Комплексная система защиты персональных данных в распределенной информационной системе

1

1

1

1

1

1

Встроенные средства сбора событий и построения отчетов.

0,5

1

0,5

1

1

1

1

Встроенная консоль для наблюдения и оповещения администратора безопасности в режиме реального времени.

1

1

0,3

0,5

1

0,8

1

Интеграция с централизованной системой мониторинга и управления инцидентами (ICMP, SNMP, Syslog).

0

0

0

0

1

1

1

Характеристики, связанные с доверием:

Предоставление услуг и технической поддержки от производителя.

1

1

0,5

1

1

1

1

Наличие авторизованного учебного курса от производителя.

0,5

1

0

0

0,8

1

1

Стоимость:

Стоимость средств защиты.

5

0,6

0,8

0,5

0,8

0,0

0,7

Стоимость сертификации.

2

1,0

1,0

0,5

0,5

0,0

0,0

Показатель эффективности СЗИ.

0,611

0,655

0,744

0,638

0,522

0,785

При сравнении стоимости СЗИ использовалась следующая информация, указанная в таблице 2.4.

Таблица 2.4 - Стоимость средств управления съемными носителями

Информация для сравнения	Security Studio	Device Lock	Lumention Device Control	McAfee Device Conrol	Cisco Security Agent	Symantec endpoint security
Стоимость решения для защиты 100 АРМ, рублей.	127400,00	70700,00	169200,00	56320,00	334980,00	86150,18
Стоимость сертификации, рублей.	0,00	47470,00	300000,00	1600000,00	1600000,00	16000,00

Результаты сравнения средств защиты приведены на рисунке 2.2.

Было проведено сравнение основных функциональных, системных возможностей продуктов, характеристик связанных с доверием и стоимостью продуктов. В качестве средства усиленной аутентификации был выбран продукт eToken Network Logon, используемый совместно с eToken PRO (Java)/72K/CERT-1883. В целях создания централизованной системы управления, предназначенной для внедрения, управления, использования и учета аппаратных средств аутентификации пользователей eToken PRO (Java), рекомендуется развернуть комплекс eToken TMS.

Рисунок 2.2 - График рейтингов СУСН

В качестве средства антивирусной защиты (САВЗ) ИСПДн предлагается использовать средства антивирусной Symantec Endpoint Protection производства компании Symantec, так как это комплексное средство реализует функции нескольких подсистем и имеет высокие показатели эффективности.

Требуется приобретение пакета сертификации у производителя.

В качестве программно-аппаратных средств межсетевого экранирования на рынке средств защиты лучше всего себя зарекомендовали:

- Cisco ASA5505-K8;

- Cisco ASA5510-K8;

- Cisco ASA5540-K8;

- Cisco ASA5580-20-BUN-K8.

Cisco ASA 5500 Series обеспечивают наиболее высокий класс защиты сетей, отличаются хорошими показателями стабильности и высокой функциональностью. Выбор конкретной модели зависит от активной нагрузки на межсетевой экран, от необходимого количества сетевых интерфейсов, возможности встраивания модулей средств обнаружения вторжений и других уникальных особенностей той или иной модели.

Программно-аппаратные межсетевые экраны дополняются персональными межсетевыми экранами (ПМЭ), применяющимися при взаимодействии АРМ пользователей ИСПДн со смежными системами в ЛВС, не участвующими в обработке ПДн или ИСПДн других классов.

При выборе средств ПМЭ рассматривались производители и их продукты, удовлетворяющие требованиям к СЗПДн, указанные в таблице 2.5.

Таблица 2.5 - Анализируемые средства ПМЭ

Наименование средства защиты информации	Сертиф. ФСТЭК	Сертиф. ФСБ	Другие	Примечание
СЗИ, основанные на встроенных механизмах защиты - Windows Firewall существующих ОС семейства Windows (Microsoft).	1	0	0	По ЗБ.
McAfee Total Protection for Endpoint (McAfee).	0	0	0
Symantec Endpoint Protection (Symantec Corporation).	1	0	0	ТУ, НДВ4.
Cisco Security Agent (Cisco Systems).	0,5	0	1	ТУ, EAL2.

Было проведено сравнение основных функциональных, системных возможностей продуктов, возможностей, связанных с управлением и мониторингом, характеристик связанных с доверием и стоимости продуктов. Информация о факторном анализе продуктов приведена в таблице 2.6.

Таблица 2.6 - Факторный анализ средств ПМЭ

Характеристика средств защиты информации	Весовой коэф.	Windows Firewall	McAfee Host Intrusion Prevention	Symantec Endpoint Protection	Cisco Security Agent
1	2	3	4	5	6
Функциональные возможности:
Возможность фильтрации входящих сетевых потоков (персональный межсетевой экран).	1	1	1	1	1
Возможность фильтрации входящих исходящих потоков (персональный межсетевой экран).	0,5	0	1	1	1
Возможность применения разных настроек фильтрации в зависимости от условий (от расположения АРМ).	1	0	1	1	1
Временные политики или политики по расписанию.	0,5	0	1	0,8	0
Поддержка протокола IPSec.	0,5	0	0	0	0
Контроль активности приложений, пытающихся передавать или слушать трафик, с возможностью блокировки их запуска.	0,5	0	1	1	1
Системные возможности:
Поддержка ОС Windows XP, Vista, 2003.	1	1	1	1	1
Упрощенная массовая установка.	1	1	1	1	1
Масштабируемость по кол-ву пользователей.	0,5	1	1	1	0,5
Интеграция в одном средстве комплекса по защите на уровне хоста (VPN клиент, СКЗИ).	0	0	0	0	0
Интеграция в одном средстве комплекса по защите на уровне хоста (антивирус, контроль соблюдения, контроль съемных носителей).	0	1	1	1	0
Возможности, связанные с управлением и мониторингом:
Локальное управление СЗИ через Web-интерфейс.	1	1	1	1	1
Возможность удаленного управления (Дистанционная настройка маршрутизации пакетов, правил фильтрации).	1	1	1	1	1
Возможность удаленное обновления ПО.	1	1	1	1	1
Возможность интеграции системы управления с AD/LDAP.	1	1	1	1	1
Возможность интеграции системы управления с RADIUS/TACACS серверами.	1	0	1	1	1
Возможность интеграции с централизованной системой управления СЗИ.	0,5	1	1	1	0,5
Применение иерархии ролей администраторов и операторов.	0,8	1	1	1	0,8
Встроенные средства централизованного сбора событий и построения отчетов.	0	1	1	1	0
Встроенная консоль для наблюдения и оповещения администратора безопасности в режиме реального времени.	0,5	1	1	1	0,5
Интеграция с централизованной системой мониторинга и управления инцидентами (ICMP, SNMP, Syslog)	0	0,5	0,5	1	0
Характеристики, связанные с доверием:
Предоставление услуг и технической поддержки от производителя	1	1	1	1	1
Наличие авторизованного учебного курса от производителя	1	1	1	0,5	1
Стоимость:
Стоимость СЗИ	5	1,0	0,9	0,4	0,0
Стоимость сертификации	5	0,0	0,5	0,0	0,5
Показатель эффективности СЗИ	0,493	0,731	0,774	0,671

При сравнении стоимости средств ПМЭ использовалась информация, представленная в таблице 2.7.

В качестве ПМЭ выбран продукт Symantec Endpoint Protection производства компании Symantec, так как это комплексное средство защиты информации, реализующее функции нескольких подсистем и имеющее максимальный показатель эффективности.

Таблица 2.7 - Стоимость средств ПМЭ

Информация для сравнения	Windows Firewall	McAfee Total Protection for Endpoint	Symantec Endpoint Protection	Cisco Security Agent
Стоимость решения для защиты 2000 пользователей ИСПДн предприятия (без учета аппаратной части и работ), руб.	0,00	2 473 600,00	1 356 644,58	3 380 000,00
Стоимость сертификации, рублей.	3 125 670,00	1 600 000,00	0,00	1 600 000,00

Результаты сравнения средств ПМЭ приведены на рисунке 2.3.

Рисунок 2.3 - График рейтингов средств ПМЭ

При выборе средств криптографической защиты рассматривались производители и их продукты, удовлетворяющие требованиям к СЗПДн, указанные в таблице 2.8.

Было проведено сравнение основных функциональных, системных возможностей продуктов, возможностей, связанных с управлением и мониторингом, характеристик связанных с доверием и стоимости продуктов. Информация о факторном анализе продуктов приведена в таблице 2.9.

Таблица 2.8 - Анализируемые средства криптографической защиты

Наименование средства защиты информации	Сертиф. ФСТЭК	Сертиф. ФСБ	Другие	Примечание (сертификация)
Континент (Информзащита).	1	1		КС1, КС2, МЭ2.
Check Point VPN-1 (Check Point).	1			КС1, КС2, МЭ3.
S-Terra CSP VPN Gate (С-Терра СиЭсПи)	1			КС1, КС2, соответствие ЗБ.
StoneGate VPN (StoneSoft).	1			КС1, КС2, МЭ3.

Таблица 2.9 - Факторный анализ средств защиты

Характеристика средств защиты информации	Весовой коэф	Континент	Check Point VPN-1	S-Terra CSP VPN Gate	StoneGate VPN
1	2	3	4	5	6
Функциональные возможности:
Обеспечение защиты транзитного трафика между шлюзами (Site-to-Site VPN).	1	1	1	1	1
Обеспечения защиты трафика между шлюзом и удаленными пользователями (Remote Access VPN)	1	1	1	1	1
Возможность применения различных политик к разному трафику.	1	1	1	1	1
Возможность применения многоуровневой топологии.	1	1	1	1	1
Возможность передавать защищенный трафик через NAT-шлюзы.	1	1	1	1	1
Поддержка симметричной ключевой схемы шифрования.	1	1	1	1	1
Поддержка ключевой схемы PKI c применением сертификатов Х.509.	1	1	1	1	1
Поддержка протокола IPSec.	1	0	1	1	1
Возможность взаимодействия cо средствами построения VPN других производителей.	0,5	0	1	1	1
Системные возможности:
Программное решение.	0,5	1	1	1	1
Аппаратно-программное решение.	0,5	1	1	1	1
Поддержка ОС Windows.	0	0	1	1	0
Поддержка ОС Linux, Solaris.	0	0	1	1	0
Поддержка ОС VMWare ESX.	0,5	0	1	0	1
Совмещение в одном устройстве всех функций шлюза (МЭ, VPN, IPS, антивирус, фильтрация содержимого).	0,5	0,5	1	0,5	0,8
Масштабируемость по производительности и кол-ву пользователей.	3	0,5	0,8	1	1
Возможность горячего резервирования.	1	1	1	1	1
Возможность балансировки нагрузки.	1	0	1	1	1
Поддержка VLAN.	1	1	1	1	1
Поддержка приоритезации трафика, качества обслуживания (QoS).	0,5	1	1	1	1
Поддержка протоколов динамической маршрутизации.	1	1	1	0	1
Возможности, связанные с управлением и мониторингом:
Удаленное управление через Web-интерфейс.	0,5	1	1	0,5	1
Удаленное управление через консоль (SSH).	0,5	0	1	1	0
Возможность интеграции с централизованной системой управления СЗИ.	1	0,5	1	1	1
Гарантированная защита управляющей информации.	0,5	1	1	0,5	1
Применение иерархии ролей администраторов и операторов.	1	0,8	1	0,5	1
Встроенная консоль для наблюдения и оповещения администратора безопасности в режиме реального времени.	1	1	1	0	1
Интеграция с централизованной системой мониторинга и управления инцидентами (ICMP, SNMP, Syslog)	1	0,5	1	1	1
Встроенные средства аудита событий и построения отчетов	0,5	1	1	0,5	1
Характеристики, связанные с доверием:
Сертификация по СКЗИ класса КС1	0,2	1	0	1	0
Сертификация по СКЗИ класса КС2	0,5	1	0	1	1
Предоставление услуг и технической поддержки от производителя	1	1	1	1	1
Наличие авторизованного учебного курса от производителя	0,5	1	1	1	1
Стоимость:
Стоимость средств защиты	5	0,7	0,1	0,7	0
Стоимость технической поддержки	1	0,6	0,1	0,8	0
Показатель эффективности средства защиты информации	0,690	0,736	0,748	0,726

При сравнении стоимости средств защиты использовалась информация, указанная в таблице 2.10.

Таблица 2.10 - Стоимость средств криптографической защиты

Информация для сравнения	Континент	Check Point VPN-1	S-Terra CSP VPN Gate	StoneGate VPN
Стоимость 2-х VPN шлюзов с пропускной способностью не меньше 100 Мбит/c, руб.	269 000,00	998 088,00	1 037 800	1 156 320,00
Поддержка на год, рублей.	80 700,00	179 655,84	43 680,00	196 627,20

Результаты сравнения средств криптографической защиты приведены на рисунке 2.4.

В качестве средства построения VPN выбран продукт S-Terra CSP VPN производства компании «С-Терра СиЭсПи». На компьютерах удаленных/мобильных пользователей ИСПДн применяется клиентская часть продукта CSP VPN Client.

При выборе средств обнаружения вторжений рассматривались производители и их продукты, удовлетворяющие требованиям к СЗПДн, указанные в таблице 2.11.

Рисунок 2.4 - График рейтингов средств криптографической защиты

Таблица 2.11 - Средства обнаружения вторжений

Наименование средства защиты информации	Сертиф. ФСТЭК	Сертиф. ФСБ	Другие	Примечание
Stonegate IPS (Stonesoft).	1	0	0	ТУ, НДВ 4.
IBM ISS Proventia (IBM).	1	0	0	ТУ.
Аргус (Центр Специальной Системотехники).	0	1	0	Соответствует классу Г, систем обнаружения компьютерных атак.

Было проведено сравнение основных функциональных, системных возможностей продуктов, возможностей, связанных с управлением и мониторингом, характеристик связанных с доверием и стоимости средств обнаружения вторжений.

Информация о факторном анализе средств обнаружения вторжений приведена в таблице 2.12.

Таблица 2.12 - Факторный анализ средств обнаружения вторжений

Характеристика средств защиты информации	Весовой коэф.	Stonegate IPS	IBM ISS Proventia	Аргус
1	2	3	4	5
Функциональные возможности:
Обнаружение вторжений с применением сигнатурных методов.	1	1	1	1
Обнаружение аномалий в работе протоколов и приложений.	1	1	1	1
Обнаружение статистических аномалий.	1	1	1	1
Распознавание различных протоколов сжатия, кодирования, преобразования.	1	0,5	0,5	0
Обнаружение статистических аномалий для обнаружения атак типа «отказ в обслуживании» (DOS).	0,2	1	1	1
Использует методы защиты от атак типа «обход СОВ» (Evasion Techniques).	0,5	0,5	1	0
Обнаруживает неправильно сформированные IP-пакеты, и в соответствии с политикой, уничтожать такой пакет, IP-сессию, к которой он принадлежит или весь трафик от возможного источника атаки.	0,2	1	1	1
Способность обнаруживать и предотвращать неизвестные атаки (отсутствующие в сигнатурах).	0,2	1	1	0
Способность обнаруживать и предотвращать комбинированные атаки (использующие набор различных уязвимостей в различных приложениях или протоколах) без необходимости создания новой сигнатуры (при условии, что присутствуют сигнатуры для уязвимостей, используемой в данной атаке).	0,5	0,5	0	0
Способность обнаруживать и предотвращать атаки на известные протоколы, работающие на нестандартных портах.	0,2	0,5	1	0
Поддержка виртуальных сенсоров.	1	1	0	0
Возможность учета важности ресурсов.	0,5	0,5	0,5	0
Системные возможности:
Программное решение.	0,5	1	1	0
Аппаратно-программное решение.	0,5	1	1	1
Поддержка ОС Windows.	0	0	1	0
Поддержка ОС Linux, Solaris.	0	0	0	1
Масштабируемость по производительности.	2	1	1	0,2
Возможность балансировки нагрузки.	1	1	1	0
Поддержка VLAN.	1	1	1	0
Возможности, связанные с управлением и мониторингом:
Удаленное управление через Web-интерфейс.	1	0	1	1
Удаленное управление через консоль (SSH).	1	0	0	0
Возможность интеграции с централизованной системой управления СЗИ.	1	1	1	0,5
Применение иерархии ролей администраторов и операторов.	1	1	1	0,2
Встроенная консоль для наблюдения и оповещения администратора безопасности в режиме реального времени.	1	1	0,5	0,2
Интеграция с централизованной системой мониторинга и управления инцидентами (ICMP, SNMP, Syslog).	1	0,8	0,8	0,2
Встроенные средства аудита событий и построения отчетов.	1	1	0,5	0,2
Характеристики, связанные с доверием:
Предоставление услуг и технической поддержки от производителя.	1	1	1	0,2
Наличие авторизованного учебного курса от производителя.	1	0,8	1	0
Стоимость
Стоимость средств защиты.	5	0,3	0	0,5
Стоимость сертификации.	5	0	0,7	1
Показатель эффективности средства защиты информации.	0,516	0,552	0,377

При сравнении стоимости средств защиты использовалась информация, указанная в таблице 2.13.

Таблица 2.13 - Стоимость средств обнаружения вторжений

Информация для сравнения	Stonegate IPS	IBM ISS Proventia (IBM)	Аргус (Центр Специальной Системотехники)
Стоимость СОВ с 4-мя сетевыми интерфейсами и пропускной способностью не менее.	261 144,00	515 678,80	255 000,00
Стоимость сертификации.	90 000,00	28 362,33	0,00

Результаты сравнения средств обнаружения вторжений приведены на рисунке 2.5.

Рисунок 2.5 - График рейтингов средств обнаружения вторжений

В качестве средства обнаружения вторжения выбран продукт семейства IBM Proventia IPS производства компании IBM. Данные средства обладают максимальными показателями. Требуется сертификация СЗИ.

При выборе средств анализа защищенности рассматривались производители и их продукты, удовлетворяющие требованиям к СЗПДн, указанные в таблице 2.14.

Таблица 2.14 - Анализируемые средства анализа защищенности

Наименование средства защиты информации	Сертиф. ФСТЭК	Сертиф. ФСБ	Другие	Примечание
XSpider.	1	0	0	ТУ
IBM Internet Scanner.	1	0	0	ТУ
MaxPatrol.	1	0	0	ТУ

Было проведено сравнение основных функциональных, системных возможностей продуктов, возможностей, связанных с управлением и мониторингом, характеристик связанных с доверием и стоимости продуктов. Информация о факторном анализе продуктов приведена в таблице 2.15.

Таблица 2.15 - Факторный анализ средств анализа защищенности

Характеристика средств защиты информации	Весовой коэф.	XSpider	IBM Internet Scanner	MaxPatrol
1	2	3	4	5
Функциональные возможности:
Обнаружение и идентификация сетевых устройств.	1	1	0,8	1
Обнаружение и идентификация запущенных сервисов.	1	1	0,8	1
Удаленное обнаружение общих уязвимостей.	1	1	1	1
Локальное обнаружение общих уязвимостей.	1	1	1	1
Возможность тестирования уязвимости.	1	1	1	1
Возможность расширенного анализа СУБД.	1	0,8	0	1
Возможность расширенного анализа web сервисов и web приложений.	1	1	0,2	1
Описание вариантов использования уязвимостей.	0,5	1	0,5	1
Предложения по устранению уязвимостей.	0,5	1	1	1
Возможность сравнения результатов нескольких проверок.	0,5	0,8	1	1
Полнота охвата базы уязвимостей.	1	1	0,5	1
Возможность контроля соответствия стандартам.	0,5	0	0	1
Системные возможности:
Программное решение.	0	1	1	1
Аппаратно-программное решение.	1	0	0	0
Поддержка ОС Windows.	1	1	1	1
Поддержка ОС Linux, Solaris.	0,5	0	0	0
Хранение политик и результатов в стандартных СУБД (MSSQL, Oracle).	0,5	0	1	0
Масштабируемость по производительности.	1	1	1	1
Возможность распределенной архитектуры.	0,5	1	1	1
Трудоемкость установки и настройки.	1	1	0,4	1
Управление из командной строки.	0,2	0	1	0
Управление с использованием графического интерфейса.	0,2	1	1	1
Возможность проверок по расписанию.	0,5	0	1	0,5
Применение иерархии ролей администраторов и операторов.	0,5	0	1	0
Возможность интеграции с централизованной системой управления СЗИ.	0,5	0,2	1	0,2
Характеристики, связанные с доверием:
Предоставление услуг и технической поддержки от производителя.	1	1	1	0,5
Наличие авторизованного учебного курса от производителя.	1	1	1	0,5
Стоимость:
Стоимость средств защиты.	5	0,8	0,3	0,0
Стоимость сертификации.	1	0,9	0,7	1
Показатель эффективности средства защиты информации.	0,696	0,521	0,717

При сравнении стоимости средств анализа защищенности использовалась информация, указанная в таблице 2.16.

Таблица 2.16 - Стоимость средств анализа защищенности

Информация для сравнения	XSpider	IBM Internet Scanner	MaxPatrol
Стоимость сертифицированного варианта САЗ на 2000 АРМ или 20 сущностей СУБД.	1 036 800,00	1 764 334,00	4 600 000,00
Стоимость обновления средства анализа защищенности (в год), рублей.	97 128,00	352 866,80	1 840 000,00

Результаты сравнения средств анализа защищенности приведены на рисунке 2.6.

Рисунок 2.6 - График рейтингов средств анализа защищенности

В качестве средства анализа защищенности выбран продукт MaxPatrol производства компании Positive Technologies, так как данное средство обладает максимальными показателями.

2.3 Анализ дополнительных организационно-технических мероприятий

Применяемые организационно-технические мероприятия по обеспечению безопасности ПДн должны дополняться следующими мероприятиями:

- выполнение анализа причин сбоев и неисправностей с целью выявления возможных действий нарушителя;

- ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности;

- регулярные проверки эффективности системы защиты с целью обнаружения некорректных настроек, сбоев в СЗПДн;

- размещать средства визуального отображения таким образом, чтобы исключить случайный просмотр экрана лицом, не являющимся пользователем ИСПДн;

- определить правила гашения экрана и блокировки АРМ при неактивности оператора в течение определенного периода времени;

- применять шторы (жалюзи) на окнах помещений, в которых установлены аппаратно-программные средства и информационно вычислительные комплексы;

- проведение ремонтных и регламентных работ либо при условии изъятия носителей защищаемой информации, либо при условии непрерывного контроля со стороны уполномоченных лиц;

- разработку комплекта эксплуатационных документов регламентирующих действия по эксплуатации, модернизации, вывода из эксплуатации ИСПДн и компонентов ИСПДн, предусматривающих организационные, режимные и другие меры по организации защиты ПДн.

2.4 Выводы

Класс специальной ИСПДн определяется согласно экспертной оценке специалиста по защите информации.

Так как для распределенной ИСПДн предприятия нарушение заданной характеристики безопасности ПДн не может привести к значительным негативным последствиям для субъектов персональных данных, ИСПДн присваивается класс К2.

Для нейтрализации и снижения вероятности проявления тех или иных угроз на всех стадиях жизненного цикла информационной системы необходимо использовать комплекс мер и средств защиты:

- организационных и организационно-технических;

- инженерных и инженерно-технических;

- технических;

- программных, аппаратных и программно-аппаратных.

СЗПДн должна состоять из следующих подсистем:

- подсистема защиты от НСД;

- подсистема антивирусной защиты;

- подсистема межсетевого экранирования;

- подсистема криптографической защиты;

- подсистема обнаружения вторжений;

- подсистема анализа защищенности.

Согласно факторному анализу, наиболее лучшие показатели у следующих СЗИ:

- ПО Symantec Endpoint Protection - СУСН, ПМЭ, САВЗ;

- ПО eToken Network Logon, используемый совместно с идентификаторами eToken PRO (Java)/72K/CERT-1883 - средство обеспечения усиленной аутентификации;

- Cisco ASA 5500 Series - программно-аппаратные межсетевые экраны;

- S-Terra CSP VPN - программные и программно-аппаратные средства криптографической защиты;

- IBM Proventia IPS - программно-аппаратная система предотвращения вторжений;

- MaxPatrol - программное средство обнаружения вторжений.

Все средства защиты имеют необходимые сертификаты ФСБ и ФСТЭК России и образуют комплексную систему защиты ПДн, обеспечивающую соблюдение всех требований законодательства, а так же требований, выявленных на основе модели угроз и нарушителя ИСПДн.

3. АНАЛИЗ СТРУКТУРЫ ФУНКЦИОНИРОВАНИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ РАСПРЕДЕЛЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Общая структура комплексной системы защиты персональных данных

Структура СЗПДн распределенной ИСПДн представлена на рис. 3.1.

Рисунок 3.1 - Структура СЗПДн распределенной ИСПДн

Необходимо разворачивание Удостоверяющего центра на основе ПАК КриптоПро УЦ, либо приобрести ключевую информацию для средств криптографической защиты.

3.2 Анализ размещения и функционирования средств защиты распределенной информационной системы персональных данных

Средства защиты от НСД представлены следующими создаваемыми компонентами:

- набор драйверов «eToken PKI Client»;

- ПО «eToken Network Logon»;

- USB-ключи «eToken PRO (Java) / 72K»;

- eToken TMS 2.

Размещение компонент подсистемы защиты от НСД представлено в таблице 3.1.

Таблица 3.1 - Размещение компонент подсистемы защиты от НСД

Компонент	Расположение
Набор драйверов «eToken PKI Client 5.1».	В виде ПО на серверах и АРМ ИСПДн под управлением ОС семейства Windows.
USB-ключи «eToken PRO (Java) / 72K».	Пользователи ИСПДн.
eToken TMS 2.	В виде ПО на создаваемом сервере, который размещается в зоне управления СЗПДн.
ПО «eToken Network Logon».	В виде ПО на серверах и АРМ ИСПДн под управлением ОС семейства Windows.

Взаимодействие между компонентами подсистемы защиты ИСПДн от НСД приведено на рисунке 3.2.



Рисунок 3.2 - Принцип функционирования и размещения компонентов

подсистемы защиты от НСД

Компоненты подсистемы защиты от НСД должны функционировать в режимах, приведенных в таблице 3.2.

Таблица 3.2 - Режимы функционирования компонент средств защиты

от НСД

Компонент	Режим функционирования
Набор драйверов «eToken PKI Client».	В рабочие часы пользователей.
ПО «eToken Network Logon».	В рабочие часы пользователей.
USB-ключи «eToken PRO (Java) / 72K».	В рабочие часы пользователей.
eToken TMS 2.0.	Круглосуточно и ежедневно.
Центр Сертификации «КриптоПро УЦ».	Круглосуточно и ежедневно.
Центр Регистрации «КриптоПро УЦ».	Круглосуточно и ежедневно.
АРМ администратора Центра Регистрации.	В рабочие часы администраторов.
АРМ разбора конфликтных ситуаций.	В рабочие часы администраторов.

Средства защиты от НСД компании «Aladdin» обеспечивают:

- защищенное хранение открытых и закрытых ключей в памяти аппаратного идентификатора «eToken»;

- идентификацию и двухфакторную аутентификацию пользователей ИСПДн при входе/выходе в ОС или приложение;

- блокирование АРМ и принудительный выход пользователя при отсоединении аппаратного идентификатора пользователя.

Комплексное решение по защиты узлов - «Symantec Endpoint Protection», производства компании Symantec является средством антивирусной защиты, средством персонального межсетевого экранирования, средством управления съемными носителями.

«Symantec Endpoint Protection» обеспечивает интегрированную защиту от вирусов и шпионских программ на базе технологии Symantec Antivirus с полной защитой в реальном времени и автоматическими средствами локализации и дезактивации угроз.

Решение на базе «Symantec Endpoint Protection» состоит из следующих компонентов:

- комплексное интегрированное средство антивирусной защиты (САВЗ) средства управления съемными носителями (СУСН), персонального межсетевого экранирования (ПМЭ) «Symantec Endpoint Protection Client»;

- сервер управления «Symantec Endpoint Protection Manage»;

- консоль управления сервером «Symantec Endpoint Protection Manager Console».

Размещение компонент «Symantec Endpoint Protection» представлено в таблице 3.3. Взаимодействие между компонентами «Symantec Endpoint Protection» приведено на рисунке 3.3.

Таблица 3.3 - Размещение компонент «Symantec Endpoint Protection»

Компонент	Расположение
«Symantec Endpoint Protection Client».	В виде ПО на АРМ пользователей ИСПДн.
«Symantec Endpoint Protection Manage».	В виде ПО на создаваемом сервере, который размещается в зоне управления СЗПДн.
«Symantec Endpoint Protection Manager Console».	В виде ПО на существующем АРМ администратора САВЗ.



Рисунок 3.3 - Принцип функционирования и размещения компонентов

«Symantec Endpoint Protection»

Компоненты «Symantec Endpoint Protection» должны функционировать в режимах, приведенных в таблице 3.4.

Таблица 3.4 - Режимы функционирования средств «Symantec Endpoint

Protection»

Компонент	Режим функционирования
СУСН «Symantec Endpoint Protection Client».	В рабочие часы пользователей.
САВЗ «Symantec Endpoint Protection Client».	В рабочие часы пользователей.
ПМЭ «Symantec Endpoint Protection Client».	В рабочие часы пользователей.
Сервер управления «Symantec Endpoint Protection Manage».	Круглосуточно и ежедневно.
Консоль управления «Symantec Endpoint Protection Manager Console».	В рабочие часы администраторов.

Средства антивирусной защиты «Symantec Endpoint Protection Client» обеспечивают:

- автоматическую проверку на наличие вирусов и других вредоносных программ по типовым шаблонам или сигнатурам;

- автоматическую проверку на наличие вирусов и других вредоносных программ с помощью эвристического анализа;

- автоматическое блокирование обнаруженных ВП, возможность удаления ВП;

- возможность выполнения проверок по расписанию;

- антивирусную проверку всех файлов непосредственно в момент их запуска, создания или модификации;

- контроль выполнения макросов в документах формата Microsoft Office, с блокировкой опасных макрокоманд;

- антивирусную проверку исполняемых скриптов;

- возможность исключения из антивирусной проверки файловой активности доверенных приложений.

- возможность получения информации о состоянии и работе программы, используя различные варианты отчетов с разным уровнем детализации.

- периодическое обновление шаблонов известных вредоносных программ;

- регистрацию событий связанных с обнаружением, блокированием, удалением ВП и работой САВЗ.

СУСН «Symantec Endpoint Protection Client» обеспечивает управление подключением периферийного оборудования, а так режимами его работы.

ПМЭ «Symantec Endpoint Protection Client» представляет собой персональный межсетевой экран, обеспечивающий персональную защиту АРМ и серверов на базе Microsoft Windows.

Для размещения компонент СЗПДн на сетевом уровне выделяются защищенные зоны, приведенные в таблице 3.5.

Средства межсетевого экранирования представлены межсетевыми экранами (МСЭ) Cisco ASA 5500 Series и ПМЭ «Symantec Endpoint Protection», описанном в подразделе 3.3. Кроме того в процессах защиты межсетевого взаимодействия участвуют существующие на предприятии средства сетевой инфраструктуры, обеспечивающие организацию виртуальных локальных сетей (VLAN) с фильтрацией трафика, проходящего между VLAN, сертифицированным межсетевым экраном.

Таблица 3.5 - Зоны безопасности СЗПДн на сетевом уровне

№ VLAN	Наименование зоны	Комментарий
10	Зона серверов ИСПДн.	Зона используется для обозначения множества зон серверов ИСПДн. Кроме того данная зона может использоваться для размещения серверов других ИСПДн, не выделенных в отдельный сегмент.
20	Зона серверов, не относящихся к ИСПДн.
30	Зона АРМ пользователей ИСПДн.
40	Зона АРМ сотрудников, не относящихся к пользователям ИСПДн.
50	Зона управления СЗПД.	К данной зоне относятся сервера участвующие в управлении СЗПДн и АРМ администраторов СЗПДн.
60	Зона подключения к сети Интернет.	К данной зоне относятся компоненты, имеющие публичную сетевую адресацию и осуществляющие взаимодействие с узлами в сети Интернет.

Размещение компонент подсистемы представлено в таблице 3.6.

Таблица 3.6 - Размещение компонент межсетевого экранирования

Компонент	Расположение
Cisco ASA 5500 Series.	Выделенное программно-аппаратное средство между зоной серверов ИСПДн и остальными зонами.

Взаимодействие защищенных зон ИСПДн возможно только при участии средств межсетевого экранирования. Оно может быть реализовано путём:

- ПМЭ (Symantec Endpoint Protection);

- МСЭ Cisco 5500 Series (размещение представлено на рисунке 3.4).

На рисунке 3.6 представлена принцип размещения компонентов межсетевого экранирования.

Рисунок 3.4 - Принцип размещения компонентов межсетевого

экранирования

Компоненты подсистемы межсетевого экранирования функционируют в следующих режимах, приведенных в таблице 3.7.

Таблица 3.7 - Режимы функционирования средств межсетевого

экранирования

Компонент	Режим функционирования
МСЭ «Cisco ASA 5500 Series».	Круглосуточно и ежедневно.
Консоль управлений.	В рабочие часы администраторов безопасности.

Подсистема защиты межсетевого взаимодействия обеспечивает:

- разделение всех узлов ИСПДн и СЗПДн на защищенные зоны, которые обеспечиваются организацией виртуальных локальных сетей (VLAN);

- запрет взаимодействия узлов защищенных зон 10 и 30 в обход средств межсетевого экранирования;

- маршрутизацию сетевого трафика между защищаемыми зонами;

- фильтрацию трафика между зонами на основе параметров протоколов 3-4 уровня модели OSI;

- регистрацию и учет фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации;

- регистрацию запуска внутренних процессов;

- регистрацию входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова (регистрация выхода из системы не проводится в моменты аппаратурного отключения межсетевого экрана).

Средства криптографической защиты представлены следующими создаваемыми компонентами:

- криптошлюз «S-terra CSP VPN Gate»;

- S-terra VPN клиент «CSP VPN Client».

Размещение компонент подсистемы представлено в таблице 3.8.

Таблица 3.8 - Размещение средств криптографической защиты

Компонент	Расположение
Криптошлюз «S-terra CSP VPN Gate».	В виде ПАК, который размещается на границе зоны серверов ИСПДн.
S-terra VPN клиент «CSP VPN Client».	В виде ПО установленного на АРМ удаленного пользователя ИСПДн.

Взаимодействие между компонентами подсистемы приведено на рисунке 3.5.

Компоненты подсистемы криптографической защиты функционируют в следующих режимах, приведенных в таблице 3.9.

Таблица 3.9 - Режимы функционирования средств криптографической

защиты

Компонент	Режим функционирования
Криптошлюз «S-terra CSP VPN Gate».	Круглосуточно и ежедневно.
S-terra VPN клиент «CSP VPN Client».	В рабочие часы пользователей.

Рисунок 3.5 - Принцип размещения компонентов криптографической

защиты

Подсистема криптографической защиты обеспечивает:

- шифрование защищаемой информации при ее передаче по неконтролируемым каналам связи;

- шифрование команд управления при их передаче по неконтролируемым каналам связи;

- управление криптографическими ключами.

- изготовление сертификатов ключей подписи.

- изготовление списков отозванных (аннулированных и приостановленных) сертификатов ключей подписи.

- регистрацию событий, связанных с безопасностью ИСПДн (использование ключей подписи; создание, завершение защищенного соединения; проверка ключей подписи).

Подсистема криптографической защиты данных обеспечивает:

- шифрование защищаемой информации;

- изготовление криптографических ключей;

- управление криптографическими ключами.

Средства обнаружения вторжений представлена программно-аппаратным продуктом IBM - «Proventia Intrusion Prevention Appliance».

Размещение компонент представлено в таблице 3.10.

Таблица 3.10 - Размещение компонент средств обнаружения

вторжений

Компонент	Расположение
«IBM Proventia Prevention Appliance».	Программно-аппаратное средство, которое размещается в зоне подключения к сети Интернет.
Консоль управления.	В рабочие часы администратора безопасности.

Взаимодействие межу компонентами подсистемы и ИСПДн приведено на рисунке 3.6.

Средство обнаружения вторжений «IBM Proventia IPS» обеспечивает:

- обнаружение трафика известной сетевой атаки из потока данных;

- обнаружение аномальной или запрещенной политикой безопасности сетевой активности;

- возможность автоматического реагирования на обнаруженное вторжение;

- периодическое обновление обнаруживаемых сигнатур атак;

- регистрацию событий, связанных с безопасностью ИСПДн.

Средства анализа защищенности (САЗ) представлены компонентом - «MaxPatrol».

Размещение компонент подсистемы представлено в таблице 3.11.

Таблица 3.11 - Размещение компонент подсистемы обнаружения

вторжений

Компонент	Расположение
MaxPatrol Server Audit.	В виде ПО на создаваемом АРМ аудитора ИБ, который может подключаться во все зоны.

Взаимодействие САЗ с компонентами ИСПДн приведено на рисунке 3.7.

Рисунок 3.6 - Принцип функционирования и размещения компонентов

подсистемы обнаружения вторжений



Рисунок 3.7 - Принцип функционирования и размещения компонентов

подсистемы анализа защищенности

Средство анализа защищенности «MaxPatrol» обеспечивает:

- инвентаризацию сетевых узлов и сервисов и обнаружение изменений;

- выявление уязвимостей программно-аппаратного обеспечения ИСПДн и СЗПДн; тестирование эффективности СЗПДн;

- контроль выполнения политик безопасности;

- ежедневное обновление базы уязвимостей и проверок; создание отчетов о выявленных уязвимостях и вариантах их устранения.

3.3 Выводы

ПО «eToken Network Logon», используемое совместно с идентификаторами USB-ключи «eToken PRO (Java) / 72K», использует набор драйверов «eToken PKI Client». Основные функции «eToken р пользователей ИСПДн при входе/выходе в ОС или приложение, блокирование АРМ и принудительный выход пользователя при отсоединении аппаратного идентификатора пользователя.

Решение «Symantec Endpoint Protection» состоит из следующих компонентов:

- «Symantec Endpoint Protection Client» - САВЗ, СУСН, ПМЭ;

- «Symantec Endpoint Protection Manage» - сервер управления;

- «Symantec Endpoint Protection Manager Console» - консоль управления.

САВЗ «Symantec Endpoint Protection Client» обеспечивает антивирусную защиту АРМ и серверов на базе Microsoft Windows.

СУСН «Symantec Endpoint Protection Client» обеспечивает управление подключением периферийного оборудования, а так режимами его работы.

ПМЭ «Symantec Endpoint Protection Client» представляет собой персональный межсетевой экран, обеспечивающий персональную защиту АРМ и серверов на базе Microsoft Windows.

Для межсетевого экранирования необходимо разделение всех узлов ИСПДн и СЗПДн на защищенные зоны, которые обеспечиваются организацией виртуальных локальных сетей (VLAN), запрет взаимодействия узлов защищенных зон в обход средств межсетевого экранирования Cisco ASA 5500 Series. Cisco ASA 5500 Series выполняют:

- маршрутизацию сетевого трафика между защищаемыми зонами;

- фильтрацию трафика между зонами на основе параметров протоколов 3-4 уровня модели OSI;

- регистрацию и учет фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.

Подсистема криптографической защиты, в составе «S-terra CSP VPN Gate» и «CSP VPN Client» обеспечивают шифрование защищаемой информации при её передаче по неконтролируемым каналам связи, управление криптографическими ключами.

Средство обнаружения вторжений «IBM Proventia Prevention Appliance» обеспечивает обнаружение трафика известной сетевой атаки, аномальной или запрещенной политикой безопасности сетевой активности, возможность автоматического реагирования на обнаруженное вторжение.

САЗ «MaxPatrol» обеспечивает выявление уязвимостей программно-аппаратного обеспечения ИСПДн и СЗПДн, тестирование эффективности СЗПДн.

4. БЕЗОПАСНОСТЬ И ЭКОЛОГИЧНОСТЬ РАБОТЫ

4.1 Общая оценка условий труда при работе на ЭВМ

информационный данные безопасность угроза

Химические опасные и вредные производственные факторы в рамках СЗПДн не рассматриваются, так как проектируемая система защиты не содержит элементов с химически опасными или вредными веществами.

Биологические опасные и вредные производственные факторы в рамках СЗПДн не рассматриваются, так как система защиты не является их источником.

При работе с ЭВМ и СЗИ администратор информационной безопасности (ИБ) в основном сталкивается с физическими и психофизиологическими опасными и вредными производственными факторами.

При длительной работе на администратора ИБ начинают оказывать влияние пониженный уровень физической активности, что в сочетании с другими вредными факторами приводит к быстрому возникновению утомляемости, понижению работоспособности. Целью эргономики в данном случае является выработка требований по усовершенствованию психофизиологических условий труда.

Максимальная эффективность труда администратор ИБ выполняет при условии обеспечения оптимальных условий труда. Условиям труда должны удовлетворять требованиям, позволяющим администратору ИБ выполнять работу без ущерба своему здоровью и с высокой производительностью труда.

Оптимальные и допустимые микроклиматические параметры должны опираться на специфику технологического процесса в вычислительном центре, в частности, условия по обеспечению надежной работы ЭВМ и СЗИ. По требованиям СанПиН 2.2.2/2.4.1340-03, в технических условиях по эксплуатации ПК устанавливаются допустимые рабочие диапазоны параметров микроклимата: температура воздуха от 18 до 28°С, относительная влажность 40-60%. Однако требования точного регулирования параметров воздушной среды помещений вычислительного центра приводят к тому, что только узкая часть температурного диапазона может быть использована - 18-25°С, поэтому действующие санитарные нормы для вычислительного центра устанавливают конкретные оптимальные и допустимые значения температуры, относительной влажности и скорости движения воздуха.

При температуре наружного воздуха ниже + 10°С:

­ температура (20-22)°С;

­ относительная влажность (40-60)%;

­ скорость движения не более 0,2 м/с.

При температуре наружного воздуха выше + 10°С:

­ температура (20-25)°С;

­ относительная влажность 40-60%;

­ скорость движения не более 0,5 м/с.

В вычислительном центре необходимо поддерживать температуру и влажность воздуха постоянными, с относительно малыми колебаниями. Значительные колебания температуры приводят к изменению рабочих характеристик узлов и устройств ПК.

Одним из неблагоприятных факторов производственной среды вычислительного центра является повышенный уровень шума, создаваемого оборудованием для кондиционирования воздуха, вентиляторами систем охлаждения, и других устройств в ЭВМ.

Полученные результаты расчета сравниваются с допустимым значением уровня шума для данного рабочего места. Если результаты расчета выше допустимого значения уровня шума, то необходимы специальные меры по снижению шума. К ним относятся: облицовка стен и потолка зала звукопоглощающими материалами, снижение шума в источнике, правильная планировка оборудования и рациональная организация рабочего места оператора.

Для оценки необходимости и целесообразности принятия мер по снижению шума необходимо вычислить уровень шума на рабочем месте администратора ИБ.

Определим уровни звукового давления источников шума, действующих на оператора на его рабочем месте (уровни шума устройств согласно техническим паспортам приведены в таблице 4.1).

Таблица 4.1 - Уровни звукового давления различных источников

Источник шума	Уровень шума, дБ
Жесткий диск и вентилятор системы охлаждения	14
Монитор	10
Принтер	30
Кондиционер	35

Расчетные точки выбираем на рабочем месте у источников с максимальным и минимальным уровнем.

Октавный уровень звукового давления i-го источника определяются по формуле:

, (5)

где - октавный уровень звуковой мощности источника шума;

- фактор направленности источника шума (для источников с равномерным излучением равен 1);

- коэффициент, учитывающий влияние ближнего поля (табл. 4.2);

- пространственный угол излучения источника, рад (табл. 4.3);

- расстояние от акустического центра источника шума до расчетной точки, м.

Таблица 4.2 - Влияние коэффициента

0,6	3
0,8	2,5
1,0	2
1,2	1,6
1,5	1,25
2	1

Таблица 4.3 - Пространственный угол излучения источника

Условия излучения	, рад
В пространство - источник на колонне в помещении, на мачте, трубе	4 р
В полупространство - источник на полу, на земле, на стене	2 р
В 1/4 пространства - источник в двухгранном углу (на полу близко от одной стены)	р
В 1/8 пространства - источник в трехгранном углу (на полу близко от двух стен)	р/2

Подставив значения в формулу 5 получим следующие результаты:

9,03

Октавные уровни звукового давления в расчетных точках помещения с несколькими источниками шума следует определять по формуле:

(6)

где k - коэффициент, учитывающий нарушение диффузности звукового поля в помещении;

В - акустическая постоянная помещения.

В нашем случае B равно 1,0, а k равно 1,25.

Подставив данные в формулу (6), получим: дБ.

По результатам вычисления уровня шума рабочего места администратора ИБ уровень шума составляет 34,68 дБ, что соответствует требованиям к уровню шума (СанПиН 2.2.2/2.4.1340-03), которые составляют не более 50 дБ.

По требованиям эргономики и технической эстетики (СанПиН 2.2.2/2.4.1340-03). Рабочее место (при выполнении работ сидя), конструкция рабочего места, расположение и конструкция органов управления должны соответствовать анатомическим и психофизическим характеристикам человека. Вместе с этим все оборудование, приборы и инструменты не должны вызывать психологического раздражения.

Рабочее место администратор ИБ состоит из монитора, системного блока, клавиатуры, мыши, принтера. Клавиатура должна быть расположена на поверхности стола на расстоянии 100-300 мм от края, обращенного к пользователю или на специальной, регулируемой по высоте рабочей поверхности, отделенной от основной столешницы. Расстояния от глаз оператора до монитора должно составлять 500-600 мм, но не ближе 500 мм с учетом размеров алфавитно-цифровых знаков и символов. На столе, на котором расположена ЭВМ, должно оставаться место для наглядного, графического материала, для возможности работать с литературой, производить какие-либо пометки.

К размерам рабочего места предъявляются требования:

­ высота рабочей поверхности регулируется в пределах 680-800 мм;

­ высота сидения 420 мм (желательно регулируемого);

­ расстояние от сидения до нижнего края рабочей поверхности 150 мм;

­ размеры пространства для ног высотой не менее 600 мм, шириной не менее 500 мм, глубиной на уровне колен - не менее 450 мм и на уровне вытянутых ног - не менее 650 мм.

Площадь помещения, которая должна приходиться на каждого работающего в кабинете, должна быть не менее 3 м². Высота производственных помещений должна быть не менее 3,2 м.

В силу специфики работы администратора ИБ, на зрение накладывается существенная нагрузка, поэтому большую роль при организации рабочего места играет освещение. При неудовлетворительном освещении зрительная способность глаз снижается, и могут появиться заболевания, такие как близорукость и резь в глазах. Резкие тени, ослепление слишком ярким светом, пульсация света утомляет глаза, снижает их защитную реакцию, глаза теряют контрастную чувствительность и остроту зрения.

Качественно освещение оценивается показателями ослепленности, дискомфорта, коэффициентом пульсации, а также соответствием спектра цвета заданному спектру.

Определенную опасность для глаз представляют дисплеи, являющиеся средствами отображения информации. Постоянная пульсация изображения визуально практически не заметна. Возможность появления бликов и паразитных отражений, а также засветка экрана дисплея посторонним светом, ухудшающим восприятием изображения - все это требует особого подхода к организации освещения.

Согласно (СанПиН 2.2.2/2.4.1340-03) естественное освещение лаборатории осуществляется боковым светом, через световые проемы в наружных стенах (окнах). Оно должно обеспечивать коэффициент естественной освещенности (КЕО) не ниже 1,2% в зонах с устойчивым снежным покровом и не ниже 1,5% на остальной территории.

При недостаточности или отсутствии естественного света в помещении применяют искусственное освещение. Для искусственного освещения лаборатории применяются лампы накаливания, составляющие систему общего освещения помещения. При этом освещенность рабочего места должна составлять 300-500 лк.

Для обеспечения наиболее благоприятных условий работы администратора ИБ принято нормировать минимальную освещенность (освещенность на наиболее темном участке рабочей поверхности).

При выборе соотношений нормируемых значений освещенности учитывают:

­ точность зрительной работы;

­ коэффициент отражения рабочей поверхности;

­ продолжительность напряженной зрительной работы в общем бюджете рабочего времени;

­ характеристики качества освещения;

­ технико-экономические показатели применяемой системы освещения;

­ требования обеспечения безопасной работы.

Нормированная минимальная освещенность для работы пятого разряда зрительной сложности, к которой относится работа оператора ЭВМ, составляет не менее 300 лк. При расположении источника света учитывается фактор ослепляющего действия таким образом, чтобы этот эффект не возникал.

4.2 Возможные аварийные или чрезвычайные ситуации

Чрезвычайная ситуация (ЧС) - это обстановка на определенной территории, сложившаяся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, которые могут повлечь или повлекли за собой человеческие жертвы, ущерб здоровью людей или окружающей природной среде, значительные материальные потери и нарушение условий жизнедеятельности людей.

Авария - это экстремальное событие (отклонение от нормы процессов или явлений) техногенного характера, происшедшее по конструктивным, производственным, технологическим или эксплуатационным причинам, либо из-за случайных внешних воздействий, и заключающееся в повреждении, выходе из строя, разрушении технических устройств или сооружений.

Одна из возможных чрезвычайных ситуаций - пожар. Пожар - это неконтролируемое горение вне специального очага, наносящее материальный ущерб. Он характеризуется: образованием открытого огня и искр; повышенной температурой воздуха, предметов и т. п., токсичных продуктов горения и дыма; пониженной концентрацией кислорода; повреждением зданий, сооружений и установок; возникновением взрывов.

Для снижения пожарной опасности на рабочем месте администратор ИБ и сооружения разработаны и успешно применяются специальные способы и средства защиты от пожара. Применяются активные и пассивные средства огнезащиты. На рабочем месте администратора ИБ имеется порошковый огнетушитель, в помещении имеется система оповещения о пожаре (пожарная сигнализация).

На этаже имеется план (схема), в котором указаны пути эвакуации, эвакуационные и аварийные выходы, установлены правила поведения людей, порядок и последовательность действий в условиях чрезвычайной ситуации.

В организации имеется журнал обработки плана эвакуации. Проведение учения фиксируется в журнале отработки плана эвакуации. В журнал заносятся: дата проведения учения, вводная информация (например, срабатывание систем пожарной автоматики или обнаружения пожара (признаков пожара) сотрудником), общее время эвакуации, хронометрах отдельных эпизодов эвакуации, а так же выявленные недостатки и положительные примеры действий людей при пожаре. На основе разбора учебной эвакуации, принимаются меры по повышению уровня пожарной безопасности здания.

В организации произведен комплекс мер по электробезопасности (заземление, зануление, громозащита). Принятый комплекс мер по обеспечению пожарной безопасности является достаточным.

4.3 Воздействие проектируемого объекта на окружающую среду в процессе его изготовления и в процессе эксплуатации

При создании разрабатываемой в дипломной работе СЗПДн негативных воздействий на экологичность окружающей среды осуществлено не будет. Эксплуатация СЗПДН так же не влияет негативно на окружающую среду. Имеются вторичные отходные материалы, такие как использованная бумага, картриджи для принтеров, которые утилизируются в соответствии с установленными нормами специализированными организациями. Поэтому разрабатываемая система является экологически безвредной.

4.4 Выводы

В данной главе дипломной работы проделано следующее:

­ проведен анализ неблагоприятных факторов, воздействующих на пользователя;

­ даны характеристики рабочего места оператора, параметры микроклимата в помещении, а так же характеристики уровня освещенности и шума в помещении, где находится рабочее место оператора;

­ проведена оценка уровня шума ЭВМ администратора ИБ;

­ проведен анализ принятых мер по пожарной безопасности, определена их достаточность.

Прямого вредного воздействия от работы средств защиты СЗПДн на окружающую среду и администратора ИСПДн нет. В связи с этим проект можно считать полностью экологически безопасным.

5. РАСЧЁТ ТЕХНИКО-ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ РАБОТЫ

5.1 Методика расчета затрат на создание СЗПДн

Исходными данными для расчета являются: стоимость работ по разработке СЗПДн (обследование ИСПДн, разработка модели угроз и нарушителя, определения актуальных угроз и необходимых контрмер, проектирование СЗПДн, разработка внутренней нормативной документации), стоимость закупки средств защиты и проведения пуско-наладочных работ, затраты на поддержку СЗПДн.

Общие затраты на разработку СЗПДн и проведение пуско-наладочных работ СЗИ во многом зависят от выбранной схемы выполнения работ. Экономически целесообразным является использование услуг системных интеграторов в области защиты конфиденциальной информации, обладающих необходимым опытом и лицензиями ФСТЭК и ФСБ России. Это позволит избежать необходимости содержания в штате организации целого отдела высокооплачиваемых специалистов, а так же повысить в целом уровень качества создаваемой СЗПДн, что позволит снизить затраты как на разработку, так и на дельнейшую поддержку СЗПДн.

Общие затраты на разработку СЗПДн и проведение пуско-наладочных работ СЗИ определяются по тарифам системного интегратора. В случае разработки СЗПДн для крупной распределенной ИСПДн, средняя стоимость работ по разработке проекта СЗПДн на 100 ЭВМ, обрабатывающих ПДн, будет равна 200 000 рублей (стоимость определялась на основе анализа цен услуг группы крупнейших системных интеграторов в области защиты информации).