227 975

Реализация любого проекта, связанного с защитой информации, требует определённых финансовых ресурсов. Для того, чтобы определить общую потребность в финансовых ресурсах (материальных, денежных, трудовых и др.), необходимо составить смету затрат на комплексную систему защиты объекта. В результате проведенных расчётов у собственника должна появиться возможность оценить в денежной форме затраты, связанные с обеспечением информационной безопасность объекта.

Расчёт затрат целесообразно разделить на два этапа:

- Затраты на разработку комплексной системы защиты объекта;

- Затраты на эксплуатацию данной системы.

В соответствии с вышеперечисленными этапами должны формироваться и расходы, т.е. отдельно должны быть выделены затраты, связанные с разработкой комплексной системы защиты объекта и эксплуатацией системы.

Для формирования структуры затрат необходимо использовать следующую группировку статей расходов:

- прямые материальные затраты;

- расходы на оплату труда;

- амортизационные отчисления;

- прочие расходы;

- накладные расходы.

Таким образом, затраты на проведение комплексной системы защиты объекта - С, составят:

С=З₁ + З₂ , (1)

Где З₁ - затраты на этапе проектирования системы информационной безопасности объекта:

З₁ =З_М1 -З_АМ1+З_ОТ1 +З_ПР1+З_Н1 , (2)

З₂ - Суммарные ежегодные затраты на этапе эксплуатации системы. :

З₂ =З_М2 -З_АМ2+З_ОТ2 +З_ПР2+З_Н2 + Зк₂ (3)

Где:

З_М - материальные расходы;

З_АМ - амортизация;

З_ОТ - расходы на оплату труда;

З_ПР - прочие расходы;

З_Н - накладные расходы;

Зк - косвенные расходы.

К прямым материальным затратам относится те затраты, которые непосредственно связаны с использованием товароматериальных ценностей на этапе проектирования комплексной системы защиты объекта. Как правило, на данном этапе необходимо учесть фактические целевые расходы на канцелярские принадлежности и расходные материалы, а также на потребляемую техническими средствами электроэнергию.

Затраты на потребляемую энергию техническими средствами равны:

, (4)

Где:

З_ЭЛ - затраты на потребляемую электроэнергию в сутки;

W_у - установленная мощность, кВт;

Т_д - время работы оборудования, час;

S_ЭЛ - тариф на электроэнергию, руб.

Подставив соответствующие значения в формулу (4) получим:

0,064*24*1,72=2,6 ( руб.)

Издержки на канцелярские товары и расходные материалы учитываются по фактическим затратам. Таким образом: З_М =+

Расходы на оплату труда включают любые начисления работникам в денежной форме, стимулирующие начисления, надбавки, премии. При расчёте расходов на оплату труда в заработной плате работников выделяют основную и дополнительную части. Для определения основной заработной платы используются фиксированные оклады. При этом для определения затрат на оплату труда специалистов, занятых разработкой проекта, необходимо использовать данные о должностных окладах исполнителей. Дневная ставка исполнителя определяется по формуле:

, (5)

Где:

З_МЕС - месячный оклад исполнителя (руб);

Ф_МЕС - месячный фонд времени (дней).

Размер дополнительной заработной платы определяется на каждом предприятии коллективным договором и состоит, как правило, из повышающих коэффициентов, районных коэффициентов, доплат за профессиональное мастерство, ежемесячного премиального вознаграждения и вознаграждения по итогам работы за год, принятым в проектной организации в соответствии с Положением о премировании. Результаты расчётов затрат на оплату работы исполнителей сведены в таблицу 2.

Таблица 7

Результаты расчётов затрат на оплату работы исполнителей

Должность	Трудоём- кость, дней	Месячный оклад, руб.	ставка руб.	Повышающий коэф.	Доп. заработная плата руб.
Начальник тех отела	22	14 500	660	1	0
Глав. Спец. ТО	22	12 400	564	1	0
Техник	22	9 500	431	1	0
Итого	22	36 400	1 655	1	0

В соответствии с Налоговым Кодексом РФ любое предприятие обязано производить отчисления от заработной платы по единому социальному налогу, размер которого составляет 35,6% (если сумма всех выплат за год, на отдельного работника, нарастающим итогом не превышает 100000 рублей) от суммы основной и дополнительной заработной платы.

Налоговые отчисления в виде ЕСН включают:

- социальное страхование - 4%;

- пенсионный фонд - 28%;

- медицинское страхование - 3,6%;

и расчитываются по формуле:

, (6)

Где:

ЗП_осн - основная заработная плата, руб.;

ЗП_доп - дополнительная заработная плата, руб.

Тогда общий фонд заработной платы рассчитывается по формуле:

. (7)

В нашем случе согласно (6), отчисления от заработной платы составят:

З_отч = 0,356·(36 400) = 12 958руб.

Общий фонд заработной платы: З_ОТ = 49 358 руб.

К прочим расходам относятся не учтённые в предыдущих статьях фактические расходы, непосредственно связанные с разработкой проекта в течение всего периода его реализации, и включают, как правило, платежи по аренде помещений, транспортных средств, линий связи, по поиску информации, по оплате за объекты интеллектуальной собственности и т.д.

К прочим расходам относится абонентская плата за сотовую связь. В связи с тем, что ООО ЧОП «ОСА» пользуется корпоративным тарифным планом расходы будут равны 450 руб. в эту сумму включены оплата разговоров работников технического отдела.

Величина накладных расходов определяется исходя из принятой в проектной организации политики ценообразования и может составлять до 30% от прямых затрат. В прямые затраты входят расходы по статьям 1-4.

Величина накладных расходов вычисляется по формуле:

З_н = ( З_М - З_АМ + З_ОТ + З_ПР ?)*К_НР (8)

где К_нр - коэффициент накладных расходов

Расчет накладных расходов:

З_н = 25 862,4 руб.

Сведём результаты расчётов затрат на этапе проектирования системы защиты информации в таблицу 4.

Таблица 8

Затраты на этапе проектирования системы

№ п/п	Статья расходов	Сумма, руб.
1.	Прямые материальные затраты	227975
2.	Расходы на оплату труда	49 358
3.	Прочие расходы	450
4.	Накладные расходы	25 862
	Итого, руб:	303 645

Затраты на эксплуатацию системы защиты информации складываются из ежегодных прямых и косвенных затрат и представляют собой совокупную стоимость владения системой. При этом под косвенными затратами понимаются возможные потери от сбоев и зависаний ситемы, а также дополнительных расходы по её поддержке, не предусмотренные бюджетом организации. Очевидно, что на этапе проектирования системы невозможно с высокой степенью точности учесть величину косвенных затрат. Однако ссылаясь на опыт эксплуатации подобных систем в России необходимо учесть их в размере ?10% от суммарных ежегодных затрат на эксплуатацию системы.

Амортизируемое имущество, это имущество которое используется предприятием (учреждением) и его стоимость погашается путем начисления амортизации. Амортизируемым имуществом признается имущество со сроком полезного использования более 12 месяцев и первоначальной стоимостью более 10000 рублей. Первоначальная стоимость основного средства определяется как сумма расходов на его приобретение. Остаточная стоимость основного средства определяется как разница между первоначальной стоимостью и суммой начисленной за период эксплуатации амортизации.

В рамках статьи «Расходы на содержание и эксплуатацию оборудования» необходимо учесть затраты на амортизацию технических средств защиты.

С учётом принятых в организации тарифных ставок, должностных окладов руководителей и специалистов службы информационной безопасности, действующего положения о премировании и других норматиных документов

Основная и дополнительная заработная плата в первый год эксплуатации составит:

ЗП_г = (ЗП_осн+ ЗП_доп)х12 (13)

Где:

ЗП_осн - основная заработная плата в месяц, руб.;