Совершенствование системы защиты информации ОАО

Заключение

Целью данной работы является разработка проекта внедрения СКУД на ОАО «Периметр».
В ходе выполнения работы были выполнены следующие задачи:
Рассмотрены основные направления деятельности ОАО «Периметр»;
Изучена организационная структура организации;
Сформирован перечень активов организации;
Оценены риски и уязвимости активов организации;
Осуществлен выбор организационных и инженерно-технических мер по защите информации. Для повышения эффективности системы ИБ организации принято решение внедрить СКУД Сфинкс;
Рекомендован перечень нормативных документов в области ИБ для ОАО «Периметр»;
Разработан перечень организационно-административных мероприятий по ИБ. Разработан перечень внутренней документации;
Оценена экономическая эффективность проекта. Использована методика, осно ...

Оглавление
Введение 4
Глава I. Анализ системы защиты информации активов ОАО «Периметр» 6
1.1. Описание объекта исследования 6
1.1.1. Описание деятельности ОАО «Периметр» 6
1.1.2. Структура управления ОАО «Периметр» 6
1.2. Анализ рисков информационной безопасности 8
1.2.1 Идентификация и оценка информационных активов 8
1.2.2. Оценка уязвимостей активов 10
1.2.3. Оценка угроз активам 12
1.2.4. Оценка существующих средств защиты 13
Выводы по первой главе 15
2.1. Комплекс организационных мер обеспечения ИБ 16
2.1.1. Выбор организационных мер 16
2.1.2. Тенденции рынка СКУД 16
2.1.3. Выбор инженерно-технических мер 20
2.1.4. Нормативное обеспечение ИБ в ОАО «Периметр» 39
2.1.5. Организационно-административная основа создания системы обеспечения ИБ в ОАО «Периметр» 39
2.2. Комплекс проектируемыхпрограммно-аппаратных средств ИБ 40
Выводы по 2 главе 43
Глава III. Обоснование экономической эффективности проекта системы защиты информации 44
3.1 Выбор и обоснование методики расчёта экономической эффективности 44
3.2 Расчёт показателей экономической эффективности проекта 46
Заключение 54
Список литературы 56

 

Введение

Контроль доступа является фундаментальным понятием процесса обеспечения безопасности. Любая система безопасности, предназначенная для защиты объекта от угроз, связанных с действиями человека, техногенных или природных сил, должна идентифицировать человека по принципу свой/чужой или по уровню доступа для защиты, как объекта от проникновения посторонних лиц, так и человека от опасных факторов, если они имеются на этом объекте. Т.е. системы контроля доступа, помогают эффективно защитить территорию не только от проникновения посторонних лиц, но и от нежелательного посещения того или иного объекта работающего на предприятии персонала устанавливается сейчас во многих учреждениях.
Современный уровень безопасности требует оснащения объекта различными техническими средствами обнаружения проникновения (охранная сигнализация, телевизионное наблюдение, контроль доступа). Особое значение приобретает система контроля и управления доступом (СКУД), так как она способна обеспечить защиту от проникновения на объект, как в рабочее время, так и круглосуточно, а также обеспечить ряд дополнительных функций, например, автоматизировать контроль и учет рабочего времени сотрудников. СКУД может также обеспечивать эффективный контроль доступа и для автотранспорта. Таким образом, СКУД может решить задачу обеспечения безопасности, а учет и контроль повышает дисциплину сотрудников, позволит автоматизировать работу отдела кадров и бухгалтерии.
Данный факт обуславливает актуальность темы выпускной квалификационной работы.
Объект исследования деятельность компании ОАО «Периметр».
Предмет исследования обеспечение информационной безопасности предприятия путем внедрения СКУД.
Целью бакалаврской работы является разработка проекта внедрения СКУД на ОАО «Периметр».
Для достижения поставленной цели необходимо выполнить следующие задачи:
1. Провести анализ деятельности компании «Периметр»;
2. Провести анализ активов компании и отранжировать их;
3. Провести анализ угроз и уязвимостей для каждого актива;
4. Провести анализ программно-технической архитектуры компании;
5. Провести анализ существующих технических средств охраны;
6. Разработать перечень решений по правовому, инженерному и организационному обеспечению ИБ;
7. Провести экономическое обоснование проекта ИБ.


 

1.3.2. Тенденции рынка СКУДОсновными современными тенденциями в СКУД являются следующие: Поддержка программным обеспечением СКУД многосерверной архитектуры с репликацией баз данных между серверами. Такая архитектура системы позволяет осуществлять централизованное управление картами и мониторинг систем безопасности региональных офисов многофилиальной компании. При этом каждый региональный офис имеет свою независимую базу данных и работает со своим аппаратным обеспечением. Все данные о владельцах карт и событиях СКУД сохраняются на региональных серверах, а затем синхронизируются с центральным сервером компании. Развитие систем учета посетителей, интегрированных со СКУД. Современные системы учета посетителей позволяют полностью автоматизировать процесс подачи и утверждения заявок на проход посетителей, имеют функции для сканирования паспортов и распознавания текстовых данных, а также позволяют подключать терминалы саморегистрации. Появление IP-контроллеров СКУД с Web-интерфейсом, поддержкой питания от PoE и встроенным NVR для записи видеоизображений от IP-камер по событиям. Для обеспечения безопасности данных, передаваемых по сети, современные IP-контроллеры поддерживают стандартные криптографические протоколы (например, SSL/TLS и AES). Появление гибридных контроллеров, позволяющих подключать модули как с использованием интерфейса RS-485, так и непосредственно по сети TCP/IP . Распространение беспроводных считывателей и исполнительных устройств СКУД, позволяющих реализовать структурную гибкость системы и упростить монтаж оборудования. Новинки оборудования 2013Из новинок, представленных на рынке в 2013 г., стоит отметить появление IP-контроллеров СКУД со встроенным Web-интерфейсом, поддержкой питания PoE для считывателей и исполнительных устройств, а также встроенным NVR. Реализация в сетевом контроллере Web-сервера, позволяющего программировать, управлять им, осуществлять мониторинг (в том числе просмотр видеоизображений от IP-камер), а также создавать отчеты, дает возможность отказаться от использования специализированного сервера для небольших и средних систем. Очевидно, что это помогает сократить расходы на внедрение системы за счет исключения затрат на сам сервер, его электропитание, программное обеспечение, а также настройку и обслуживание. Для доступа к таким контроллерам используется обычная рабочая станция с Web-браузером. Немаловажным является и то, что в такой системе значительно проще обеспечить безопасность данных, передаваемых по сети, за счет реализации стандартных криптографических протоколов, которые прошли всестороннюю проверку. Возможности встроенного программного обеспечения современных контроллеров с Web-интерфейсом пока не позволяют полностью заменить полнофункциональное ПО СКУД, устанавливаемое на сервере. Но даже для крупных, территориально распределенных систем безопасности использование Web-контроллеров является целесообразным. Зачастую заказчику требуется осуществлять базовые функции по мониторингу и управлению СКУД непосредственно на объекте, а управление картами, правами доступа и создание отчетов выполнять централизованно, с единого сервера. В этом случае первое из данных требований может быть реализовано с помощью Web-интерфейса IP-контроллера, а для централизованных функций используется специализированный сервер с полнофункциональным ПО. Питание контроллера через PoE позволяет обеспечить не только работу самого контроллера, но и подключенных к нему считывателей и исполнительных устройств (например, защелок). Применение технологии PoE снижает затраты на установку отдельного источника питания или прокладку кабеля питания к контроллеру и связанным с ним элементам СКУД. Резервное питание системы осуществляется с использованием стандартных компьютерных бесперебойных источников, запитывающих сетевые коммутаторы. На стыке СКУД и других систем безопасностиРазвитие СКУД идет совместно с другими подсистемами обеспечения безопасности. Однако по мере распространения IP-технологий понятия «совместимость» и «интеграция» применительно к системам безопасности стали употребляться синонимично, что, на мой взгляд, не является корректным. Интеграция предполагает, что элементы системы изначально разрабатывались с учетом возможности совместной работы. Несмотря на то что каждый производитель систем безопасности стремится предлагать «интегрированные» решения, небрежное употребление этого термина привело к непониманию. Так, предоставляя сторонним компаниям доступ к протоколам своего аппаратного обеспечения (контрольных панелей ОПС, контроллеров СКУД и т.п.), производители называют это интеграцией продуктов, хотя на самом деле это не так. Типичным примером может служить случай, когда программный продукт работает с аппаратным обеспечением сторонней компании, используя конкретный протокол. При обновлении своего аппаратного обеспечения производитель, как правило, предоставляет другой стороне обновленный протокол для адаптации их программного продукта и обеспечения совместимости. Но хотя протокол делает эту задачу выполнимой, процесс обновления программного продукта может потребовать в результате продолжительного времени. Частично это связано с техническими причинами, а частично – с необходимостью оправдания затрат на выполнение данной работы. В течение этого времени продукты несовместимы. В этом и заключается существенная разница между совместимой и интегрированной системами. Сейчас на рынке присутствует множество компаний, предлагающих «интегрирующие» программные продукты для систем безопасности, позволяющие осуществлять мониторинг и управление оборудованием различных фирм-производителей. Такие компании, как правило, не производят оборудование (контрольные панели ОПС, контроллеры СКУД, IP-камеры, DVR/NVR и т.п.), а лишь предлагают программную оболочку для работы с этим оборудованием. Такие решения нельзя называть интегрированными, поскольку речь идет лишь о кратковременной совместимости. У пользователей данных решений могут возникнуть проблемы, связанные с расширением системы, выходом обновлений и новых версий продуктов, а также с технической поддержкой от нескольких независимых компаний. На мой взгляд, в настоящее время полноценное развитие интегрированных систем безопасности возможно только среди решений, выпускаемых одной компанией-производителем, имеющей достаточные ресурсы не только для написания программного обеспечения, но и для выпуска полного функционального ряда оборудования. В данном случае все элементы интегрированной системы изначально разрабатываются с учетом возможности полноценного взаимодействия и реализуют все заявленные функциональные возможности оборудования.Прогнозы развития 2014В 2014 г. наиболее динамично будет развиваться направление, связанное с реализацией функций СКУД и охранно-пожарной сигнализации (ОПС) на базе одной универсальной контрольной панели. Ведущие зарубежные производители систем безопасности также начинают предлагать контрольные панели, реализующие функции сетевого видеорегистратора (NVR) для возможности записи видеоизображений от IP-камер по событиям СКУД и ОПС. Применение единой аппаратной платформы оказывается более целесообразным с экономической точки зрения по сравнению с внедрением и эксплуатацией нескольких отдельных систем за счет использования общих средств сбора, обработки и управления информацией. Весьма вероятно, что в ближайшее время произойдет полный переход на бесконтактные Smart-карты, поскольку данный тип идентификаторов обеспечивает более высокую защищенность по сравнению с обычными Proximity-картами и позволяет хранить биометрические данные пользователей. В свою очередь, применение Smart-карт позволит организовать единый способ идентификации пользователя как в СКУД, так и в информационной системе для доступа к компьютерам и приложениям. Хранение биометрических данных пользователя на бесконтактной Smart-карте дает возможность значительно повысить удобство администрирования системы и избежать дополнительных проблем, связанных с защитой персональных данных.1.3.3. Выбор инженерно-технических мерДля повышения эффективности физической охраны помещений, сервера и хранилищ принято решение внедрить новую систему видеонаблюдения и систему контроля управления доступом (СКУД).Рассмотрим функциональные возможности систем.Выбор и установка СКУД для ОАО «Периметр» осуществлялся в соответствии с требованиями ГОСТ Р 51241-98.В таблице 1.8 представлено сравнение СКУД по функциональным возможностям.Таблица 1.8Сравнение СКУДХарактеристикиСФИНКСAppoloElsysрегистрацию и протоколирование тревожных и текущих событий544приоритетное отображение тревожных событий534управление работой УПУ в точках доступа по командам оператора533задание временных режимов действия идентификаторов в точках доступа «окна времени» и уровней доступа503защиту технических и программных средств от несанкционированного доступа к элементам управления, установки режимов и к информации300автоматический контроль исправности средств, входящих в систему, и линий передачи информации434возможность автономной работы контроллеров системы с сохранением контроллерами основных функций при отказе связи с пунктом централизованного управления442установку режима свободного доступа с пункта управления при аварийных ситуациях и чрезвычайных происшествиях 330блокировку прохода по точкам доступа командой с пункта управления в случае нападения443возможность подключения дополнительных средств специального контроля, средств досмотра544Интегральная оценка432827Наибольшую оценку получила СКУД Сфинкс, она рекомендована к применению в компании.Система контроля и управления доступом «Сфинкс» – надежная, функциональная, удобная, масштабируемая система для автоматизации доступа к объекту и учета рабочего времени. В состав СКУД входят контроллеры и программное обеспечение.Бесплатное программное обеспечение:Бесплатное ПО включает в себя все возможности »Базового» модуля до 10 000 карт доступа, а также функционал модуля »Наблюдение и фотоидентификация»Ограничением является обслуживание только одной точки контроля доступа (турникета, двери, ворот или точки фиксации прихода/ухода сотрудников)Базовый модуль:Взаимодействие с контроллерами системыНастройка прав операторов системыУдаленное управление точками прохода (блокирование, разблокирование)Задание списка персонала предприятияЗадание ограничений допуска персонала предприятия по точкам прохода, по направлению и по времениПолучение отчетов о событиях системы контроля доступа за любой исторический период (включая проходы, запреты доступа, действия операторов системы), экспорт персонала и режимов допуска в ExcelИмпорт персонала из ExcelИнтеграция с Trassir, Domination, Ewclid, Intellect, Active Directory и другими системами безопасностиРабота с графическими поэтажными планамиУчет рабочего времени:Задание сотрудникам рабочих графиковПолучение отчетов за любой исторический период: Табель Т13, учитывающий наработку по факту или по графикуПолный журнал отклонений от рабочего графика (список отсутствий в рабочее время)Журнал нарушений рабочей дисциплины (поздние явки на работу, ранние уходы с работы)Создание и печать пропусков:Создание и редактирование шаблонов пропусковНазначение шаблонов пропусков сотрудникамПечать пропусков на основании шаблонов и персональных данных сотрудниковНаблюдение и фотоидентификация:Наблюдение в режиме реального времени за событиями, происходящими в системе контроля доступа; при запросе прохода сотрудником отображается его учетная карточка из базы, включающая фотографиюИнтеграция с 1С (дополнение к «Учет рабочего времени»):Автоматическая передача табеля (форма Т-13) в 1C:ПредприятиеРасширенная поддержка пропусков посетителей:Задание списка карт посетителейИнтерфейс для выдачи/сбора карт (АРМ Бюро пропусков), при выдаче происходит привязка карты к паспорту или другому документу посетителяХранение истории выдачи картАвтопарк:Задание списков служебного автотранспорта предприятия и личных автомобилей сотрудников, имеющих право на въезд на территорию предприятияИнтерфейс для установления соответствия между сотрудниками и их личными автомобилями, а также для выдачи путевых листов на служебный автотранспортХранение истории создания путевых листовФиксация перемещения сотрудников, «привязанных» к автомобилю, вместе с автомобилемОпциональный режим повышенного контроля, когда автомобиль пропускается только с санкции системы и охранникаРеакция на события:Задание списка действий, которые будут выполняться системой контроля и управления доступом автоматически при наступлении каких-либо событий (например, возможна отправка SMS сообщения на указанный телефонный номер)Распознавание документов (дополнение к «Расширенная поддержка гостевых пропусков»):Автоматическое сканирование и распознавание документов при выдаче временного пропуска посетителюПлатежная система:Автоматизация безналичных расчетов в местах оказания услугШкола:Специальный комплект программного обеспечения для использования в школах. Включает следующий функционал:Контроль доступаSMS информирование родителейФотоидентификация (всплывающая фотография на проходной)Контроллеры «Sphinx» предназначены для работы в составе профессиональной СКУД «Сфинкс», производимой российским предприятием «ПромАвтоматика». Контроллеры «Sphinx» являются сетевыми. Независимо от наличия связи с сервером системы, каждый контроллер принимает решение о разрешении либо запрете доступа самостоятельно, на основании базы ключей и режимов доступа, хранящейся в энергонезависимой памяти контроллера. Все зарегистрированные события также хранятся в энергонезависимой памяти контроллера. Дата и время события регистрируется по показаниям встроенных часов реального времени. При наличии связи с сервером события автоматически передаются на сервер СКУД.Основные настройки, определяющие свойства подключенных датчиков, считывателей и исполнительных устройств, выполняются переключателями, расположенными на плате контроллера.Текущие настройки, определяющие разграничения уровней доступа (определение ключей и режимов), осуществляются с помощью программного обеспечения СКУД «Сфинкс».II Проектная часть2.1. Комплекс организационных мер обеспечения ИБ2.1.1. Нормативное обеспечение ИБ в ОАО «Периметр»Основными регламентирующими нормативными документами в области ИБ для ОАО «Периметр» являются:ГОСТ Р ИСО/МЭК 15408-1-2002. «Информационная технология. Методы и средства обеспечения безопасности.».ФЗ «О персональных данных»;Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;ГОСТ Р ИСО/МЭК 17799-2005 «Практические правила управления информационной безопасностью».Данный перечень обусловлен сферой деятельности организации ОАО »Периметр».2.1.2. Организационно-административная основа создания системы обеспечения ИБ в ОАО «Периметр»Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими средствами.Мероприятия по обеспечению физической охраны помещений компании:четко определен периметр безопасности;все проходы должны быть оборудованы турникетами и шлагбаумами;создана зона регистрации посетителей;доступ в помещения предоставлен только авторизованному персоналу;выходы должны быть оборудованы аварийной сигнализацией и плотно закрываться.В целях обеспечения информационной безопасности ОАО «Периметр» разработаны внутренние регламентирующие документы. Перечень документов приведен в таблице 2.1.Таблица 2.1Перечень внутренних инструкцийНаименованиеНазначениеИнструкция дежурного бюро пропусковПредназначена для специалиста по ИБ службы безопасности Инструкция охранника на постуПредназначена для специалиста по ИБ службы безопасности 2.2. Комплекс проектируемых программно-аппаратных средств ИБДля повышения эффективности физической охраны помещений компании внедряется СКУД Сфинкс. Основным пользователем систем будет являться служба безопасности компании.Пульты управления СКУД выведен в комнату дежурного. Программные средства обеспечения ИБ управляются централизовано через администратора.Объекты, подлежащие оснащению комплексом защиты корпоративной сети: сервер и рабочие станции компании.