Использование стандарта защиты информации в индустрии платежных карт (PCI DSS) при организации защиты информации на предприятии

Содержание
Введение
1. Описание объекта исследования
1.1. Анализ деятельности банка «Банк Петроградский»
1.2. Описание бизнес-процессов банка «Банк Петроградский» по обслуживанию платежных карт
1.3. Описание программного обеспечения банка "Банк Петроградский"
1.4. Описание технического обеспечения банка "Банк Петроградский"
2. Выбор и обоснование средств обеспечения защиты информации при работе с платежными картами
2.1. Принцип работы платежных карт
2.2. Угрозы информационной безопасности при работе с пластиковыми картами
2.3. Описание стандарта защиты банковских карт PCI DSS
2.4. Постановка задач на проектирование
3. Проект системы защиты платежных карт банка «Банк Петроградский»
3.1. Создание плана-графика мероприятий по внедрению системы в банке
3.2. Определение перечня программно-технических средств
3.3. Оценка стоимости системы защиты
4. Финансово-экономическое обоснование
5. Охрана труда
Заключение
Список литературы

Чтобы иметь возможность эффективно устранять уязвимости, ИТ-специалисты организации должны знать, какие уязвимости существуют в системе. Идентификация уязвимостей также дает возможность восстанавливать данные, случайно утраченные вследствие ошибки пользователя.
Существующие технологии:
Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA). Анализатор безопасности Microsoft Baseline Security Analyzer позволяет периодически проверять систему на наличие уязвимостей, которые могут поставить под угрозу безопасность данных владельцев банковских карт. Анализатор безопасности Microsoft Baseline Security Analyzer можно использовать для выявления распространенных ошибок в конфигурации систем безопасности ряда продуктов Майкрософт, включая операционные системы Windows, службы IIS, сервер SQL Server, обозреватель Internet Explorer и пакет Microsoft Office.
13.Наблюдение, аудит и создание отчетов
Решения по наблюдению и созданию отчетов предназначены для сбора и аудита журналов, в которых регистрируются данные проверки подлинности и сеансы доступа к системе. Можно разработать собственные решения для сбора конкретной информации в соответствии со стандартом PCI DSS или использовать существующие средства ведения журналов, встроенные в операционные системы и пакеты программного обеспечения.
Существующие технологии:
Службы сбора данных аудита в приложении Microsoft System Center Operations Manager. Приложение Microsoft Operations Manager 2007 позволяет безопасно и эффективно извлекать и собирать журналы безопасности операционных систем Windows, а также сохранять их для последующего анализа и составления отчетов.
Инфраструктура ведения журнала событий в Microsoft Windows Vista. Усовершенствования инфраструктуры ведения журнала событий Windows облегчают управление и наблюдение за компьютером с Windows Vista и предоставляют более подробные данные для устранения неполадок.
Сервер Microsoft SQL Server. Службы отчетов SQL Server — это полнофункциональное серверное решение, позволяющее создавать, обрабатывать и доставлять как традиционные бумажные отчеты, так и интерактивные веб-отчеты.
Системные списки управления доступом NTFS (поддержка операционной системы). Организация может использовать системные списки управления доступом (SACL) файловой системы NTFS, чтобы отслеживать изменения файлов или папок в системе.
14.Управление технологическими решениями стандарта PCI DSS
Несмотря на то что решения по управлению не обеспечивают соответствия каким-либо конкретным требованиям стандарта PCI DSS, они позволяют отслеживать работу ИТ-средств, внедренных в целях соответствия требованиям стандарта PCI DSS. При создании структуры ИТ-средств важно обеспечить возможность централизованного управления этими элементами с использованием минимального количества рабочих станций для администраторов.
Существующие технологии:
Microsoft Forefront. Microsoft Forefront — это набор бизнес-продуктов для обеспечения безопасности, который защищает операционные системы, серверы приложений и границы сети. Microsoft Forefront можно использовать в существующей ИТ-инфраструктуре для защиты серверов и клиентских компьютеров от атак вредоносными программ и заражения ими. Это достигается посредством тесной интеграции Microsoft Forefront с такими серверами приложений, как Exchange и SharePoint, и приложениями для обмена мгновенными сообщениями. Microsoft Forefront также имеет встроенную интеграцию со службой каталогов Active Directory и использует сервер ISA для работы с Active Directory в целях поддержки протоколов RADIUS и DHCP, а также смарт-карт. Кроме того, Microsoft Forefront представляет собой единое средство управления с централизованным расположением средств создания отчетов и настройки мер управления политикой.
Microsoft System Center. Microsoft System Center — это семейство решений по управлению, предоставляющее средства для автоматизации управления системами в масштабах организации. Решение System Center включает в себя технологии, позволяющие автоматизировать основные задачи управления, а также содержит средства, позволяющие ИТ-специалистам выполнять обнаружение, диагностику и устранение проблем в компьютерной среде организации.
Выводы: таким образом, стандарт PCI DSS является обязательным требованием к участникам платежных систем, если хранится, обрабатывается или передается PAN. Нами рассмотрены принципы и требования стандарта, описаны некоторые программные продукты, реализующие требования стандарта.
2.4. Постановка задач на проектирование
Целью проектирования является разработка проекта защиты информации для ООО «Банк Петроградский».
Требования к проектированию:
1. Строгое соответствие системы требованиям PCI DSS и ФЗ-152;
2. Учет рекомендаций СТО БР ИББС;
3. Построение системы защиты в соответствии с принципом «разумной достаточности»;
4. Построение системы с учетом имеющегося программно-технического комплекса банка.
3. Проект системы защиты платежных карт банка «Банк Петроградский»
3.1. Создание плана-графика мероприятий по внедрению системы в банке
План-график мероприятий по проектированию и внедрению системы защиты информации в ООО «Банк Петроградский» приведено в табл. 3.1.
Таблица 3.1
План-график мероприятий
№ Задача Начало Окончание Исполнитель 1 Написание ТЗ для ИТ-компании 01.02.2010 09.02.2010 Руководитель ИТ-отдела банка 2 Утверждение ТЗ руководством банка 09.02.2010 10.02.2010 Руководство банка 3 Подготовка проекта ИБ 10.02.2010 01.03.2010 Специалист по ИБ, проектировщик ЛВС 4 Утверждение проекта 01.03.2010 06.03.2010 Руководство банка, Руководитель ИТ-отдела банка 5 Мониторинг соответствия стандарту PCI DSS 06.03.2010 13.03.2010 Специалист по ИБ 6 Установка ЛВС 13.03.2010 16.03.2010 Инженер 7 Настройка ЛВС 16.03.2010 23.03.2010 Инженер 8 Установка системного ПО 23.03.2010 01.04.2010 Инженер 9 Установка прикладного ПО 01.04.2010 08.04.2010 Инженер 10 Установка специального ПО 08.04.2010 23.04.2010 Специалист по ИБ 11 Настройка системы ИБ 23.04.2010 11.05.2010 Специалист по ИБ 12 Мониторинг соответствия стандарту (тест на уязвимости) 11.05.2010 24.05.2010 Специалист по ИБ 13 Подготовка документации 24.05.2010 28.05.2010 Специалист по ИБ 14 Занятия с персоналом 28.05.2010 14.07.2010 Специалист по ИБ 15 Прием-сдача системы 14.07.2010 25.07.2010 Специалист по ИБ, Руководитель ИТ-отдела банка
3.2. Определение перечня программно-технических средств
Техническое обеспечение – это совокупность всех технических средств, используемых при функционировании ИС.
Для решения задачи необходим сервер, на котором будет размещена активная часть платежной системы, поэтому сервер заранее должен обладать большой оперативной памятью, большой памятью жесткого диска, высоким быстродействием.
Планируется использовать существующий сервер корпоративной БД. Он является достаточно мощным для размещения на нем данных о держателях карт и программного обеспечения процессингового центра. Его основные технические характеристики приведены в табл. 3.1.
Таблица 3.1
Технические характеристики системного сервера FRONT Iskander i11001
Характеристика Значение Процессор Intel Xeon-4.67GHz (667MHz,2х2MB L2 Cache), Оперативная память 4 x 2GB PC2-5300 667MHz DDR2 ECC DIMM Fully Buffered HDD 8 x 260GB SATA Дополнительно DVD/ RW
Технические характеристики маршрутизатора приведены в табл. 3.2.
Таблица 3.2
Технические характеристики маршрутизатора
Характеристика Значение Скорость 100 Мбит/с (UPLINK) Интерфейс RS-232, DB-9 ( консольный порт) Поддерживаемые стандарты : IEEE 802.1p (Prioritizing), IEEE 802.1Q (VLAN), IEEE 802.3 (Ethernet), IEEE 802.3u (Fast Ethernet), IEEE 802.3x (Flow Control) Порты и разъемы 24 x RJ-45 (Ethernet 10/100BaseT) Память 8000 MAC-адресов Протоколы и стандарты : HTTP, RMON,RS-232, SNMP, Telnet Размеры 44 х 440 х 274 мм
Технические характеристики рабочей станции, используемой в работе ИС приведены в табл. 3.3.
Таблица 3.3
Технические характеристики рабочей станции
Характеристика Значение Периферия Есть Монитор Acer AL1517As Multimedia 1024x768, 600:1, 250cd/ m2, 12ms Описание Офисный ПК Процессор Intel Core2Duo 3.4 ГГц Память 2GB HDD 280 Гб 7200 об/мин 8 Мб Оптический накопитель DVD-ROM + CD-RW (COMBO) 52/32/52+16 Видеосистема 64-128Mb integrated FDD есть Аудио АС97 LAN Есть Размеры ~ 415 х 185 х 505мм
Таким образом, для реализации системы защиты платежной системы ООО «Банк Петроградский» нет необходимости закупать новые рабочие станции для сотрудников, сервера или маршрутизации. Приведение системы к требованиям стандартов будет осуществляться за счет установки нового ПО и за счет правильной настройки уже имеющегося в банке ПО.
Перечень технических средств для каждой подсистемы защиты приведен в табл. 3.4. Во многих случаях предпочтение отдается программным продуктам компании Microsoft, так как в компании уже установлен ряд программных продуктов данной компании. При этом отдельный продукт может удовлетворять сразу нескольким требованиям стандарта PCI DSS.
Таблица 3.4
Перечень ПО по подсистемам
Подсистема Программное обеспечение Обоснование выбора Управления документами Microsoft Office SharePoint Server Данный программный продукт уже функционирует в компании Оценка рисков Microsoft Systems Management Server Данный программный продукт уже функционирует в компании Управления изменениями Microsoft Office SharePoint Server Данный программный продукт уже функционирует в компании Безопасности сети Используется:
1.Протокол IPsec и политики Active Directory
2.Настройки безопасности Windows Server
3.Брандмауэр Microsoft Windows Данная подсистема реализуется настройками стандартных средств операционной системы. Управления узлами Microsoft Systems Management Server Защиты от вредоносных программ Kaspersky Antivirus 6.0 Данный программный продукт уже функционирует в компании. Безопасности приложений Microsoft Intelligent Application Gateway (IAG) 2007 Выбор обусловлен ценой программного продукта и опытом использования Обмена сообщениями и совместной работы Microsoft Exchange Server Данный программный продукт уже функционирует в компании. Классификации и защиты данных Используется:
1.Шифрованние файловой системы Windows (EFS)
2.Служба управления правами Microsoft Windows (RMS)
3.Шифрование данных на сервере Microsoft SQL Server Данная подсистема реализуется настройками стандартных средств операционной системы. Управления удостоверениями Используется:
1.Microsoft Active Directory
2.Сервер Microsoft SQL Server Данная подсистема реализуется настройками стандартных средств операционной системы. Проверки подлинности, авторизации и управления доступом Используется:
1.Microsoft Active Directory
2.Применение устройства eToken Microsoft Active Directory уже используется в компании. Выбор eToken обусловлен опытом использования. Идентификации уязвимостей Используется:
1.Анализатор безопасности Microsoft Baseline Security Analyzer (MBSA)
2.СОА Snort Выбор MBSA обусловлен поставкой данного ПО с Microsoft Windows Server.
СОА Snort имеет бесплатное распространение. Наблюдения и аудита Используется:
1.Microsoft SQL Server
2.Системные списки управления доступом NTFS
3.Microsoft Operations Manager 2007 Частично подсистема реализована средствами ОС и СУБД.
Microsoft Operations Manager 2007 является лучшим среди аналогов по глубине отчетов.
Приведение системы защиты в соответствие с требованиями стандартов осуществляется в основном настройкой имеющихся программных средств, в связи с чем повышается экономическая эффективность проекта. Дополнительно необходимо установить следующие программные средства: Microsoft Intelligent Application Gateway (IAG) 2007, устройство eToken, Microsoft Baseline Security Analyzer (MBSA), Snort и Microsoft Operations Manager 2007.
3.3. Оценка стоимости системы защиты
Определение трудоемкости выполнения работы
Стоимость разработки определяется по фактическим затратам, произведённым за счёт собственных финансовых средств университета. В основе определения стоимости разработки лежит перечень выполненных работ и их трудоёмкость. Эти данные приведены в табл. 3.5.
Таблица 3.5
Трудоемкость работ по разработке
Задача Трудоемкость, чел/дн Руководитель ИТ-отдела банка Руководство банка Проектировщик ЛВС Специалист по ИБ Инженер Написание ТЗ для ИТ-компании 9 Утверждение ТЗ руководством банка 1 Подготовка проекта ИБ 21 21 Утверждение проекта 6 6 Мониторинг соответствия стандарту PCI DSS 7 Установка ЛВС 3 Настройка ЛВС 7 Установка системного ПО 8 Установка прикладного ПО 8 Установка специального ПО 7 Настройка системы ИБ 18 Мониторинг соответствия стандарту (тест на уязвимости) 13 Подготовка документации 4 Занятия с персоналом 14 Прием-сдача системы 11 11 Итого 26 7 21 101 33
Калькуляция себестоимости работы
Калькуляция себестоимости разработки осуществляется по следующим статьям:
1. Затраты на программное обеспечение
2. Основная зарплата непосредственных исполнителей
3. Дополнительная зарплата непосредственных исполнителей
4. Отчисление на социальные нужды
5. Амортизационные отчисления на износ ПК
6. Накладные расходы.
Затраты на программное обеспечение
Стоимость и перечень ПО приведено в табл. 3.6
Таблица 3.6
Калькуляция расходов по статье «Программное обеспечение»
Материалы Количество лицензий
Цена единицы, руб.
Сумма, р.
Microsoft Intelligent Application Gateway (IAG) 2007, устройство eToken, Microsoft Baseline Security Analyzer (MBSA), Snort и Microsoft Operations Manager 2007 6 26000 156000 eToken 45 3600 162000 Microsoft Baseline Security Analyzer (MBSA) 25 3000 75000 Microsoft Operations Manager 2007 8 18000 144000 Итого 537000
Основная и дополнительная заработная плата непосредственных исполнителей
Основная и дополнительная заработная плата непосредственных исполнителей рассчитывается на основании следующих данных:
Дневные ставки руководителя и исполнителя равны:
дневная ставка руководителя ИТ-отдела: ДИТ = 280 руб.;
дневная ставка руководителя банка: Друк =400 руб.;
дневная ставка проектировщика ЛВС: ДЛВС =200 руб.;
дневная ставка специалиста по ИБ: ДИБ =200 руб.;
дневная ставка инженера: Динж =180 руб.;
Норматив дополнительной заработной платы: Адоп = 12%
Норматив отчислений на социальные нужды: Асн = 26%
Норматив накладных расходов: Анр = 33%.
Основная заработная плата
Основная заработная плата исполнителей Зосн рассчитывается по формуле:
Зосн = ТИТ * ДИТ + Трук * Друк+ ТЛВС * ДЛВС+ ТИБ * ДИБ+ Тинж * Динж
Таким образом:
Зосн = 26 * 280 + 7 * 400 + 21 * 200 + 101 * 200 + 33 * 180= 40420 руб.
Дополнительная заработная плата
Сумма дополнительной заработной платы Здоп составляет 12% от основной
заработной платы и рассчитывается по формуле:
Здоп = Зосн * АДОП / 100
Таким образом:
Здоп = 40420 * 0,12 = 4850,4 руб.
Отчисления на социальные нужды
Отчисления на социальные нужды Ссн рассчитываются по формуле:
Ссн = (Зосн + Здоп) * Асн / 100
где Асн - норматив отчислений на социальные нужды, представляющий сумму процентов отчислений в пенсионный фонд, фонд медицинского страхования, фонд социального страхования.
Ссн = (40420 + 4850,4) * 0,26 = 11770,30 руб.
Накладные расходы
Накладные расходы - это расходы на оплату труда управленческого персонала с начислениями, освещение, отопление, коммунальные услуги и прочее. Они принимаются равными одной трети (33%) основной зарплаты разработчиков.
Снр = (Зосн + Здоп + Ссн) * Анр / 100
Снр = (40420+ 4850,4+ 11770,30) *0,33 = 57040,70 руб.
Калькуляция себестоимости проекта защиты платежной системы ООО «Банк Петроградский» приведена в табл. 3.7
Таблица 3.7
Сметная стоимость проекта
Статья затрат
Сумма, руб.
Программное обеспечение
537000 Основная заработная плата
40420 Дополнительная заработная плата
4850,4 Отчисления на социальные нужды
11770,30 Накладные расходы
57040,70 Итого 651081,40
Таким образом, себестоимость проекта составляет 651081,40 рублей.
4. Финансово-экономическое обоснование
Прямой экономический эффект для системы рассчитать невозможно, так система ИБ не приносит реальный доход, косвенный экономический эффект от внедрения системы заключается в обеспечении безопасности данных о держателях карт, в исключении случаев мошенничества с платежными картами, в уменьшении потери средств банка из-за инцидентов.
Целесообразность разработки и внедрения системы ИБ заключается в невозможности ведения банком деятельности связанной с работой с платежными картами без системы защиты соответствующей требованиям стандарта PCI DSS.
5. Охрана труда
Характеристика условий труда
Разработчики системы защиты информации находятся в помещении с габаритами:
S - площадь помещения, S = 18 м2;
h - расчетная высота подвеса, h = 2,92 м;
A - ширина помещения, А = 3 м;
В - длина помещения, В = 6 м.
Схема расположения рабочих мест в помещении представлена на рис. 5.1
Схема размещения рабочих мест в помещении
Рис. 5.1
Анализ условий труда на рабочем месте
Так как разработчики работают только с компьютерами, то характерны следующие вредные факторы:
Слабая освещенность:
Обеспечение надлежащего освещения улучшает условия зрительной работы, понижает утомляемость, повышает производительность труда, влияет на производственную среду, повышает безопасность труда.
Неправильное освещение приводит к напряжению зрения, ослабляет внимание, приводит к утомленности. Яркое освещение вызывает ослепление, раздражение и резь. Неправильное направление света создает резкие тени, блики. Эти факторы могут привести к несчастному случаю или профзаболеваниям.
Электромагнитное излучение:
Считается, что кратковременное и длительное воздействие излучения от экрана монитора не опасно для здоровья. Однако точных данных относительно опасности воздействия излучения от мониторов не существует.
Допустимые значения параметров неионизирующих электромагнитных излучений (СанПиН 2.2.2.542-96):
в диапазоне частот 5 Гц - 2 кГц - 25 В/м;
в диапазоне частот 2 - 400 кГц - 2,5 В/м.
Максимальный уровень рентгеновского излучения на рабочем месте не должен превышать 10 мкбэр/ч, интенсивность ультрафиолетового и инфракрасного излучений должна быть в пределах 10…100мВт/м2.
Постановка задачи
Для обеспечения освещения необходимо оборудовать рабочие места настольными лампами дневного света.
Для защиты от ЭМИ необходимо разработать регламент перерывов для операторов.
Рекомендации к рабочему месту разработчика
Проектирование рабочих мест относится к числу важных проблем эргономического проектирования.
Зоны досягаемости рук
Рис. 5.2
Рабочее место должно соответствовать антропометрическим, физическим и психологическим требованиям. При организации рабочего места разработчика должны быть соблюдены основные условия: оптимальное размещение оборудования, достаточное рабочее пространство.
Эргономическими аспектами проектирования рабочих мест являются:
высота рабочей поверхности;
размеры пространства для ног;
требования к расположению документов на рабочем месте;
характеристики рабочего кресла;
требования к поверхности рабочего стола;
регулируемость элементов рабочего места.
Главными элементами рабочего места являются стол и кресло.
Рабочая поза сидя вызывает наименьшее утомление разработчика. Рациональная планировка рабочего места предусматривает порядок и постоянство размещения предметов, средств труда и документации. Что требуется чаще, расположено в зоне легкой досягаемости рабочего пространства.
Моторное поле - пространство рабочего места, в котором могут осуществляться двигательные действия.
Максимальная зона досягаемости рук - это часть моторного поля, описываемого максимально вытянутыми руками при движении их в плечевом суставе.
Оптимальная зона - часть моторного поля, описываемого предплечьями при движении в локтевых суставах с опорой в точке локтя и с относительно неподвижным плечом. Оптимальное размещение предметов труда и документации в зонах досягаемости приведено на рис. 5.3.
Оптимальное размещение предметов труда
Рис. 5.3
ДОКУМЕНТАЦИЯ: необходимая при работе - в зоне легкой досягаемости ладони, неиспользуемая постоянно - в выдвижных ящиках стола.
На рисунке показан пример размещения основных и периферийных составляющих ПК на рабочем столе разработчика.
1 – сканер;
2 – монитор;
3 – принтер;
4 – поверхность рабочего стола;
5 – клавиатура;
6 – манипулятор типа «мышь».
Требования к столу:
высота стола должна обеспечивать возможность сидеть свободно, в удобной позе;
нижняя часть стола не должна мешать разработчику, не давая возможность вытянуть ноги;
поверхность стола не должна давать бликов;
стол должен иметь выдвижные ящики (не менее 3).
высота рабочей поверхности 680-760 мм.
Высота поверхности установки клавиатуры 650 мм.
Требования к креслу:
высота сиденья над уровнем пола 420-550 мм.
поверхность сиденья мягкая, край закругленный, а угол наклона спинки регулируется.
Размещения документов: сбоку от видеотерминала, между монитором и клавиатурой и т.п. Если видеотерминал имеет низкое качество изображения (заметны мелькания) расстояние от глаз до экрана делают больше (около 700 мм), чем расстояние от глаза до документа (300-450 мм).
Положение экрана определяется:
расстоянием считывания (0,6…0,7м);
углом считывания, направлением взгляда на 20 ниже горизонтали к центру экрана.
Предусматриваться возможность регулирования экрана:
по высоте +3 см;
по наклону от -10 до +20;
в левом и правом направлениях.
Большое значение также придается позе пользователя. При неудобной рабочей позе появляться боли в мышцах, суставах и сухожилиях.
Требования к рабочей позе пользователя видеотерминала:
голова не должна быть наклонена более 20 градусов;
плечи должны быть расслаблены;
локти - под углом 80…100 градусов;
предплечья и кисти рук - в горизонтальном положении.
Причина неправильной позы:
нет хорошей подставки для документов;
клавиатура находится слишком высоко, а документы – низко;
некуда положить руки и кисти;
недостаточно пространство для ног.
В целях преодоления недостатков даются рекомендации:
передвижная клавиатура;
специальные приспособления для регулирования высоты стола, клавиатуры и экрана,
подставка для рук.
Режим труда
При работе с компьютером важную роль играет соблюдение правильного режима труда и отдыха. Иначе у персонала отмечаются значительное напряжение зрения, головные боли, раздражительность, нарушение сна, усталость и болезненные ощущения в глазах, в пояснице, в области шеи и руках.
В табл. 5.1 представлены сведения о регламентированных перерывах при работе на компьютере, в зависимости от продолжительности работы, видов и категорий трудовой деятельности с ВДТ (видеодисплейный терминал) и ПЭВМ (в соответствии с СанПиН 2.2.2 542-96 «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работ»).
Таблица 5.1
Время регламентированных перерывов при работе на компьютере
Категория работы с ВДТ или ПЭВМ Уровень нагрузки за рабочую смену при видах работы с ВДТ Суммарное время регламентированных перерывов, мин Группа А, количество знаков Группа Б, количество знаков Группа В, часов При 8-часовой смене При 12-часовой смене I до 20000 до 15000 до 2,0 30 70 II до 40000 до 30000 до 4,0 50 90 III до 60000 до 40000 до 6,0 70 120
В соответствии со СанПиН 2.2.2 546-96 в нашем случае, работа разработчика относится к творческой деятельности, рабочий день разработчика 8 часов, следовательно, суммарное время перерывов составляет 70 минут.
Эффективность перерывов повышается при сочетании с гимнастикой или организации отдыха персонала.
Расчетная часть
Расчет освещенности сводится к выбору системы освещения (определению числа светильников, типа и размещения). Рассчитаем параметры искусственного освещения.
Искусственное освещение выполняется посредством электрических источников ламп накаливания или люминесцентных ламп.
Преимущества люминесцентных лампы:
по спектральному составу света они близки к дневному свету;
обладают высоким КПД;
обладают высокой светоотдачей;
имеют длительный срок службы.
Расчет производится для помещения площадью 18м2, ширина которой 6 м, высота - 3 м. Используем метод светового потока.
Определим количества светильников по формуле 5.1:
(5.1)
, где:
F - рассчитываемый световой поток, Лм;
Е - нормированная минимальная освещенность, Лк (определяется по таблице). Минимальная освещенность будет Е = 300Лк;
S - площадь освещаемого помещения (в нашем случае S = 15м2);
Z - отношение средней освещенности к минимальной (обычно принимается равным 1,1…1,2 , пусть Z = 1,1);
К - коэффициент запаса, учитывающий уменьшение светового потока лампы из-за загрязнения светильников (его значение зависит от типа помещения и характера проводимых в нем работ и в нашем случае К = 1,5);
n - коэффициент использования, (отношение светового потока, падающего на расчетную поверхность, к суммарному потоку ламп, исчисляется в долях единицы; зависит от характеристик светильника, размеров помещения, окраски стен и потолка, характеризуемых коэффициентами отражения от стен (РС) и потолка (РП)), значение коэффициентов РС и РП были указаны выше: РС=40%, РП=60%. Значение n определим по таблице коэффициентов использования различных светильников. Для этого вычислим индекс помещения по формуле 5.2:
(5.2)
Где:
S - площадь помещения, S = 18 м2;
h - расчетная высота подвеса, h = 2.92 м;
A - ширина помещения, А = 3 м;
В - длина помещения, В = 6 м.
Подставив значения получим:
Зная индекс помещения I находим n = 0,22
Подставим все значения в формулу для определения светового потока F:

Для освещения выбираем люминесцентные лампы типа ЛБ40-1, световой поток которых F = 4320 Лк.
Рассчитаем необходимое количество ламп по формуле 5.3:
(5.3)
, где:
N - определяемое число ламп;
F - световой поток, F = 33750 Лм;
Fл- световой поток лампы, Fл = 4320 Лм.

При выборе осветительных приборов используем светильники типа ОД. Каждый светильник комплектуется двумя лампами.
Шум ухудшает условия труда, оказывая вредное действие на организм человека: вызывает раздражительность, головные боли, головокружение, снижение памяти, повышенную утомляемость, понижение аппетита, боли в ушах. Такие нарушения в работе могут привести к стрессовым ситуациям. Из-за шума снижается концентрация внимания, нарушаются физиологические функции, появляется усталость в связи, ухудшается речевая коммутация. Это снижает работоспособность человека и производительность, качество и безопасность труда. Длительное воздействие шума (выше 80 дБ(А)) приводит к частичной или полной потере слуха.
В табл. 5.2 указаны предельные уровни звука, являющиеся безопасными в отношении сохранения здоровья и работоспособности.
Таблица 5.2
Предельные уровни звука, дБ, на рабочих местах
Категория
напряженности труда Категория тяжести труда I. Легкая II. Средняя III. Тяжелая IV. Очень тяжелая I. Мало напряженный 80 80 75 75 II. Умеренно напряженный 70 70 65 65 III. Напряженный 60 60 - - IV. Очень напряженный 50 50 - -
Уровень шума не должен превышать 50дБА, в залах обработки информации на вычислительных машинах - 65дБА.
Меры по снижению шума:
облицовка стены и потолков помещений звукопоглощающими материалами;
установка оборудования на специальные виброизоляторы.
Заключение
Итак, целью данной работы является создание системы защиты платежной системы ООО «Банк Петроградский» и приведение ее к требованиям стандарта PCI DSS.
Для достижения поставленной цели были решены следующие задачи:
Описана деятельность ООО «Банк Петроградский» - даны результаты деятельности банка за последние годы, отмечен резкий рост эмиссии кредитных карт;
Описаны бизнес-процессы банка по обслуживанию платежных карт – описан процесс работы платежной системы, в которой участвует банк;
Описано программно-техническое обеспечение банка – даны спецификации оборудования установленного в банке, описана схема ЛВС ООО «Банк Петроградский»;
Описан принцип работы платежных систем – дана теоретическая информация о классификации банковских карт, о принципах работы платежных систем, об участниках платежных систем;
Описаны угрозы безопасности платежных систем – описаны основные виды мошенничества с платежными картами и способы противодействия этому;
Определен перечень задач проекта системы защиты информации платежной системы банка – определены сроки выполнения задач и назначены исполнители;
Определение перечня необходимых программно-технических средств – определен перечень технических средств и ПО необходимы для построения системы защиты платежной системы;
Рассчитана стоимость проекта системы защиты.
Рассчитать показатели эффективности для системы защиты платежной системы ООО «Банк Петроградский» невозможно, так как система не приносит реального дохода, но функционирование платежной системы без системы защиты соответствующей требованиям стандарта PCI DSS невозможно.
Таким образом, результатом дипломного проектирования является разработка системы защиты платежной системы ООО «Банк Петроградский». Спроектированная система защиты соответствует требованиям стандарта PCI DSS.
Список литературы
1. Липаев В.В. Информационная безопасность. - М.: Финансы и статистика, 1983. – 463 c.
2. Борзенко А. и др. Компьютерная азбука - Компьютер-пресс. — 1996. — № 11. — 124–130 c.
3. Смирнова Г.Н. и др. Основы информационной безопасности: Учебник / Под ред. Ю.Ф. Тельнова. — М.: Финансы и статистика, 2002 — 512 с.
4. Информационные системы в экономике: Учебник / Под ред. проф. В.В. Дика - Москва.: Финансы и Статистика, 1996. - 272 стр.: ил..;
5. Козлова Е.П., Парашутин Н. В., Бабченко Т.Н., Галанина Е.Н. Безопасность корпоративных систем.-2-е изд., доп. - Москва.: - Финансы и статистика, 1997.- 576 стр.: ил.
6. ГОСТ Р 50862-96 «Сейфы и хранилища ценностей. Требования и методы испытаний на устойчивость к взлому и огнестойкость».
7. ГОСТ Р 51241-98 «СРЕДСТВА И СИСТЕМЫ КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ».
8. ГОСТ Р 51558-2000 «СИСТЕМЫ ОХРАННЫЕ ТЕЛЕВИЗИОННЫЕОБЩИЕ ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ И МЕТОДЫ ИСПЫТАНИЙ».
9. ГОСТ Р 50739-95 «ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ»
10. ФЗ от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
11. Стандарт Payment Card Industry Data Security Standart (PCI DSS);
12. ФЗ-152 «О персональных данных»;
13. Стандарт СТО БР ИББС.
93
а - зона максимальной досягаемости;
б - зона досягаемости пальцев при вытянутой руке;
в - зона легкой досягаемости ладони;
г - оптимальное пространство для грубой ручной работы;
д - оптимальное пространство для тонкой ручной работы.
1
2
3
5
6
4