СОДЕРЖАНИЕ
ВВЕДЕНИЕ
ГЛАВА 1. ОПИСАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ ДИПЛОМНОЙ РАБОТЫ ПО НАПРАВЛЕНИЮ ИССЛЕДОВАНИЯ
1.1 Описание предметной области объекта защиты
1.1.1 Описание объекта защиты
1.1.2 Инженерно-техническая укрепленность объекта защиты
1.2 Разработка системной концепции комплексного обеспечения системы защиты информации на объекте
1.2.1 Технические характеристики и методология построения систем видеонаблюдения объекта защиты
1.2.2 Выбор и обоснование комплексной системы защиты объекта
1.2.3 Описание автоматизированной системы охраны «Орион» и ее внедрение на объекте защиты
1.3 Требования руководящих документов к системе безопасности объекта
1.3.1 Требования руководящих документов к системам видеонаблюдения
1.3.2 Требования руководящих документов к системам охранно-пожарной сигнализации
1.3.3. Требования нормативно-методических документов по защите информации на объект
ГЛАВА 2. РАЗРАБОТКАПРОЕКТА КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ОБЪЕКТА ЗАЩИТЫ
2.1 Технические каналы утечки информации
2.1.1 Классификация технических каналов утечки
2.1.2 Технические каналы утечки информации обрабатываемой на объекте защиты
2.2 Вероятная модель злоумышленника
2.3 Разработка проекта комплексной системы защиты информации частного охранного предприятия ООО «ОСА»
ГЛАВА 3. ОЦЕНКА ФИНАНСОВЫХ ЗАТРАТ НА УСТАНОВКУ И ЭКСПЛУАТАЦИЮ КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
Приложение 1
Приложение 2
Приложение 3
Приложение 4
Приложение 5
Приложение 6
Приложение 7
Приложение 8
Приложение 9
В настоящее время рынок услуг все больше и больше завоевывают ЧОП – частные охранные предприятия. Эти фирмы предоставляют услуги охраны собственности другим предприятиям, а так же частным лицам.
Специфика деятельности частных охранных предприятий подразумевает под собой огромный поток информации, который постоянно циркулирует в этих организациях. Фактически ЧОП обладает информацией обо всей системе безопасности своего клиента. А так как клиентами этих организаций зачастую становятся довольно крупные фирмы, безопасность самих частных охранных предприятий должна быть на очень высоком уровне.
Поэтому важнейшей задачей частных охранных предприятий и работающих в нем сотрудников по защите информации является сохранение и исключение ознакомления, модификации и уничтожения конфиденциальной информации.
Чем выше уровень (или эффективность) безопасности, тем выше вероятность сохранения всех ценностей объекта от хищений или уничтожения. Уровень безопасности, в свою очередь, в основном зависит от того, насколько полно и правильно была разработана комплексная система защиты информации на предприятии. Другим немаловажным фактором является правильно подобранная система видеонаблюдения, которая усиливает надежность комплексной системы безопасности организации.
Целью дипломной работы является проведение анализа объекта с последующим проектированием системы комплексной защиты информации в организации с разработкой системы видеонаблюдения.
Поставленная цель исследования предполагает решение следующих взаимосвязанных задач:
- анализ объекта защиты;
- определение модели злоумышленника;
- проведение сравнительной оценки различных средств и методов защиты;
- анализ требований руководящих документов в области защиты информации и систем видеонаблюдения.;
- разработка предложений по защите информации от утечки информации по возможным каналам;
- определение эффективности разработанной системы защиты.
Работа состоит из введения, трех глав и заключения, выполнена на 75 страницах машинописного текста, содержит 7 таблиц, список использованных источников, состоящий из 34 источника и 9 приложений.
ГЛАВА 1. ОПИСАНИЕ ПРЕДМЕТНОЙ ОБЛАСТИ ДИПЛОМНОЙ РАБОТЫ ПО НАПРАВЛЕНИЮ ИССЛЕДОВАНИЯ
1.1 Описание предметной области объекта защиты
1.1.1 Описание объекта защиты
ЗАО «ЧОП «ОСА»» имеет частную форму собственности. Основной его деятельностью является:
- Монтаж систем охранно-пожарной сигнализации;
- Сдача на пульт охраны;
- Установка систем видеонаблюдения;
- Установка систем контроля доступа.
ЧОП располагается в г. Белгороде, в жилом доме (12) по адресу ул. Губкина 17 в. Здание окружено другими жилыми домами (3,9,8,7). В непосредственной близости от объекта проходят подземные водопровода (10) и теплопровода (11), а на удалении около 20 м – воздушные линии электропередачи (2). С юго-восточной стороны жилого дома находится детская площадка. С восточной стороны расположена однополосная дорога (1), на расстоянии около 30 м находится стоянка для автомобилей (6). С южной стороны находится двухполосная автомобильная дорога (10). Расположение близлежащих зданий показано в приложении 1.
Объект защиты расположен в жилом доме и занимает два этажа. Стены объекта выполнены из кирпичной кладки, толщина кладки 2 кирпича, внутренние стены так же выполнены из кирпича, толщина кирпичной кладки составляет 1 кирпич. На объекте защиты установлены окна с двойным остеклением, с толщиной стекла 3 мм. Двери, находящиеся на объекте защиты являются как металлическими.
Вход на объект расположен в центральной части здания. Охрана объекта осуществляется круглосуточно собственной службой безопасности.
Устройства управления механизмами открывания прохода, охранным освещением размещены в помещении проходной объекта защиты. Возможность доступа к устройствам управления посторонних лиц исключается.
Освещение объекта электрическое. Электропроводка по стенам проложена в металлических и пластиковых кабель-каналах, за подвесными потолками в пластиковых трубах. Система гарантированного электропитания на объекте отсутствует.
В здании смонтированы и находятся в рабочем состоянии следующие инженерные системы: отопления; холодного и горячего водоснабжения; вентиляции и кондиционирования воздуха; автоматической пожарной сигнализацией; тревожной сигнализации; системы оповещения и управления эвакуацией.
Оконные конструкции во всех помещениях охраняемого объекта остеклены, имеют надежные и исправные запирающие устройства. На первом этаже объекта защиты установлены пластиковые стеклопакеты. Оконные конструкции обеспечивают надежную защиту помещений объекта и обладают достаточным классом защиты к разрушающим воздействиям.
В коридоре и кабинетах на высоте 2,7м. – 3м. смонтированы подвесные потолки типа «Армстронг».
На объекте защиты в выделенном помещении – кабинете директора – имеются объекты ОТСС и ВТСС. К ОТСС относятся ПЭВМ и СИДР, ВТСС включает в себя 1 телефон ГАТС, 1 телефон ВАТС и ОПС. Также на объекте расположены системы центрального отопления, энергоснабжения и вентиляции. Радиус контролируемой зоны составляет 5м.
Планы этажей показаны в приложении 2 и 3.
1.1.2 Инженерно-техническая укрепленность объекта защиты
Основополагающими, определяющими выбор уровня защиты объекта, признаками являются категория важности объекта и модель нарушителя, от проникновения которого данный объект должен быть защищен.
Абстрактно-типизированный подход к категорированию важности объектов необходим лишь для приближенной оценки возможных затрат на их оснащение инженерно-техническими, специальными и аппаратно-программными средствами защиты.
Второй аспект, влияющий на уровень затрат, т.е. в конце концов на выбор уровней защиты – это модель нарушителя. Чем выше должностной статус злоумышленника, работающего на охраняемом объекте, тем выше будут затраты на создание системы безопасности, адекватной их «моделям». При выборе уровня защиты следует учитывать возможность обоснованного отнесения объекта к одной из четырех категорий:
1-я категория – особо важный объект;
2-я категория – особо режимный объект;
3-я категория – режимный объект;
4-я категория – нережимный объект.
Отнесение конкретных объектов к той или иной категории важности регламентируете специальным перечнем, утвержденным правительством РФ. В соответствии с РД 78. 36. 003-2002 объект защиты относится к подгруппе Б II по инженерно-технической укрепленности, хищения на которых в соответствии с уголовным законодательством Российской Федерации могут привести к ущербу в размере до 500 минимальных размеров оплаты труда и свыше 500 соответственно [14].
В защищаемом помещении конфиденциальная информация обрабатывается на ПЭВМ, а также хранится в сейфе на материальном носителе (бумаге). Отсюда следует, что помещение должно иметь 2 категорию защищенности:
- вторая категория – помещения, где размещены ценные и важные товары, предметы и изделия, утрата которых может привести к значительному материальному и финансовому ущербу, создать угрозу здоровью и жизни людей, находящихся на объекте.
К таким помещениям на объекте защиты относится кабинет директора, на котором находится управление комплексной системы управления безопасностью объекта.
В соответствии с требованиями РД 78.36.003-2002 объект защиты соответствует классу Б II. Согласно этому строительные конструкции объекта должны соответствовать первому классу защищенности, то есть кирпичные перегородки должны быть толщиной 138 мм по СНиП III-17-78, а железобетонные конструкции толщиной 160 мм по ГОСТ 9561-91. Как уже указывалось выше, толщина кирпичной кладки внутри объекта защиты составляет 1 кирпич, что равно 250мм, а железобетонные блоки имеют ширину 200 мм. То есть строительные конструкции удовлетворяют первому классу защищенности.
Двери, установленные в выделенном помещении соответствуют категории и классу устойчивости О-II по ГОСТ Р51242-98, что соответствует второму классу защищенности дверных конструкций. Двери этого класса обязательны для класса Б II.
Оконные конструкции так же удовлетворяют требованиям класса Б II.
1.2 Разработка концепции комплексного обеспечения системы защиты информации на объекте
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:
– весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;
– значительное число фирм, специализирующихся на решении вопросов защиты информации;
– достаточно четко очерченная система взглядов на эту проблему;
– наличие значительного практического опыта.
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
- непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
- плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
- целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
- конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
- активной. Защищать информацию необходимо с достаточной степенью настойчивости;
- надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
- универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
- комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.
Комплексный характер защиты проистекает из того, что защита – это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимно обусловливающих друг друга сторон, свойств, тенденций.
Для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:
- охватывать весь технологический комплекс информационной деятельности;
- быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
- быть открытой для изменения и дополнения мер обеспечения безопасности информации;
- быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
- быть простой для технического обслуживания и удобной для эксплуатации пользователями;
- быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
- быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.
Учет всех требований и рекомендаций позволит разработать действительно надежную комплексную систему защиты информации на предприятии.
1.2.1 Технические характеристики и методология построения систем видеонаблюдения объекта защиты
1.2.2 Выбор и обоснование комплексной системы защиты объекта
Опыт применения систем защиты информации показывает, что эффективной может быть лишь комплексная система защиты информации (КСЗИ), сочетающая следующие меры.
1. Законодательные. Использование законодательных актов, регламентирующих права и обязанности физических и юридических лиц, а также государства в области защиты информации.
2. Морально-этические. Создание и поддержание на объекте такой моральной атмосферы, в которой нарушение регламентированных правил поведения оценивалось бы большинством сотрудников резко негативно.
3. Физические. Создание физических препятствий для доступа посторонних лиц к охраняемой информации.
4. Административные. Организация соответствующего режима секретности, пропускного и внутреннего режима.
5. Технические. Применение электронных и других устройств защиты информации.
6. Криптографические. Применение шифрования и кодирования для сокрытия обрабатываемой и передаваемой информации от несанкционированного доступа.
7. Программные. Применение программных средств разграничения доступа.
Обоснованный выбор требуемого уровня защиты информации является системообразующей задачей, поскольку как занижение, так и завышение уровня неизбежно ведет к потерям. При этом в последнее время роль данного вопроса резко возросла в связи с тем, что, во-первых, теперь в число защищаемых помимо военных, государственных и ведомственных, включены также секреты промышленные, коммерческие и даже личные, а во-вторых, сама информация все больше становиться товаром. Таким образом, для оценки информации необходимы показатели двух видов:
характеризующие информацию как ресурс, обеспечивающий деятельность общества;
характеризующие информацию как объект труда.
Показатели первого вида носят прагматический характер. К ним относят важность, значимость с точки зрения тех задач, для решения которых используется оцениваемая информация, полнота информации для информационного обеспечения решаемых задач, адекватность, то есть соответствие текущему состоянию соответствующих объектов или процессов, релевантность информации и ее толерантность.
Показатели второго вида должны характеризовать информацию как объект труда, над которым осуществляются некоторые процедуры в процессе переработки ее с целью информационного обеспечения решаемых задач. К ним относятся эффективность кодирования информации и ее объем.
1.2.3 Описание автоматизированной системы охраны «Орион» и ее внедрение на объекте защиты
В процессе обзора современных автоматизированных систем управления на российском рынке выяснилось, что система «Орион» наиболее подходит к обеспечению защиты информации на данном объекте. Эта система имеет следующие технические и качественные особенности:
1. Технические особенности:
охранная сигнализация:
а) независимый контроль в одном шлейфе контакта тревоги и контакта блокировки датчика;
б) отсутствие ограничений на количество зон в разделе;
в) напряжение во всех шлейфах – 24 В;
г) автоматический сброс тревоги извещателей с питанием по шлейфу;
д) разнообразные способы взятия/снятия под охрану: с ПЭВМ, с пульта "С2000", с клавиатуры "С2000-К", с помощью ключа Touch Memory, с помощью Proximity-карты.
пожарная сигнализация:
а) распознавание двойной сработки извещателей в одном шлейфе;
б) автоматический сброс извещателей, питаемых по шлейфу;
в) подключение адресных извещателей;
г) программирование сценариев для управления АСПТ и оповещения.
управление видеонаблюдением:
а) автоматическое и ручное управления системами видеонаблюдения через релейные модули;
б) реагирование системы на самые разнообразные события: от тревоги и предоставления доступа до удаленного управления постановкой на охрану.
управление инженерными системами зданий:
а) использование шлейфов сигнализации;
б) для измерения значений аналоговых параметров (температура, давление, влажность и т.п.);
в) программирование сценариев для управления инженерными системами зданий.
2. Качественные особенности:
- модульность – систему можно постепенно наращивать и модернизировать;
- комплексность – ИСО "Орион" позволяет организовать управление пятью подсистемами безопасности объекта: охранная сигнализация, пожарная сигнализация, контроль доступа, управление системой видео наблюдения и управление инженерными системами здания. Каждая из подсистем реализует весь набор функций, которые для нее предусмотрены;
-
интеллект – все пять подсистем безопасности не только управляются из одного центра, но и взаимодействуют между собой. Например, при срабатывании датчика охранной сигнализации включается запись событий, которые происходят в опасной зоне, на видеомагнитофон, на монитор выводится изображение охраняемой зоны, в которой сработал датчик, или при срабатывании пожарной сигнализации включается система оповещения, блокируются противопожарные двери и разблокируются двери на путях эвакуации. В принципе ИСО "Орион" позволяет управлять всеми подсистемами безопасности жизнеобеспечения здания по технологии интеллектуального здания. Каждое устройство, которое входит в комплект ИСО "Орион", имеет множество параметров и конфигурируется самим пользователем. Например, прибор "Сигнал-2011" имеет 28 параметров конфигурации. Это позволяет создавать уникальную, полностью адаптированную под данный объект систему безопасности. С одной стороны, это значительно затруднит действия злоумышленника, а с другой – заказчик сам создаст то, что ему нужно, не посвящая в свои тайны третьих лиц.
- надежность – система обладает высокой устойчивостью к саботажу, к действиям злоумышленников. Шлейфы приборов системы обладают устойчивостью к попыткам закорачивания их участков, имеют возможность контролировать блокировочные контакты корпусов извещателей, в том числе и в неохраняемое время, когда на объекте присутствуют посторонние.
Обмен по интерфейсной магистральной линии ведется с применением средств криптозащиты, поэтому исключена возможность обхода системы заменой приборов аналогичными из состава системы. Доступ к управлению системой закрыт парольной защитой, а доступ к компьютеру – биометрическим считывателем отпечатков пальцев операторов системы. Вместе с уникальной конфигурацией это делает ИСО "Орион" устойчивой к внешним угрозам.
- автоматическое реагирование на события – в ИСО "Орион" возможно программирование различных сценариев для, управления автоматической системой пожаротушения и оповещения.
- экономичность –
подсистема контроля доступа имеет самые низкие затраты в расчете на одну дверь по сравнению с другими ИСО. Заказчик сам определяет какой тип идентификатора (ключи Touch Memory, Proximity карты или PIN-крд) ему использовать.
1.3 Требования руководящих документов к системе безопасности объекта
1.3.1 Требования руководящих документов к системам видеонаблюдения
Одним из основных руководящих документов включающих требования к системам видеонаблюдения является РД 78.36.003-2002. Этот документ включает требования изданных ранее изданных руководящих документов. Рассмотрим основные его положения, касающиеся систем видеонаблюдения.
Согласно РД 78.36.003-2002 системы охранного телевидения (СОТ) должны обеспечивать передачу визуальной информации о состоянии охраняемых зон, помещений, периметра и территории объекта в помещение охраны. Применение охранного телевидения позволяет в случае получения извещения о тревоге определить характер нарушения, место нарушения, направление движения нарушителя и определить оптимальные меры противодействия. Кроме того, система охранного телевидения позволяет проводить наблюдение охраняемых зон объекта.
В состав СОТ, согласно ГОСТ Р 51558-2000 входят:
1.) Обязательные устройства для всех СОТ:
телевизионная камера (ТК);
видеомонитор;
источник электропитания, в том числе резервный;
линии связи.
2.) Дополнительные устройства для конкретных СОТ:
устройство управления и коммутации видеосигналов;
обнаружитель движения;
видеонакопитель.
На объекте ТК следует оборудовать:
периметр территории;
КПП;
главный и служебные входы;
помещения, коридоры, по которым производится перемещение денежных средств и материальных ценностей;
помещения, в которых непосредственно сосредоточены материальные ценности, за исключением хранилищ ценностей;
другие помещения по усмотрению руководства (собственника) объекта или по рекомендации сотрудника подразделения вневедомственной охраны.
В охране объектов должны использоваться системы черно-белого и цветного изображения. Установка той или иной системы зависит от необходимой информативности СОТ, характеристик охраняемого объекта (расположение на местности, освещенность и других признаков) и возможных целей (человек, автомобиль и других целей).
Работа аппаратных средств СОТ должна быть синхронизирована.
ТК, предназначенные для контроля территории объекта или ее периметра, должны размещаться в герметичных термокожухах, имеющих солнцезащитный козырек и должны быть ориентированы на местности под углом к линии горизонта (лучи восходящего и заходящего солнца не должны попадать в объектив ТК). Размещение ТК должно препятствовать их умышленному повреждению.
В темное время суток, если освещенность охраняемой зоны ниже чувствительности ТК, объект (зона объекта) должен оборудоваться охранным освещением видимого или инфракрасного диапазона. Зоны охранного освещения должны совпадать с зоной обзора ТК. При использовании СОТ цветного изображения применение инфракрасного освещения недопустимо.
Для наблюдения с помощью одной ТК больших территорий объекта рекомендуется применять объективы с переменным фокусным расстоянием и поворотные устройства с дистанционным управлением.
В помещениях объекта следует использовать ТК с электронным затвором, укомплектованные объективом с ручной регулировкой диафрагмы.
Вне помещений объекта (на улице) следует комплектовать ТК объективом с автоматической регулировкой диафрагмы.
Для отображения поступающей с ТК информации должны применяться специальные мониторы, способные работать круглосуточно в течение длительного времени с неподвижным изображением.
В СОТ следует использовать обнаружители движения, которые превращают ТК в охранный извещатель, выдающий сигнал тревоги на внутренний пульт охраны объекта или ПЦО при появлении в ноле зрения ТК движущейся цели.
При необходимости записи телевизионных изображений должны применяться видеонакопители: специальные видеомагнитофоны (СВМ) с длительным временем записи или цифровые видеонакопители информации.
Время записи СВМ должно быть не более 24 часов на 3-х часовую видеокассету. Использование СВМ с большим временем записи допускается только при обеспечении автоматического перевода его, в случае поступлении извещения о тревоге, в режим записи в реальном времени. Извещение о тревоге может поступать на видеомагнитофон от обнаружителя движения или других систем безопасности объекта (охранной, пожарной, тревожной сигнализации и других).
Для записи изображения от многих ТК на один видеонакопитель необходимо использовать мультиплексоры.
Время реагирования СОТ на сигнал извещения о тревоге должно быть не более времени, достаточного на преодоление нарушителем, двигающимся со скоростью 3 м/с, половины зоны наблюдения ТК по ширине, в любом месте зоны.
Допускается использовать системы с большим временем реагирования при наличии функции отката изображения.
В качестве устройств управления и коммутации видеосигналов, поступающих с телевизионных камер, следует использовать последовательные переключатели, квадраторы, матричные коммутаторы. Они должны обеспечивать последовательное или полиэкранное воспроизведение изображений от всех ТК.
Устройства управления и коммутации должны обеспечивать приоритетнее автоматическое отображение на экране мониторов зон, откуда поступило извещение о тревоге.
Конструктивно СОТ должны строиться по модульному принципу и обеспечивать:
взаимозаменяемость сменных однотипных технических средств;
удобство технического обслуживания и эксплуатации, а также ремонтопригодность;
исключение несанкционированного доступа к элементам управления;
санкционированный доступ ко всем элементам, узлам и блокам, требующим регулирования, обслуживания или замены в процессе эксплуатации.
Р 78 36.008-99 определяет общие требования с системам видеонаблюдения:
1. Условия эксплуатации:
в закрытых отапливаемых помещениях;
в закрытых неотапливаемых помещениях;
на улице под навесом;
на открытом воздухе;
в особых условиях (повышенная влажность, запыленность, вибрация).
2. Безопасность:
пожарная безопасность;
электробезопасность;
заземление;
отсутствие вредного влияния на здоровье пользователей и лиц, находящихся на объекте.
3. Надежность:
средняя наработка на отказ;
среднее время восстановления работоспособности;
средний срок службы;
гарантия исполнителя.
4. Продолжительность работы:
непрерывная круглосуточная работа;
работа в дневное время;
работа в ночное время;
периодическое включение.
5. Электропитание:
номинальные значения и допустимые отклонения напряжения и частоты в сети переменного тока;
категория энергоснабжения объекта или его отдельных зон;
способы резервирования питания;
переход на резервное питание и обратно - автоматический/ручной;
продолжительность работы от источника резервного питания в дежурном и тревожном режимах;
сетевые фильтры.
6. Техническое обслуживание и ремонт:
организация, проводящая техническое обслуживание и ремонт;
виды, состав и периодичность выполнения работ;
наличие и состав "холодного" резерва;
переход на резерв - автоматический или путем замены блоков, модулей.
7. Возможности расширения системы охранного телевидения:
свободные входы для ТК;
свободные выходы для видеомониторов/видеомагнитофонов;
интеграция с системами сигнализации, контроля и управления доступом;
интеграция с телеметрической системой ТК;
без нарушения работоспособности смонтированной СОТ;
с выключением смонтированной СОТ.
8. Состав документации:
спецификация оборудования с указанием его стоимости;
структурные (скелетные) схемы;
схемы (планы) размещения компонентов СОТ с указаниями по их монтажу;
схемы (планы) размещения источников охранного (дежурного) освещения с указанием мощности и типа (лампы накаливания, люминесцентные лампы, инфракрасные прожекторы);
схемы электрических соединений;
схемы прокладки линий связи и электропроводок;
схемы электрические принципиальные подключения оборудования;
техническое описание и инструкция по эксплуатации СОТ;
документация, поставляемая фирмой-изготовителем в комплекте с оборудованием, на русском языке.
Учет требований и рекомендаций руководящих документов позволит создать надежную систему видеонаблюдения.
1.3.2 Требования руководящих документов к системам охранно-пожарной сигнализации
РД 78.36.003-2002 предусматривает требования к системам охранной сигнализации.
1.) Защита периметра территории и открытых площадок
Технические средства охранной сигнализации периметра должны выбираться в зависимости от вида предполагаемой угрозы объекту, помеховой обстановки, рельефа местности, протяженности и технической укрепленности периметра, типа ограждения, наличия дорог вдоль периметра, зоны отторжения, ее ширины.
Охранная сигнализация периметра объекта проектируется, как правило, однорубежной.
Для усиления охраны, определения направления движения нарушителя, блокировки уязвимых мест следует применять многорубежную охрану.
Технические средства охранной сигнализации периметра могут размещаться на ограждении, зданиях, строениях, сооружениях или в зоне отторжения. Охранные извещатели должны устанавливаться на стенах, специальных столбах или стойках, обеспечивающих отсутствие колебаний, вибраций.
Периметр, с входящими в него воротами и калитками, следует разделять на отдельные охраняемые участки (зоны) с подключением их отдельными шлейфами сигнализации к ППК малой емкости или к пульту внутренней охраны, установленных на КПП или в специально выделенном помещении охраны объекта. Длина участка определяется исходя из тактики охраны, технических характеристик аппаратуры, конфигурации внешнего ограждения, условий прямой видимости и рельефа местности, но не более 200 м для удобства технической эксплуатации и оперативности реагирования.
Основные ворота должны выделяться в самостоятельный участок периметра. Запасные ворота, калитки должны входить в тот участок периметра, на котором они находятся.
В качестве пультов внутренней охраны могут использоваться ППК средней и большой емкости (концентраторы), СПИ, автоматизированные системы передачи извещений (АСПИ) и радиосистемы передачи извещений (РСПИ). Пульты внутренней охраны могут работать как при непосредственном круглосуточном дежурстве персонала на них, так и автономно в режиме "Самоохраны".
Установка охранных извещателей по верху ограждения должна производиться только в случае, если ограждение имеет высоту не менее 2 м.
На КПП, в помещении охраны следует устанавливать технические устройства графического отображения охраняемого периметра (компьютер, световое табло с мнемосхемой охраняемого периметра и другие устройства).
Все оборудование, входящее в систему охранной сигнализации периметра должно иметь защиту от вскрытия.
Открытые площадки с материальными ценностями на территории объекта должны иметь предупредительное ограждение и оборудоваться объемными, поверхностными или линейными извещателями различного принципа действия.
2.) Защита здания, помещений, отдельных предметов
Техническими средствами охранной сигнализации должны оборудоваться все помещения с постоянным или временным хранением материальных ценностей, а также все уязвимые места здания (окна, двери, люки, вентиляционные шахты, короба и т. п.), через которые возможно несанкционированное проникновение в помещения объекта.
Объекты подгрупп AI, AII и БII оборудуются многорубежной системой охранной сигнализации, объекты подгруппы БI - однорубежной.
Первым рубежом охранной сигнализации, в зависимости от вида предполагаемых угроз объекту, блокируют:
деревянные входные двери, погрузочно-разгрузочные люки, ворота - на "открывание" и "разрушение" ("пролом");
остекленные конструкции - на "открывание" и "разрушение" ("разбитие") стекла;
металлические двери, ворота - на "открывание" и "разрушение",
стены, перекрытия и перегородки, не удовлетворяющие требованиям настоящего Руководящего документа или за которыми размещаются помещения других собственников, позволяющие проводить скрытые работы по разрушению стены - на "разрушение" ("пролом"),
оболочки хранилищ ценностей - на "разрушение" ("пролом") и "ударное воздействие";
решетки, жалюзи и другие защитные конструкции, установленные с наружной стороны оконного проема - на "открывание" и "разрушение";
вентиляционные короба, дымоходы, места ввода/вывода коммуникаций сечением более 200x200 мм - на "разрушение" ("пролом");
Вместо блокировки остекленных конструкций на "разрушение", стен, дверей и ворот на "пролом" и "ударное воздействие", допускается, в обоснованных случаях, производить блокировку указанных конструкций только на "проникновение" с помощью объемных, поверхностных или линейных извещателей различного принципа действия. При этом следует иметь в виду, что использование в данных целях пассивных оптико-электронных извещателей обеспечивает защиту помещений только от непосредственного проникновения нарушителя.
При невозможности блокировки входных дверей проемов (тамбуров) техническими средствами раннего обнаружения по п. 5.6.5, необходимо в дверном проеме между основной и дополнительной дверью устанавливать охранные извещатели, обнаруживающие проникновение нарушителя. Данные извещатели следует включать в один шлейф охранной сигнализации блокировки дверей.
Для исключения возможных ложных срабатываний при взятии объекта под охрану указанный шлейф сигнализации необходимо выводить на ППК, имеющий задержку на взятие объекта под охрану.
Извещатели, блокирующие входные двери и неоткрываемые окна помещений, следует включать в разные шлейфы сигнализации, для возможности блокировки окон в дневное время при отключении охранной сигнализации дверей. Извещатели, блокирующие входные двери и открываемые окна допускается включать в один шлейф сигнализации.
Вторым рубежом охранной сигнализации защищаются объемы помещений на "проникновение" с помощью объемных извещателей различного принципа действия.
В помещениях больших размеров со сложной конфигурацией, требующих применение большого количества извещателей для защиты всего объема, допускается блокировать только локальные зоны (тамбуры между дверьми, коридоры, подходы к ценностям и другие уязвимые места)
Третьим рубежом охранной сигнализации в помещениях блокируются отдельные предметы, сейфы, металлические шкафы, в которых сосредоточены ценности.
Устанавливаемые в зданиях технические средства охраны должны вписываться в интерьер помещения и по возможности устанавливаться скрыто или маскироваться.
В разных рубежах необходимо применять охранные извещатели, работающие на различных физических принципах действия.
Основные типы извещателей, обеспечивающие защиту помещений объекта и его конструкций от предполагаемого (возможного) способа криминального воздействия, приведены в приложении №11.
Количество шлейфов охранной сигнализации должно определяться тактикой охраны, размерами зданий, строений, сооружений, этажностью, количеством уязвимых мест, а также точностью локализации места проникновения для оперативного реагирования на сигналы тревоги.
Периметр охраняемого здания, как правило, следует разделять на охраняемые зоны (фасад, тыл, боковые стороны здания, центральный вход и другие участки) с выделением их в самостоятельные шлейфы сигнализации и выдачей раздельных сигналов на ППК или внутренний пульт охраны объекта.
Для усиления охраны и повышения ее надежности на объектах следует устанавливать дополнительные извещатели - ловушки. Сигналы ловушек выводятся по самостоятельным или, при отсутствии технической возможности, по имеющимся шлейфам охранной сигнализации.
Каждое помещение подгрупп AI и AII должно оборудоваться самостоятельными шлейфами охранной сигнализации. Помещения подгрупп БI и БII, закрепленные за одним материально ответственным лицом, собственником или объединяемые по каким-либо другим признакам также должны оборудоваться самостоятельными шлейфами охранной сигнализации, причем, для удобства эксплуатации, одним шлейфом следует блокировать не более пяти соседних помещений, расположенных на одном этаже.
В помещениях, где круглосуточно должен находиться персонал, охранной сигнализацией должны оборудоваться отдельные участки периметра помещения, а также сейфы и металлические шкафы для хранения ценностей и документов.
3.) Защита персонала и посетителей объекта
Для оперативной передачи сообщений на ПЦО и/или в дежурную часть органов внутренних дел о противоправных действиях в отношении персонала или посетителей (например, разбойных нападениях, хулиганских действиях, угрозах) объект должен оборудоваться устройствами тревожной сигнализации (ТС): механическими кнопками, радиокнопками, радиобрелоками, педалями, оптико-электронными извещателями и другими устройствами.
Система тревожной сигнализации организуется "без права отключения".
Устройства ТС на объекте должны устанавливаться:
в хранилищах, кладовых, сейфовых комнатах;
в помещениях хранения оружия и боеприпасов;
на рабочих местах кассиров;
на рабочих местах персонала, производящего операции с наркотическими средствами и психотропными веществами;
в кабинетах руководства организации и главного бухгалтера;
у центрального входа и запасных выходах в здание;
на постах и в помещениях охраны, расположенных в здании, строении, сооружении и на охраняемой территории;
в коридорах, у дверей и проемов, через которые производится перемещение ценностей;
на охраняемой территории у центрального входа (въезда) и запасных выходах (выездах);
в других местах по требованию руководителя (собственника) объекта или по рекомендации сотрудника вневедомственной охраны.
Ручные и ножные устройства ТС должны размещаться в местах, по возможности незаметных для посетителей. Руководители, ответственные лица, собственники объекта совместно с представителем подразделения вневедомственной охраны определяют места скрытой установки кнопок или педалей тревожной сигнализации на рабочих местах сотрудников.
Руководство объекта, сотрудников службы безопасности и охраны следует оснащать мобильными устройствами ТС, работающими по радиоканалу (радиокнопками или радиобрелоками).
Места хранения денежных средств, драгоценных металлов, камней и изделий из них (столы операционно-кассовых работников, металлические шкафы или сейфы, кассовые аппараты, витрины, лотки, торговые прилавки), кроме того, должны быть оборудованы специальными техническими средствами (ловушками), формирующими сигналы тревоги без участия персонала при попытках нарушителя завладеть ценностями. Указанные технические средства должны включаться в шлейфы тревожной сигнализации объекта.
4.) Организация передачи информации о срабатывании сигнализации
Передача извещений о срабатывании охранной сигнализации с объекта на ПЦО может осуществляться с ППК малой емкости, внутреннего пульта охраны или устройств оконечных СПИ.
Количество рубежей охранной сигнализации, выводимых на ПЦО отдельными номерами, определяется совместным решением руководства объекта и подразделения вневедомственной охраны исходя из категории объекта, анализа риска и потенциальных угроз объекту, возможностей интеграции и документирования ППК (внутренним пультом охраны или устройством оконечным) поступающей информации, а также порядком организации дежурства персонала охраны на объекте.
Минимально необходимое количество рубежей охранной сигнализации, выводимых на ПЦО со всего охраняемого объекта должно быть, для подгруппы.
БI - один объединенный рубеж (первый - периметр);
AI, БII - два объединенных рубежа (первый - периметр и второй - объем).
Кроме того, при наличии на объекте специальных помещений (подгруппа АII, сейфовые, оружейные комнаты и другие помещения, требующие повышенных мер защиты) выводу на ПЦО подлежат также и рубежи охранной сигнализации этих помещений.
При наличии на объекте пульта внутреннего охраны с круглосуточным дежурством собственной службы безопасности или частного охранного предприятия, на ПЦО выводятся:
один общий сигнал, объединяющий все рубежи охранной сигнализации объекта за исключением рубежей специальных помещений объекта;
рубежи охранной сигнализации (периметр и объем) специальных помещений.
При этом должна быть обеспечена регистрация всей поступающей информации каждого рубежа охраны помещений на внутреннем пульте охраны.
При наличии на объекте пульта внутреннего охраны с круглосуточным дежурством сотрудников вневедомственной охраны (Микро-ПЦО), все рубежи охранной сигнализации всех помещений объекта (включая и специальные помещения) подключаются на пульт внутренней охраны, обеспечивающий автоматическую регистрацию всей поступающей информации, а с него выводится один общий сигнал на ПЦО.
На объектах, где охраняются только специальные помещения, выводу на ПЦО подлежат все рубежи охранной сигнализации этих помещений.
При охране только отдельных устройств (банкоматы, игровые автоматы, распределительные шкафы и другие аналогичные устройства) на ПЦО выводится один рубеж охранной сигнализации (блокировка на "разрушение" и "вскрытие").
Рубежи охранной сигнализации должны выводиться на ПЦО с пульта внутренней охраны, ППК или устройства оконечного, обеспечивающих запоминание тревожного состояния и его фиксацию на выносном световом (звуковом) оповещателе или индикаторе.
Для объектов жилого сектора допускается применение устройств оконечных и блоков объектовых без соответствующего запоминания тревожного состояния и его фиксации.
Извещения от шлейфов тревожной сигнализации одним объединенным сигналом выводятся на ПЦО и/или в дежурную часть органов внутренних дел непосредственно или через ППК, оконечное устройство СПИ, пульт внутренней охраны.
Извещения охранной и тревожной сигнализации могут передаваться на ПЦО по специально прокладываемым линиям связи, свободным или переключаемым на период охраны телефонным линиям, радиоканалу, занятым телефонным линиям с помощью аппаратуры уплотнения или информаторных СПИ посредством коммутируемого телефонного соединения (метод "автодозвона") с обязательным контролем канала между охраняемым объектом и ПЦО.
С охраняемых объектов "автодозвон" должен осуществляться по двум и более телефонным номерам.
Для исключения доступа посторонних лиц к извещателям, ППК, разветвительным коробкам, другой установленной на объекте аппаратуры охраны должны приниматься меры по их маскировке и скрытой установке. Крышки клеммных колодок данных устройств должны быть опломбированы (опечатаны) электромонтером ОПС или инженерно-техническим работником подразделения вневедомственной охраны с указанием фамилии и даты в технической документации объекта.
Распределительные шкафы, предназначенные для кроссировки шлейфов сигнализации, должны закрываться на замок, быть опломбированы и иметь блокировочные (антисаботажные) кнопки, подключенные на отдельные номера пульта внутренней охраны "без права отключения", а при отсутствии пульта внутренней охраны - на ПЦО в составе тревожной сигнализации.
При разработке проекта пожарной сигнализации необходимо учитывать требования НПБ 88-2001 – «Нормы и правила проектирования установок пожаротушения и сигнализации».
Здание ЗАО «ЧОП «ОСА»»» относится к административным сооружениям, поэтому его помещения при применении автоматической пожарной сигнализации, следует оборудовать дымовыми пожарными извещателями.
Дымовой пожарный извещатель– пожарный извещатель, реагирующий на частицы твердых или жидких продуктов горения и (или) пиролиза в атмосфере [3].
В каждом защищаемом помещении следует устанавливать не менее двух пожарных извещателей, так как высота помещений объекта не превышает 3,5 м, максимальное расстояние между извещателями составляет не более 9 м, расстояние от датчика до стены не более 4,5 м.
Дымовые пожарные извещатели рекомендуется применять для оперативного, локального оповещения и определения места пожара в помещениях, в которых одновременно выполняются следующие условия:
основным фактором возникновения очага загорания в начальной стадии является появление дыма;
в защищаемых помещениях возможно присутствие людей.
Такие извещатели должны включаться в единую систему пожарной сигнализации с выводом тревожных извещений на прибор приемно-контрольный пожарный, расположенный в помещении дежурного персонала.Прибор приемно-контрольный пожарный – это устройство, предназначенное для приема сигналов от пожарных извещателей, обеспечения электропитанием активных пожарных извещателей, выдачи информации на световые, звуковые оповещатели и пульты централизованного наблюдения, а также формирования стартового импульса запуска прибора пожарного управления.
Ручной пожарный извещатель– устройство, предназначенное для ручного включения сигнала пожарной тревоги в системах пожарной сигнализации и пожаротушения [4].
Ручные пожарные извещатели следует устанавливать на стенах и конструкциях на высоте 1,5 м от уровня земли или пола в коридорах, холлах, вестибюлях, на лестничных площадках, у выходов из здания.
Но эффективная система пожарной сигнализации должна обязательно включать в себя систему оповещения людей о пожаре.
Система оповещения и управления эвакуацией (СОУЭ) – комплекс организационных мероприятий и технических средств, предназначенный для своевременного сообщения людям информации о возникновении пожара и (или) необходимости и путях эвакуации. СОУЭ должна функционировать в течение времени, необходимого для завершения эвакуации людей из здания.
Здание рассматриваемого объекта относится ко второму типу СОУЭ, следовательно, оно должно оборудоваться световыми оповещателями «Выход» и звуковыми оповещателями (сиреной или тонированным сигналом).
Для обеспечения четкой слышимости звуковые сигналы СОУЭ должны обеспечивать уровень звука не менее чем на 15 дБ выше допустимого уровня звука постоянного шума в защищаемом помещении.
На внешней стене здания перед входом следует расположить комбинированный, светозвуковой оповещатель.
1.3.3 Требования нормативно-методических документов по защите информации на объект
Основным законом Российской Федерации является Конституция, принятая 12 декабря 1993 года.
Статья 23 Конституции гарантирует право на личную и семейную тайну, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений
Статья 29 - право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Современная интерпретация этих положений включает обеспечение конфиденциальности данных, в том числе в процессе их передачи по компьютерным сетям, а также доступ к средствам защиты информации.
В Гражданском кодексе Российской Федерации фигурируют такие понятия, как банковская, коммерческая и служебная тайна.
Статье 139, информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности. Это подразумевает, как минимум, компетентность в вопросах ИБ и наличие доступных (и законных) средств обеспечения конфиденциальности.
Современный в плане информационной безопасности является Уголовный кодекс Российской Федерации (редакция от 14 марта 2002 года).
Глава 28 - "Преступления в сфере компьютерной информации" - содержит три статьи:
статья 272. Неправомерный доступ к компьютерной информации. (имеет дело с посягательствами на конфиденциальность)
статья 273. Создание, использование и распространение вредоносных программ для ЭВМ. (имеет дело с вредоносным ПО)
статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. (имеет дело с нарушениями доступности и целостности, повлекшими за собой уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ)
Включение в сферу действия УК РФ вопросов доступности информационных сервисов представляется нам очень своевременным.
Статья 138 УК РФ, защищая конфиденциальность персональных данных, предусматривает наказание за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Аналогичную роль для банковской и коммерческой тайны играет статья 183 УК РФ.
Интересы государства в плане обеспечения конфиденциальности информации нашли наиболее полное выражение в Законе "О государственной тайне" (с изменениями и дополнениями от 6 октября 1997 года). В нем гостайна определена как защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Там же дается определение средств защиты информации. Согласно данному Закону, это технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну; средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Подчеркнем важность последней части определения.
Основополагающим среди российских законов, посвященных вопросам информационной безопасности, следует считать закон "Об информации, информатизации и защите информации" от 27 июля 2006 года номер 149-ФЗ (принят Государственной Думой 8 июля 2006 года, одобрен советом федерации 14 июля 2006 года). В нем даются основные определения и намечаются направления развития законодательства в данной области.
Некоторые из этих определений:
информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
информационная система - организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы;
информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
пользователь (потребитель) информации - субъект, обращающийся к информационной системе или посреднику за получением необходимой ему информации и пользующийся ею.
Закон выделяет следующие цели защиты информации:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
ГЛАВА 2. РАЗРАБОТКАПРОЕКТА КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ОБЪЕКТА ЗАЩИТЫ
2.1 Технические каналы утечки информации
2.1.1 Классификация технических каналов утечки
Прежде всего, при разработке комплексной системы защиты информации следует определить каналы утечки информации.
Под каналом утечки информации понимают канал коммуникации, позволяющий процессу передавать информацию путем, нарушающим безопасность системы. По физической природе носителя различают следующие каналы утечки информации:
- оптический;
- радиоэлектронный;
- акустический;
- материально-вещественный.
Оптические каналы — это, как правило, непосредственное или удаленное (в том числе и телевизионное) наблюдение. Переносчиком информации выступает свет, испускаемый источником конфиденциальной информации или отраженный от него в видимом, инфракрасном и ультрафиолетовом диапазонах.
Классификация визуально-оптических каналов утечки информации:
1) По природе образования
За счёт отражения сетевой энергии
За счёт собственного излучения объектов
2) По диапозону излучения
Видимая область
ИК-область
УФ область
3) По среде расспостранения
Свободное пространство
Направляющие линии
В радиоэлектронном канале утечки информации в качестве носителей используются электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток (поток электронов), распространяющийся по металлическим проводам.
Классификация радиоэлектронных каналов утечки информации:
1) По природе образования
Акустопреобразовательные
Электромагнитные излучения
Паразитные связи и наводки
2) По диапазону излучения
Сверхдлинные волны
Длинные волны
Среднии волны
Короткие волны
УКВ
3) По среде расспостранения
Безвоздушное пространство
Воздушное пространство
Земная среда
Водная среда
Направляющие системы
В акустическом канале носителями информации являются механические упругие акустические волны в инфразвуковом (менее 16 Гц), звуковом (16 Гц-20 Гц) и ультразвуковом (свыше 20 Гц) диапазонах частот, распространяющиеся в атмосфере, воде и твердой среде.
Когда в воздухе распространяется акустическая волна, частицы воздуха приобретают колебательные движения, передавая колебательную энергию друг другу. Если на пути звука нет препятствия, он распространяется равномерно во все стороны. Если же на пути звуковой волны возникают какие-либо препятствия в виде перегородок, стен, окон, дверей, потолков и т. п., звуковые волны оказывают на них соответствующее давление, приводя их также в колебательный режим. Эти воздействия звуковых волн и являются одной из основных причин образования акустического канала утечки информации.
Различают определенные особенности распространения звуковых волн в зависимости от среды. Это прямое распространение звука в воздушном пространстве, распространение звука в жестких средах (структурный звук). Кроме того, воздействие звукового давления на элементы конструкции зданий и помещений вызывает их вибрацию.
В свободном воздушном пространстве акустические каналы образуются в помещениях при ведении переговоров в случае открытых дверей, окон, форточек. Кроме того, такие каналы образуются системой воздушной вентиляции помещений. В этом случае образование каналов существенно зависит от геометрических размеров и формы воздуховодов, акустических характеристик фасонных элементов задвижек, воздухораспределителей и подобных элементов.
Под структурным звуком понимают механические колебания в твердых средах. Механические колебания стен, перекрытий или трубопроводов, возникающие в одном месте, передаются на значительные расстояния, почти не затухая. Опасность такого канала утечки состоит в неконтролируемой дальности распространения звука.
Преобразовательный, а точнее, акусто-преобразовательный канал — это изменение тех или иных сигналов электронных схем под воздействием акустических полей. На практике такое явление принято называть микрофонным эффектом.
В материально-вещественном канале утечка информации производится путем несанкционированного распространения за пределы организации вещественных носителей с защищаемой информации, прежде всего, выбрасываемых черновиков документов и использование копировальной бумаги, забракованных деталей и узлов, демаскирующих веществ.
Классификация материально-вещественных каналов утечки информации
1) По физическому состоянию
Твердые массы
Жидкости
Газообразные вещества
2) По физической природе
Химические
Биологические
Радиоактивные
3) По среде расспостранения
В земле
В воде
В воздухе
Очевидно, что каждый источник конфиденциальной информации может обладать в той или иной степени какой-то совокупностью каналов утечки информации.
2.1.2 Технические каналы утечки информации обрабатываемой на объекте защиты
В основе утечки лежит неконтролируемый перенос конфиденциальной информации посредством акустических, световых, электромагнитных, радиационных и других полей и материальных объектов.
Причины утечки связаны, как правило, с несовершенством норм по сохранению информации, а также нарушением этих норм (в том числе и несовершенных), отступлением от правил обращения с соответствующими документами, техническими средствами, образцами продукции и другими материалами, содержащими конфиденциальную информацию.
Условия включают различные факторы и обстоятельства, которые складываются в процессе научной, производственной, рекламной, издательской, отчетной, информационной и иной деятельности предприятия (организации) и создают предпосылки для утечки информации. К таким факторам и обстоятельствам могут, например, относиться:
- недостаточное знание работниками предприятия правил защиты информации и непонимание (или недопонимание) необходимости их тщательного соблюдения;
- использование неаттестованных технических средств обработки конфиденциальной информации;
- слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;
- текучесть кадров, в том числе владеющих сведениями конфиденциального характера.
Таким образом, большая часть причин и условий, создающих предпосылки и возможность утечки конфиденциальной информации, возникает из-за недоработок руководителей предприятий и их сотрудников.
Кроме того, утечке информации способствуют:
- стихийные бедствия (шторм, ураган, смерч, землетрясение, наводнение);
- неблагоприятная внешняя среда (гроза, дождь, снег);
- катастрофы (пожар, взрывы);
- неисправности, отказы, аварии технических средств и оборудования.
Известно, что информация вообще передается полем или веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги с текстом. Но, ни переданная энергия, ни посланное вещество сами по себе никакого значения не имеют, они служат лишь носителями информации. Человек не рассматривается как носитель информации. Он выступает субъектом отношений или источником.
Изучив особенности расположения объекта и близлежащих зданий, можно представить возможные каналы утечки информации в виде таблицы 1.
Таблица 1
Классификация возможных каналов утечки информации
Каналы утечки информации с объекта защиты | |||
1 | 2 | 3 | 4 |
1 | Оптический канал | Окно помещения | Выделенное помещение |
2 | Радиоэлектронный канал | ПЭВМ | ОТСС |
СИРД | |||
Телефон ГАТС | ВТСС | ||
Телефон ВАТС | |||
Система ОПС | |||
Система энергоснабжения и розетки | Выделенное помещение | ||
3 | Акустический канал | Теплопровод подземный | |
Водопровод подземный | |||
Стены помещения | |||
Система центрального отопления | |||
Вентиляция | |||
4 | Материально-вещественный канал | Документы на бумажных носителях | |
Персонал предприятия |
Для исключения угроз утечки информации по техническим каналам следует внедрить систему комплексной защиты информации на ООО ЧОП «ОСА».
2.2 Вероятная модель злоумышленника
Фирмы, предоставляющие другим организациям услуги охраны собственности, берут на себя огромную ответственность. А именно частное охранное предприятие берет на себя материальную ответственность перед теми фирмами, которые являются его клиентами. Утечка информации из частного охранного предприятия может нанести серьезный урон не только ему, но и клиентам.
Потенциальными злоумышленниками могут быть и конкуренты, и недобросовестные клиенты, и сотрудники фирмы.
Если угроза будет исходить от лиц, не работающих в данной организации, то возможность проникновения в выделенное помещение исключается, во-первых, на первом этаже расположен пост охраны, во-вторых, в приемной перед кабинетом директора находится приемная, в которой постоянно находится секретарь. К тому же проникновение в выделенное помещение будет контролироваться средствами охраны.
Нередко для достижения своих целей заинтересованные лица прибегают к помощи сотрудников, работающих на предприятии, ведь они знают систему организации изнутри. Для этого злоумышленники чаще всего используют подкуп и убеждение, известны так же случаи запугивания сотрудников.
Для исключения возможности несанкционированного доступа к данным сотрудниками организации на двери выделенного помещения установлен электронный считыватель.
Модель проникновения вероятного злоумышленника в выделенное помещение представлена в приложении 4.
Таким образом, при построении системы защиты следует учитывать, что основную часть нарушителей (около 70 %) будут составлять сотрудники фирмы, но необходимо также исключить проникновение посторонних лиц в контролируемую зону.
2.3 Разработка проекта комплексной системы защиты информации частного охранного предприятия ООО «ОСА»
Комплексная система защиты информации включает в себя следующие основные элементы:
правовую защиту информации;
организационную защиту информации;
инженерно-техническую защиту информации;
программно-аппаратную защиту информации;
криптографическую защиту информации.
Разработка комплексной системы защиты информации подразумевает тщательную отработку каждого элемента.
Правовые меры защиты информации обладают рядом признаков, которые отличают их от прочих видов защиты данных. С одной стороны, юридические меры выполняют охранительную функцию. Они формируют отношение субъектов оборота информации к нормам и правилам Закона. С другой стороны – компенсационная функция: в случае нанесения вреда законному владельцу информации Закон привлекает нарушителя к ответственности и обязывает его возместить причиненный ущерб.
К правовой защите информации на объекте относится:
Установленный перечень сведений, составляющих конфиденциальную информацию;
Инструкции по работе с документами, содержащими конфиденциальную информацию;
Трудовые договора с каждым сотрудником, в которых отдельным пунктом прописаны условия работы с конфиденциальной информацией и ответственность за ее разглашение.
Также с сотрудниками, непосредственно работающими с конфиденциальной информацией, заключается типовой договор, в котором оговорены все аспекты и особенности работы с конфиденциальной информацией.
Организационный элемент системы защиту информации содержит меры управленческого, ограничительного (режимного) и технологического характера. Данные меры должны побуждать персонал соблюдать правила защиты информации на объекте. Эти меры определяют:
Ведение всех видов аналитических работ;
Формирование и организацию деятельности службы безопасности, службы конфиденциальной информации, обеспечение деятельности этих служб нормативно-методической документацией;
Организацию, составление и регулярное обновление состава защищаемой банком информации. Составление и ведение перечня защищаемых бумажных и электронных документов;
Формирование разрешительной системы разграничения доступа персонала к конфиденциальной информации;
Методы отбора персонала для работы с конфиденциальной документацией, методику обучения и инструктирования работников;
Контроль соблюдения работниками порядка защиты информации;
Технологию защиты, обработки и хранения бумажных и электронных документов;
Регламентацию не машинной технологии защиты электронных документов;
Порядок защиты ценной информации от случайных или умышленных несанкционированных действий персонала;
Порядок защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе и представителями СМИ;
Оборудование и аттестацию помещений и рабочих зон, выделенных для работы с конфиденциальной информацией;
Регламентацию пропускного режима на территории, в здании, помещениях, идентификации транспорта и персонала фирмы;
Организацию системы охраны территории;
Регламентацию действий персонала в экстренных ситуациях;
Регламентацию работы по управлению системой защиты информации.
Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы защиты. Меры по организационной защите информации составляют 50-60 % в структуре большинства систем защиты информации.
Автоматизированная система объекта относится к классу защищенности 1Г. Для обеспечения программно-аппаратной защиты в банке используется система «SecretNet».
Основные возможности комплекса «SecretNet»:
Поддержка автоматической смены пароля пользователя по истечении заданного интервала времени;
Разграничение доступа пользователей к ресурсам компьютера с помощью механизмов дискретного и мандатного управления доступом;
Создание для любого пользователя ограниченной замкнутой среды программного обеспечения (списка разрешенных для запуска программ;
Управление временем работы всех пользователей;
Регистрация действий пользователя в системном журнале;
Защита компьютера от проникновения и размножения вредоносных программ;
Контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;
Централизованный мониторинг состояния безопасности информационной системы и управления защитными механизмами;
Криптографическая защита данных.
К программно-аппаратным средствам защиты информации относится защита ПЭВМ и СИРД от ПЭМИН.
Побочные электромагнитные излучения и наводки (ПЭМИН) — это паразитные электромагнитные излучения радиодиапазона, создаваемые в окружающем пространстве устройствами, специальным образом для этого не предназначенными.
В выделенном помещении для исключения ПЭМИН используется генератор шума ГШ-К-1000М. Он предназначен для защиты информации от утечки, обусловленной побочными электромагнитными излучениями и наводками ПЭВМ и других средств обработки информации. Генератор является бескорпусным и устанавливается в PCI слот системного блока ПЭВМ. Генератор имеет внешнюю гибкую рамочную антенну диаметром 50 см. Изделие имеет индикацию работоспособности, в случае неисправности подается звуковой сигнал.
Для защиты СИРД используется ГШ-1000М. В отличие от модели представленной выше он имеет корпус и устанавливается непосредственно рядом с СИРД. Его рабочий диапазон такой же, как и у ГШ-К-1000М и составляет 0,1-1000 МГц. Оба прибора имеют сертификаты ФСТЭК.
Инженерно-техническая защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности организации или учреждения.
Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:
- сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
- средства защиты помещений от визуальных способов технической разведки;
- средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);
- средства противопожарной охраны;
- технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг.
Исходя из перечисленных ранее возможных каналов утечки информации, необходимо смоделировать способы ее защиты.
Таблица 2
Модель защиты информации от утечки по техническим каналам с объекта защиты
№ п\п | Место установки | Тип устройства защиты информации | Способ применения | Технический канал закрытия утечки информации |
1. | Окно помещения | Установка на окна защитной пленки | Постоянно | Оптический |
2. | Розетки 220 В в выделенном помещении | Фильтр сетевой помехоподавляющий ФСП-1Ф-7А | Постоянно | Радиоэлектронный |
3. | ПЭВМ | Генератор шума ГШ-К-1000М | Постоянно | Радиоэлектронный |
4. | СИРД | Генератор шума ГШ-1000М | Постоянно | Радиоэлектронный |
5. | Линии системы энергоснабжения | Генератор шума SEL SP 41 | Постоянно | Радиоэлектронный |
6. | Рядом с телефоном | Многофункциональный модуль защиты телефоной линии"SEL SP-17/D" | Постоянно | Радиоэлектронный |
7. | Системы центрального отопления, стены, подземные водопроводы и теплопроводы | Виброакустический генераторСоната АВ 1М | Постоянно | Акустический |
Так как окна выделенного помещения выходят на стоянку автомобилей, поэтому для исключения утечки информации по оптическому каналу, на окна устанавливается защитная пленка, которая не только исключает возможность просмотра происходящего в помещений через окна, но и поглощает ИК-излучение и является бронированной.
Защита информации от утечки по радиоэлектронному каналу — это комплекс мероприятий, исключающих или ослабляющих возможность неконтролируемого выхода конфиденциальной информации за пределы контролируемой зоны за счет электромагнитных полей побочного характера и наводок.
Для линий системы энергоснабжения устанавливается сетевой фильтр помехоподавляющий ФСП-1Ф-7А.
Защита сети 220 осуществляется устройством защиты цепей электросети и заземления SEL SP-41. Оно представляет собой генератор регулируемого шума по электросети и является техническим средством активной защиты от утечки информации по сети электропитания и подавления устройств несанкционированного съёма информации, использующих электросеть в качестве канала передачи. SEL SP-41 имеет сертификат соответствия ФСТЭК № 1445.
Для защиты телефонных линий от абонента до городской телефонной станции (ГТС) или от мини-АТС до ГТС используется многофункциональный модуль защиты телефонных линий SEL SP-17/D.При этом обеспечивается: снижение эффективности (вплоть до полного подавления) гальванически подключенных устройств несанкционированного съёма информации любого типа, средств магнитной записи и параллельных телефонных аппаратов, защита от прослушивания помещений через телефонный аппарат при положенной трубке за счёт использования микрофонного эффекта и высокочастотного (ВЧ) навязывания, а также контроль состояния защищаемой телефонной линии. SEL SP-17/D имеет сертификат соответствия ФСТЭК № 1082.
Защита информации от утечки по акустическому каналу — это комплекс мероприятий, исключающих или уменьшающих возможность выхода конфиденциальной информации за пределы контролируемой зоны за счет акустических полей.
В данной курсовой работе для защиты информации от утечки по акустическому и виброакустическому каналам используется система защиты помещений по виброакустическому каналу Соната АВ 1М.
Система имеет сертификат соответствия ФСТЭК № 1082.
Таким образом, применение данных средств защиты обеспечит достаточно надежную защиту информации в выделенном помещении по выявленным нами каналам утечки информации.
Так же возникает необходимость оборудования помещений ООО ЧОП «ОСА» системой пожарной сигнализации.
Система охранно-пожарной сигнализации представляет собой сложный комплекс технических средств, служащих для своевременного обнаружения возгорания и несанкционированного проникновения в охраняемую зону. Как правило, охранно-пожарная сигнализация интегрируется в комплекс, объединяющий системы безопасности и инженерные системы здания, обеспечивая информацией системы оповещения, пожаротушения, контроля доступа. Планы охранно-пожарной сигнализации этажей объекта защиты и выделенного помещения представлены в приложении 5,6 и 7 соответственно.
Таблица 3
Номенклатура средств системы охранной и пожарной сигнализации
№ п.п | Наименование | Схемное обозначение | |
I. Система охранной сигнализации | |||
1. | Извещатель оптико-электронный объёмный (7 шт.) | ||
2. | Извещатель акустический (6 шт.) | ||
3. | Извещатель магнитоконтактный ( 7 шт.) | ||
4. | Пульт управления программируемый (2 шт.) | ||
5. | Модуль защиты телефоной линии"SEL SP-17/D" (1 шт.) | ||
6. | Генератор шума ГШ-К-1000М (1 шт.) | ||
7. | Генератор шума ГШ-1000М (1 шт.) | ||
8. | Генератор шума SEL SP 44 (1 шт.) | ||
9. | Виброакустический генератор Соната АВ 1М (1 шт.) | ||
10. | Фильтр питания «ФСП-1Ф-7А» (2 шт.) | ||
11. | Пленка бронированная, (9 шт.) | ||
II. Система пожарной сигнализации | |||
1. | Извещатель пожарный дымовой ( 20 шт.) | ||
2. | Оповещатель световой (2 шт.) | ||
3. | Оповещатель речевой, звуковой (2 шт.) | ||
III. Система допуска сотрудников | |||
1. | Считыватель (2 шт.) |
Разработанная система не только обеспечит надежную защиту информации от утечки по техническим каналам, но и позволит предупредить владельца информации о возникновении возгорания, в местах хранения материальных носителей, оповестит сотрудников о пожаре, и определит попытку несанкционированного доступа к носителям информации.
Но эта система будет неполной без интегрирования с ней системы видеонаблюдения, которая обеспечит визуальный просмотр времени и попыток несанкционированного доступа к информации и обеспечит идентификацию личности нарушителя.
2.4 Разработка системы видеонаблюдения объекта защиты
Целевыми задачами видеоконтроля объекта защиты является:
1) обнаружение:
- общее наблюдение за обстановкой;
- верификация тревоги от системы охранной сигнализации;
- обнаружение всех перемещающихся в определенном направлении;
2) различение:
- контроль наличия посторонних;
- наблюдение за работой сотрудников;
- контроль за подходом посторонних лиц к запретной зоне или чужому имуществу;
3) идентификация:
- получение четкого изображения лица любого человека, который подходит к зоне (или находится в ней), позволяющего впоследствии узнать ранее незнакомого человека;
- идентификация записанного изображения с хранящимся в базе данных;
- определение номера автомобиля.
В системах видеонаблюдения объекта защиты используются следующие
виды наблюдения:
1) открытое демонстративное:
видеокамеры привлекают внимание, хорошо видны места их расположения, ориентация, направление и скорость сканирования. Используют, как правило, для отпугивания потенциальных преступников. С этой целью часто устанавливают дополнительные видеомониторы непосредственно в охраняемой зоне;
2) открытое малозаметное: видеокамера устанавливают в декоративных кожухах, которые не нарушают интерьер и отвечают требованиям эстетики. Используют, как правило, для того чтобы не отвлекать внимание сотрудников и посетителей, а также не привлекать внимание нарушителя;
3) скрытое: видеокамера не видны, для чего обычно применяют миниатюрные телевизионные камеры и объективы «pin-hole». Используют, как правило, для получения конфиденциальной информации или защиты от несанкционированных воздействий.
Системы видеонаблюдения должны обеспечивать устойчивость к несанкционированным воздействиям:
1) силовые воздействия;
2) электромагнитные воздействия;
3) управляющие воздействия с применением специальных устройств;
4) воздействия на программное обеспечение;
5) воздействия на архивы.
Устройства управления и коммутации должны обеспечивать приоритетнее автоматическое отображение на экране мониторов зон, откуда поступило извещение о тревоге.
Электроснабжение технических средств системы охранного телевидения от сети переменного тока должно осуществляется от отдельной группы электрощита.
Конструктивно системы охранного телевидения должны строиться по модульному принципу и обеспечивать:
- взаимозаменяемость сменных однотипных технических средств;
- удобство технического обслуживания и эксплуатации, а также ремонтопригодность
- исключение несанкционированного доступа к элементам управления;
- санкционированный доступ ко всем элементам, узлам и блокам, требующим регулирования, обслуживания или замены в процессе эксплуатации.
К рабочему месту оператора системы видеонаблюдения предъявляются следующие требования:
1) достаточность рабочего пространства для выполнения оператором своих функций;
2) значения факторов рабочей среды (освещенность, шум, вибрации);
3) количество видеомониторов на одного оператора.
Так как объект защиты входит в подгруппу БII, то по требованиям РД 78.36.003-2002 характеристики аппаратуры системы видеонаблюдения должны удовлетворять следующим параметрам (табл. 4).
Таблица
4
Требования к характеристикам аппаратуры системы видеонаблюдения объекта защиты
Характеристика | Значение параметра |
Телевизионные камеры | |
Разрешение, ТЛВ, не менее | 450 |
Чувствительность лк, не хуже | 0,5 |
Отношение сигнал/шум, дБ | 50 |
Глубина АРУ, дБ | 26 |
Наличие синхронизации | Внешняя |
Видеонакопители | |
Разрешение, ТЛВ, не менее: | |
Цветное изображение | 400 |
чёрно-белое изображение | 400 |
Отношение сигнал/шум, дБ | 47 |
Тип видеонакопителя | S-VHS или цифровой |
Устройства управления и коммутации | |
Разрешение, ТЛВ, не менее: | 450 |
Количество видеовходов | больше или равно количеству ТК |
Количество видеовыходов | не менее 2 |
Количество входов тревоги | больше или равно количеству ТК |
Количество выходов тревоги | не менее 1 |
Мониторы | |
Разрешение, ТЛВ, не менее: | |
полноэкранное изображение ч/б (цветное) | 600 (300) |
полиэкранное изображение ч/б (цветное) | 800(400) |
Размер экрана по диагонали, дюйм, не менее: | |
полноэкранное изображение | 15 |
полиэкранное изображение | 20 |
Максимальная яркость экрана видеомонитора, кд/м2 , не менее | 70 |
Характеристика | Значение параметра |
Максимальная дальность передачи видеосигнала по коаксиальному кабелю в метрах | |
РК-75-4 | 50 |
РК-75-6 | 100 |
РК-75-9 | 200 |
Введение в эксплуатацию системы защиты информации подразумевает выполнение мероприятий по защите информации, предусмотренных техническим проектом. К работам по монтажу технических средств обработки информации, вспомогательных технических средств, а также проведения технических мероприятий по защите информации должны привлекаться организации, имеющие лицензию ФСТЭК РФ.
Монтажной организацией или заказчиком проводятся закупка сертифицированных ТСОИ и специальная проверка не сертифицированных ТСОИ на предмет обнаружения возможно внедренных в них электронных устройств перехвата информации (“закладок”) и их специальные исследования.
По результатам специальных исследований ТСОИ уточняются мероприятия по защите информации. В случае необходимости вносятся соответствующие изменения в технический проект, которые согласовываются с проектной организацией и заказчиком.
Проводятся закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка в соответствии с техническим проектом.
Службой (специалистом) безопасности организуется контроль проведения всех мероприятий по защите информации, предусмотренных техническим проектом.
В период установки и монтажа ТСОИ и средств защиты информации особое внимание должно уделяться обеспечению режима и охране защищаемого объекта.
К некоторым мероприятиям по организации контроля в этот период можно отнести:
-перед монтажом необходимо обеспечить скрытную проверку всех монтируемых конструкций, особенно установочного оборудования, на наличие разного рода меток и отличий их друг от друга, а также закладных устройств;
-необходимо организовать периодический осмотр зон выделенных помещений в вечернее или в нерабочее время при отсутствии в нем строителей в целях выявления подозрительных участков и мест;
-организовать контроль за ходом всех видов строительных работ на территории и в здании. Основная функция контроля заключается в подтверждении правильности технологии строительно-монтажных работ и соответствия их техническому проекту;
-организовать осмотр мест и участков конструкций, которые по технологии подлежат закрытию другими конструкциями. Такой контроль может быть организован легально под легендой необходимости проверки качества монтажа и материалов или скрытно;
-необходимо тщательно проверять соответствие монтажных схем и количество прокладываемых проводов техническому проекту. Особое внимание необходимо уделять этапу ввода проводных коммуникаций и кабелей в зону выделенных помещений. Все прокладываемые резервные провода и кабели необходимо нанести на план-схему с указанием мест их начала и окончания.
Перед установкой в выделенные помещения и на объекты информатизации мебели и предметов интерьера технические устройства и средства оргтехники должны проверяться на отсутствие закладных устройств. Одновременно целесообразно провести проверку технических средств на уровни побочных электромагнитных излучений. Такую проверку целесообразно проводить в специально оборудованном помещении или на промежуточном складе.
После установки и монтажа технических средств защиты информации проводится их опытная эксплуатация в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации.
По результатам опытной эксплуатации проводятся приемо-сдаточные испытания средств защиты информации с оформлением соответствующего акта.
По завершении ввода в эксплуатацию СЗИ проводится аттестация объектов информатизации и выделенных помещений по требованиям безопасности. Она является процедурой официального подтверждения эффективности комплекса реализованных на объекте мер и средств защиты информации.
При необходимости по решению руководителя организации могут быть проведены работы по поиску электронных устройств съема информации (“закладных устройств”), возможно внедренных в выделенные помещения, осуществляемые организациями, имеющими соответствующие лицензии ФСБ России.
В период эксплуатации периодически должны проводиться специальные обследования и проверки выделенных помещений и объектов информатизации. Специальные обследования должны проводиться под легендой для сотрудников организации или в их отсутствие (допускается присутствие ограниченного круга лиц из числа руководителей организации и сотрудников службы безопасности).
ГЛАВА 3. ОЦЕНКА ФИНАНСОВЫХ ЗАТРАТ НА УСТАНОВКУ И ЭКСПЛУАТАЦИЮ КОМПЛЕКСНОЙ СИСТЕМЫ БЕЗОПАСНОСТИ
Затраты на оборудование для комплексной защиты информации можно представить в виде таблицы 5.
Таблица 5
Затраты на оборудование для комплексной защиты информации
№ | наименование оборудования | кол-во шт. | цена руб | всего руб |
1 | Извещатель пассивный оптико-электронный объёмный Фотон-9 | 7 | 345 | 4550 |
2 | Извещатель акустический Стекло-3 | 6 | 375 | 3300 |
3 | Извещатель магнитоконтактный ИО 102-5 | 7 | 45 | 455 |
4 | Тревожная кнопка Астра-321 | 1 | 210 | 210 |
5 | Приемно-контрольный прибор Сигнал 20 | 2 | 3500 | 7000 |
6 | Модуль защиты телефоной линии"SEL SP-17/D" | 1 | 13100 | 13100 |
7 | Генератор шума ГШ-К-1000М | 1 | 5700 | 5700 |
8 | Генератор шума ГШ-1000М | 1 | 4900 | 4900 |
9 | Генератор шума SEL SP 44 | 1 | 14000 | 14000 |
10 | Виброакустический генератор Соната АВ 1М | 1 | 24000 | 24000 |
11 | Фильтр питания «ФСП-1Ф-7А» | 2 | 13500 | 27000 |
12 | Извещатель пожарный дымовой ИП-212-45 | 20 | 250 | 5000 |
13 | ИПР-3СУ | 2 | 200 | 400 |
14 | Оповещатель световой Молния | 2 | 300 | 600 |
15 | Оповещатель речевой, звуковой Флейта | 2 | 250 | 500 |
16 | Камера уличная AV3130M | 2 | 28000 | 56000 |
17 | Камера офисная PVCD-0121C | 3 | 5600 | 16800 |
18 | ПО ISS+ “Securos” | 1 | 25000 | 25000 |
19 | Плата видеозахвата TVISS 1-4 HL4 | 1 | 8000 | 8000 |
20 | Пленка бронированная | 9 | 1100 | 9900 |
21 | Электромагнитный замок | 2 | 780 | 1560 |
ИТОГО: | 227 975 |
Реализация любого проекта, связанного с защитой информации, требует определённых финансовых ресурсов. Для того, чтобы определить общую потребность в финансовых ресурсах (материальных, денежных, трудовых и др.), необходимо составить смету затрат на комплексную систему защиты объекта. В результате проведенных расчётов у собственника должна появиться возможность оценить в денежной форме затраты, связанные с обеспечением информационной безопасность объекта.
Расчёт затрат целесообразно разделить на два этапа:
- Затраты на разработку комплексной системы защиты объекта;
- Затраты на эксплуатацию данной системы.
В соответствии с вышеперечисленными этапами должны формироваться и расходы, т.е. отдельно должны быть выделены затраты, связанные с разработкой комплексной системы защиты объекта и эксплуатацией системы.
Для формирования структуры затрат необходимо использовать следующую группировку статей расходов:
- прямые материальные затраты;
- расходы на оплату труда;
- амортизационные отчисления;
- прочие расходы;
- накладные расходы.
Таким образом, затраты на проведение комплексной системы защиты объекта – С, составят:
С=З1
+ З2
, (1)
Где З1
– затраты на этапе проектирования системы информационной безопасности объекта:
З1
=ЗМ1
-ЗАМ1
+ЗОТ1
+ЗПР1
+ЗН1
, (2)
З2
– Суммарные ежегодные затраты на этапе эксплуатации системы. :
З2
=ЗМ2
-ЗАМ2
+ЗОТ2
+ЗПР2
+ЗН2
+Зк2
(3)
Где:
ЗМ
–
материальные расходы;
ЗАМ
– амортизация;
ЗОТ
– расходы на оплату труда;
ЗПР
–
прочие расходы;
ЗН
–
накладные расходы;
Зк –
косвенные расходы.
К прямым материальным затратам относится те затраты, которые непосредственно связаны с использованием товароматериальных ценностей на этапе проектирования комплексной системы защиты объекта. Как правило, на данном этапе необходимо учесть фактические целевые расходы на канцелярские принадлежности и расходные материалы, а также на потребляемую техническими средствами электроэнергию.
Затраты на потребляемую энергию техническими средствами равны:
Где:
ЗЭЛ
– затраты на потребляемую электроэнергию в сутки;
W
у
– установленная мощность, кВт;
Тд
– время работы оборудования, час;
S
ЭЛ
– тариф на электроэнергию, руб.
Подставив соответствующие значения в формулу (4) получим:
Издержки на канцелярские товары и расходные материалы
=
Расходы на оплату труда включают любые начисления работникам в денежной форме, стимулирующие начисления, надбавки, премии. При расчёте расходов на оплату труда в заработной плате работников выделяют основную и дополнительную части. Для определения основной заработной платы используются фиксированные оклады. При этом для определения затрат на оплату труда специалистов, занятых разработкой проекта, необходимо использовать данные о должностных окладах исполнителей. Дневная ставка исполнителя определяется по формуле:
Где:
ЗМЕС
– месячный оклад исполнителя (руб);
ФМЕС
– месячный фонд времени (дней).
Размер дополнительной заработной платы определяется на каждом предприятии коллективным договором и состоит, как правило, из повышающих коэффициентов, районных коэффициентов, доплат за профессиональное мастерство, ежемесячного премиального вознаграждения и вознаграждения по итогам работы за год, принятым в проектной организации в соответствии с Положением о премировании. Результаты расчётов затрат на оплату работы исполнителей сведены в таблицу 2.
Таблица 7
Результаты расчётов затрат на оплату работы исполнителей
Должность | Трудоём- кость, дней | Месячный оклад, руб. | ставка руб. | Повышающий коэф. | Доп. заработная плата руб. |
Начальник тех отела | 22 | 14 500 | 660 | 1 | 0 |
Глав. Спец. ТО | 22 | 12 400 | 564 | 1 | 0 |
Техник | 22 | 9 500 | 431 | 1 | 0 |
Итого | 22 | 36 400 | 1 655 | 1 | 0 |
В соответствии с Налоговым Кодексом РФ любое предприятие обязано производить отчисления от заработной платы по единому социальному налогу, размер которого составляет 35,6% (если сумма всех выплат за год, на отдельного работника, нарастающим итогом не превышает 100000 рублей) от суммы основной и дополнительной заработной платы.
Налоговые отчисления в виде ЕСН включают:
- социальное страхование – 4%;
- пенсионный фонд – 28%;
- медицинское страхование – 3,6%;
и расчитываются по формуле:
Где:
ЗПосн
– основная заработная плата, руб.;
ЗПдоп
– дополнительная заработная плата, руб.
Тогда общий фонд заработной платы рассчитывается по формуле:
В нашем случе согласно (6), отчисления от заработной платы составят:
Зотч
= 0,356·(36 400)
= 12 958руб.
Общий фонд заработной платы: ЗОТ
= 49 358 руб.
К прочим расходам относятся не учтённые в предыдущих статьях фактические расходы, непосредственно связанные с разработкой проекта в течение всего периода его реализации, и включают, как правило, платежи по аренде помещений, транспортных средств, линий связи, по поиску информации, по оплате за объекты интеллектуальной собственности и т.д.
К прочим расходам относится абонентская плата за сотовую связь. В связи с тем, что ООО ЧОП «ОСА» пользуется корпоративным тарифным планом расходы будут равны 450 руб. в эту сумму включены оплата разговоров работников технического отдела.
Величина накладных расходов определяется исходя из принятой в проектной организации политики ценообразования и может составлять до 30% от прямых затрат. В прямые затраты входят расходы по статьям 1-4.
Величина накладных расходов вычисляется по формуле:
Зн
= ( ЗМ
- ЗАМ
+ ЗОТ
+ ЗПР
)*КНР
(8)
где Кнр
- коэффициент накладных расходов
Расчет накладных расходов:
Зн
=
25 862,4 р
уб.
Сведём результаты расчётов затрат на этапе проектирования системы защиты информации в таблицу 4.
Таблица 8
Затраты на этапе проектирования системы
№ п/п | Статья расходов | Сумма, руб. |
1. | Прямые материальные затраты | 227975 |
2. | Расходы на оплату труда | 49 358 |
3. | Прочие расходы | 450 |
4. | Накладные расходы | 25 862 |
Итого, руб : | 303 645 |
Затраты на эксплуатацию системы защиты информации складываются из ежегодных прямых и косвенных затрат и представляют собой совокупную стоимость владения системой. При этом под косвенными затратами понимаются возможные потери от сбоев и зависаний ситемы, а также дополнительных расходы по её поддержке, не предусмотренные бюджетом организации. Очевидно, что на этапе проектирования системы невозможно с высокой степенью точности учесть величину косвенных затрат. Однако ссылаясь на опыт эксплуатации подобных систем в России необходимо учесть их в размере ≈10% от суммарных ежегодных затрат на эксплуатацию системы.
Амортизируемое имущество, это имущество которое используется предприятием (учреждением) и его стоимость погашается путем начисления амортизации. Амортизируемым имуществом признается имущество со сроком полезного использования более 12 месяцев и первоначальной стоимостью более 10000 рублей. Первоначальная стоимость основного средства определяется как сумма расходов на его приобретение. Остаточная стоимость основного средства определяется как разница между первоначальной стоимостью и суммой начисленной за период эксплуатации амортизации.
В рамках статьи «Расходы на содержание и эксплуатацию оборудования» необходимо учесть затраты на амортизацию технических средств защиты.
С учётом принятых в организации тарифных ставок, должностных окладов руководителей и специалистов службы информационной безопасности, действующего положения о премировании и других норматиных документов
Основная и дополнительная заработная плата в первый год эксплуатации составит:
ЗПг
= (ЗПосн
+ ЗПдоп
)х12
(13)
Где:
ЗПосн
– основная заработная плата в месяц, руб.;
ЗПдоп
– дополнительная заработная плата в месяц, руб.
Отчисления в единый социальный налог:
, (14)
Фонд заработной платы в первый год эксплуатации рассчитывается по формуле:
ЗОТ
= ЗПг
+ ЗОТч
(15)
Итак, согласно (13), годовая заработная плата специалистов по эксплуатации системы составят:
ЗПг
= 436 800 руб.
Отчисления от заработной платы в виде единого социального налога:
ЗОТч
= 155500,8 руб.
Затраты на оплату труда за первый год эксплуатации составят:
ЗОТ
=592 300,8 руб.
Сложив затраты на оплату труда специалистам по защите информации за год, затраты на электроэнергию, прочие расходы, накладные расходы и стоимость оборудования для обеспечения комплексной защиты информации мы получим экономическую стоимость внедрения системы защиты информации, которая будет равна 895 945,8 руб.. Исходя из того, что чистая прибыль ООО « ЧОП «ОСА»» за год составляет приблизительно 10 млн. руб. можно посчитать экономическую эффективность внедрения системы защиты информации.
Исходя из этих данных, мы видим, что данные затраты составляют менее 30% от прибыли приемлемых для защиты информации. Что указывает на то, что внедрение данной системы является актуальным.
ЗАКЛЮЧЕНИЕ
Опыт организаций занимающихся защитой информации показывает, что для достижения удачных решений по защите информации необходимо сочетание правовых, организационных и технических мер. Это сочетание определяется конфиденциальностью защищаемой информации, характером опасности и наличием средств защиты. В общем случае технические меры безопасности составляют незначительную часть от общих мер защиты (правовых и организационных). Однако ни одну из них упускать нельзя. Каждая мера дополняет другую, и недостаток или отсутствие любого способа приведет к нарушению защищенности.
Работы по созданию системы защиты информации (СЗИ) включают в себя следующие этапы:
- анализ состава и содержания конфиденциальной информации циркулирующей на конкретном объекте защиты;
- анализ ценности информации для предприятия (организации) с позиций возможного ущерба от ее получения конкурентами;
- оценка уязвимости информации, доступности ее для средств злоумышленника;
- исследование действующей системы защиты информации на предприятии;
- оценка затрат на разработку новой (или совершенствование действующей) системы;
- организация мер защиты информации;
- закрепление персональной ответственности за защиту информации;
- реализация новой технологии защиты информации;
-создание обстановки сознательного отношения к защите информации;
- контроль результатов разработки и прием в эксплуатацию новой
системы защиты.
Изложенные этапы дипломной работы можно считать типовыми для процесса разработки систем защиты, так как они в значительной мере охватывают практически весь объем работ на организационном уровне.
Самым начальным, исходным шагом, направленным на развертывание работ по созданию или совершенствованию СЗИ, является разработка приказа руководителя организации (предприятия) на проведение работ с указанием конкретного должностного лица, ответственного за создание СЗИ в целом. В приказе излагаются цели и задачи создания СЗИ в данной организации, определяются этапы и сроки их выполнения, назначаются конкретные должностные лица, ответственные за отдельные этапы, отдельные виды работ. В приказе определяется подразделение или временный творческий (научно-технический) коллектив, который будет вести работы по созданию (совершенствованию) системы.
Если к работе по созданию СЗИ будут привлекаться сторонние организации, в приказе оговаривается способ взаимодействия с ними, а также даются необходимые поручения по его обеспечению.
В соответствии со сложившейся практикой разработки сложных систем устанавливаются следующие стадии:
- предпроектирование работ (обследование и разработка технического задания);
- проектирование (разработка технического, рабочего или техно-рабочего проектов);
- ввод СЗИ в эксплуатацию.
Окончательное решение о стадийности проектирования разработки СЗИ определяется на стадии предпроектных работ при разработке ТЗ исходя из производственно-технических условий, экономических возможностей, особенностей СЗИ и используемых технических средств.
Независимо от того, насколько хорошо разработаны технические и организационные меры безопасности, они, в конце концов, основываются на человеческой деятельности, в которой возможны ошибки и злой умысел. Если отдельный сотрудник обманет доверие, то никакая система безопасности и секретности не сможет предотвратить неправомерное овладение информацией.
Для обеспечения уверенности в том, что данная организация успешно поддерживает функционирование системы безопасности, применяются различные методы проверки. Это регулярные независимые инспекции и ревизии, а также проверочные комиссии, включающие представителей всех участвующих в работе с конфиденциальной информацией.
Так как ни одна из форм не является идеальной, то общий контроль за деятельностью системы защиты и ее функционированием должен осуществлять высший орган руководства организации (предприятия через специальные подразделения обеспечения безопасности).
Оценка эффективности защиты должна осуществляться в соответствии с принципом комплексности.
СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ
1. Закон Российской Федерации «Об информации, информатизации и защите информации» 25.01.95 г.
2. ГОСТ 26342-84 Средства охранной, пожарной и охранно-пожарной сигнализации. Типы, основные параметры и размеры.
3. НПБ 104-03 Системы оповещения и управления эвакуацией людей при пожарах в зданиях и сооружениях.
4. НПБ 65-97 Извещатели пожарные дымовые оптико-электронные. Общие технические требования. Методы испытаний.
5. НПБ 70-98 Извещатели пожарные ручные. Общие технические требования. Методы испытаний.
6. НПБ 88-2001 Установки пожаротушения и сигнализации. Нормы и правила проектирования.
7. Р 78.36.007-99Выбор и применение средств охранно-пожарной сигнализации и средств технической укрепленности для оборудования объектов. Рекомендации.
8. Р 78.36.008-99 Проектирование и монтаж систем охранного телевидения и домофонов.
9. РД 78.36.003-2002 Инженерно-техническая укрепленность. Технические средства охраны. Требования и нормы проектирования по защите объектов от преступных посягательств.
10. РМ 78.36.001-99 Технические средства защиты. Словарь терминов и определений.
11. ТТ 78.36.003-99 Требования к оборудованию центрального банка Российской Федерации инженерно-техническими средствами охраны.
12. Гавриш В.А. Практическое пособие по защите коммерческой тайны. — Симферополь: Таврида, 1994. — 112 с
13. Герасименко В.А., Малюк А.А. Основы защиты информации. — М.: МГИФИ,1997. — 538 с
14. Информационная безопасность современного коммерческого предприятия: Монография. – Старый Оскол: ООО «ТНТ», 2005. – 448.
15. Козлов С.Б., Иванов Е.В. Предпринимательство и безопасность. -М.: Универсум, 1991.-Т1,2
16. Мазеркин Д. Защита коммерческой тайны на предприятиях различных форм собственности //Частный сыск и охрана.-1994г.
17. Организация и современные методы защиты информации. Информационно-справочное пособие. – М.: Ассоциация "Безопасность", 1996, c. 440с.
18. Поликарпова О. Н. законодательные основы защиты прав и интересов работника и работодателя в процессе обеспечения информационной безопасности предприятия, 2004
19. Перечень технических средств, разрешенных к применению во вневедомственной охране в 2002 году
20. Сердюков В. С., Пономаренко С. В. Инженерно-техническая защита информации: Методические указания по выполнению курсовой работы. – Белгород: Кооперативное образование, 2006. – 88 с.
21. Торокин А.А. «Основы инженерно-технической защиты информации». – М.: Издательство «Ось-89» 1998 г. стр. 143
22. Халяпин Д.Б., Ярочкин В.И. Основы защиты информации.-М.:ИПКИР,1994
23. Шиверский А.А Защита информации: проблемы теории и практика.-М.:Юрист,1996.
24. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов.-М.:Академический Проект; Фонд "Мир",2003.-640с.
25. http://kunegin.narod.ru/ref3.htm
26. http://www.it2b.ru/it2b3/html
27. http://www.regt72/ru/
28. http://www.mascom.ru/
29. http://www.agentura.ru
30. http://spk.ru/security/
31. http://web.polt
ava.ua/firms/arkadi/book/index.html
32. httplib.ruNTLrel04_w6.txt
33. httpwww.catalog.radio-shop.rucatalog23010101
34. httplib.ruNTLrel04_w6.txt
ПРИЛОЖЕНИЕ1
План расположения близлежащих зданий
ПРИЛОЖЕНИЕ 2
План первого этажа ООО ЧОП «ОСА»
ПРИЛОЖЕНИЕ 3
План второго этажа
ПРИЛОЖЕНИЕ 4
Возможные пути проникновения злоумышленника
ПРИЛОЖЕНИЕ 5
План охранно-пожарной сигнализации первого этажа
ПРИЛОЖЕНИЕ 6
План охранно-пожарной сигнализации второго этажа
ПРИЛОЖЕНИЕ 7
План охранно-пожарной сигнализации выделенного помещения
ПРИЛОЖЕНИЕ 8
План системы видеонаблюдения первого этажа
ПРИЛОЖЕНИЕ 9
План системы видеонаблюдения второго этажа
! | Как писать дипломную работу Инструкция и советы по написанию качественной дипломной работы. |
! | Структура дипломной работы Сколько глав должно быть в работе, что должен содержать каждый из разделов. |
! | Оформление дипломных работ Требования к оформлению дипломных работ по ГОСТ. Основные методические указания. |
! | Источники для написания Что можно использовать в качестве источника для дипломной работы, а от чего лучше отказаться. |
! | Скачивание бесплатных работ Подводные камни и проблемы возникающие при сдаче бесплатно скачанной и не переработанной работы. |
! | Особенности дипломных проектов Чем отличается дипломный проект от дипломной работы. Описание особенностей. |
→ | по экономике Для студентов экономических специальностей. |
→ | по праву Для студентов юридических специальностей. |
→ | по педагогике Для студентов педагогических специальностей. |
→ | по психологии Для студентов специальностей связанных с психологией. |
→ | технических дипломов Для студентов технических специальностей. |
→ | выпускная работа бакалавра Требование к выпускной работе бакалавра. Как правило сдается на 4 курсе института. |
→ | магистерская диссертация Требования к магистерским диссертациям. Как правило сдается на 5,6 курсе обучения. |
Дипломная работа | Формирование устных вычислительных навыков пятиклассников при изучении темы "Десятичные дроби" |
Дипломная работа | Технологии работы социального педагога с многодетной семьей |
Дипломная работа | Человеко-машинный интерфейс, разработка эргономичного интерфейса |
Дипломная работа | Организация туристско-экскурсионной деятельности на т/к "Русский стиль" Солонешенского района Алтайского края |
Дипломная работа | Разработка мероприятий по повышению эффективности коммерческой деятельности предприятия |
Дипломная работа | Совершенствование системы аттестации персонала предприятия на примере офиса продаж ОАО "МТС" |
Дипломная работа | Разработка системы менеджмента качества на предприятии |
Дипломная работа | Организация учета и контроля на предприятиях жилищно-коммунального хозяйства |
Дипломная работа | ЭКСПРЕСС-АНАЛИЗ ФИНАНСОВОГО СОСТОЯНИЯ ООО «АКТ «ФАРТОВ» |
Дипломная работа | Психическая коммуникация |