Оглавление

Введение        5

1        Аналитическая часть        8

1.1        Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения)        8

1.1.1        Общая характеристика предметной области        8

1.1.2        Организационно-функциональная структура предприятия        9

1.2        Анализ рисков информационной безопасности        14

1.2.1        Идентификация и оценка информационных активов        14

1.2.2        Оценка уязвимостей активов        21

1.2.3        Оценка угроз активам        27

1.2.4        Оценка существующих и планируемых средств защиты        34

1.2.5        Оценка рисков        46

1.3        Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии        48

1.3.1        Выбор комплекса задач обеспечения информационной безопасности        48

1.3.2        Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации        50

1.4        Выбор защитных мер        52

1.4.1        Выбор организационных мер        52

1.4.2        Выбор инженерно-технических мер        54

2        Проектная часть        63

2.1        Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия        63

2.1.1        Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия        63

2.1.2        Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия        70

2.2        Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия        80

2.2.1        Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия        80

2.2.2        Контрольный пример реализации проекта и его описание        91

3        Обоснование экономической эффективности проекта        96

3.1        Выбор и обоснование методики расчёта экономической эффективности        96

3.2        Расчёт показателей экономической эффективности проекта        102

Заключение        110

Список использованной литературы        112

Введение

В последние годы одним из наиболее эффективных и цивилизованных подходов к решению задачи комплексной безопасности  объектов различных форм собственности является использование систем контроля и управления доступом. Правильное использование СКУД позволяет закрыть несанкционированный доступ на территорию, в здание, отдельные этажи и помещения. В то же время они не создают препятствий для прохода персонала и посетителей в разрешенные для них зоны. Интерес к СКУД неуклонно растет, что в недалеком будущем приведет к их широкому распространению.  Следует помнить, что СКУД не устраняет необходимость контроля со стороны человека,  но значительно повышает эффективность работы службы безопасности, особенно при наличии многочисленных зон риска. СКУД освобождает сотрудников служб безопасности от рутинной работы по идентификации, предоставляя им дополнительное время по выполнению основных функций: охране объекта и защите сотрудников и посетителей от преступных посягательств. Оптимальное соотношение людских и технических ресурсов выбирается в соответствии с поставленными задачами и допустимым уровнем возможных угроз. Однако в настоящее время процесс выбора подходящих СКУД носит сложный характер, поскольку реально отсутствует какая-либо аналитическая информация по имеющимся сегодня в мире СКУД.  Некоторые зарубежные компании, стараясь заполнить пока еще свободную нишу российского рынка, порой проявляют недобросовестность в рекламе, в предоставлении полной информации о технических и функциональных возможностях систем, об особенностях их эксплуатации в сравнительно сложных климатических условиях и т. п.  Зачастую поставщики и продавцы ради прибыли предлагают заказчику аппаратуру низкого качества и неквалифицированные услуги. Повсеместно и сами покупатели не имеют достаточного опыта в этой сфере. В результате на важных объектах можно встретить непрофессионально спроектированные системы СКУД, у которых даже технические характеристики не соответствуют условиям эксплуатации в России.

СКУД – это система контроля и управления доступом, а проявляться эта система может даже в электронном замке квартирной двери. Назначение СКУД

- это компания, специализирующаяся в области интернет проектов. На рынке информационных технологий работает уже на протяжении 7 лет. Штат компании значительно вырос за годы развития и сейчас составляет более 170 человек.

Основные услуги организации:

Продвижение сайтов. Услуги продвижения сайта в поисковых системах с оплатой по результатам работы - при занятии высоких позиций или привлечении дополнительного целевого трафика (SEO продвижение). Создание сайтов. Создание всех видов веб-ресурсов от информационных сайтов до интернет-магазинов. Разработка идеи, проектирование дизайна, верстка макетов, программирование и отладка, обучение сотрудников управлению сайтом. Увеличение продаж. Услуги комплексного интернет-продвижения. Анализ тематической аудитории и конкурентов, оптимизация сайта, продвижение в поисковых системах, прямая веб-реклама, медийная и контекстная реклама, оценка результатов и отчетность. Поддержка сайтов. Информационная поддержка сайта: разработка и актуализация страниц сайта, адаптация текстов, интерактивных элементов сайта, переводы текстов на иностранные языки, компьютерная обработка исходных материалов. Разработка фирменного стиля. Разработка всех элементов корпоративного стиля от дизайна до верстки: логотип, текстовый знак, символ фирмы, фирменные цвета и шрифты, визитная карточка, буклет, фирменный бланк, конверт, папка, плакат, упаковка и многое другое.

В настоящее время функции организации и обеспечения информационной безопасности выполняют сотрудники отдела информационных технологий по поручению генерального директора.

Анализ рисков информационной безопасности проводится начальником отдела информационных технологий, решение о его проведении принимается также генеральным директором с различной периодичностью, чаще всего после возникновения каких-либо утечек информации. Таким образом, в настоящее время в нет продуманной стратегии по анализу рисков информационной безопасности, анализ осуществляется от случая к случаю, фрагментарно и неподготовленным для этого специалистом. Оценка рисков в результате проведения анализа проводится в виде составления списка наиболее актуальных угроз, которые могут угрожать целостности информационных активов компании в ближайшее время.

В основными видами деятельности является деятельность по разработке программного обеспечения, работа с клиентами, рекламная деятельность, деятельность по взаимодействию с партнерами, а также деятельность по взаимодействию с сотрудниками компании. Кроме того, используется также разработка стратегических планов развития, противодействие конкурентам, получение и анализ данных по результата работы компании (статистическая деятельность).

В компании циркулирует информация конфиденциального характера, содержащая сведения ограниченного распространения (служебная тайна, коммерческая тайна, персональные данные), и открытые сведения.

Защите подлежит:

вся конфиденциальная информация и информационные ресурсы, независимо от ее представления и местонахождения в информационной среде компании:

Основываясь на пункте 1.2, в том числе на результатах оценки рисков информационным активам организации, делаем вывод, что для наиболее актуальными методами повышения информационной безопасности являются:

Ограничение доступа к активам компании посторонних лиц; Контроль над выполнением мероприятий по обеспечению безопасности информационных активов; Предотвращение возможности утечки информации по техническим каналам.

Данные мероприятия разрабатываются и выполняются в свете инженерно-технической защиты информации.

Соответственно, при обеспечении инженерно-технической защиты информации необходимо обеспечивать защиту от утечек по всем каналам.

К техническим средствам физической защиты относятся:

средства охранной сигнализации, размещенные по периметру охраняемых зон, зданий, сооружений и иных объектов предприятия, а также служебных помещений в этих объектах; средства контроля прохода (доступа), установленные на контрольно-пропускных пунктах, в охраняемых зданиях, как дома в Болгарии, сооружениях (объектах) предприятия и в служебных помещениях; средства наблюдения за периметрами охраняемых зон, контрольно-пропускными пунктами, охраняемыми зданиями, сооружениями предприятия, а также служебными помещениями; средства специальной связи (в том числе — экстренной);

Сбор, обработка и передача информации в происходит с помощью специальных технических средств. К ним относятся: электронно-вычислительная техника, автоматические телефонные станции, телефоны, факсимильные аппараты и тому подобное.

Наряду с ТСПИ в помещениях устанавливаются технические средства и системы, непосредственно не участвующие в обработке конфиденциальной информации, но использующиеся совместно с ТСПИ и находящиеся в зоне электромагнитного поля, создаваемого ими. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС). К ним относятся системы пожарной и охранной сигнализации, электрификации, радиофикации, часофикации, электробытовые приборы и т. д.

Наиболее вероятна утечка информации по ВТСС, имеющих выход за пределы контролируемой зоны - зоны, в которой гарантировано пресекается появление лиц и транспортных средств, не имеющих права доступа на территорию ТСПИ. К таким ВТС относятся провода заземления, трубы водопроводных, канализационных, отопительных сооружений, другие токопроводящие конструкции.

Для добывания информации, обрабатываемой техническими средствами, лицо, заинтересованное в получении этой информации, может использовать широкий арсенал портативных технических средств разведки (ТСР).

Ответственность за состояние защиты информации возлагается на соответствующее подразделение и лиц службы безопасности. Применительно к рассматриваемому предприятию предполагается обеспечивать инженерно-техническую защиту информационных ресурсов предприятия группой инженерно-технической защиты, которая, как вариант, может состоять из старшего инженера (инженера) - руководителя группы и инженера (техника) по специальным измерениям.

Основным источником права в области обеспечения информационной безопасности Российской Федерации является Конституция Российской Федерации.

Согласно Конституции Российской Федерации:

каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений (статья 23); сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (статья 24); каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом, перечень сведений, составляющих государственную тайну, определяется федеральным законом (статья 29); - каждый имеет право на достоверную информацию о состоянии окружающей среды (статья 42).

В то же время, согласно статье 55 Конституции Российской Федерации права и свободы человека и гражданина могут быть ограничены федеральным законом, если это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Одним из основных способов обеспечения информационной безопасности Российской Федерации является защита информации.

Система нормативных правовых актов Российской Федерации в области защиты информации включает в себя законы, подзаконные акты (указы и

На основании ранее оцененных рисков информационных активов в агентстве планируется к внедрению в СКУД «Parsec».

Центром СКУД является сетевой контроллер NC-1000 (рисунок 2.1).

Рисунок 2.1 Контроллер NC-1000

Контроллер NC-1000 поддерживает оборудование одной точки прохода, а также систему охранной сигнализации помещения, связанную с данной точкой прохода. К выходам контроллера подключается замок (или любое другое устройство ограничения доступа, включая шлагбаумы и турникеты), а также исполнительное устройство системы сигнализации. Ко входам контроллера могут подключаться следующие устройства:

1 или 2 (при двухстороннем проходе) считывателя. кнопка запроса на выход (RTE). кнопка дистанционного открывания двери (DRTE) – используется при двухстороннем проходе.

Проблема выбора и построения эффективной системы информационной безопасности для предприятий, функционирующих в различных сферах экономики, является одной из самых актуальных задач, требующих безотлагательного, грамотного, научно обоснованного решения. Внедрение современной компьютерной техники и средств коммуникаций в деятельность государственных организаций и коммерческих фирм, кроме существенных положительных сторон, имеет также негативный момент, связанный с возможностью реализации преступлений с использованием вычислительной техники. В качестве объекта компьютерных преступлений выступает экономическая информационная система и, соответственно, циркулирующая в ней производственная, научная, коммерческая информация. Экономическая информационная система - это совокупности внутренних и внешних потоков прямой и обратной информационной связи экономического объекта, методов, средств, специалистов, участвующих в процессе обработки информации и выработке управленческих решений. Взаимосвязь информационных потоков прямой и обратной информационной связи, средства обработки, передачи и хранения данных, а также сотрудников управленческого аппарата, выполняющих операции по переработке данных, и составляет информационную систему экономического объекта. Таким образом, любой системе управления экономическим объектом соответствует своя информационная система, называемая экономической информационной системой. Современный уровень информатизации общества предопределяет использование новейших технических, технологических, программных средств в различных информационных системах экономических объектов. И как следствие, экономический объект это объект, связанный с производством материальных и/или нематериальных благ и имеющий свою систему управления. Система управления представляет собой совокупность объекта управления, например предприятия, и субъекта управления управленческого аппарата. Последний объединяет в себе сотрудников,

В предыдущей главе была рассчитана суммарная величина потерь в случае реализации рассмотренных угроз.  В данном пункте рассчитаем постоянные и переменные затраты на внедрение СКУД и определим экономическую эффективность ее внедрения и срок окупаемости предлагаемых мер.

В ходе проектирования, внедрения и работы СКУД возможны разовые и постоянные затраты. К разовым затратам относятся следующие:

Заработная плата персонала при проектировании и внедрении СКУД; Затраты на приобретение материалов, аппаратного и программного обеспечения.

К постоянным затратам отнесем такие затраты, как:

Заработная плата сотрудников, обслуживающих СКУД (то есть администратора системы и контролеров на входе в компанию); Затраты на электроэнергию.

Разовые затраты оценены в таблице 3.2..

Таблица 3.1

Содержание и объем разового ресурса, выделяемого на защиту информации

Заключение

В настоящем проекте рассмотрены основные положения, касающиеся современного состояния систем контроля и управления доступом, спроектирована СКУД хозяйствующего объекта. Разработанная система базируется на оборудовании и программном обеспечении Parsec  с применением  бесконтактных средств идентификации.

Однако ничего не стоит на месте, также и СКУД развиваются в различных направлениях.

На сегодняшний день ситуация такова, что можно рассмотреть несколько направлений развития:

уменьшение размеров устройств управления и считывателей; повышение роли программ в системах управления как управляющего элемента; использование новых способов защиты систем при одновременном повышении их устойчивости к интеллектуальному взлому; повышение уровня интеллектуализации (либо её появление) для самых различных элементов СКУД; повышение надёжности элементов СКУД.

Отдельные элементы становятся всё сложнее и сложнее при увеличении их надёжности и при повышении доступности. Так, к примеру, если раньше многие возможности ограничивались мощностью процессора, то теперь таких возможностей практически не осталось — даже недорогих процессоров хватает на решение широкого круга задач. То же касается и памяти. Как следствие, если раньше периферийные элементы не обладали никаким дополнительным функционалом, то теперь они наделяются своими «мозгами! И решают локальные вопросы прямо на месте, повышая быстродействие и снижая нагрузку на центральных управляющих элементах.

Надежность повышается за счёт того, что распределяется логика действий между элементам по группам и направлениям, а также многократно дублируются многие функции и информация. Даже сегодня можно наблюдать картину, когда надёжность некоторых систем повысилась за счёт дублирования систем линий

Список использованной литературы