Совершенствование системы информационной безопасности в помещениях ОАО "Расчет"

Операторы отдела «сбора и обработки статистической и бухгалтерской отчетности» ежедневно работают с документами присылаемыми (относящиеся к отрасли, закрепленной за предприятием) другими предприятиями по различным каналам связи и имеющие различные грифы секретности. Так же в помещении, отведенном для данного отдела, расположен специальный шкаф, являющийся архивом документов, хранящиеся несколько лет. Таким образом помещения отдела, как и помещение серверной комнаты, должно быть взято под постоянное наблюдение.

Остальные отделы не хранят никаких документов, которые могли бы иметь большую ценность для злоумышленника. Однако отделы, подключенные к закрытой сети, работают с конфиденциальной и секретной информацией хранящихся в базах данных предприятия. Следуя из этого, злоумышленник может воспользоваться приборами для чтения побочных электромагнитных излучений, которые будут исходить из компьютеров сотрудников и содержать интересующую его информацию, при этом оставляя злоумышленника не обнаруженным. Для того, что бы избежать это, следует обеспечить такие помещения защитой от чтения побочных электромагнитных излучений.

1.4 Выбор защитных мер

1.4.1 Выбор организационных мер

Сотрудники должны соблюдать меры по обеспечению информационной безопасности, а именно:

По возможности не допускать нахождение посторонних лиц в помещениях, в которых ведутся работы с секретной и конфиденциальной информацией. Если же посторонние лица все же были допущены (уборщицы, электрики, и другие сотрудники, не относящиеся к данному предприятию, а так же сотрудники, не имеющие соответствующего уровня доступа), то следует следить за ними, во избежание утечки информации.

Не передавать закрепленные за сотрудниками ключи для авторизации в закрытой сети, а так же не передавать пароли пользователей открытой сети, другим сотрудникам. В случае с ключами каждый сотрудник должен брать его сам из специального сейфа находящийся в 1 отделе, а по завершению рабочего дня должен положить его обратно. Сейф открывается только ответственным за него сотрудником.

Сотрудники закрытой сети не могут пользоваться своими электронными носителями. В случае необходимости в передаче информации из открытой сети в закрытую и наоборот, следует взять специальные электронные носители, зарегистрированные в системе «Страж NT» и хранящиеся в 1 отделе, под расписку.

Кодовые пароли, от дверей в комнаты, должны знать только администраторы и сотрудники данного отдела. Другие сотрудники, что бы войти в данное помещение, должны позвонить в дверной звонок. Двери с кодовыми замками должны быть всегда закрыты, за исключением случаев, когда в отделе находятся сотрудники обслуживающего персонала не относящиеся к данному предприятию (уборщицы, электрики, и др.).

Печатные документы с грифом «Секретно» должны храниться только в 1 отделе, остальные документы должны храниться в отведенном для этого месте. Секретные документы берутся операторами под роспись, и должны быть возвращены до конца рабочего дня.

Интернет должен использоваться только для работы.

Изменять параметры системы «Страж NT» может только администратор безопасности.

Существуют три стратегий обеспечения информационной безопасности: оборонительная, наступательная и упреждающая.

Выбор оборонительной стратегии означает, что если исключить вмешательство в процесс функционирования информационной системы, то можно нейтрализовать лишь наиболее опасные угрозы. Обычно это достигается построением «защитной оболочки», включающей разработку дополнительных организационных мер, создание программных средств допуска к ресурсам информационной системы в целом, использованию технических средств контроля помещений, в которых расположено терминальное и серверное оборудование.

Наступательная стратегия предусматривает активное противодействие известным угрозам, влияющим на информационную безопасность системы. Наступательная стратегия может включать установку дополнительных программно-аппаратных средств аутентификации пользователей, внедрение более совершенных технологий разгрузки и восстановления данных, повышение доступности системы с использованием горячего и холодного резервирования.

Упреждающая стратегия предполагает тщательное исследование возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления системы. Важной частью упреждающей стратегии является оперативный анализ информации центров изучения проблем информационной безопасности, изучение отечественного и мирового передового опыта, проведение независимого аудита уровня обеспечения безопасности информационных ресурсов организации.

Для устранения угроз была выбрана оборонительная стратегия, из-за того, что наиболее уязвимым является недостаточная защищенность помещений от несанкционированного проникновения.

План по обеспечению информационной безопасности в помещениях включает в себя:

Размещение камер в помещениях, в которых хранятся базы данных, документы и другие ценные ресурсы предприятия.

Обеспечение безопасности от угроз считывания побочных электромагнитных излучений.

1.4.2 Выбор организационных мер

Для решения задач описанных в п.п. 1.3.1 необходимо совершить закупку и установку следующих устройств: камеры, видеорегистратор, а так же генераторы шума. Рассмотрим рынок данных устройств:

Видеокамеры (таблица 12)

Видеорегистраторы (таблица 13)

Генераторы шума (таблица 14)

Таблица 12.

Обзор видеокамер

Наименование устройства	Стоимость /Оптом	Разрешение /чувствительность /фокусное расстояние	Прочее
Цветная купольная видеокамера AV Tech MC27	3280/2620 руб.	600 ТВЛ. /0,05 Лк. /3.8 мм.	ИК-подсветка до 10 м. Матрица: H.R. Color CCD, 1/3 дюйма. Число эффективных пикселей (PAL): 752*582. Функция «день-ночь», AES, AGC, AWB, Видеосигнал: композитный, 1 В, 75 Ом.
Цветная купольная видеокамера AV Tech MC26	2840/2270 руб.	600 ТВЛ. /0,1 Лк. /3.6 мм	ИК-подсветка до 15 м. Матрица: H.R. Color CCD, 1/3 дюйма. Число эффективных пикселей (PAL): 752*582. Функция «день-ночь», AES, AGC, AWB, BLC, Видеосигнал: композитный, 1 В, 75 Ом.
Цветная купольная видеокамера FE DV82A/15M	3230/2950 руб.	470 ТВЛ. /0,02 Лк. /4 - 9 мм.	ИК-подсветка до 15 м. Матрица: Sony Super HAD II CCD, 1/3 дюйма. Число эффективных пикселей (PAL): 500*582. Функция «день-ночь», AES, AGC, AWB, BLC, Видеосигнал: композитный, 1 В, 75 Ом.
Цветная купольная видеокамера CNB LBM-21VF	5920/5420 руб.	600 (ч/б:650)ТВЛ. /0,05 (ч/б:0,01)Лк. /3.8 - 9.5 мм	Динамическая ИК-подсветка до 15 м. Матрица: High Sensitivity CCD, 1/3 дюйма. Число эффективных пикселей (PAL): 752*582. Функция «день-ночь», AES, AGC, AWB, DNR, SBLC, Flickerless, Privacy Zone, Motion Detection, Mirror Function, OSD, Видеосигнал: композитный, 1 В, 75 Ом.

Описание аббревиатур используемых в поле «прочее» (таблица12):

ч/б - черно-белый (ночной) режим;

Функция «день-ночь» -- автоматическое переключение в черно-белый режим при снижении освещенности;

AES (Automatic Electronic Shutter) -- автоматический электронный затвор, скорость срабатывания: 1/50 -- 1/100000 сек;

AGC (Automatic Gain Control) -- автоматическая регулировка усиления видеосигнала;

AWB (Auto White Balance) -- автоматический баланс белого цвета;

BLC (Back Light Compensation) -- компенсация встречной засветки;

DNR (Digital Noise Reduction) -- цифровая система подавления шумов;

SBLC (Super Back Light Compensation) -- режим компенсации фоновой засветки;

Flickerless -- режим подавления мерцания изображения;

Privacy Zone -- маскировка приватной зоны (возможно запрограммировать 4 зоны);

Motion Detection -- детектор движения в поле зрения камеры (возможно запрограммировать 4 зоны);

Mirror Function -- режим зеркального отображения по горизонтали;

OSD (Onscreen Display) -- экранное меню на английском и китайском языках

Таблица 13.

Обзор видеорегистраторов

Цена (руб.)	Входы /выходы	Сетевые протоколы	Скорость записи (запись) /алгоритм сжатия (кодек) /качество записи
STR-1688 Цифровой видеорегистратор H.264; 16 каналов
45794.18	Выходы мониторов: 1 BNC, 1 VGA Spot-вых: 4 BNC Аудио: 16/1 Тревожные: 16 TTL / 4 релейны + 12 TTL	TCP/IP; HTTP; DHCP	400 изобр./с (352x288 пикс.) 200 изобр./с (720x288 пикс.) 100 изобр./с (720x576 пикс.) / H.264 / 4 уровня: Very High/High/Standard/Low
Прочее: Тип/количество HDD: 1 встроенный SATA HDD (в комплекте), установка 2 дополнительных HDD; Форматы отображения: 1, 4, 9, 13, 16 окон; Режимы воспроизведения: Перемотка вперед/назад (x2, x4, x8, x16, x32), покадровый просмотр, пауза, обратное воспроизведение;
DVR1604LE-AS 16-ти канальный цифровой видеорегистратор. Пентаплекс.
11400	Выходы мониторов: 1 TV, BNC, 1 VGA; Аудио: 4/1; Тревожные вх.: 16; Релейные вых.: 3 канала, 30VDC, 1A, NO/NC	TCP/IP; DHCP; Email; UDP; DNS; FTP; IP Filter; PPPOE; DDNS; Alarm Server	D1/4CIF(704Ч576/704Ч480) - 6 кад/сек (25 кад/сек - первый и девятый канал); 2CIF(704Ч288/704Ч240) , CIF(352Ч288/352Ч240) , QCIF(176Ч144/176Ч120) - 25 кад/сек /H.264 /6 выбираемых уровня (6 наивысшый)
Прочее: Жесткий диск HDD: 1 x 3.5” SATA (объемом до 2 ТБ); Форматы отображения: 1, 4, 8, 9, 16 окон; Режимы воспроизведения: одновременно четыре канала, воспроизведение, пауза, стоп, быстрый просмотр, медленный просмотр, следующий файл, предыдущий файл, следующая камера, предыдущая камера, полноэкранный режим, повтор, выборочное резервное копирование
Ai-D365 16-канальный регистратор в корпусе из сплава алюминия
14435	Видео: 16 BNC/ 2 BNC, 1 D-Sub VGA Аудио: 2/1;	TCP/IP; HTTP; PPPoE; DHCP; FTP; DDNS; TSM	60 кадр/сек. (720x480), 120 кадр/сек. (720x240), 240 кадр/сек. (360x240) (NTSС); 50 кадр/сек. (720x576), 100 кадр/сек. (720x288), 200 кадр/сек. (360x288) (PAL) /H.264
Прочее: Поддержка жёстких дисков: Поддержка одного жесткого диска типа 3,5" SATA до 2 Тб каждый и более; Режим записи: Ручной режим/постоянная/ по расписанию/ по тревоге; Режим воспроизведения: По кадрам. Ускоренное воспроизведение вперед и назад (до 64х); Функции тревоги: 1. Детекция движения (с конфигурируемой областью и чувствительностью) 2. Потеря изображения 3. Вход датчика 4. 8 контактов на датчики или сигнал TTL/CMOS, выбираемая полярность 5. Отправка e-mail сообщения на стационар
DVR3116. 16-ти канальный цифровой видеорегистратор.
8900	Видео: 16 BNC/ 1 TV BNC, 1 VGA Аудио: 4/1	TCP/IP; UDP; DHCP; DNS; IP Filter; PPPoE; DDNS; FTP; Email; Alarm Server	(D1 - 704x576; CIF -352x288) 6 кад/с (D1) 25 кад/с (CIF) /H.264
Прочее: Жесткий диск: 1 порт SATA, максимальный объем жесткого диска 2TB; Форматы отображения: 1, 4, 8, 9, 16 окон; Режим записи: Вручную, По расписанию (Постоянная, По детекции (видео детекция: определение движения, пустой экран, потеря видеосигнала), Тревога), Стоп; Приоритет записи: Ручная > Тревога > Детекция движения > Постоянная; Функции воспроизведения: Воспроизведение, пауза, стоп, быстрый просмотр, медленный просмотр, следующий файл, предыдущий файл, следующая камера, предыдущая камера, полноэкранный режим, повтор, выборочное резервное копирование, изменение масштаба изображения до любого размера.

Описание некоторых аббревиатур используемых в таблице 13:

H.264 - лицензируемый стандарт сжатия видео, предназначенный для достижения высокой степени сжатия видеопотока при сохранении высокого качества.

CIF (Common Intermediate Format) - это формат, используемый для стандартизации вертикального и горизонтального разрешения в пикселях в YCbCr-последовательностях в видеосигнале. В основном используется в системах видеоконференцсвязи и в мобильном телевидении (DVB-H), впервые был предложен как стандарт для H.261.

D1 - 4CIF (формат CIF увеличенный в 4 раза)

Таблица 14.

Обзор генераторов шума

Наименование	Цена (руб.)	Диапазон частот	Прочее
"Гром-ЗИ-4Б", система защиты информации	11000	Первый канал: 0,01 - 30 МГц Второй канал: 0,01 - 2000 МГц	Система состоит из генератора шумовой помехи «Гром-ЗИ-4Б», дисконусной антенны «SI-5002.1» и трёх рамочных антенн. Система защиты «Гром-ЗИ-4Б» предназначена для маскировки побочных электромагнитных излучений и наводок (ПЭМИН) средств вычислительной техники.
пространственное зашумление НЭТ "Штора-4"	83570	0,1 - 2500 МГц	Конструктивно генератор выполнен в металлическом корпусе, камуфлированном в сумке для работы в автономных условиях.
пространственное зашумление SEL SEL SP-21 "Баррикада"	11185	0,1 - 2000 МГц	Область использования - помещения, в которых расположены средства вычислительной техники с информацией от конфиденциальной до содержащей сведения, составляющие государственную тайну.

II. Проектная часть

2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия

2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

1. Акты федерального законодательства:

- Международные договоры РФ;

* Конституция РФ;

* Законы федерального уровня (включая федеральные конституционные законы, кодексы);

* Указы Президента РФ;

* Постановления правительства РФ;

* Нормативные правовые акты федеральных министерств и ведомств;

* Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

2. К нормативно-методическим документам можно отнести

- Методические документы государственных органов России:

* Доктрина информационной безопасности РФ;

* Руководящие документы ФСТЭК (Гостехкомиссии России);

* Приказы ФСБ;

- Стандарты информационной безопасности, из которых выделяют:

* Международные стандарты;

* Государственные (национальные) стандарты РФ;

* Рекомендации по стандартизации;

* Методические указания.

Система информационной безопасности строится на основе международного стандарта по обеспечению информационной безопасности ISO 17799 ("Нормы и правила при обеспечении безопасности информации"). Стандарт ISO 17799 содержит общие рекомендации по организации системы информационной безопасности, обеспечивающей базовый уровень безопасности информационных систем, характерный для большинства организаций. При этом стандарт описывает вопросы, которые должны быть рассмотрены при проектировании системы информационной безопасности, и не накладывает ограничений на использование конкретных средств обеспечения безопасности компонентов инфраструктуры. Стандарт ISO 17799 содержит следующие разделы, описывающие различные аспекты безопасности информационных систем:

- стратегия информационной безопасности -- описывает необходимость иметь поддержку высшего руководства компании путем утверждения стратегии информационной безопасности;

- организационные вопросы -- дает рекомендации по форме управления организации, оптимальной для реализации системы информационной безопасности;

- классификация информационных ресурсов -- описывает необходимые меры по обеспечению безопасности информационных ресурсов и носителей информации;

- управление персоналом -- описывает влияние человеческого фактора на информационную безопасность и меры, направленные на снижение соответствующего риска;

- обеспечение физической безопасности -- описывает мероприятия по обеспечению физической безопасности компонентов информационной инфраструктуры;

- администрирование информационных систем -- описывает основные аспекты безопасности при работе с серверами, рабочими станциями и другими информационными системами;

- управление доступом -- описывает необходимость четкого разграничения прав и обязанностей при работе с информацией;

- разработка и сопровождение информационных систем -- описывает основные механизмы обеспечения безопасности информационных систем;

- обеспечение непрерывности бизнеса -- описывает мероприятия по обеспечению непрерывной работы организаций;

- обеспечение соответствия предъявляемым требованиям -- описывает общие требования к системам информационной безопасности и мероприятия по проверке соответствия систем информационной безопасности этим требованиям.

2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности предприятия

Организационно-административные методы регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся.

Организационно-административные методы защиты информации охватывают все компоненты автоматизированных информационных систем на всех этапах их жизненного цикла: проектирования систем, строительства зданий, помещений и сооружений, монтажа и наладки оборудования, эксплуатации и модернизации систем. К организационно-административным мероприятиям защиты информации относятся:

- выделение специальных защищенных помещений для размещения ЭВМ и средств связи и хранения носителей информации;

- выделение специальных ЭВМ для обработки конфиденциальной информации;

- организация хранения конфиденциальной информации на специальных промаркированных магнитных носителях;

- использование в работе с конфиденциальной информацией технических и программных средств, имеющих сертификат защищенности и установленных в аттестованных помещениях;

- организация специального делопроизводства для конфиденциальной информации, устанавливающего порядок подготовки, использования, хранения, уничтожения и учета документированной информации;

- организация регламентированного доступа пользователей к работе на ЭВМ, средствам связи и к хранилищам носителей конфиденциальной информации;

- установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

- разработка и внедрение специальных нормативно-правовых и распорядительных документов по организации защиты конфиденциальной информации, которые регламентируют деятельность всех звеньев объекта защиты в процессе обработки, хранения, передачи и использования информации;

- постоянный контроль за соблюдением установленных требований по защите информации.

В процессе создания организационных - административных мероприятий был создан документ «требования и рекомендации по обеспечению информационной безопасности». (См. Приложение 1)

2.2 Комплекс внедряемых (разрабатываемых) программно-аппаратных средств обеспечения информационной безопасности

2.2.1 Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности

Для решения наших задач следует закупить видеокамеры, видеорегистратор и генераторы шума. Из предоставленного обзора рынка (в п.п.1.4.2) были выбраны следующие устройства «Цветная купольная видеокамера AV Tech MC27» (видеокамера), «Ai-D365 16-канальный регистратор в корпусе из сплава алюминия» (видеорегистратор) и «система защиты информации "Гром-ЗИ-4Б"» (генератор шума).

Цветная купольная видеокамера AV Tech MC27 (рисунок 5) имеет сертификат соответствия № РОСС TW.AB86.B05763 со сроком действия с 07.09.2012 по 06.09.2015. Данная видеокамера оптимально подходит для постоянного видеонаблюдения в помещениях. Она имеет функцию «день-ночь», что автоматически переключает камеру в черно-белый (ночной) режим съемки при снижении освещенности. Так же эта видеокамера автоматически настраивает баланс белого и регулирует усиление видеосигнала. Для помещений предприятия ОАО "Расчет" этих характеристик вполне достаточно, что бы следить за помещениями.

Рисунок 5. Цветная купольная видеокамера AV Tech MC27.

Ai-D365 16-канальный регистратор в корпусе из сплава алюминия (рисунок 6), имеет сертификат соответствия № РОСС TW.АГ17.B18418 со сроком действия с 12.03.2012 по 11.03.2015. Данный видеорегистратор имеет следующие характеристики:

Стандарт видеосигнала - PAL/NTSC;

Разрешение - PAL 720x576, 720x288, 360x288 / NTSC 720x480, 720x240, 360x240;

Технология сжатия - H.264 (MPEG4 - 10PART), аппаратное сжатие в реальном времени. Динамическое сжатие = 40:1 - 2400:1;

Видеовход - BNC x 16 (1 Vp-p композитный / 75 Ом);

Видеовыход - BNC x 2, D-SUB VGAх1;

Аудиовход - RCA x 2 (24K bps ADPCM). Синхронизация с видеозаписью;

Аудиовыход - RCA x 1 Синхронизация с видеозаписью;

Скорость записи - 60 кадр/сек. /720x480, 120 кадр/сек. /720x240, 240 кадр/сек. /360x240 (NTSС); 50 кадр/сек. /720x576, 100 кадр/сек. /720x288, 200 кадр/сек. /360x288 (PAL);

Режим записи - Ручной режим/постоянная/ по расписанию/ по тревоге;

Управление - Кнопки на передней панели, пульт, USB-мышь (дополнительно);

Поддержка жёстких дисков - Поддержка одного жесткого диска типа 3,5" SATA до 2 Тб каждый и более;

Режим воспроизведения - По кадрам. Ускоренное воспроизведение вперед и назад (до 64х);

Функции тревоги:

1. Детекция движения (с конфигурируемой областью и чувствительностью);

2. Потеря изображения;

3. Вход датчика;

4. 8 контактов на датчики или сигнал TTL/CMOS, выбираемая полярность;

5. Отправка e-mail сообщения на стационар;

Сетевые функции - Протокол: TCP/IP, HTTP, PPPoE, DHCP, DDNS, FTP, TSM, 10/100 Мбит/с Ethernet. Поддержка мониторинга через ПК (Internet Explorer), мобильный телефон, КПК. До 8-и удалённых пользователей одновременно;

Резервное копирование - 2 разъема USB 2.0 для подключения устройств USB 2.0 (в т. ч. DVD-Rom, картридер, жесткий диск и т . д.);

Дополнительные функции - Управление устройствами по интерфейсу rs485, rs232.

Соотношение цена и качества данного видеорегистратора оптимально подходит для его использования на предприятии ОАО "Расчет". В него будут подключены все установленные в помещениях купольные видеокамеры. Данный видеорегистратор будет настроен следующим образом:

Режим записи будет установлен «по тревоге»;

Будет использоваться функция тревоги «Детекция движения», настроенная таким образом, что бы реагировать на появление движущегося объекта в кадре;

Сжатие будет настроено на средний уровень. Это позволит экономить пространство на жестких диске, что позволит хранить записи нескольких месяцев.

Рисунок 6. Ai-D365 16-канальный регистратор в корпусе из сплава алюминия.

Система защиты информации "Гром-ЗИ-4Б" (рисунок 7) предназначена для маскировки побочных электромагнитных излучений и наводок (ПЭМИН) средств вычислительной техники. «Гром-ЗИ-4Б» формирует шумовую помеху в широком диапазоне частот и полностью соответствует СМД ФСТЭК по контролю защищенности информации, обрабатываемой СВТ от утечки за счет ПЭМИН.

Рисунок 7. Система защиты информации "Гром-ЗИ-4Б".

Система является двухканальной. Первый канал системы формирует магнитную составляющую электромагнитного поля помех в диапазоне частот от 0,01 МГц до 30 МГц. Второй канал формирует электрическую составляющую электромагнитного поля в диапазоне от 0,01 МГц до 2000 МГц. Система состоит из генератора шумовой помехи «Гром-ЗИ-4Б», дисконусной антенны «SI-5002.1» и трёх рамочных антенн.

Данная система должна включаться всегда на период работы с секретной информации в отделах сотрудников, в остальных случаях допускается выключение этой системы. При каждом включении и выключении этой системы, должна производиться соответствующая запись в журнал, который должен будет находиться в каждом отделе.

Просмотр видеозаписей с камер, а так же слежением за их работоспособностью и за работоспособностью систем защиты информации "Гром-ЗИ-4Б" в отделах, будет осуществляться отделом «материально-технического обеспечения и технического обслуживания». Так же они должны своевременно сообщать о нарушениях, замеченных на видеозаписях, генеральному директору предприятия или его замам.

2.2.2 Контрольный пример реализации проекта и его описание

Внедрение выбранного оборудования будет осуществляться на всех этажах предприятия, на которых оно снимает помещения, однако в данном дипломном проекте будет изображен только один этаж, так как большинство остальных помещений имеют гриф секретности, и их описание является нарушением политики безопасности.

Установка видеокамер будут установлены в следующих помещениях в серверной комнате, в холе отдела «сбора и обработки статистической и бухгалтерской отчетности», а так же в комнате операторов этого же отдела, и в отделе «системного анализа финансово-экономического состояния предприятий и обоснования структурных преобразований отрасли».

Видеорегистратор будет располагаться в комнате отдела «материально-технического обеспечения и технического обслуживания». Его рабочий интерфейс изображен на рисунке 8, а на рисунке 9 изображен его программный интерфейс.

Рисунок 8. Рабочий интерфейс видеорегистратора.

Рисунок 9. Программный интерфейс видеорегистратора.

Система защиты информации "Гром-ЗИ-4Б" будет установлена во всех помещениях где происходит постоянная работа с секретной и конфиденциальной информацией. На данном этаже это следующие помещения: бухгалтерии и отдел кадров, отдела «системного анализа, координации, формирования ФЦП и мониторинга НИОКР», отдела «системного анализа, координации, формирования ФЦП и мониторинга НИОКР», помещениях отдела «сбора и обработки статистической и бухгалтерской отчетности», отдела «системного анализа и мониторинга инвестиционных проектов» и отдела «системного анализа, ГОЗ, плана РГ, программ ВТС».

Расположение данных оборудований изображено на рисунке 10.

Размещено на http://www.allbest.ru

Рисунок 10. Расположение видеокамер и генераторов шума.

	- охранная камера видеонаблюдения
	- камера видеонаблюдения предприятия ОАО "Расчет"
	- генератор шума системы "Гром-ЗИ-4Б"
	- кодовый замок на двери
	- область, охватываемая видеокамерами

Размещено на http://www.allbest.ru

III. Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

Отечественный ИТ-рынок в последние несколько лет динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ) развивается еще более быстрыми темпами - более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих информационных системах (ИС). Начальники служб автоматизации, исполнительные директора, начальники служб информационной безопасности должны иметь понятные для предприятия аргументы для обоснования инвестиций в ИБ, т.е., по сути, представлять обоснование стоимости системы ИБ для бизнеса.

В данном дипломном проекте будет, рассматривается одна из наиболее известных методик экономической эффективности это - методика оценки совокупной стоимости владения (ССВ) компании «Gartner Group» применительно к системе ИБ, особенности использования этой методики в отечественных условиях. Эта методика применима в случаях, когда используется первый подход к обоснованию затрат на ИБ.

В обосновании затрат на ИБ существует два основных подхода.

Первый подход, назовем его наукообразным, заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий измерения уровня ИБ. Для этого необходимо привлечь руководство компании (как ее собственника) к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области ИБ. От результатов этих оценок будет во многом зависеть дальнейшая деятельность руководителей в области ИБ. Если информация ничего не стоит, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален (руководство это подтверждает (!)), проблемой обеспечения ИБ можно не заниматься. Если информация обладает определенной стоимостью, угрозы и потенциальный ущерб ясны, тогда встает вопрос о внесении в бюджет расходов на подсистему ИБ. В этом случае становится необходимым заручиться поддержкой руководства компании в осознании проблем ИБ и построении системы защиты информации.

Второй подход, назовем его практическим, состоит в следующем: можно попытаться найти вариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные варианты в других областях, где значимые для бизнеса события носят вероятностный характер. Например, на рынке автострахования оценка стоимости этой услуги составляет - 5-15% от рыночной стоимости автомобиля в зависимости от локальных условий его эксплуатации, стажа водителя, интенсивности движения, состояния дорог и т.д.

Описание методики

Методика совокупной стоимости владения (ССВ) была изначально предложена аналитической компанией «Gartner Group» в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика «Gartner Group» позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д.

Данная методика может быть использована для доказательства экономической эффективности существующих систем защиты информации. Она позволяет руководителям служб информационной безопасности обосновывать бюджет на ИБ, а также доказывать эффективность работы сотрудников службы ИБ. Поскольку оценка экономической эффективности корпоративной системы защиты информации становится "измеримой", появляется возможность оперативно решать задачи контроля и коррекции показателей экономической эффективности и, в частности, показателя ССВ. Таким образом, показатель ССВ можно использовать как инструмент для оптимизации расходов на обеспечение требуемого уровня защищенности ИС и обоснование бюджета на ИБ. При этом в компании эти работы могут выполняться самостоятельно, либо с привлечением системных интеграторов в области защиты информации или совместно предприятием и интегратором. В целом методика ССВ компании «Gartner Group» позволяет:

Получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения системы защиты информации.

Сравнить подразделения службы ИБ компании, как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли.

Оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ССВ.

Показатель ССВ может использоваться практически на всех основных этапах жизненного цикла системы защиты информации и позволяет "навести порядок" в существующих и планируемых затратах на ИБ. С этой точки зрения показатель ССВ дает возможность объективно и независимо обосновать экономическую целесообразность внедрения и использования конкретных организационных и технических мер и средств защиты информации. Для объективности решения также необходимо дополнительно учитывать состояние внешней и внутренней среды предприятия, например, показатели технологического, кадрового и финансового развития предприятия, так как не всегда наименьший показатель ССВ системы защиты информации может быть оптимален для компании.

Сравнение определенного показателя ССВ с аналогичными показателями ССВ по отрасли (с аналогичными компаниями) и с "лучшими в группе" позволяет объективно и независимо обосновать затраты компании на ИБ. Ведь часто оказывается довольно трудно или даже практически невозможно оценить прямой экономический эффект от затрат на ИБ. Сравнение же "родственных" показателей ССВ позволяет убедиться в том, что проект создания или реорганизации системы защиты информации компании является оптимальным по сравнению с некоторым среднестатистическим проектом в области защиты информации по отрасли. Указанные сравнения можно проводить, используя усредненные показатели ССВ по отрасли, рассчитанные экспертами «Gartner Group» или собственными экспертами компании с помощью методов математической статистики и обработки наблюдений.

Основные положения данной методики:

ИБ обеспечивается комплексом мер на всех этапах жизненного цикла ИС, совокупная стоимость владения для системы ИБ в общем случае складывается из стоимости:

Проектных работ.

Закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и AAA (средства аутентификации, авторизации и администрирования).

Затрат на обеспечение физической безопасности.

Обучения персонала.

Управления и поддержки системы (администрирование безопасности).

Аудита ИБ.

Периодической модернизации системы ИБ.

Под показателем ССВ понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение системы защиты информации в течении года. ССВ может рассматриваться как ключевой количественный показатель эффективности организации ИБ в компании, так как позволяет не только оценить совокупные затраты на ИБ, но управлять этими затратами для достижения требуемого уровня защищенности автоматизированной системы регистрации конструкторских документов.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или "собственностью"), так и трудозатраты, которые учитываются в категориях операций и административного управления.

В свою очередь косвенные затраты отражают влияние автоматизированной системы и подсистемы защиты информации на сотрудников компании посредством таких измеримых показателей как простои и "зависания" системы защиты информации и автоматизированной системы регистрации в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на ИБ, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту "скрытых" затрат компании на ИБ.

Существенно, что ССВ не только отражает "стоимость владения" отдельных элементов и связей корпоративной системы защиты информации в течение их жизненного цикла. "Овладение методикой" ССВ помогает службе ИБ лучше измерять, управлять и снижать затраты и/или улучшать уровни сервиса защиты информации с целью адекватности мер защиты бизнесу предприятия.

Подход к оценке ССВ базируется на результатах аудита структуры и поведения системы защиты информации и автоматизированной системы регистрации конструкторских документов в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей системы. Сбор и анализ статистики по структуре прямых (операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев. Полученные данные оцениваются по ряду критериев с учетом сравнения с аналогичными компаниями по отрасли.

Методика ССВ позволяет оценить и сравнить состояние защищенности системы компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития системы защиты информации, а именно: "сейчас мы тратим на ИБ столько-то, если будем тратить столько-то по конкретным направлениям ИБ, то получим такой-то эффект".

В методике ССВ в качестве базы для сравнения используются данные и показатели ССВ для западных компаний. Однако данная методика способна учитывать специфику российских компаний с помощью, так называемых, поправочных коэффициентов, например:

По стоимости основных компонентов системы защиты информации и ИС, информационных активов компании с учетом данных по количеству и типам средств вычислительной техники, периферии и сетевого оборудования.

По заработанной плате сотрудников c учетом дохода компании, географического положения, типа производства и размещения организации (крупный город или нет).

По конечным пользователям ИТ c учетом типов пользователей и их размещения (для каждого типа пользователей требуется различная организация службы поддержки и вычислительной инфраструктуры).

По использованию методов, так называемой, "лучшей практики" (best practice) в области управления ИБ с учетом реального состояния дел по управлению изменениями, операциями, активами, сервисному обслуживанию, обучению, планированию и управлению процессами.

По уровню сложности используемой информационной технологии и ее интеграции в производственный процесс организации (процент влияния - до 40%) .

Проведем расчет, используя следующую эмпирическую зависимость ожидаемых потерь (рисков) от i-й угрозы информации:

Ri = 10(Si + Vi - 4)

где:

Si - коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;

Vi - коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта необходимо использовать следующие значения коэффициентов Si и Vi, приведенные в таблице 15.

Таблица 15.

Значения коэффициентов Si и Vi

Ожидаемая (возможная) частота появления угрозы	Предполагаемое значение Si
Почти никогда	0
1 раз в 1 000 лет	1
1 раз в 100 лет	2
1 раз в 10 лет	3
1 раз в год	4
1 раз в месяц (примерно, 10 раз в год)	5
1-2 раза в неделю (примерно 100 раз в год)	6
3 раза в день (1000 раз в год)	7
Значение возможного ущерба при проявлении угрозы, руб.	Предполагаемое значение Vi
30	0
300	1
3 000	2
30 000	3
300 000	4
3 000 000	5
30 000 000	6
300 000 000	7

Выбранные для расчетов коэффициенты, взяты на основании, статистических данных в архиве конструкторской документации в «НПО им. С.А. Лавочкина», и у руководства Технического центра в ОТД (отделе технической документации).

Ri1 = = 100 000

Ri2 = = 100 000

Ri3 = = 10 000

Ri4 = = 10 000

Ri5 = = 10 000

Теперь определим суммарную величину потерь по формуле: R =

R = 230 000 (руб.) Полученные значения приведены в таблице 16.

Таблица 16.

Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информации

Актив	Угроза	Величина потерь (руб.)
Сервера	Кража, повреждения	100 000
БД	Несанкционированный доступ (кража)	100 000
ПО	Несанкционированный доступ (кража)	10 000
Документы	Кража, повреждения	10 000
Пользовательские компьютеры	Кража, повреждения	10 000
Суммарная величина потерь	230 000

3.2 Расчёт показателей экономической эффективности проекта

Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.

Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов. Наиболее общей формой представления ресурса является денежная мера. Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.

Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.

Постоянный ресурс -- на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.

Таким образом, для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):

расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;

величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;

Данные по ресурсам необходимым для ИБ представлены в таблицах 17 и 18.

Таблица 17.

Содержание и объем разового ресурса, выделяемого на защиту информации

Организационные мероприятия
№ п\п	Выполняемые действия	Среднечасовая зарплата специалиста (руб.)	Трудоемкость операции (чел. час)	Стоимость, всего (руб.)
1	Закупка утвержденных начальником отдела безопасности и руководством ПиАСИБ	300	8	2 400
2	Монтаж и установка аппаратных и программных СЗИ	200	24	4 800
3	Настройка и отладка установленных средств ИБ	300	8	2 400
4	Проведение занятий по обучению и использованию данных СЗИ с сотрудниками отдела	350	4	1 400
5	Контроль и мониторинг работоспособности системы защиты информации	150	88	13 200
Стоимость проведения организационных мероприятий, всего	24 200
Мероприятия инженерно-технической защиты
№ п/п	Номенклатура ПиАСИБ, расходных материалов	Стоимость, единицы (руб.)	Кол-во (ед.измерения)	Стоимость, всего (руб.)
1	Цветная купольная видеокамера AV Tech MC27	2620	6	15 720
2	Ai-D365 16-канальный регистратор в корпусе из сплава алюминия	14 435	1	14 435
3	"Гром-ЗИ-4Б", система защиты информации	11 000	4	44 000
Стоимость проведения мероприятий инженерно-технической защиты	74 155
Объем разового ресурса, выделяемого на защиту информации	98 355

Таблица 18.

Содержание и объем постоянного ресурса, выделяемого на защиту информации

Организационные мероприятия
№ п\п	Выполняемые действия	Среднечасовая зарплата специалиста (руб.)	Трудоемкость операции (чел. час)	Стоимость, всего (руб.)
1	Выполнение плановых мероприятий администратора ИБ (сотрудника отдела безопасности)	200	88	17 600
2	Физическая охрана помещений, где установлены СЗИ	200	22	3 400
3	Своевременное обслуживания программных и аппаратных средств защиты информации	350	4	1 400
Стоимость проведения организационных мероприятий, всего	22 400
Мероприятия инженерно-технической защиты
№ п/п	Номенклатура ПиАСИБ, расходных материалов	Стоимость, единицы (руб.)	Кол-во (ед.измерения)	Стоимость, всего (руб.)
1	Цветная купольная видеокамера AV Tech MC27	2620	2	5 240
2	"Гром-ЗИ-4Б", система защиты информации	11 000	1	11 000
Стоимость проведения мероприятий инженерно-технической защиты	16 240
Объем постоянного ресурса, выделяемого на защиту информации	38 640

Суммарное значение ресурса, выделяемого на защиту информации исходя из расчетов, составил: 98 355 + 38 640 = 136 995 (руб.)

Рассчитанная величина ущерба составила: 230 000 (руб.)

Прогнозируемые данные о величине потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации приведены в таблице19. Данные получены, после анализа работы программных и аппаратных СЗИ, в СТД предприятия, после одного года службы. Статистические данные выданы Зам. Нач. Технического центра и Начальником отдела технической (конструкторской) документации.

Таблица 19.

Величины потерь (рисков) для критичных информационных ресурсов

после внедрения/модернизации системы защиты информации

Актив	Угроза	Величина потерь (руб.)
Сервера	Кража, повреждения	50 000
БД	Несанкционированный доступ (кража)	5 000
ПО	Несанкционированный доступ (кража)	1 000
Документы	Кража, повреждения	1 000
Пользовательские компьютеры	Кража, повреждения	1 000
Суммарная величина потерь	58 000

После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации, возможно, определить срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:

Ток = R? / (Rср - Rпрогн)

где:

(R?) - суммарное значение ресурса выделенного на защиту информации = 136 995

(Rср) - объем среднегодовых потерь предприятия из-за инцидентов информационной безопасности в периоде одного года до введения СЗИ = 230 000

(Rпрогн) - прогнозируемый ежегодный объем потерь, после введения СЗИ = 58 000

Ток = 136 995 / (230 000 - 58 000) = 136 995 / 172 000 = 0,8 (года)

Также необходимо оценить динамику величин потерь за период не менее 1 года:

Таблица 20.

Оценка динамики величин потерь

	1 кв.	2 кв.	3 кв.	1 год
До внедрения СЗИ	57 500	115 000	172 500	230 000
После внедрения СЗИ	14 500	29 000	43 500	58 000
Снижение потерь	43 000	86 000	129 000	172 000

Графическое представление о динамике потерь на рисунке:

Рисунок 11. Диаграмма динамики потерь.

ЗАКЛЮЧЕНИЕ

В данном дипломном проекте были решены проблемы с обеспечением информационной безопасности в помещениях ОАО "Расчет". Благодаря установленным видеокамерам, была полностью устранена возможность утечки информации, и подмена, либо искажение, печатных документов. Так же, благодаря ним была многократно снижена вероятность кражи из помещений оборудования. А благодаря генераторам шума была устранена возможность чтения информации из побочных электромагнитных излучений, что сделало утечку информации практически полностью невозможным.

Принятые решения оказались весьма продуктивными, в то время как затраты на них окупились менее чем за год. В конечном итоге данный дипломный проект окупает себя полностью.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных».

2. Постановление Правительства Российской Федерации от 17 ноября 2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

3. Приказ ФСТЭК №55 ФСБ РФ №86 Министерство информационных технологий и связи РФ №20 от 13 февраля 2008 г. «Об утверждении порядка классификации информационных систем персональных данных».

4. Специальные требования и рекомендации по технической защите конфиденциальной информации (Утверждены приказом Гостехкомиссии России от 30.08.2002 №282).

5. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК РФ 14 февраля 2008 г.

6. ГОСТ Р 51241 - 2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний.

7. Цветная купольная видеокамера AV Tech MC27.

http://www.safemag.ru/av-tech-mc27/

8. Цветная купольная видеокамера AV Tech MC26.

http://www.safemag.ru/av-tech-mc26/

9. Цветная купольная видеокамера FE DV82A/15M.

http://www.safemag.ru/fe-dv82a-15m/

10. Цветная купольная видеокамера CNB LBM-21VF.

http://www.safemag.ru/cnb-lbm-21vf/

11. Сертификат видеокамеры AV Tech MC27.

http://www.safemag.ru/instruction/av-tech-certificate.pdf

12. STR-1688 Цифровой видеорегистратор H.264; 16 каналов.

http://www.aktivsb.ru/prod-13769.html

13. DVR1604LE-AS 16-ти канальный цифровой видеорегистратор. Пентаплекс.

http://www.aktivsb.ru/prod-16164.html

14. Ai-D365 16-канальный регистратор в корпусе из сплава алюминия.

http://www.aktivsb.ru/prod-14303.html

15. DVR3116. 16-ти канальный цифровой видеорегистратор.

http://www.aktivsb.ru/prod-15474.html

16. Сертификат видеорегистратора Ai-D365.

http://aktivsb.ru/images/NETCAM/ss/ss-ai-d365__11-03-2015.zip

17. "Гром-ЗИ-4Б", система защиты информации.

http://www.shop.pico-sb.ru/catalog/prostrshum/zi/474

18. Пространственное зашумление НЭТ "Штора-4".

http://www.shop.pico-sb.ru/catalog/prostrshum/net/473

19. Пространственное зашумление SEL SEL SP-21 "Баррикада".

http://www.shop.pico-sb.ru/catalog/prostrshum/suritel/470

Приложение 1.

Требования и рекомендации по обеспечению информационной безопасности в помещениях ОАО "РАСЧЕТ"

1. Общие положения

1.1. Информационная безопасность помещений в ОАО "Расчет" должна обеспечиваться с использованием комплексных (организационных, административных, технических и программных) мер и средств.

1.2. С целью обеспечения безопасности информации:

* руководством должен быть утвержден список пользователей и администраторов, допускаемых к обслуживанию СЗИ;

* пользователи должны пройти обучение правилам эксплуатации согласно документации на Систему и быть ознакомлены с настоящими методическими рекомендациями;

* оборудование должно размещается в помещениях, в которых в которых работают с закрытой информацией;

* программное обеспечение и носители ключевой информации должны быть защищены от несанкционированного доступа (НСД).

1.3. Организационно-административные методы регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся.

1.4. Вести постоянный контроль за соблюдением установленных требований по защите информации.

2. Требования по защите от несанкционированного доступа (НCД)

2.1. Защита носителей информации от несанкционированного доступа осуществляется с целью исключения возможностей:

* утечки информации, либо ее перехват злоумышленником;

* внесения несанкционированных изменений в технические и программные средства системы, а также в их состав;

* внесения несанкционированных изменений в документы.

2.2. В целях защиты от несанкционированного доступа, а так же своевременного обнаружения несанкционированного проникновения посторонних лиц в помещения, в которых храниться носители информации, рекомендуется установить систему видеонаблюдения.

2.3. Следует принять меры, препятствующие несанкционированному вскрытию системных блоков персональных компьютеров.

3. Практические рекомендации по защите от несанкционированного доступа

3.1. Пользователи, работающие с системой не должны иметь прав администратора, с целью ограничения возможностей установки под этими учетными записями программного обеспечения на компьютере. Доступ к файловым ресурсам компьютера, особенно на запись, должен быть ограничен минимально необходимыми правами. Пользователи должны запускать только те приложения, которые им разрешены.

3.2. Пользователи, должны быть в обязательном порядке проинструктированы по вопросам соблюдения основных требований безопасности.

3.3. На компьютере должна быть установлена только одна ОС.

3.4. Доступ к изменению настроек BIOS должен быть защищен паролем.

3.5. Пользователям операционной системы должны быть назначены пароли. Длина паролей должна составлять не менее шести символов. Срок действия паролей должен быть ограничен.

3.6. Рекомендуется опечатать системный блок компьютера для предотвращения его несанкционированного вскрытия.

3.7. Рекомендуется периодически наблюдать за действиями сотрудников, в ходящих в помещения отделов в которых хранятся носители информации.

Размещено на www.allbest.ru