Анализ средств защиты информации в ООО "Электронные платежи"

Цель метода сравнения состоит в более глубоком изучении процессов (событий), происходящих в компаниях и имеющих отношение к вопросам защиты охраняемой информации. Сравниваются различные факторы, обусловливающие причины и обстоятельства, приводящие к потере конфиденциальной информации или к возникновению предпосылок к ее потере. При использовании метода сравнения в обязательном порядке соблюдаются следующие основные условия: сравниваемые объекты (действия, явления, события) должны быть сопоставимы по своим качественным особенностям. Сравнение должно определить не только элементы сходства, но и элементы различия между исследуемыми объектами.

Метод эксперимента используется для проверки результатов деятельности по конкретному направлению защиты информации или для поиска новых решений, совершенствования системы ее защиты.

Роль количественных методов анализа заключается в информационном, статистическом обеспечении качественных методов. Наиболее характерен метод статистических исследований, который заключается в проведении количественного анализа отдельных сторон исследуемого явления (факта, события).

В ходе этого анализа накапливаются цифровые данные о состоянии и динамике нарушений режима конфиденциальности (секретности) в ходе проводимых работ, об эффективности решения службой безопасности (режимно-секретным подразделением) задач по их недопущению, о тенденциях развития ситуации в области информационной безопасности и т.д.

Методы письменного и устного опроса заключаются в получении путем анкетирования (или иным способом) необходимой информации от сотрудников компаний, руководителей подразделений, а также лиц, допускающих нарушения установленного режима секретности (конфиденциальности информации). При этом в анкете указываются несколько возможных вариантов ответов на каждый поставленный вопрос.

Метод индивидуальной беседы отличает от метода письменного и устного опроса необходимость личного общения с сотрудником компаний. Использование этого метода позволяет в динамично развивающейся беседе получить конкретную информацию в зависимости от целей аналитического исследования.

Метод экспертной оценки включает учет и анализ различных мнений по определенному кругу вопросов, излагаемых специалистами в той или иной области деятельности компаний, связанной с конфиденциальной информацией.

Выбор конкретных методов анализа при проведении аналитических исследований в области защиты конфиденциальной информации зависит от целей и задач исследований, а также от специфики деятельности компаний, состава и структуры службы безопасности и ее аналитического подразделения.



2. Оценка системы защиты информации в ООО "Электронные платежи"

2.1 Краткое описание ООО "Электронные платежи"

ООО "Электронные платежи" успешно развивающаяся отечественная компания на рынке проектирования, производства и продажи аппаратов по приему платежей совместимых практически с любой платежной системой. Текущие рыночные условия позволяют достичь успехов только в том случае, если качество производимой продукции и уровень сервиса находятся на высочайшем уровне. Компания неуклонно следует этим правилам, постоянно совершенствуя технические решения и качество сервиса, удерживая цены.

Успех компании напрямую зависит от успехов клиента. Компания делает все возможное, чтобы клиентам было удобно работать с компанией. Квалифицированные специалисты готовы ответить на все вопросы, связанные с правильной организацией бизнеса, настройкой и эксплуатацией терминалов, а так же готовы выслушать пожелания клиентов и предложить решения. Подход к клиенту в компании индивидуален, специалисты компании всегда помогают решить любые поставленные задачи качественно.

По желанию заказчика, компания может изготовить эксклюзивные модели, обладающие уникальными качествами и функционалом. Терминалы компании - это всегда качественные, законченные продукты. Компания использует материалы только высокого качества. Все оборудование проходит входной контроль, его работа проверена временем.

Компания "Электронные платежи" предоставляет полный спектр услуг по организации и функционированию бизнеса по приему наличных платежей через платежные терминалы:

- оборудование и программное обеспечение, адаптированные под любые запросы заказчика;

- гарантийное, постгарантийное сервисное обслуживание платежных терминалов;

- работы по настройке оборудования и программного обеспечения;

- пусконаладочные работы;

- техническая диагностика оборудования и программного обеспечения;

- проектирование эксклюзивных моделей терминалов по приему платежей, а так же информационных киосков;

- обучение работы с терминалом;

- консультации по вопросам организации и ведения бизнеса;

- помощь в подборе конфигураций терминалов;

- продажа комплектующих материалов к платежным терминалам.

На сегодняшний день, в компании работает группа высококвалифицированных дизайнеров, конструкторов и технологов, обеспечивающая полный цикл разработки и производства продукции.

Ключевые принципы, на которые опиралась компания с самого начала своего существования следующие:

- партнерство;

- специализация;

- качество.

Автоматизация рутинных операций в производстве привела к гигантскому промышленному скачку, следствием которого стало улучшение условий жизни всего общества, а также его развитие. Автоматизация работ, традиционно выполняемых человеком, несет в себе те возможности, которые и в будущем будут помогать обществу в его развитии и совершенствовании.

Компания ведет деятельность в направлении разработки и производства решений самообслуживания для различных отраслей. Руководство компании полагает, что выполняемая компанией работа помогает людям, занимаясь любимым делом, избегать выполнения монотонной однотипной работы, сосредотачивая свое внимание на интеллектуальном и творческом процессе.

Обязательной составляющей комплексного программно-аппаратного решения является информационная составляющая, позволяющая реализовать основную бизнес функциональность системы. Предлагаемое компанией программное обеспечение является собственной разработкой или разработкой надежных партнеров компании, что позволяет оперативно производить его доработку и расширение функциональности в зависимости от решаемой задачи.

ООО "Электронные платежи" является одной из немногих компаний, с удовольствием принимающей участие в инновационных проектах, подразумевающих разработку уникального оборудования и эксклюзивной функциональности.

Накопленный компанией опыт позволяет в минимальные сроки разрабатывать и внедрять терминальные решения, в том числе обладающие принципиально новыми возможностями.

2.2 Анализ системы защиты информации в ООО "Электронные платежи"

Целью руководства компании "Электронные платежи" является обеспечение надежной защиты информации в компании для ее нормального функционирования.

Угрозы и уязвимости в компании представлены в табл. 2.1-2.2.

Таблица 2.1 - Автоматизированное рабочее место сотрудника в ООО "Электронные платежи"

Угроза	Уязвимости
1. Физический доступ нарушителя к рабочему месту	1. Отсутствие системы контроля доступа сотрудников к чужим рабочим местам
	2. Отсутствие системы видеонаблюдения в компании
2. Разглашение конфиденциальной информации, хранящейся на рабочем месте сотрудника компании	1. Отсутствие соглашения о неразглашении между работником и работодателем
	2. Нечеткая регламентация ответственности сотрудников компании
3. Разрушение (повреждение, утрата) конфиденциальной информации при помощи специализированных программ и вирусов	1. Отсутствие ограничения доступа пользователей к сети интернет и к внутренней корпоративной сети

Таблица 2.2 - Конфиденциальная информация

Угроза	Уязвимости
1. Физический доступ нарушителя к носителям	1. Неорганизованность контрольно-пропускного режима в компании
	2. Отсутствие видеонаблюдения в компании
2. Разглашение конфиденциальной информации, используемой в документах, вынос носителей за пределы контролируемой зоны	1. Отсутствие соглашения о неразглашении конфиденциальной информации
	2. Нечеткое распределение ответственности за документы (носители конфиденциальной информации) между сотрудниками компании
3. Несанкционированное копирование, печать и размножение носителей конфиденциальной информации	1. Нечеткая организация конфиденциального документооборота в компании
	2. Неконтролируемый доступ сотрудников к копировальной и множительной технике

Комплексная модель информационной безопасности компании представлена на рис. 2.1.

Рисунок 2.1 - Диаграмма уровня A0 “Обеспечение информационной безопасности” в ООО "Электронные платежи"



Информация, поступающая в компанию, проходит несколько стадий обработки на наличие программных, сетевых и физических угроз безопасности, прежде чем поступит в использование сотрудниками компании.

За безопасностью следит главным образом системный администратор, который настраивает все программные и аппаратные средства для защиты компании. Это регламентируется регламентом компании, политикой безопасности и должностными инструкциями. В результате сотрудники получают безопасную информацию, также формируется отчет о событиях обработки.

Поступающая информация проходит стадию анализа, где выявляются угрозы, которые она может нанести, далее применяются средства для устранения этих угроз и происходит распределение информации по уровням защиты (административный, программно-технический, законодательный, организационный). Далее применяются средства для дальнейшей защиты информации. Эта работа протекает в компании в соответствии с действующими нормативными и правовыми актами.

В ООО "Электронные платежи" принята следующая модель построения системы информационной безопасности, основанная на адаптации “Общих критериев” ISO 15408 и проведении анализа информационных рисков (рис. 2.2).

Процесс оценки рисков можно подразделить на девять основных этапов:

- определение характеристик информационной системы;

- идентификация уязвимостей;

- идентификация угроз;

- анализ регуляторов безопасности;

- определение вероятностей;

- анализ воздействий;

- определение рисков;

- рекомендуемые контрмеры;

- результирующая документация.

Рисунок 2.2 - Алгоритм оценки рисков в ООО "Электронные платежи"

Идентификация уязвимостей и угроз, а также анализ регуляторов безопасности и воздействий могут выполняться относительно независимо и параллельно после того, как завершен первый этап и определены характеристики информационной системы.

На рис. 2.3 показаны основные этапы процесса оценки рисков вместе с входной и выходной информацией для каждого из них.

Оценка рисков действует на протяжении определенного периода. Чтобы иметь основания применять аппарат теории вероятностей, этот период должен быть достаточно большим (три-пять лет). Если вероятность события (например, пожара) мала, рассматриваемый период следует еще увеличить. Но за это время информационная система (ИС) существенно изменится, и старые оценки потеряют смысл. Следовательно, при оценке рисков событиями с вероятностью меньше определенного порогового значения можно пренебречь, несмотря на то, что потенциальный ущерб от них может быть велик.

Рисунок 2.3 - Основные этапы процесса оценки рисков, их входная и выходная информация в ООО "Электронные платежи"

Отметим, что это противоречит традиционной практике, когда руководители склонны уделять чрезмерное внимание рискам с большим ущербом и малой вероятностью. На самом деле, на первом плане должны быть риски с умеренным ущербом, но высокой вероятностью (например, атаки вредоносного программного обеспечения), многократно реализующиеся в течение рассматриваемого периода. На рис. 2.4 представлены риски в зависимости от величины ущерба вероятности события.

Риск события U1 относится к числу обычно переоцениваемых руководителями; на практике, в силу низкой вероятности, большей частью подобных рисков целесообразно пренебречь.

Рисунок 2.4 - Представление рисков в виде точек на координатной плоскости

Управлению рисками соответствует перемещение точек по плоскости. Обычно стремятся приблизиться к началу координат вдоль одной оси, не меняя значения другой координаты. Впрочем, если удастся уменьшить сразу обе координаты, это будет еще лучше.

2.3 Определение рисков угроз информационной безопасности в ООО "Электронные платежи"

Рассмотрим управление идентифицированными рисками в ООО "Электронные платежи". В качестве объекта защиты выбираем автоматизированное рабочее место (АРМ) сотрудника.

Критичность ресурса (КР) - степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы.

Критичность реализации угрозы (КРУ) - степень влияния реализации угрозы на ресурс, задается в процентах.

Вероятность реализации угрозы через данную уязвимость в течение года P - степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в процентах.

Объект защиты - АРМ сотрудника.

По оценке начальника службы безопасности критичность ресурса равна 1400000 руб.

Возможные угрозы и уязвимости представлены в табл. 2.3.

Таблица 2.3 - Угрозы и уязвимости для автоматизированного рабочего места сотрудника

Угроза	Уязвимости
1. Физический доступ нарушителя к АРМ	1. Отсутствие системы контроля доступа служащих к чужим автоматизированным рабочим местам
	2. Отсутствие системы видеонаблюдения в компании
	3. Несогласованность в системе охраны периметра здания
2. Разглашение конфиденциальной информации (КИ), хранящейся на АРМ	1. Отсутствие соглашения о неразглашении между администрацией и служащими
	2. Нечеткое распределение ответственности между служащими
3. Разрушение КИ при помощи специальных программ и вирусов	1. Отсутствие или некорректная работа антивирусного программного обеспечения
	2. Отсутствие ограничения доступа пользователей к внешней сети

В табл. 2.4 представлены вероятности реализации данной угрозы через уязвимость в течение года и критичности реализации угрозы.

Таблица 2.4 - Вероятности реализации данной угрозы через уязвимость в течение года и критичности реализации угрозы

Угроза/уязвимость	P, %	КРУ,%
1/1	50	50
1/2	30	50
1/3	10	40
2/1	30	40
2/2	50	40
3/1	10	90
3/2	20	60



В табл. 2.5 представлен уровень угрозы по определенной уязвимости (УУ) и уровень угроз по всем уязвимостям (УУсовокупный).

Таблица 2.5 - Уровень угрозы по определенной уязвимости (УУ) и уровень угроз по всем уязвимостям (УУсовокупный)

Угроза/уязвимость	УУ	УУсовокупный
1/1	0,25	0,388
1/2	0,15
1/3	0,04
2/1	0,12	0,296
2/2	0,2
3/1	0,09	0,199
3/2	0,12

Уровень угрозы по определенной уязвимости вычисляют по формуле

,

где P - вероятность реализации угрозы через данную уязвимость в течение года, %;

КРУ - критичность реализации угрозы, %.

Уровень угрозы по всем уязвимостям вычисляют по формуле

,

где УУ - уровень угрозы по определенной уязвимости.

Общий уровень угроз по ресурсу вычисляют по формуле

,

где УУсовокупный - уровень угрозы по всем уязвимостям.

Воспользовавшись формулой (2.3) определим значение общего уровня угроз по данному ресурсу, который составит соответственно 0,655.

Риск по ресурсу вычисляется по формуле

,

где ОУУ - общий уровень угроз по ресурсу;

КР - критичность ресурса, д.е.

Воспользовавшись формулой (2.4) определим значение риска по данному ресурсу, который составит соответственно 917000 руб.

Таким образом, из приведенных расчетов видно, что в случае реализации угроз на данный ресурс компания понесет убытки в размере 917000 руб.



3. Разработка мероприятий по совершенствованию системы защиты информации в ООО "Электронные платежи"

3.1 Формирование системы информационной безопасности

Возможные каналы потери конфиденциальности информации:

разглашение конфиденциальной информации, хранящейся на АРМ;

разрушение КИ при помощи специальных программ и вирусов;

разглашение конфиденциальной информации, хранящейся на сервере;

физический доступ нарушителя к АРМ;

физический доступ нарушителя к серверу;

физический доступ нарушителя к конфиденциальным документам;

разглашение конфиденциальной информации, использованной в документах;

вынос документов за пределы контролируемой зоны.

несанкционированное копирование, печать и размножение конфиденциальных документов.

Предполагаемые мероприятия по защите информации:

установка системы видеонаблюдения;

установка системы охранной и пожарной сигнализации;

усовершенствование контроля и управления доступом на объект;

смена сейфа на более надежный сейф для хранения особо важной информации;

установка новой антивирусной программы;

установка межсетевого экрана;

усовершенствование системы хранения информации в электронном виде;

разработка инструкции пользователя объекта вычислительной техники (ОВТ);

усовершенствование инструкции по организации парольной защиты на АРМ;

проведение инструктажа персонала в соответствии с новой комплексной системой зашиты информации;

разработка "Соглашения о неразглашении конфиденциальной информации", проведение инструктажа по разъяснению персоналу компании положений "Памятки";

разграничение доступа пользователей к информации с помощью установки СЗИ от несанкционированного доступа (НСД) на рабочих местах и сервере (СЗИ Secret Net);

установление средств защиты при проведении закрытых совещаний;

отключение мобильных телефонов всех присутствующих в помещении при проведении совещаний и переговоров;

ключи и коды от сейфов должны храниться у руководителя компании;

обязательное выключение компьютеров после завершения рабочего дня.

Для управления проектом его следует разбить на иерархические подсистемы и компоненты. В терминах управления проектами структура проекта представляет собой “дерево” ориентированных на продукт проекта компонентов, представленных оборудованием, работами, услугами и информацией, полученными в ходе реализации проекта. Можно сказать, что структура проекта - это организация связей и отношений между его элементами. Формирование структуры проекта позволяет представить его в виде значительно меньших блоков работ вплоть до получения самых мелких, поддающихся непосредственному контролю позиций. Именно такие блоки передаются под управление отдельным специалистам, ответственным за достижение конкретной цели достигаемой при реализации задач данного блока. Структуризация является неотъемлемой частью общего процесса планирования проекта и определения его целей, а также подготовки плана проекта и матрицы распределения ответственностей и обязанностей.

Задачей проекта является построение надежной системы защиты информации в компании.

Для компании "Электронные платежи" в ходе разработки комплексной системы защиты информации необходимо выделить несколько задач в пределах следующих требований:

техническое оснащение объекта должно сводить к минимуму возможность снятия конфиденциальной информации по возможным каналам потери информации;

техническое оснащение должно удовлетворять требованиям и нормам стандартов в области защиты информации;

техническое оснащение не должно мешать рабочему процессу компании;

должна быть проведена оценка защищенности АРМ в соответствии с требованиями стандартов;

должны быть разработаны должностные инструкции в соответствии с поставленными задачами и формами допуска к конфиденциальной информации;

по завершении работ по построению комплексной системы защиты информации необходимо провести ознакомление сотрудников с новой системой.

Итогом работы по построение КСЗИ должно быть:

защита контролируемой зоны от проникновения злоумышленников и несанкционированного съема информации;

создание собственной политики безопасности компании;

строгий контроль доступа к конфиденциальной информации на электронных и бумажных носителях, к автоматизированным рабочим местам, содержащим конфиденциальную информацию;

техническое оснащение помещений, в которых ведется работа с конфиденциальными документами;

введение строгого учета конфиденциальной документации;

введение системы ответственности за невыполнение норм и требований по работе с конфиденциальной информацией.

Структура разбиения работ с учетом продолжительности по времени отражается в табл. 3.1.

Таблица 3.1 - Структура разбиения работ

Наименование работы	Минимальная продолжительность, дней	Максимальная продолжительность, дней
1. Приказ руководства компании о разработке проекта КСЗИ. Назначение ответственных лиц за проект. Определение примерных сроков проекта	1	2
2. Формирование команды разработчиков КСЗИ	1	2
3. Знакомство с информационной системой и информационными ресурсами компании. Составление первого отчета о полученных результатах	2	3
4. Составление перечня КИ компании (изучение уже существующего перечня, дополнение, преобразования)	1	2
5. Изучение нормативной документации компании	1	2
6. Изучение журналов регистрации конфиденциальных документов, имеющихся в компании	2	3
7. Выделение объектов защиты и их категорирование. Составление отчета	3	4
8. Изучение имеющихся технических средств защиты информации (в том числе на наличие антивирусного программного обеспечения)	3	4
9. Проверка технических средств обработки, хранения и передачи информации на наличие средств несанкционированного съема информации и вирусов	8	10
10. Изучение имеющейся системы охраны периметра компании, системы пожарной безопасности, охранной сигнализации. Изучение прилегающей территории. Выявление пустот в физической защите периметра	4	5
11. Составление отчета по результатам проверки технических средств, по результатам проведения осмотра периметра. Анализ достаточности уже существующих в компании мер защиты	3	4
12. Разделение персонала компании по уровням доступа к конфиденциальной информации	4	5
13. Составление новых должностных инструкций, согласование с руководством компании, обоснование	5	6
14. Анализ достаточности используемых мер защиты. Выявление угроз безопасности, расчет рисков и их ранжирование. Вторичная оценка стоимости проекта	7	8
15. Составление перечня технических средств защиты, необходимых для дополнения и усовершенствования используемых мер	3	4
16. Заключение договора на поставку необходимых технических средств и программного обеспечения. Установка сроков поставки, монтажа и настройки нового оборудования	13	15
17. Обучение персонала компании работе с новым оборудованием	3	4
18. Проверка новой систем защиты от несанкционированного проникновения в защищаемое помещение. Искусственная реализация возможных угроз с целью выявления слабых мест в системе защиты	5	6
19. Составление полного отчета по проделанной работе	4	5
20. Предоставление проекта директору компании	1	2
21. Возможные доработки и исправления проекта	0	2
Итого	74	98

Структурная схема компании.

Структурная схема компании содержит в себе совокупность должностных лиц, участвующих в проекте по созданию КСЗИ, и выполняемых ими функций в процессе этой деятельности.

В структурную схему входят:

начальник отдела по защите информации;

главный инженер по защите информации;

начальник службы безопасности;

инженер по защите информации;

начальник отдела конфиденциального делопроизводства;

менеджер по кадрам;

сотрудник службы безопасности.

Матрица ответственности для конкретного должностного лица по определенному виду работ представлена в табл. 3.2.

Таблица 3.2 - Матрица ответственности

Задачи	Начальник отдела по защите информации	Главный инженер по защите информации	Начальник службы безопасности	Инженер по защите информации	Начальник отдела конфиденциального делопроизводства	Менеджер по кадрам	Сотрудник службы безопасности
1. Приказ руководства компании о разработке КСЗИ. Назначение ответственных лиц за проект. Определение примерных сроков проекта	x		x		x
2. Формирование команды разработчиков КСЗИ	x		x		x
3. Знакомство с информационной системой и информационными ресурсами компании. Составление первого отчета о полученных результатах		x			x	x
4. Составление перечня КИ компании (изучение уже существующего перечня, дополнение, преобразования)	x				x
5. Изучение нормативной документации компании				x	x		x
6. Изучение журналов регистрации конфиденциальных документов, имеющихся в компании					x
7. Выделение объектов защиты и их категорирование. Составление отчета	x	x	x
8. Изучение имеющихся технических средств защиты информации (в том числе на наличие антивирусного программного обеспечения)		x		x			x
9. Проверка технических средств обработки, хранения и передачи информации на наличие средств несанкционированного съема информации и вирусов	x	x		x			x
10. Изучение имеющейся системы охраны периметра организации, системы пожарной безопасности, охранной сигнализации. Изучение прилегающей территории. Выявление пустот в физической защите периметра		x		x			x
11. Составление отчета по результатам проверки технических средств, по результатам проведения осмотра периметра. Анализ достаточности уже существующих в компании мер защиты	x		x	x			x
12. Разделение персонала компании по уровням доступа к конфиденциальной информации				x		x
13. Составление новых должностных инструкций, согласование с руководством компании, обоснование					x	x
14. Анализ достаточности используемых мер защиты. Выявление угроз безопасности, расчет рисков и их ранжирование. Вторичная оценка стоимости проекта	x		x
15. Составление перечня технических средств защиты, необходимых для дополнения и усовершенствования используемых мер	x	x	x				x
16. Заключение договора на поставку необходимых технических средств и программного обеспечения. Установка сроков поставки, монтажа и настройки нового оборудования				x			x
17. Обучение персонала компании работе с новым оборудованием				x		x	x
18. Проверка новой систем защиты от несанкционированного проникновения в защищаемое помещение. Искусственная реализация возможных угроз с целью выявления слабых мест в системе защиты	x	x	x	x			x
19. Составление полного отчета по проделанной работе	x		x		x
20. Предоставление проекта директору компании	x		x		x

Предлагаемые средства защиты информации.

Физические средства защиты.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий. Примеры физических средств: замки на дверях, решетки на окнах, средства электронной охранной сигнализации и т.п.

Система охранного телевидения (СОТ).

В последнее время системы видеонаблюдения стали основой комплексной системы безопасности. Современные системы видеонаблюдения позволяют не только наблюдать за объектом и записывать происходящие события, но и реагируют на возникновение нештатных ситуаций, контролируя действия всей системы безопасности. В зависимости от типа используемого оборудования они делятся на два типа, цифровые и аналоговые.

Цифровые системы видеонаблюдения.

Данные охранные системы имеют множество плюсов:

- возможность цифрового увеличения и масштабирования любого кадра;

- мгновенный поиск и просмотр видеозаписи по камере, дате и времени;

- высокую скорость доступа к видеоархиву;

- возможность отправки тревожных сообщений по электронной почте и SMS;

- возможность экспорта видеоинформации на совместимые внешние носители;

- возможность интеграции с другими компьютерными системами безопасности;

- легкая и недорогая трансляция видеоархивов по каналам связи (Интернет и пр.);

- обеспечивает высокое качество воспроизводимой видеозаписи.

Очень важным преимуществом цифровых систем является возможность создания на их основе интегрированных систем безопасности. В зависимости от требований, предъявляемых к системе, в состав цифровой системы видеонаблюдения могут входить и другие охранные и исполнительные элементы. Их комплексное использование существенно повышает надежность всей системы безопасности.

Купольные видеокамеры черно-белого изображения предназначены для установки внутри помещений. Объектив видеокамеры с фиксированной диафрагмой "board lens" (М12). Форма купола позволяет устанавливать данную видеокамеру в любых помещениях, как в офисах, так и в магазинах, домах, не привлекая к себе особого внимания как элемент декора. Черно-белые миниатюрные видеокамеры типа КРС-400Р1, 190 SP1 могут использоваться как самостоятельные устройства в недорогих системах видеонаблюдения. Подключаются к любым видеомониторам, видеодомофонам и устройствам обработки видеосигнала. Могут использоваться как видеокамеры скрытого видеонаблюдения, как в офисе, так и в составе видеодомофонной системы. Питание камеры осуществляется от внешнего стабилизированного источника питания с постоянным напряжением 12В.

Видеокамера КРС-190 SP1 1/3”, 420 ТВЛ, 0,05 лкс, 3,6 мм, угол обзора Н-78°, конусный объектив, питание 12В, цилиндр, стоимость 1690 руб. (5 штук).

Монитор HS-BM122A 12”, 1000 ТВЛ, аудиоканал, стоимостью 5232,25 руб.

Система охранной и пожарной сигнализации (ОПС).

Система пожарной сигнализации (ПС) - это комплекс технических средств, служащих для своевременного обнаружения возгорания, возникновения дыма или замыкания.

Система охранно-пожарной сигнализации (ОПС) состоит из трех основных подсистем:

- пульт централизованного управления пожарной сигнализации;

- устройство сбора и обработки данных с датчиков пожарной сигнализации;

- датчики и извещатели пожарной сигнализации.

Извещатели служат для обнаружения пожара, устройства сбора и обработки данных - для протоколирования информации и подачи данных на пульт централизованного управления пожарной сигнализации. Помимо этих основных функций, современная пожарная сигнализация способна отдавать команды на включение автоматического пожаротушения и дымоудаления. Также должно включаться оборудование оповещения о пожаре (звуковое и световое оповещение).

В данном случае выберем следующее оборудование:

- Контрольная панель VISTA-50LP.

Характеристики:

- 9 проводных зон;

- расширение до 86 зон по встроенной двухпроводной линии связи;

- до 86 беспроводных зон;

- 7 уровней приоритета, 75 кодов пользователей;

- до 16 пультов управления;

- до 16 двухпроводных пожарных датчиков на первой зоне.

Стоимость - 14820 руб.

- ИП-212-5М3. Извещатель оптический дымовой (ДИП-3М), 2-х проводной, уменьшенный габарит, 16-24В, 0,2мА, стоимостью 514,80 руб. (9 штук).

- Окно-4. Датчик разбития стекла ударно-контактный, стоимостью 120, 90 руб. (17 штук).

- АС-22. Звуковой оповещатель, 103дБ, 220В, стоимостью 195 руб.

- ИО-102-5. Извещатель магнитоконтактный для немагнитных дверей, скрытой установки, стоимостью 58,50руб. (6 штук).

Система контроля и управления доступом на объект (СКУД).

Система контроля доступа (СКУД, СКД) является третьим рубежом защиты помещения после охранно-пожарной и телевизионной систем безопасности. Основная задача систем контроля и управления доступом - регламентировать передвижение сотрудников и посетителей в дневное время и предотвращать попадание нежданных гостей в помещение. Так же, система контроля доступа - это фискальная система, отслеживающая события, происходящие в системе СКУД. На основании полученных данных решается еще одна актуальная на сегодняшний день задача - учет рабочего времени.

Всем сотрудникам компании, в которой установлена система контроля доступа, выдаются специальные электронные пропуска, например, проксимити идентификаторы, представляющие собой пластиковые карты или брелоки, которые содержат персональные коды доступа. Считыватели, устанавливаемые у входа в контролируемое помещение, распознают код идентификаторов. Информация поступает в систему контроля доступа, которая на основании анализа данных о владельце идентификатора, принимает решение о допуске или запрете прохода сотрудника на охраняемую территорию. В случае разрешения доступа, система приводит в действие исполнительные устройства, такие как электромеханические замки, турникеты, автоматические шлагбаумы или приводы ворот. В противном случае двери блокируются, включается сигнализация и оповещается охрана.

Современные системы контроля доступом на базе оборудования KANTECH оснащаются чрезвычайно гибким программным обеспечением, позволяющим работать системам, как с малым, так и с огромным количеством контролируемых дверей, предоставляя при этом сервис высочайшего уровня.

В системе СКУД при этом могут использоваться технологии самого различного плана, такие как магнитные полосы, эффект Wiegand, считыватели на базе proximity, биометрические технологии.

Правильно организованный контроль доступа в современной компании является основой эффективной организации труда, как в офисе, так и в производственном секторе.

В данном случае примем следующее решение:

- ISEO-5210-хх-хх-х. Электромеханический замок для двери, внутренний цилиндр, стоимостью 2189,20 руб. Используем замок на входной двери компании.

- Для защиты окон устанавливаются решетки стоимостью 780 руб. за квадратный метр. Будем считать общую площадь окон равной 39 . Общая стоимость 30420 руб.

Для хранения особо важной информации будем использовать сейф P 36. Его габариты 655х435х420, вес - 65 кг. Стоимость 17076,80 руб.

Программно-аппаратные средства защиты.

Аппаратные средства - устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Программные средства - специализированные программы и программные комплексы, предназначенные для защиты информации в информационных системах (ИС).

Система защиты от НСД.

Подсистема защиты информации от НСД реализуется с помощью программного средства Secret Net. Система защиты информации Secret Net является программно-аппаратным комплексом, предназначенным для обеспечения информационной безопасности в локальной вычислительной сети.

Безопасность рабочих станций и серверов сети обеспечивается с помощью всевозможных механизмов защиты:

- усиленная идентификация и аутентификация,

- полномочное и избирательное разграничение доступа,

- замкнутая программная среда,

- криптографическая защита данных,

- другие механизмы защиты.

Администратору безопасности предоставляется единое средство управления всеми защитными механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности.

Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журнале регистрации. О попытках свершения пользователями неправомерных действий администратор безопасности узнает немедленно.

Существуют средства генерации отчетов, предварительной обработки журналов регистрации, оперативного управления удаленными рабочими станциями.

Компоненты Secret Net.

Система Secret Net состоит из компонентов:

- клиентская часть;

- сервер безопасности;

- подсистема управления.

Особенностью системы Secret Net является клиент-серверная архитектура, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.

Сервер безопасности устанавливается на выделенный компьютер или контроллер домена и обеспечивает решение следующих задач:

- ведение центральной базы данных (ЦБД) системы защиты, функционирующей под управлением СУБД Oracle 8.0 Personal Edition и содержащей информацию, необходимую для работы системы защиты;

- сбор информации о происходящих событиях со всех клиентов Secret Net в единый журнал регистрации и передача обработанной информации подсистеме управления;

- взаимодействие с подсистемой управления и передача управляющих команд администратора на клиентскую часть системы защиты.

Подсистема управления Secret Net устанавливается на рабочем месте администратора безопасности и предоставляет ему следующие возможности:

- централизованное управление защитными механизмами клиентов Secret Net;

- контроль всех событий имеющих отношение к безопасности информационной системы;

- контроль действий сотрудников в ИС компании и оперативное реагирование на факты и попытки НСД;

- планирование запуска процедур копирования ЦБД и архивирования журналов регистрации.

Схема управления, реализованная в Secret Net, позволяет управлять информационной безопасностью в терминах реальной предметной области и в полной мере обеспечить жесткое разделение полномочий администратора сети и администратора безопасности. Стоимость составляет - 8645 руб.

Система защиты от вирусов.

Антивирусная программа - программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики - предотвращения заражения файлов или операционной системы вредоносным кодом. Согласно многочисленным исследованиям на сегодняшний день самой распространенной и наносящей самые большие убытки информационной угрозой являются вирусы, "троянские кони", утилиты-шпионы и прочее вредоносное программное обеспечение. Для защиты от него используются антивирусы. Причем этим средством обеспечения безопасности должен быть оборудован каждый компьютер вне зависимости от того, подключен он к Интернету или нет.

Для защиты информации в ООО "Электронные платежи" от вредоносного программного обеспечения будет использоваться Антивирус Касперского 2013. Его стоимость с лицензией на 10 компьютеров - 8000 руб.

Межсетевой экран.

Между локальной сетью и глобальной сетью создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Будем использовать Core Force - первый файрволл, созданный с использованием комьюнити-решения. Он предназначен для защиты персональных компьютеров, работающих под управлением Windows 2003 и Windows XP. Смысл комьюнити-решения заключается в том, что большая группа экспертов по сетевой безопасности (community of security experts) подготавливает и выкладывает для общего пользования настройки для работы Core Force, которые постоянно, с учетом появления новых приложений, обновляются.

Эти настройки безопасности могут быть бесплатно скачаны с сайта комьюнити. Такой подход, по замыслу разработчиков, должен позволить даже самому неподготовленному в вопросах безопасности пользователю без труда настроить свой файрволл на его оптимальную работу, т.е. максимально возможно защитить компьютер.

Core Force бесплатен как для некоммерческого, так и для коммерческого использования. Распространяется по лицензии Apache 2.0.

Система хранения информации.

Взрывной рост объемов данных - одна из основных тенденций развития современных IT-систем. Помимо роста объемов, наблюдается рост значимости данных, и, как следствие, появляется необходимость в бесперебойном доступе к данным, к защите от аварий и катастроф. При этом на передний план выходят так же вопросы стоимости хранения данных и сохранения инвестиций в инфраструктуру.

Все эти задачи успешно решаются за счет применения передовых принципов дизайна систем хранения, таких как консолидации и виртуализации вычислительных ресурсов. Будем использовать Storage Works DAT HP систему хранения информации.

Данное программное обеспечение является недорогим и надежным решением резервного копирования данных для серверов начальных уровней и рабочих станций. Стоимость: 38233 руб.

Система проведения закрытых совещаний.

"Грань-300". Габариты - 90х55х25 мм. Устройство защиты аналоговых телефонных аппаратов от потери информации за счет микрофонного эффекта и ВЧ-навязывания, блокировка. Стоимость - 5850 руб. Будем использовать для защиты от прослушивания телефона в кабинете руководителя.

ОMS-2000. Акустический излучатель является специализированным электроакустическим преобразователем и предназначен для возбуждения акустического шума. Он предназначен для защиты пространства подвесных потолков, ниш, шкафов, вентиляционных коробов. Стоимость 3250 руб.

Оценка стоимости средств защиты информации приведена в табл. 3.3.



Таблица 3.3 - Расчет стоимости защиты информации

Средства защиты информации	Стоимость, руб.
1. Физические средства защиты:
Система охранного телевидения (СОТ):
- Видеокамера КРС-190 SP1(5 шт.)	8450
- Монитор HS-BM122A	5232,25
Система охранной и пожарной сигнализации:
- Контрольная панель VISTA-50LP	14820
- ИП-212-5М3 ДИП-3М (9шт.)	4633,32
- Окно-4 Датчик разбития стекла(17 шт.)	2055,30
- АС-22. Звуковой оповещатель	195
- ИО-102-5 Извещатель магнитоконтактный (6шт.)	351
Система контроля и управления доступом на объект (СКУД):
- ISEO-5210-хх-хх-х. Электромеханический замок для двери	2189,20
- Решетки на окна 39 кв.м. (780руб кв.м.)	30420
- Сейф P-36	17076,80
2. Программно-аппаратные средства защиты:
- Система защиты от НСД Secret Net 5.1	8645
- Антивирусная программа Kaspersky AVP Platinum	8000
- Межсетевой экран Core Force	бесплатный
- Система хранения информации Storage Works DAT HP	38233
Система проведения закрытых совещаний:
- Устройство защиты аналоговых телефонных аппаратов Грань-300	5850
- Акустический излучатель ОМС-2000	3250
Итого	149400,90

Оценка стоимости комплексной системы защиты информации.

В табл. 3.4 представлена примерная среднерыночная стоимость работ и оборудования необходимого для внедрения комплексной системы защиты информации в ООО "Электронные платежи".

Таблица 3.4 - Примерная стоимость работ и оборудования КСЗИ

Статья затрат	Стоимость, руб.
1. Приобретение средств защиты	149400,90
2. Монтаж СЗИ	71500
3. Специальные исследования помещений	52650
4. Разработка соглашений и инструкций	26000
5. Разработка заключения о степени защищенности и аттестата соответствия	19500
Итого:	319050, 90

Таким образом, из приведенных выше расчетов видно, что в случае реализации угроз на конкретный ресурс компания понесет убытки в размере 458500 руб.

Затраты на разработку комплексной системы защиты информации составляют 70% от стоимости убытков, которые компания может понести в случае реализации возможных угроз.

3.2 Оценка рисков комплексной системы защиты информации

В данном разделе рассчитаем риски для разработанной системы защиты информации.

Критичность ресурса (КР) - степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы.

Критичность реализации угрозы (КРУ) - степень влияния реализации угрозы на ресурс, задается в процентах.

Вероятность реализации угрозы через данную уязвимость в течение года P - степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в процентах.

Объект защиты - АРМ сотрудника.

По оценке начальника службы безопасности критичность ресурса равна 700000 руб.

Возможные угрозы и уязвимости представлены в табл. 3.5.



Таблица 3.5 - Возможные угрозы и уязвимости для автоматизированного рабочего места

Угроза	Уязвимости
1. Физический доступ нарушителя к АРМ	1. Отсутствие системы контроля доступа служащих к чужим автоматизированным рабочим местам
	2. Отсутствие системы видеонаблюдения в компании
	3. Несогласованность в системе охраны периметра здания
2. Разглашение конфиденциальной информации (КИ), хранящейся на АРМ	1. Отсутствие соглашения о неразглашении между администрацией и служащими
	2. Нечеткое распределение ответственности между служащими
3. Разрушение КИ при помощи специальных программ и вирусов	1. Отсутствие или некорректная работа антивирусного программного обеспечения
	2. Отсутствие ограничения доступа пользователей к внешней сети

В табл. 3.6 представлены вероятности реализации данной угрозы через уязвимость в течение года и критичности реализации угрозы.

Таблица 3.6 - Вероятности реализации данной угрозы через уязвимость в течение года и критичности реализации угрозы

Угроза/ уязвимость	P, %	КРУ,%
1	2	3
1/1	12	50
1/2	5	50
1/3	3	40
2/1	20	40
2/2	20	40
3/1	3	90
3/2	10	60

В табл. 3.7 представлен уровень угрозы по определенной уязвимости (УУ) и уровень угроз по всем уязвимостям (УУсовокупный).



Таблица 3.7 - Уровень угрозы по определенной уязвимости (УУ) и уровень угроз по всем уязвимостям (УУсовокупный)

Угроза/ уязвимость	УУ	УУсовокупный
1/1	0,06	0,094
1/2	0,025
1/3	0,012
2/1	0,08	0,154
2/2	0,08
3/1	0,027	0,085
3/2	0,06

Воспользовавшись формулой (2.3) определим значение общего уровня угроз по данному ресурсу, который составит соответственно 0,299.

Воспользовавшись формулой (2.4) определим значение риска по данному ресурсу, который составит соответственно 418600 руб.

Рассчитаем коэффициент защищенности данного ресурса по формуле

,

где - общий уровень угроз по ресурсу для защищенной системы;

- общий уровень угроз по ресурсу для незащищенной системы.

Воспользовавшись формулой (3.1) коэффициент защищенности требуемого ресурса компании равен 54%.

Соответственно можно сделать вывод, что с внедрением КСЗИ защищенность автоматизированных рабочих мест увеличилась на 54%.

Так же, из приведенных выше расчетов видно, что в случае реализации угроз на данный ресурс, с учетом внедрения комплексной системы защиты информаци...