Размещено на http://www.allbest.ru/

Федеральное агентство связи

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Поволжский государственный университет телекоммуникаций и информатики»

Факультет Телекоммуникаций и радиотехники

Направление (специальность)

Информационная безопасность телекоммуникационных систем

Кафедра Мультисервисных сетей и информационной безопасности

Выпускная квалификационная работа (дипломный проект)

Система физической защиты выделенного помещения

Разработала ИБТС-11 О.Н. Жмурина

Руководитель проф. д.т.н., проф. О.Н. Маслов

Н. контролер доцент к.т.н. Н.М. Бельская

Консультант по ТБ и ОТ доцент к.ф.-м.н. А.А. Вороной

Консультант по ТЭО доцент к.э.н. О.В. Витевская

Самара 2017

Введение

В наше время безопасность является одним из самых актуальных направлений в бизнесе и в жизни в целом.

Непрерывное и стабильное функционирование любого объекта невозможно без организации надежной защиты, включающей в себя комплекс мер, направленных на выявление основных угроз и опасных ситуаций, оценки ущерба при осуществлении этих угроз и создания системы комплексной безопасности объекта.

Безопасность защищаемого объекта - это состояние защищенности объекта от угроз причинения ущерба (вреда) жизни или здоровью людей; имуществу физических или юридических лиц; государственному или муниципальному имуществу; техническому состоянию, инфраструктуре жизнеобеспечения; внешнему виду, интерьеру(ам), ландшафтной архитектуре; окружающей природной среде.

Комплексная безопасность инфокоммуникационной компании (ИКК) как системный многопараметрический показатель может быть разделена на четыре основные части: экономическую, организационно-техническую, потребительскую и эксплуатационную [9].

Структуру комплексной безопасности ИКК иллюстрирует схема на рис.:

Рис. - Составляющие комплексной безопасности ИКС

Злоумышленник использует уязвимости системы безопасности, чтобы совершать противоправные действия, и применяет для этого все доступные достижения науки и техники. Атаки злоумышленников происходят постоянно, и организации часто скрывают факты хищений, чтобы не подорвать свою репутацию.

Например, 1 декабря 2016 года хакеры вывели из российского банка более 100 млн руб., рассказали "Ъ" два источника на рынке информационной безопасности и собеседник, близкий к ЦБ. "Банк России зафиксировал факт атаки. По предварительным оценкам, сумма ущерба составляет немногим более 100 млн руб.",-- подтвердили в пресс-службе ЦБ. Название атакованного банка не раскрывается. Атаке подвергся филиал регионального банка, и злоумышленники вывели все средства, которые были в данном филиале, утверждает собеседник, близкий к ЦБ. По одной из версий, произошла хакерская атака с использованием уязвимости в АБС, разработанной компанией "Диасофт", которую использовал данный банк, говорит источник в ЦБ.

АБС представляет собой аппаратно-программный комплекс, направленный на автоматизацию банковской деятельности. В системе ведется учет данных о клиентах банка, заключенных договорах банковского обслуживания, расчетных и валютных счетах, обрабатываются платежные поручения, формируются реестры платежей для проведения расчетов через платежную систему Банка России [19].

Физическая безопасность является значимой частью комплексной безопасности объекта, и из-за нарушения физической безопасности можно лишиться конфиденциальной информации, денежных средств, также может упасть репутация предприятия.

Все вышесказанное определило актуальность темы проекта - система физической защиты выделенного помещения.

В моем дипломном проекте я буду рассматривать предприятие ООО «ФармГрад». Цель моего дипломного проекта - спроектировать систему физической защиты для данного объекта и, в том числе, для выделенного помещения.

Основные задачи, которые необходимо решить:

1) Гарантированное обнаружение попыток и фактов несанкционированного проникновения физических лиц на сам объект и в его помещения, несанкционированного доступа к оборудованию;

2) Организация задержки лиц, причастных к подготовке или совершению диверсии, хищению носителей конфиденциальной информации или иных материальных ценностей предприятия;

3) Видеоверификация попыток и фактов несанкционированного проникновения физических лиц в помещения и к оборудованию объекта, а также возможность непрерывного визуального наблюдения за обстановкой в наиболее уязвимых и особо важных зонах объекта;

4) Своевременное обнаружение пожароопасной обстановки и риска затопления оборудования объекта за счет возникновения аварийных протечек или стихийных бедствий;

5) Обеспечение автоматического пропускного режима на территории объекта с возможностью контроля нахождения персонала в особо важных зонах объекта;

6) Ведение архивов событий безопасности и действий оперативного персонала объекта;

7) Оперативное, гибкое и удобное управление функционированием системы физической защиты объекта с поддержкой принятия оперативных решений и оповещения персонала объекта в критических ситуациях;

8) Наличие надежной оперативной связи с подразделениями охраны и пожарной безопасности;

Объектом исследования выступает предприятие ООО «ФармГрад». Предметом исследования является система физической защиты выделенного помещения и всего объекта в целом.

Основными источниками информации для написания работы послужили лекции О.Н. Маслова [8] по дисциплине «Система физической защиты объекта», книга В.С. Барсукова «Обеспечение информационной безопасности» [1].

Цель и задачи написания работы определили ее структуру, которая состоит из введения, пяти глав, заключения, списка используемых источников и приложений.

Во введении обосновывается актуальность работы, цель, задачи, объект и предмет исследования.

Первая глава раскрывает принципы обеспечения физической безопасности. Вторая глава описывает организационно-технические основы создания систем корпоративной безопасности. В третьей главе описываются результаты проектирования. В четвёртой главе рассматривается техника безопасности и охрана труда на предприятии. В пятой главе описывается технико-экономическое обоснование проекта.

В заключении сделаны основные выводы и результаты по проделанной работе.

1 Принципы обеспечения физической безопасности

1.1 Принципы проектирования СФЗ

Система физической защиты (СФЗ) представляет собой интегрированную совокупность компонентов (персонал, рабочие процедуры, оборудование), предназначенную для защиты имущества или объектов от хищений, диверсий и других неправомерных действий злоумышленника. Сама СФЗ должна обеспечивать защиту от всех видов несанкционированных действий (НСД): направленных на вывод из строя как объекта защиты, так и ее самой, и аварийной безопасностью (на случай пожара, наводнения, землетрясения, короткого замыкания в электросети и т.д.), а также выполнять функцию сдерживания (устрашения). Сдерживание достигается путем реализации мер, воспринимаемых злоумышленником как труднопреодолимые и делающие объект непривлекательным для него (охрана, освещение ночью, установка предостерегающих знаков, решетки на окнах, стальные двери и т.п.).

Проектирование СФЗ предусматривает определение целей СФЗ, создание предварительного проекта, оценку и доработку его с целью доведения до заданных кондиций. Проект СФЗ должен обеспечивать защиту объекта во время нападения и предусматривать дополнительное применение средств сдерживания. Этапы проектирования СФЗ иллюстрирует рис. 1.1. Как это видно из рис. 1.1, процесс создания СФЗ начинается с формулировки задач, стоящих перед ней (определение целей СФЗ), затем проектируется система, способная решать эти задачи (определяются элементы СФЗ), и, наконец, оценивается, в какой мере она будет способна решать эти задачи на практике (анализ проекта СФЗ). В зависимости от результатов этой оценки проект дорабатывается (переработка проекта СФЗ) или принимается как окончательный вариант.

Размещено на http://www.allbest.ru/

Рис. 1.1 - Этапы проектирования СФЗ

сигнализация офис видеонаблюдение контроль

На этапе определения целей СФЗ должны быть описаны характер и условия функционирования объекта защиты, выявлены возможные угрозы и цели нападения, сформулированы задачи СФЗ. Описание объекта включает: нахождение границ объекта в целом и отдельных зданий, расположенных на его территории, планы этажей зданий, указание входов; характеристики рабочих процессов на объекте; указание и анализ эффективности существующих мер защиты.

Источники информации: проектная документация, описания технологических процессов, отчеты по охране труда и воздействию на окружающую среду, результаты посещения объекта и опроса сотрудников. Описание объекта необходимо для правильной формулировки требований к СФЗ и ограничений, связанных с функционированием и обеспечением аварийной безопасности объекта, а также решения вопросов ответственности, соблюдения юридических и других норм.

Определение возможных угроз дает ответ на вопросы:

· Какой тип злоумышленника следует принимать во внимание (посторонние лица, сотрудники, посторонние лица в сговоре с сотрудниками);

· Каким может быть набор тактических приемов злоумышленника (обман - с помощью фальшивых документов; насилие - прямое силовое воздействие на охрану; кража имущества или информации; скрытность действий - попытка обойти СФЗ и тайно проникнуть на объект; в том числе их комбинации);

· Каковы возможности злоумышленника каждого типа (преступник, недовольный сотрудник, недобросовестный конкурент или их комбинация).

Целями нападения могут быть имущество, информация на электронных и других носителях, сотрудники, критические области и процессы, факторы влияние на работу объекта. Приоритеты между целями расставляются по критерию потерь, связанных с диверсиями, направленными на их достижение. В заключение на данном этапе формулируются задачи СФЗ на данном конкретном объекте.

Этап проектирования СФЗ решает главную задачу: как с помощью оборудования (защитные ограждения и сетки, барьеры, внешние и внутренние датчики, рабочие процедуры, средства связи), охраны (персонал службы безопасности) и рабочих процедур (инструкции, правила, нормативы) построить систему, способную решать все поставленные задачи. Главные функции СФЗ: обнаружение, задержка злоумышленника и реагирование охраны тесно связаны между собой, они должны дополнять друг друга при защите наиболее уязвимых мест. Существуют и общие правила: например, средства обнаружения следует располагать как можно дальше от возможных целей нападения, а средства задержки - как можно ближе к ним, и конкретные объектно-ориентированные рекомендации.

Этап анализа проекта СФЗ требует проверки ее эффективности в моделируемых ситуациях, как для СФЗ в целом, так и для ее компонентов. Конечная цель: оценка уязвимости СФЗ и выявлением ее слабых мест, которые при доработке проекта должны быть ликвидированы, - с учетом возможного уточнения и переопределения целей защиты.

Основные «рабочие» компоненты СФЗ - оборудование и охрана, между которыми устанавливается своего рода баланс с учетом уровня технологического оснащения и специфики объекта. Задачей СФЗ является предотвращение диверсий, направленных на вывод из строя оборудования, хищения имущества и информации, воздействия на сотрудников. Главные функции СФЗ - обнаружение, задержка и реагирование на действия злоумышленника в течение промежутка времени, меньшего чем то, которое необходимо ему для выполнения цели нападения. Критерии эффективности СФЗ являются измеряемыми и подлежат количественной оценке - расчетным и экспериментальным путем.

Обнаружение представляет собой установление факта появления злоумышленника на объекте, оно может быть как скрытым, так и открытым. Показатели эффективности: вероятность правильного обнаружения и время, необходимого для сообщения о нападении и его оценки (анализа ситуации на объекте). В функцию обнаружения СФЗ входит также контроль на входе: разрешение санкционированного и выявление НСД людей и выноса имущества. Показатель эффективности оборудования на входном контроле: пропускная способность (человек в единицу времени), частота ошибочных проходов (допустимый процент НСД: пропуска посторонних лиц с подложными документами или неверно идентифицированных) и частота ложных отказов (допустимый процент сотрудников, которым неправомерно отказано в пропуске).

Функцию обнаружения могут также выполнять охранники - расположенные на стационарных постах или патрулирующие территорию объекта. Оценка сигнала тревоги в СФЗ имеет в виду оперативный анализ поступивших данных с ответом на два вопроса:

· Является тревога истинной или ложной;

· Какова причина тревоги - что произошло на объекте, один или группа злоумышленников обнаружены, где произошел инцидент, как развиваются события и т.д.).

Задержка - функция СФЗ, которая состоит в том, что продвижение злоумышленника к цели нападения замедляется с помощью барьеров, замков, привлечения персонала, эта функция может быть активированной. Сотрудники охраны могут выполнять функцию задержки, если они расположены на хорошо защищенных местах. Показатель эффективности: время, необходимое злоумышленнику для того, чтобы обойти каждый элемент задержки после его обнаружения (задержка злоумышленника до обнаружения представляет собой его сдерживание).

Реагирование состоит из действий, предпринимаемых охраной для воспрепятствования достижению цели нападения после обнаружения злоумышленника (прерывание действий злоумышленника). Прерывание определяется как прибытие достаточных сил охраны в нужное место для остановки (нейтрализации) злоумышленника, что предполагает получение ими точной информации о времени и месте нападения и возможность их развертывания. Показатель эффективности: время между получением информации о нападении и моментом прерывания действий злоумышленника. Развертывание включает в себя действия охраны между моментом получения ими информации о нападении и моментом их появления на позициях с целью прерывание действий злоумышленника. Показатели эффективности: вероятность своевременного развертывания в месте нахождения злоумышленника и время, необходимое для этого.

Все элементы СФЗ должны быть отказоустойчивыми и ремонтопригодными, доступными для персонала и удобными в эксплуатации. Рабочие процедуры СФЗ должны быть совместимыми с производственными процессами на объекте, должны обеспечиваться аварийная безопасность и защита СФЗ от несанкционированных действий..

При создании системы физической защиты объектов предприятия необходимо:

· Учитывать особенности предприятия, специфику расположения его объектов, наличие территориально обособленных (удаленных) объектов, виды работ, проводимых с использованием конфиденциальной информации, а также степень ее конфиденциальности;

· Выбирать силы и средства физической защиты, в том числе структуру и состав подразделений охраны, на основе анализа и оценки потенциальных угроз объектам предприятия;

· Ограничивать количество сотрудников предприятия, допускаемых к вопросам организации системы физической защиты, а также к используемым инженерно-техническим средствам;

· Обеспечивать устойчивое функционирование элементов системы, поддержание в работоспособном состоянии технических средств охраны. Основу функционирования системы физической защиты составляют организационные мероприятия. Они включают комплекс мер, принимаемых руководством предприятия для физической защиты его объектов, а также нормативно-методические и планирующие документы, регламентирующие их осуществление.

1.2 Модель вероятного злоумышленника

Наряду с анализом оперативной информации, относящейся к конкретным юридическим и физическим лицам, при обеспечении безопасности корпорации оказывается полезным создание обобщенного «портрета» противника путем моделирования совокупности его типовых признаков (интересов, связей, потенциальных возможностей и т.п.) в виде модели вероятного злоумышленника.

Анализ возможностей злоумышленника, с учетом всей имеющейся и продолжающей поступать информации о нем, является необходимым условием для организации системы обеспечения практически любой составляющей безопасности ИКК: экономической, потребительской, эксплуатационной и др. Но в первую очередь это относится и к обеспечению информационной безопасности, которое в настоящее время тоже рассматривается как своеобразный бизнес-процесс, рассчитанный на долгосрочную перспективу и обеспечивающий процветание и победу компании в конкурентной борьбе, где в роли злоумышленника наиболее часто выступает недобросовестный конкурент.

Круг людей, вовлеченных в сферу деятельности ИКК, достаточно широк и разнообразен. Среди этих людей (персонал, партнеры, пользователи услуг, а также родственники, друзья, соседи и др.) находятся лица, которые по самым разным причинам (от профессиональной принадлежности до порочных наклонностей, халатности и некомпетентности) представляют интерес для злоумышленника. Последствия их «совместной деятельности», связанные с экономическим ущербом для ИКК, должны быть в идеале предотвращены и исключены, а в реальности - уменьшены до приемлемого предела. При создании модели, то есть прогнозировании образа мысли, стимулов и принципов деятельности каждого конкретного злоумышленника, важное значение имеет сочетание общих принципов моделирования (словесного, математического, компьютерного) с данными анализа его индивидуальных (специфических) характеристик.

В первую очередь необходимо оценить оперативно-тактические, технические и аналитические возможности злоумышленника. При оценке оперативно-тактических возможностей следует исходить из того, что злоумышленник обладает возможностями, близкими к потенциально достижимым, например:

- при перехвате конфиденциальной информации (КИ) может осуществить его в непосредственной близости от технических средств (ТСР) - оборудования и аппаратуры, которыми располагает ИКК;

- при наличии допуска (статуса сотрудника или пользователя) имеет возможность легального проникновения на территорию объекта;

- способен применять все возможные способы несанкционированного доступа (НСД) к КИ и т.д.

Кроме того, следует считать, что злоумышленник имеет достаточно высокую профессиональную подготовку и располагает сведениями, облегчающими получение КИ, а именно:

· Знаком с профилем бизнеса ИКК и компетентен в данной области, имеет сведения об аналогах ИКК;

· Изучил временные и другие режимы работы ИКК, имеет представление о рабочих характеристиках и возможностях ТСР ИКК;

· Изучил расположение подлежащих защите помещений (ПЗП) на объекте, размещение в них ТСР ИКК, работающих с КИ и т.п.

Оценка технических возможностей злоумышленника основана на том, что он может быть оснащен любыми существующими (известными на сегодняшний день) ТСР для достижения своих целей. Аналитические возможности злоумышленника также необходимо оценить максимальным образом, предполагая, что он обладает всеми необходимыми знаниями и навыками, а также глубоким пониманием сути вопроса. В плане человеческих качеств следует считать, что злоумышленник силен, вынослив, упорен и мотивирован в своей работе настолько, что в состоянии решить все поставленные перед ним задачи, в моральном отношении он способен прибегнуть и к незаконным действиям (кража, шантаж, вымогательство, подкуп), включая прямое насилие.

С точки зрения технического вооружения, тенденцией последних лет является стремление злоумышленника приобретать и использовать новейшую аппаратуру отечественного и зарубежного производства. Достижения в области космических исследований, радиоэлектронной, вычислительной и рентгеновской техники позволяют создавать высокоэффективные средства для НСД к КИ. Поскольку наиболее уязвимым элементом СС в этом плане является аппаратура ИКК, информационная безопасность корпорации в наибольшей мере зависит от технических средств ее обеспечения. В итоге анализ и практический опыт показывают, что моделью наиболее вероятного злоумышленника является служба корпоративной коммерческой разведки (КР) недобросовестного конкурента, так как злоумышленнику-одиночке трудно удовлетворить данным требованиям, чтобы противостоять также достаточно хорошо укомплектованной и вооруженной СБ современной ИКК. Поэтому необходимо рассмотреть достаточно широкий круг вопросов, связанных с организацией и принципами функционирования службы КР.

1.3 Угрозы безопасности предприятия

Для того чтобы грамотно построить физическую безопасность своих информационных ресурсов надлежащим образом необходимо понять основные угрозы безопасности, а также методы их решения.

Можно выделить следующие угрозы безопасности:

§ Противоправная деятельность конкурентов, преступных групп, а также третьих лиц или сотрудников компании в отношении собственности компании и сотрудников, которые могут привести к материальным и финансовым потерям фирмы или нанесения ущерба здоровью персонала компании;

§ Преднамеренные действия сотрудников компании, которые имеют доступ к финансовым, материальным и информационным ресурсам;

§ Непреднамеренные нарушения установленных требований учета, хранения, оборота и продажи товарно-материальных ценностей, финансовых ресурсов, служебных документов и информации, приводящие к утере ресурсов и хищениям;

§ Умышленные действия, которые приводят к сбоям в работе технических систем (электроснабжение, вентиляция, отопление, системы охлаждения и др.) которые могут привести к сбоям в работе и производственным потерям средств охраны (видеонаблюдения, систем СКУД, охранно-пожарной сигнализации, связи) которые позволят злоумышленнику проникнуть на территорию компании, и может повлечь за собой хищению материальных, финансовых и информационных ресурсов.

§ Чрезвычайные ситуации: пожары, аварии, разрушения, техногенные катастрофы и природные катаклизмы.

Вопросом физической безопасности информационных объектов занимаются достаточно давно. Со временем все наработки и рекомендации были собраны в свод правил по управлению защитой информации в стандартах ISO/IEC 27002 и ГОСТ Р ИСО/МЭК 17799-2005. В данных стандартах описаны рекомендации для комплексной защиты информации.

При проектировании СФЗ необходимо исходить из предположений о наиболее вероятных намерениях и потенциальных возможностях потенциальных злоумышленников, используя все виды открытой и закрытой информации. Эти умозрительные предположения становятся основой для принятия реальных и ответственных решений - например, связанных с финансированием работ по созданию и совершенствованию СФЗ. Концепция основной проектной угрозы описывает как сам процесс определения угроз, так и его последствия (выводы).

Методика определения угроз включает три этапа: составление списка элементов информации (сведений) необходимого для определения угроз; сбор сведений относительно потенциальных угроз для конкретного объекта; организация банка данных по угрозам в виде, удобном для пользования им.

Список элементов информации включает, например, сведения о потенциальных злоумышленниках: мотивации, цели, тактика, численность, возможности, а также типы злоумышленников: посторонние лица, сотрудники, сотрудники в сговоре с посторонними лицами. К посторонним лицам относятся террористы, преступники, экстремисты, хакеры и т.п. Мотивы их действий можно разделить на три категории:

· Идеологические - связанные с политической или философской системой, что характерно для террористов и экстремистов, философских и религиозных фанатиков;

· Экономические - обусловленные стремлением получить финансовую выгоду от захвата имущества или информации, которые злоумышленник предполагает продать или получить за них выкуп, осуществить вымогательство;

· Личные - связанные с конкретными ситуациями, в которых оказались конкретные лица: от враждебно настроенного (обиженного администрацией или коллегами) сотрудника до психопата, от развлекающихся хакеров до людей, подверженных наркотической или алкогольной зависимости.

Потенциальными целями злоумышленника (группы злоумышленников), в соответствии с изложенным, могут быть кража, диверсия, вымогательство, насилие, похищение людей (заложников), злоупотребления на объекте, раскрытие конфиденциальной (секретной, коммерческой, личной) информации.

Сотрудники - это лица, осведомленные о структуре и особенностях работы объекта и (или) о характеристиках СФЗ. Спектр угроз, исходящих от сотрудников, включает пассивные пособнические действия (передача информации об объекте, несвоевременное реагирование на НСД), активные, но без вовлечения в насильственные действия (подготовка входов и выходов, отключение средств сигнализации и связи) и активные с непосредственным участием в насильственных действиях. В качестве основного варианта сначала рассматривается (как наиболее вероятный на практике) случай появления одного злоумышленника, затем - варианты, когда злоумышленников несколько.

Мотивы у сотрудников могут быть такими же, как у посторонних лиц, но эта группа злоумышленников отличается следующими особенностями: знанием объекта и СФЗ, которое может быть использовано ими в корыстных или иных неблаговидных целях; санкционированным и не вызывающим подозрений доступом на объект, к имуществу, к СФЗ; возможностью выбрать оптимальное время и место для НСД.

Особую опасность представляют сотрудники охраны. На рис. 1.2 представлены типовые меры защиты от спектра угроз со стороны посторонних лиц и сотрудников объекта защиты. Посторонние лица, действующие в одиночку, сдерживаются или останавливаются в основном с помощью СФЗ, тогда как неправомерные действия сотрудников - прерываются путем принятия организационных мер, связанных с учетом и отслеживанием наиболее важного (критического) имущества (ведение описей, выборочные проверки, инвентаризация, осмотры). На случай сговора между посторонними лицами и сотрудниками к процедурам и мерам СФЗ добавляется контроль имущества, представляющего интерес для злоумышленников (например, на всем протяжении пути имущества по объекту устанавливаются дополнительные пункты контроля). Дополнительные процедурные меры - проверки при приеме на работу с последующим периодическим обновлением данных, разделение рабочих обязанностей так, чтобы критичные операции выполнялись двумя и более сотрудниками.

Размещено на http://www.allbest.ru/

Рис.1.2 - Меры защиты от спектра угроз

Оценка возможностей злоумышленника (число участников группы и их вооруженность, наличие взрывчатки, средств связи и транспорта, технические навыки и опыт, возможность вербовки сотрудников) имеет чрезвычайную важность при создании СФЗ. Механический и электрический инструмент, портативные ЭВМ, химикаты, автомобили и вертолеты - злоумышленник может захватить их на объекте или доставить извне. Предполагается, что злоумышленник будет использовать любую тактику, позволяющую ему достичь цели нападения. В случае применения тактики насилия злоумышленник преодолевает СФЗ, не скрывая своих намерений; при использовании тактики скрытности - старается тайно проникнуть на объект и как можно дольше оставаться необнаруженным. Обман подразумевает использование подлинных или поддельных документов (пропусков, удостоверений) для получения доступа к информации или имуществу и их изъятию под видом санкционированных действий. Злоумышленники из числа сотрудников наибольшие преимущества получают в связи с тем, что имеют подлинные документы и разрешения находиться вблизи цели нападения, их основная тактика - применение насилия на рабочем месте. Преступники используют комбинацию скрытности и обмана, террористы - скрытности и насилия.

Цели злоумышленника в значительной мере определяют способ его действий: СФЗ неэффективна при хакерских атаках на корпоративную сеть, но способна обезопасить объект от угроз даже со стороны группы преступников, которым помогает сотрудник.

Сбор информации об угрозе ведется с использованием следующих источников: разведывательные данные; результаты исследования проблем преступности; профессиональные организации и службы; печатные издания и Internet; правительственные директивы и документы законодательных органов, указания вышестоящего руководства.

Для определения конкретных угроз рассматривается информация о региональных, национальных и международных угрозах - в зависимости от назначения и местоположения объекта. Источники разведданных по договоренности могут регулярно давать информацию о деятельности групп, представляющих угрозу для объекта. Для этого необходимо наладить взаимодействие с национальными правоохранительными и разведывательными органами (через соответствующие местные органы) в ясной и доходчивой форме сообщая им, какая информация от них необходима.

Для этого в запросах надо указывать: конкретный объект или объекты, подлежащие защите; действия злоумышленников, которые нужно предотвратить (кража имущества и информации, промышленный шпионаж, диверсии) и цели нападения, которые необходимо защитить; информацию о разного рода инцидентах на объекте (случаи воровства, причинения вреда имуществу, шпионаж).

Результаты исследования проблем преступности - для определения характера потенциальных угроз представляют интерес обзоры истории и текущего состояния местной, национальной и международной преступности. При отсутствии аналогов анализируются преступления в смежных областях, случаи изощренного воровства, вооруженных нападений, промышленных диверсий. Особое внимание уделяется преступлениям, совершенным высокообразованными профессионалами, инцидентам с участием политических экстремистов, террористическим нападениям, а также демонстративным актам, целью которых является не нанесение ущерба, а оглашение политических целей. Исследуются мотивы и психология преступников (поджигателей, подрывников, серийных убийц, смертников) и их преступления - с тем, чтобы понять их порой необычные мотивы и возможности.

Профессиональные организации и службы могут предоставлять информацию путем консультаций по вопросам проведения расследований, коммерческой разведки, экономических оценок, вычислительной техники, связи и т.д. Консультантами могут быть психологи, криминалисты, адвокаты, чьи рекомендации способствуют выявлению возникающих чаще всего видов угроз.

Печатные издания и Internet - поиск и анализ обширной информации о возможных угрозах требует анализа материалов в прессе, библиотеках, открытых базах данных. Особый интерес представляют сведения о новых угрозах: например, нападениях с применением химического, биологического и электронного оружия, террористические акты, международная преступность (в том числе перевозка наркотиков), информационные войны.

Правительственные директивы и документы законодательных органов, указания вышестоящего руководства содержат официальную информацию об ожидаемых или появляющихся угрозах. В связи с разработкой указанных документов обычно выполняются специальные исследования, результаты которые также могут быть полезны при идентификации угроз для конкретных объектов и целей нападения, определения способности федеральных и местных властей эффективно противодействовать им.

Информация об угрозах должна быть обработана, систематизирована и представлена в удобном для восприятия виде. Табл. 1.1 иллюстрирует спектр внешних угроз для злоумышленника из категории посторонних лиц трех основных типов: террорист, преступник, экстремист.

1.4 Методы и средства обеспечения физической безопасности

Рассмотрим на рис 1.3 основные моменты, связанные с физической безопасностью информационных ресурсов, которые имеют не только теоретическую, но и практическую ценность.

Физическая безопасность информационных ресурсов - это комплекс информационно-технических мероприятий, соблюдение которых позволит эффективно защитить бизнес от возможных атак конкурирующих организаций, внутренних атак, а также возможных стихийных бедствий.

Рис. 1.3 - Средства обеспечения физической безопасности информационных ресурсов

Нормативное обеспечение:

· Необходимо разработать, задокументировать и периодически обновлять политики физической защиты и защиты среды информационной системы;

· Необходимо разработать процедуры и меры связанные с реализацией политики физической защиты и защиты средств информационной системы.

Персонал и уровни доступа:

· Необходимо разработать списки персонала, которым будет разрешен доступ в соответствии с политикой безопасности, а также механизм идентификации (бейджи, информационные карты и т.п.);

· Соответствующие должностные лица должны рассматривать и утверждать списки доступа, а также пересматривать списки в соответствии с установленной периодичностью.

Управление физическим доступом:

· Уровень защищенности помещений должен быть соразмерен с возможными рисками;

· Необходимо иметь систему правления доступом во всех точках доступа к информационным ресурсам и активам;

· Необходимо использовать четко определенные периметры безопасности для защиты помещений и зон, в которых расположены средства обработки информации;

· Необходимо использовать четко определенные периметры безопасности для защиты помещений и зон расположения средств обработки информации;

· Доступ в помещения и здания должен быть предоставлен только авторизованному персоналу;

· До предоставления физического доступа к активам должна быть выполнена процедура проверки полномочий на доступ;

· Необходимо регулярно анализировать и пересматривать права доступа сотрудников в зоны безопасности;

· Должен осуществляться постоянный контроль доступа в зонах входа в периметр здания для обеспечения уверенности в том, что доступ позволен только авторизованному персоналу.

Мониторинг физического доступа:

· В процессе мониторинга должны использоваться устройства наблюдения и сигнализации реального времени, а также автоматизированные средства, обеспечивающие распознание нарушений и инициирующие ответные действия;

· Контроль физического доступа к помещениям должен обеспечиваться использованием самых жестких методов идентификации/аутентификации.

Защита оборудования:

· Оборудование должно быть расположено и защищено так, чтобы уменьшить риски от воздействий окружающей среды и возможности неавторизованного доступа;

· Оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с электричеством (резервные источники питания, генераторы и т.п.);

· Необходимо обеспечить противопожарную защиту, а также защиту от других экологических и техногенных катастроф;

· Необходимо защищать телекоммуникационные кабельные сети от перехвата информации или повреждения;

· Необходимо проводить надлежащее техническое обслуживание оборудования для обеспечения его непрерывной работоспособности и целостности.

Контроль посетителей:

· Должна быть выделена зона регистрации посетителей;

· Всех посетителей необходимо сопровождать на объектах;

· Должны вестись журналы учета доступа посетителей;

· Журналы учета доступа посетителей должны периодически анализироваться соответствующими должностными лицами;

· Должны использоваться автоматизированные средства ведения журналов учета доступа посетителей.

1.5 Негативные факторы внешнего воздействия на СФЗ

Негативными факторами воздействия на СФЗ зачастую являются внешние по отношению к объекту условия, такие как:

· Рельеф;

· Растительность;

· Животный мир;

· Шумовой фон;

· Электромагнитная обстановка;

· Климат;

· Почва;

· Дорожные покрытия.

Информация об этих условиях используется для прогнозирования возможных путей проникновения злоумышленника на объект (например, злоумышленник может воспользоваться плохими погодными условиями), для выявления потенциальных причин ложной тревоги в СФЗ (также, злоумышленник может «замаскироваться» под сигнал ложной тревоги) и т.д.

Для установления причины сигнала тревоги и необходимости реагирования нужна оценка - без которой обнаружение не является полным. Датчики, например, взаимодействуют с окружающей средой и сами они не могут отличить вторжение от других схожих явлений в зоне обнаружения (контроля).

Оценка (с помощью замкнутой ТВ системы или визуальным путем) важна для установления причин тревоги и завершения функции обнаружения и преследует две цели:

- определить причины сигнала тревоги каждого датчика (истинная это тревога или ложная);

- предоставить силам реагирования дополнительную информацию о вторжении (что именно произошло, кто проник на объект, в каком месте и с какой численностью).

Также негативное внешнее воздействие на СФЗ может привести к угрозе аварийной безопасности. Аварийная безопасность находится в конфликте с защитой объекта от НСД: в кризисной ситуации лица, ответственные за аварийную безопасность, стремятся как можно быстрее эвакуировать весь персонал; лица, отвечающие за СФЗ, требуют (считая, что кризис может быть спровоцирован для отвлечения внимания от нападения на объект) предотвратить возможность хищений и диверсий. Поэтому при проектировании и эксплуатации СФЗ необходимы взаимопонимание и постоянное сотрудничество со специалистами по аварийной безопасности.

Вывод: мы рассмотрели различные принципы и этапы проектирования СФЗ, определили модель вероятного злоумышленника, составили список угроз безопасности предприятия и определили меры защиты от спектра угроз. Мы обозначили методы и средства обеспечения физической безопасности, определили негативные факторы внешнего воздействия на СФЗ.

2. Организационно-технические основы создания систем корпоративной безопасности

2.1 Задачи, функции, состав службы безопасности

2.1.1 Общие положения

Основными задачами службы безопасности предприятия являются обеспечение безопасности предприятия, производства, продукции и защита коммерческой, промышленной, финансовой, деловой и другой информации, независимо от ее назначения и форм при всем многообразии возможных каналов ее утечки и различных злонамеренных действий со стороны конкурентов.

2.1.2 Правовые основы деятельности службы безопасности

Основные положения, состав и организация службы безопасности имеют юридическую силу в том случае, если они зафиксированы в основополагающих правовых, юридических и организационных документах предприятия.

В основу деятельности службы безопасности положены:

· Закон Российской Федерации «О безопасности»;

· Законы и регламенты России, обеспечивающие безопасность деятельности и сохранность коммерческой тайны;

· Закон о предприятиях и предпринимательской деятельности;

· Кодекс законов о труде (КЗОТ);

· Устав предприятия, коллективный договор, трудовые договоры, правила внутреннего трудового распорядка сотрудников, должностные обязанности руководителей, специалистов, рабочих и служащих.

2.1.3 Основные задачи службы безопасности

Основными задачами службы безопасности предприятия являются:

· Обеспечение безопасности производственно-торговой деятельности и защиты информации и сведений, являющихся коммерческой тайной;

· Организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;

· Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;

· Предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;

· Выявление и локализации возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (аварийных, пожарных и др.) Ситуациях;

· Обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные с деловым сотрудничеством как на национальном, так и на международном уровне;

· Обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;

· Обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;

· Оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов.

2.1.4 Общие функции службы безопасности

Служба безопасности предприятия выполняет следующие общие функции:

· Организует и обеспечивает пропускной и внутри объектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями;

· Руководит работами по правовому и организационному регулированию отношений по защите коммерческой тайны;

· Участвует в разработке основополагающих документов с целью закрепления в них требований обеспечение безопасности и защиты коммерческой тайны, в частности, устава, коллективного договора, правил внутреннего трудового распорядка, положений о подразделениях, а также трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

· Разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ, организует и контролирует выполнение требований «инструкции по защите коммерческой тайны";

· Изучает все стороны коммерческой, производственной, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций о деятельности предприятия и его клиентов, партнеров, смежников;

· Организует и проводит служебные расследования по фактам разглашения сведений, утрат документов и других нарушений безопасности предприятия;

· разрабатывает, ведет, обновляет и пополняет «Перечень сведений, составляющих коммерческую тайну» и другие

· Нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;

· Обеспечивает строгое выполнение требований нормативных документов по защите коммерческой тайны;

· Осуществляет руководство службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и других в части оговоренных в договорах условиях по защите коммерческой тайны;

· Организует и регулярно проводит учебу сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны, добиваясь, чтобы к защите коммерческих секретов был глубоко осознанный подход;

· Ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;

· Ведет учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;

· Поддерживает контакты с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне).

2.1.5 Состав службы безопасности

Служба безопасности является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю предприятия.
Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности.
Организационно служба безопасности состоит из следующих структурных единиц:

· Отдела режима и охраны, в составе сектора режима и сектора охраны;

· Специального отдела в составе сектора обработки секретных документов и сектора обработки документов с грифом «коммерческая тайна";

· Инженерно-технической группы;

· Группы безопасности внешней деятельности.

2.1.6 Права, обязанности и ответственность сотрудников службы безопасности

Сотрудники подразделений службы безопасности в целях обеспечения защиты сведений, составляющих коммерческую тайну, имеют право:

· Требовать от всех сотрудников предприятия, партнеров, клиентов строгого и неукоснительного выполнения требований нормативных документов или договорных обязательств по защите коммерческой тайны;

· Вносить предложения по совершенствованию правовых, организационных и инженерно-технических мероприятий по защите коммерческой тайны.

Сотрудники службы безопасности обязаны:

· Осуществлять контроль за соблюдением «инструкции по защите коммерческой тайны";

· Докладывать руководству о фактах нарушения требований нормативных документов по защите коммерческой тайны и других действий, могущих привести к утечке конфиденциальной информации или утрате документов или изделий;

· Не допускать неправомерного ознакомления с документами и материалами с грифом «коммерческая тайна» посторонних лиц.

Сотрудники службы безопасности несут ответственность за личное нарушение безопасности коммерческой тайны и за не использование своих прав при выполнении функциональных обязанностей по защите конфиденциальных сведений сотрудниками предприятия.

2.1.7 Нештатные структуры службы безопасности.

С целью более широкого охвата и качественного исполнения требований защиты коммерческой тайны решением руководства предприятия и службы безопасности могут создаваться отдельные комиссии, решающие определенные контрольно-ревизионные функции на временной или постоянной основе, такие как:

· Квартальные или годовые комиссии по проверке наличия, состояния и учета документов (материалов, сведений, ценностей);

· Комиссия по оценке возможностей публикации периодических документов, объявлений, проспектов, интервью и других выступлений в печати, на радио и телевидении, семинарах, симпозиумах, конференциях и т.п.;

· Периодические проверочные комиссии для проверки знаний и умений выполнять требования нормативных документов по защите коммерческой тайны, а также по оценке эффективности и надежности защитных мероприятий по обеспечению безопасности предприятия.

2.2 Структура и планирование деятельности службы корпоративной разведки

Организационная структура корпоративной разведки в составе службы безопасности включает два вида подразделений: добывающие и информационные. Добывающие подразделения обеспечивают получение конфиденциальной информации в виде документов, предметов и других материалов, которые представляют или могут представить интерес для корпоративной разведки. В составе этих подразделений могут быть отделы по работе с информаторами; по выявлению и сбору открытых и закрытых публикаций; организации скрытого наблюдения; техническому обеспечению проводимых операций; проведению расследований и документированию поведения объектов корпоративной разведки и т.п. На финансирование добывающих подразделений приходится до 80% затрат службы корпоративной разведки. Добывающие подразделения ориентированы на поиск, сбор, накопление, хранение, переработку и выдачу конфиденциальной информации для ее дальнейшего применения. Хотя наиболее ценными являются готовые к использованию сведения, пренебрегать первичными материалами также считается нецелесообразным.

Основная задача информационных подразделений корпоративной разведки (аналитическое отделение, отделение стратегического планирования, справочно-информационный фонд, группа экспертов и консультантов) состоит в оценке, классификации, анализе и предоставлении руководству ИКК обработанной конфиденциальной информации. Функции, задачи и формы представления результатов работы этих подразделений четко разграничиваются.

В соответствии со своими задачами и планами, органы добывания контактируют с источниками конфиденциальной информации и получают от них необходимые данные и сведения. Однако получить их в объеме и качестве, достаточным для ответа на поставленные вопросы, удается редко - как правило, они недостаточны, разрозненны и малоинформативны, а поэтому нуждаются в последующей аналитической обработке. Задачи по добыванию конфиденциальной информации носят творческий характер и постоянно инициируют исследования по созданию новых способов и средств ведения корпоративной разведки на самом современном научно-технологическом уровне.

В распоряжении корпоративной разведки часто оказываются оперативные сведения, настолько полезные для других подразделений ИКК, что они заинтересованы в сотрудничестве и оказывают содействие при проведении операций по сбору и анализу конфиденциальной информации, подготовке прогнозов технической политики конкурентов и т.п.

Планирование деятельности службы корпоративной разведки осуществляется по следующим направлениям: определение потребности ИКК в конфиденциальной информации для достижения своих бизнес-целей; определение цели проведения корпоративной разведки; определение источников получения необходимой конфиденциальной информации. Стратегическая составляющая работы корпоративной разведки включает сбор и анализ информации о процессах в экономике, политике, технологии и т.д., которые могут оказать влияние (положительное или негативное) на развитие ИКК. Цель стратегических решений (открытие нового производства, внедрение на рынок нового товара или услуг и т.п.) состоит в формировании направлений дальнейшего развития ИКК, для чего необходимо сориентироваться на рынке, определить его потребности и перспективы развития, найти не заполненные конкурентами ниши.

Бизнес ИКК рассчитан на долгие годы, и путь развития компании необходимо не только планировать, но и моделировать (детально просчитывать) заранее. Какие бизнес-структуры поддерживать, а какие нет, в каких проектах участвовать, а от каких желательно воздержаться, несмотря на внешнюю привлекательность, - «информацию к размышлению» для руководства при ответе на эти важные вопросы призвана дать стратегическая составляющая КР.

Оперативно-тактическая составляющая работы корпоративной разведки имеет в виду сбор и анализ конфиденциальной информации для принятия руководством решений по текущим микроэкономическим проблемам ИКК (строительство или приобретение здания под новый цех, обучение персонала для выпуска новой продукции или оказания новой услуги); при заданной стратегии развития - выбор оптимального пути достижения поставленных целей и минимизации затрат при движения по данному пути. При этом цели корпоративной разведки структурированы: каждая из них предопределяется целью высшего порядка, оставаясь автономной по характеру потребностей и источников конфиденциальной информации (после стратегической цели: определение направления развития бизнеса ИКК следует оперативно-тактическая цель: выбор наилучшего пути развития, продвижение по нему и т.п.). Планирование деятельности корпоративной разведки позволяет упорядочить потоки конфиденциальной информации и наиболее эффективно использовать их в интересах бизнеса ИКК.

...