Разработка физической безопасности и контроля доступа для зданий
Содержание
Введение............................................................................................................. 8
1 Аналитическая часть.................................................................................... 10
1.1 Методика построения корпоративной системы защиты
информации ............................................................................................................... 10
1.1.1 Разновидности аналитических работ по оценке
защищенности............................................................................................................ 12
1.1.2 Методика построения корпоративной системы защиты
информации ............................................................................................................... 13
1.1.3 Методика реорганизации корпоративной системы
информационной безопасности ............................................................................... 15
1.2 Концепция безопасности объекта информации ................................ 17
1.2.1 Цели и задачи системы безопасности.......................................... 18
1.2.2 Принципы организации и функционирования системы
безопасности .............................................................................................................. 19
1.2.3 Объекты защиты ............................................................................ 21
1.2.4 Основные виды угроз интересам коммерческого банка............ 21
1.2.5 Техническое обеспечение безопасности банка........................... 22
1.2.6 Принципы и направления взаимодействия между объектом и
правоохранительными органами в области безопасности.................................... 23
1.3 Обследование объекта защиты ............................................................ 24
1.3.1 Класс защиты объекта информатизации ..................................... 26
1.3.2 Категорирование помещений ....................................................... 26
1.3.3 Результат анализа характеристики объекта ................................ 28
1.4 Модель потенциального нарушителя ................................................. 28
1.4.1 Основные характеристики нарушителей..................................... 29
1.4.2 Классификация нарушителей (основные типы нарушителей) . 31
1.5 Техническое задание на разработку интегрированной системы
физической охраны объекта информатизации....................................................... 32
1.6 Обзор технических решений по обеспечению физической
безопасности .............................................................................................................. 33
1.6.1 Выбор IP адресации ....................................................................... 33
1.6.2 Пожарная сигнализация противопожарная автоматика. ........... 34
1.6.3 Система контроля доступа ............................................................ 36
1.6.4 Системы Телевизионного видеонаблюдения.............................. 43
1.6.5 Менеджер управления системой телевизионного
видеонаблюдения ...................................................................................................... 47
1.6.6 Интегрированные системы безопасности ................................... 50
2 Конструкторская часть ................................................................................ 69
2.1 Технические средства защиты............................................................. 70
2.1.1 Система охранно–пожарной сигнализации ................................ 71
2.1.2 Телевизионная система видеоконтроля....................................... 73
2.1.3 Система контроля и управления доступом ................................. 76
3 Общая сетевая часть предприятия ............................................................. 85
3.1 Определение структуры потоков данных (размеров и структуры
сети)…… .................................................................................................................... 85
3.2 Создание логической структуры сети. Разработка информационной
структуры предприятия ............................................................................................ 85
3.3 Выбор топологии сети и методов доступа ......................................... 86
3.4 Планирование IP–адресаций................................................................ 88
3.5 Выбор технологии глобальной сети ................................................... 89
3.6 Проектирование внешних связей в корпоративной сети.................. 90
3.7 Выбор сетевых технологий и сетевых протоколов ........................... 91
3.8 Выбор сетевой операционной системы. Выбор программного
обеспечения для защиты информации .................................................................... 91
4 Анализ потенциально опасных и вредных производственных
факторов ..................................................................................................................... 93
4.1 Микроклимат рабочей зоны программиста ....................................... 93
4.2 Создание оптимальных условий труда ............................................... 94
4.3 Анализ условий труда........................................................................... 95
4.4 Пожаробезопасность............................................................................. 96
4.5 Система вентиляции ............................................................................. 98
4.6 Разработка мероприятий по улучшению условий труда .................. 99
4.6.1 Расчет системы кондиционирования ........................................... 99
4.6.2 Расчет искусственного освещения помещения ........................ 102
5Технико–экономическое обоснование...................................................... 106
5.1 Описание работы................................................................................. 106
5.2 Программа выполнения работы ........................................................ 106
5.3 Расчёт стоимости произведенной работы ........................................ 107
Заключение .................................................................................................... 113
Список сокращений ...................................................................................... 114
Условно графические обозначения ............................................................. 116
Список литературы ....................................................................................... 117
Приложение А ............................................................................................... 120
Приложение Б ................................................................................................ 122
Приложение В ............................................................................................... 124
Приложение Г ................................................................................................ 126
Приложение Д ............................................................................................... 128
Приложение Е................................................................................................ 129
Приложение Ж............................................................................................... 130
Приложение З ................................................................................................
1.1
Методика построения корпоративной системы защиты информации
Задачу построения адекватной сегодняшней обстановке системы
безопасности объекта можно условно разбить на две основные части:
организационная и техническая.
Опыт ученых–практиков, разрабатывающих концептуальные решения по
созданию СФЗ на особо важных объектах различных ведомств и
располагающих большим объемом аналитического материала, позволяет
сделать некоторые выводы о тенденциях, складывающихся в сфере
создания/модернизации СФЗ.
Повышение эффективности организационной части в деле обеспечения
безопасности объекта как наиболее операбельного фактора нельзя принизить
ни в коем случае. Он был и еще достаточно долго останется на большинстве
объектов ключевым звеном. Но речь сейчас лишь о том, чтобы снизить
нагрузку, приходящуюся на долю сотрудников охраны, повысив при этом их
защищенность и эффективность всей системы в целом.
Обоснование и оптимизация структуры и функциональных характеристик
системы, разработка требований и рекомендаций к ее элементам являются
основным содержанием и целью деятельности, которая в настоящее время
формируется как научно–методическое сопровождение создания СФЗ.
Научно–методическая и аналитическая работа в рассматриваемой области
складывается из совместной деятельности:
– администрации и служб безопасности объектов;
– специализированных организаций.
Эта работа включает в себя:
– проведение полного обследования объекта информатизации;
– определение класса защиты объекта, категорирования помещений,
определение (задание) критерия эффективности создаваемой или
модернизируемой СФЗ;
– выделение наиболее вероятных угроз и определения модели
потенциального нарушителя (его основные характеристики и цели), анализ
уязвимости объекта, оценку эффективности существующей и создаваемой СФЗ;
– разработку концептуального решения по созданию (модернизации)
СФЗ, требований к составу и функциональным характеристикам СФЗ;
– выбор и оптимизацию системы;
– актуализацию концепции создания СФЗ при изменениях угроз и
условий функционирования объекта и его СФЗ.
Полное обследование объекта производится для получения наиболее
полного анализа характеристики объекта. Проводят, как организация–заказчик,
так и организация–разработчик. Это одна из наиболее важных стадий пред проектной подготовки.
Задача решается экспертными методами путем определения видов и
масштабов ущерба, который может возникнуть в случае реализации угроз.
Результатом является отнесение объекта к соответствующей категории, что, в
свою очередь, определяет общие требования к СФЗ и позволяет задать
количественные критерии эффективности СФЗ, необходимые в дальнейшем для
оценки системы.
В мировой и отечественной практике основной критерий имеет
интегральный характер и количественно выражается величиной вероятности
пресечения СФЗ и действий нарушителя до достижения им своей цели при
наиболее благоприятных для него условиях (так называемый
«пессимистический подход»).
Категорирование объектов само по себе не решает проблемы обеспечения
безопасности и лишь позволяет установить степень потенциальной опасности и
общие требования к системе физической защиты каждого конкретного объекта.
Следующим шагом должно быть определение степени соответствия
существующей СФЗ объекта требованиям, предъявленным в результате
категорирования. Для этого необходимо проведение анализа уязвимости
объекта. Создание/модернизация систем обеспечения безопасности без анализа
ситуации на объекте защиты (анализа уязвимости объекта) и научно
обоснованных рекомендаций может привести, например, к тому, что не будут
учтены какие–то важные угрозы, а в создание/модернизацию системы
безопасности будут вложены средства, превышающие реально необходимые.
Анализ уязвимости объекта выполняется экспертными методами и/или
методами имитационного моделирования и включает в себя:
– расчет интегрального показателя и комплексную оценку
эффективности существующей СФЗ (при установленных видах угроз и
приоритетах целей защиты) путем сравнения полученных расчетных данных с
заданными критериями;
– разработку мер по достижению заданных критериев;
– оценку (подтверждение) эффективности этих мер.
Меры по достижению заданных критериев эффективности являются, по
сути, требованиями к структуре и функциональным характеристикам
создаваемой или модернизируемой СФЗ и тем самым логически завершают
этап разработки концепции создания системы.
Результатами этого этапа являются:
– рекомендации по структуре и содержанию организационно–
распорядительных документов об обеспечении безопасности объекта;
– проект организационно–штатной структуры и рекомендации по
организации сил охраны объекта;
– требования по назначению к инженерно–техническим средствам и
системам (ИТС), входящим в СФЗ; эти требования являются основой для
разработки технического задания на проектирование СФЗ.
И руководящие документы, и складывающаяся практика одинаково
определяют субъект анализа уязвимости. Анализ должен проводиться с
привлечением специализированных организаций, имеющих в своем составе
квалифицированных специалистов в различных областях знаний и
располагающих специальным программно–методическим обеспечением.
Только при таком подходе можно обеспечить объективность и высокое
качество анализа уязвимости и создать эффективную систему обеспечения
безопасности, экономически целесообразную для объекта защиты.
1.1.1 Разновидности аналитических работ по оценке защищенности
Аналитические работы в области информационной безопасности могут
проводиться по следующим направлениям:
1) “Комплексный анализ информационных систем (ИС) компании и
подсистемы информационной безопасности на правовом, методологическом,
организационно–управленческом, технологическом и техническом уровнях.
Анализ рисков”.
2) “Разработка комплексных рекомендаций по методологическому,
организационно–управленческому, технологическому, общетехническому и
программно–аппаратному обеспечению режима ИС компании”.
3) “Организационно–технологический анализ ИС компании”.
4) “Экспертиза решений и проектов”.
5) “Работы по анализу документооборота и поставке типовых комплектов
организационно–распорядительной документации”.
6) “Работы, поддерживающие практическую реализацию плана защиты”.
7) “Повышение квалификации и переподготовка специалистов”.
Исследование и оценка состояния информационной безопасности ИС и
подсистемы информационной безопасности компании предполагают
проведение их оценки на соответствие типовым требованиям руководящих
документов, типовым требованиям международных стандартов ISO и
соответствующим требованиям компании–заказчика. К первой области также
относятся работы, проводимые на основе анализа рисков, инструментальные
исследования (исследование элементов инфраструктуры компьютерной сети и
корпоративной информационной системы на наличие уязвимостей,
исследование защищенности точек доступа в Internet). Данный комплекс работ
также включает в себя и анализ документооборота, который, в свою очередь,
можно выделить и как самостоятельное направление.
Рекомендации могут касаться общих основополагающих вопросов
обеспечения безопасности информации (разработка концепции
информационной безопасности, разработка корпоративной политики охраны
информации на организационно–управленческом, правовом, технологическом
и техническом уровнях), применимых во многих компаниях. Также
рекомендации могут быть вполне конкретными и относится к деятельности
одной единственной компании (план защиты информации, дополнительные
работы по анализу и созданию методологического, организационно–
управленческого, технологического, инфраструктурного и технического
обеспечения режима информационной безопасности компании).
Организационно–технологический анализ ИС компании в основном
предполагает проведение оценки соответствия типовым требованиям
руководящих документов к системе информационной безопасности компании в
области организационно–технологических норм и анализ документооборота
компании категории “конфиденциально” на соответствие требованиям
концепции информационной безопасности, положению о коммерческой тайне,
прочим внутренним требованиям компании по обеспечению
конфиденциальности информации.
Правильная экспертиза решений и проектов играет важную роль в
обеспечении функционирования всей системы информационной безопасности и
должна соответствовать требованиям по обеспечению информационной
безопасности экспертно–документальным методом. Экспертиза проектов подсистем
–требованиям по безопасности экспертно–документальным методом.
Работы по анализу документооборота и поставке типовых комплектов
организационно–распорядительной документации, как правило, включают два
направления:
– анализ документооборота компании категории “конфиденциально” на
соответствие требованиям концепции информационной безопасности,
положению о коммерческой тайне, прочим внутренним требованиям компании
по обеспечению конфиденциальности информации;
– поставку комплекта типовой организационно–распорядительной
документации в соответствии с рекомендациями корпоративной политики ИБ
компании на организационно–управленческом и правовом уровне.
1.1.2 Методика построения корпоративной системы защиты информации
Главная цель любой системы информационной безопасности заключается
в обеспечении устойчивого функционирования объекта: предотвращении угроз
его безопасности, защите законных интересов владельца, защита информации
от противоправных посягательств, в том числе уголовно наказуемых деяний в
рассматриваемой сфере отношений,обеспечении нормальной
производственной деятельности всех подразделений объекта. Другая задача
сводится к повышению качества предоставляемых услуг и гарантий
безопасности, имущественных прав и интересов клиентов.
Для этого необходимо:
– отнести информацию к категории ограниченного доступа (служебной
тайне);
– прогнозировать и своевременно выявлять угрозы безопасности
информационным ресурсам, причины и условия, способствующие нанесению
финансового, материального и морального ущерба, нарушению его
нормального функционирования и развития;
– создать условия функционирования с наименьшей вероятностью
реализации угроз безопасности информационным ресурсам и нанесения
различных видов ущерба;
– создать механизм и условия оперативного реагирования на угрозы
информационной безопасности и проявления негативных тенденций в
функционировании, эффективное пресечение посягательств на ресурсы на
основе правовых, организационных и технических мер и средств обеспечения
безопасности;
– создать условия для максимально возможного возмещения и
локализации ущерба, наносимого неправомерными действиями физических и
юридических лиц, и тем самым ослабить возможное негативное влияние
последствий нарушения информационной безопасности.
При выполнении работ можно использовать следующую модель
построения корпоративной системы защиты информации, основанную на
адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO
17799) (Рисунок 1.1).
Рисунок 1.1 – Модель построения корпоративной системы защиты
информации
Представленная модель защиты информации – это совокупность
объективных внешних и внутренних факторов и их влияние на состояние
информационной безопасности на объекте и на сохранность материальных или
информационных ресурсов.
Рассматриваются следующие объективные факторы:
– угрозы информационной безопасности,характеризующиеся
вероятностью возникновения и вероятностью реализации;
– уязвимости информационной системы или системы контрмер (системы
информационной безопасности), влияющие на вероятность реализации угрозы;
– риск – фактор, отражающий возможный ущерб организации в
результате реализации угрозы информационной безопасности: утечки
информации и ее неправомерного использования (риск в конечном итоге
отражает вероятные финансовые потери – прямые или косвенные).
Для построения сбалансированной системы информационной
безопасности предполагается первоначально провести анализ рисков в области
информационной безопасности. Затем определить оптимальный уровень риска
для организации на основе заданного критерия. Систему информационной
безопасности (контрмеры) предстоит построить таким образом, чтобы достичь
заданного уровня риска.
Предлагаемая методика проведения аналитических работ позволяет
полностью проанализировать и документально оформить требования,
связанные с обеспечением информационной безопасности, избежать расходов
на излишние меры безопасности, возможные при субъективной оценке рисков,
оказать помощь в планировании и осуществлении защиты на всех стадиях
жизненного цикла информационных систем, обеспечить проведение работ в
сжатые сроки, представить обоснование для выбора мер противодействия,
оценить эффективность контрмер, сравнить различные варианты контрмер.
При построении модели будут учитываться взаимосвязи между
ресурсами. Например, выход из строя какого–либо оборудования может
привести к потере данных или выходу из строя другого критически важного
элемента системы. Подобные взаимосвязи определяют основу построения
модели организации с точки зрения ИБ.
1.1.3 Методика реорганизации
корпоративной системы информационной безопасности
На данный момент многие организации имеют старую корпоративную
систему информационной безопасности и целесообразно рассмотреть методику
ее реорганизации.
Главной целью любой системы обеспечения информационной
безопасности является обеспечение устойчивого функционирования
предприятия, предотвращение угроз его безопасности, защита законных
интересов предприятия от противоправных посягательств, недопущение
хищения финансовых средств, разглашения, утраты, утечки, искажения и
уничтожения служебной информации, обеспечение нормальной торговой и
производственной деятельности всех подразделений предприятия. Еще одной
целью системы информационной безопасности является повышение качества
предоставляемых услуг и гарантий безопасности имущественных прав и
интересов клиентов.
Для достижения названных целей необходимо решить следующие
основные задачи:
– отнесение информации к категории ограниченного доступа (служебной
или коммерческой тайне);
– прогнозирование и своевременное выявление угроз безопасности
информационным ресурсам, причин и условий, способствующих нанесению
финансового, материального и морального ущерба, нарушению их нормального
функционирования и развития;
– создание условий функционирования с наименьшей вероятностью
реализации угроз безопасности информационным ресурсам и нанесения
различных видов ущерба;
– создание механизма и условий оперативного реагирования на угрозы
информационной безопасности и проявление негативных тенденций в
функционировании, эффективное пресечение посягательств на ресурсы на
основе правовых, организационных и технических мер и средств обеспечения
безопасности.
При выполнении практических работ по реорганизации системы
безопасности может быть принята следующая модель построения системы
информационной безопасности, основанная на адаптации "Общих критериев"
ISO 15408 и проведении анализа информационных рисков (Рисунок 1.2).....
Введение............................................................................................................. 8
1 Аналитическая часть.................................................................................... 10
1.1 Методика построения корпоративной системы защиты
информации ............................................................................................................... 10
1.1.1 Разновидности аналитических работ по оценке
защищенности............................................................................................................ 12
1.1.2 Методика построения корпоративной системы защиты
информации ............................................................................................................... 13
1.1.3 Методика реорганизации корпоративной системы
информационной безопасности ............................................................................... 15
1.2 Концепция безопасности объекта информации ................................ 17
1.2.1 Цели и задачи системы безопасности.......................................... 18
1.2.2 Принципы организации и функционирования системы
безопасности .............................................................................................................. 19
1.2.3 Объекты защиты ............................................................................ 21
1.2.4 Основные виды угроз интересам коммерческого банка............ 21
1.2.5 Техническое обеспечение безопасности банка........................... 22
1.2.6 Принципы и направления взаимодействия между объектом и
правоохранительными органами в области безопасности.................................... 23
1.3 Обследование объекта защиты ............................................................ 24
1.3.1 Класс защиты объекта информатизации ..................................... 26
1.3.2 Категорирование помещений ....................................................... 26
1.3.3 Результат анализа характеристики объекта ................................ 28
1.4 Модель потенциального нарушителя ................................................. 28
1.4.1 Основные характеристики нарушителей..................................... 29
1.4.2 Классификация нарушителей (основные типы нарушителей) . 31
1.5 Техническое задание на разработку интегрированной системы
физической охраны объекта информатизации....................................................... 32
1.6 Обзор технических решений по обеспечению физической
безопасности .............................................................................................................. 33
1.6.1 Выбор IP адресации ....................................................................... 33
1.6.2 Пожарная сигнализация противопожарная автоматика. ........... 34
1.6.3 Система контроля доступа ............................................................ 36
1.6.4 Системы Телевизионного видеонаблюдения.............................. 43
1.6.5 Менеджер управления системой телевизионного
видеонаблюдения ...................................................................................................... 47
1.6.6 Интегрированные системы безопасности ................................... 50
2 Конструкторская часть ................................................................................ 69
2.1 Технические средства защиты............................................................. 70
2.1.1 Система охранно–пожарной сигнализации ................................ 71
2.1.2 Телевизионная система видеоконтроля....................................... 73
2.1.3 Система контроля и управления доступом ................................. 76
3 Общая сетевая часть предприятия ............................................................. 85
3.1 Определение структуры потоков данных (размеров и структуры
сети)…… .................................................................................................................... 85
3.2 Создание логической структуры сети. Разработка информационной
структуры предприятия ............................................................................................ 85
3.3 Выбор топологии сети и методов доступа ......................................... 86
3.4 Планирование IP–адресаций................................................................ 88
3.5 Выбор технологии глобальной сети ................................................... 89
3.6 Проектирование внешних связей в корпоративной сети.................. 90
3.7 Выбор сетевых технологий и сетевых протоколов ........................... 91
3.8 Выбор сетевой операционной системы. Выбор программного
обеспечения для защиты информации .................................................................... 91
4 Анализ потенциально опасных и вредных производственных
факторов ..................................................................................................................... 93
4.1 Микроклимат рабочей зоны программиста ....................................... 93
4.2 Создание оптимальных условий труда ............................................... 94
4.3 Анализ условий труда........................................................................... 95
4.4 Пожаробезопасность............................................................................. 96
4.5 Система вентиляции ............................................................................. 98
4.6 Разработка мероприятий по улучшению условий труда .................. 99
4.6.1 Расчет системы кондиционирования ........................................... 99
4.6.2 Расчет искусственного освещения помещения ........................ 102
5Технико–экономическое обоснование...................................................... 106
5.1 Описание работы................................................................................. 106
5.2 Программа выполнения работы ........................................................ 106
5.3 Расчёт стоимости произведенной работы ........................................ 107
Заключение .................................................................................................... 113
Список сокращений ...................................................................................... 114
Условно графические обозначения ............................................................. 116
Список литературы ....................................................................................... 117
Приложение А ............................................................................................... 120
Приложение Б ................................................................................................ 122
Приложение В ............................................................................................... 124
Приложение Г ................................................................................................ 126
Приложение Д ............................................................................................... 128
Приложение Е................................................................................................ 129
Приложение Ж............................................................................................... 130
Приложение З ................................................................................................
1.1
Методика построения корпоративной системы защиты информации
Задачу построения адекватной сегодняшней обстановке системы
безопасности объекта можно условно разбить на две основные части:
организационная и техническая.
Опыт ученых–практиков, разрабатывающих концептуальные решения по
созданию СФЗ на особо важных объектах различных ведомств и
располагающих большим объемом аналитического материала, позволяет
сделать некоторые выводы о тенденциях, складывающихся в сфере
создания/модернизации СФЗ.
Повышение эффективности организационной части в деле обеспечения
безопасности объекта как наиболее операбельного фактора нельзя принизить
ни в коем случае. Он был и еще достаточно долго останется на большинстве
объектов ключевым звеном. Но речь сейчас лишь о том, чтобы снизить
нагрузку, приходящуюся на долю сотрудников охраны, повысив при этом их
защищенность и эффективность всей системы в целом.
Обоснование и оптимизация структуры и функциональных характеристик
системы, разработка требований и рекомендаций к ее элементам являются
основным содержанием и целью деятельности, которая в настоящее время
формируется как научно–методическое сопровождение создания СФЗ.
Научно–методическая и аналитическая работа в рассматриваемой области
складывается из совместной деятельности:
– администрации и служб безопасности объектов;
– специализированных организаций.
Эта работа включает в себя:
– проведение полного обследования объекта информатизации;
– определение класса защиты объекта, категорирования помещений,
определение (задание) критерия эффективности создаваемой или
модернизируемой СФЗ;
– выделение наиболее вероятных угроз и определения модели
потенциального нарушителя (его основные характеристики и цели), анализ
уязвимости объекта, оценку эффективности существующей и создаваемой СФЗ;
– разработку концептуального решения по созданию (модернизации)
СФЗ, требований к составу и функциональным характеристикам СФЗ;
– выбор и оптимизацию системы;
– актуализацию концепции создания СФЗ при изменениях угроз и
условий функционирования объекта и его СФЗ.
Полное обследование объекта производится для получения наиболее
полного анализа характеристики объекта. Проводят, как организация–заказчик,
так и организация–разработчик. Это одна из наиболее важных стадий пред проектной подготовки.
Задача решается экспертными методами путем определения видов и
масштабов ущерба, который может возникнуть в случае реализации угроз.
Результатом является отнесение объекта к соответствующей категории, что, в
свою очередь, определяет общие требования к СФЗ и позволяет задать
количественные критерии эффективности СФЗ, необходимые в дальнейшем для
оценки системы.
В мировой и отечественной практике основной критерий имеет
интегральный характер и количественно выражается величиной вероятности
пресечения СФЗ и действий нарушителя до достижения им своей цели при
наиболее благоприятных для него условиях (так называемый
«пессимистический подход»).
Категорирование объектов само по себе не решает проблемы обеспечения
безопасности и лишь позволяет установить степень потенциальной опасности и
общие требования к системе физической защиты каждого конкретного объекта.
Следующим шагом должно быть определение степени соответствия
существующей СФЗ объекта требованиям, предъявленным в результате
категорирования. Для этого необходимо проведение анализа уязвимости
объекта. Создание/модернизация систем обеспечения безопасности без анализа
ситуации на объекте защиты (анализа уязвимости объекта) и научно
обоснованных рекомендаций может привести, например, к тому, что не будут
учтены какие–то важные угрозы, а в создание/модернизацию системы
безопасности будут вложены средства, превышающие реально необходимые.
Анализ уязвимости объекта выполняется экспертными методами и/или
методами имитационного моделирования и включает в себя:
– расчет интегрального показателя и комплексную оценку
эффективности существующей СФЗ (при установленных видах угроз и
приоритетах целей защиты) путем сравнения полученных расчетных данных с
заданными критериями;
– разработку мер по достижению заданных критериев;
– оценку (подтверждение) эффективности этих мер.
Меры по достижению заданных критериев эффективности являются, по
сути, требованиями к структуре и функциональным характеристикам
создаваемой или модернизируемой СФЗ и тем самым логически завершают
этап разработки концепции создания системы.
Результатами этого этапа являются:
– рекомендации по структуре и содержанию организационно–
распорядительных документов об обеспечении безопасности объекта;
– проект организационно–штатной структуры и рекомендации по
организации сил охраны объекта;
– требования по назначению к инженерно–техническим средствам и
системам (ИТС), входящим в СФЗ; эти требования являются основой для
разработки технического задания на проектирование СФЗ.
И руководящие документы, и складывающаяся практика одинаково
определяют субъект анализа уязвимости. Анализ должен проводиться с
привлечением специализированных организаций, имеющих в своем составе
квалифицированных специалистов в различных областях знаний и
располагающих специальным программно–методическим обеспечением.
Только при таком подходе можно обеспечить объективность и высокое
качество анализа уязвимости и создать эффективную систему обеспечения
безопасности, экономически целесообразную для объекта защиты.
1.1.1 Разновидности аналитических работ по оценке защищенности
Аналитические работы в области информационной безопасности могут
проводиться по следующим направлениям:
1) “Комплексный анализ информационных систем (ИС) компании и
подсистемы информационной безопасности на правовом, методологическом,
организационно–управленческом, технологическом и техническом уровнях.
Анализ рисков”.
2) “Разработка комплексных рекомендаций по методологическому,
организационно–управленческому, технологическому, общетехническому и
программно–аппаратному обеспечению режима ИС компании”.
3) “Организационно–технологический анализ ИС компании”.
4) “Экспертиза решений и проектов”.
5) “Работы по анализу документооборота и поставке типовых комплектов
организационно–распорядительной документации”.
6) “Работы, поддерживающие практическую реализацию плана защиты”.
7) “Повышение квалификации и переподготовка специалистов”.
Исследование и оценка состояния информационной безопасности ИС и
подсистемы информационной безопасности компании предполагают
проведение их оценки на соответствие типовым требованиям руководящих
документов, типовым требованиям международных стандартов ISO и
соответствующим требованиям компании–заказчика. К первой области также
относятся работы, проводимые на основе анализа рисков, инструментальные
исследования (исследование элементов инфраструктуры компьютерной сети и
корпоративной информационной системы на наличие уязвимостей,
исследование защищенности точек доступа в Internet). Данный комплекс работ
также включает в себя и анализ документооборота, который, в свою очередь,
можно выделить и как самостоятельное направление.
Рекомендации могут касаться общих основополагающих вопросов
обеспечения безопасности информации (разработка концепции
информационной безопасности, разработка корпоративной политики охраны
информации на организационно–управленческом, правовом, технологическом
и техническом уровнях), применимых во многих компаниях. Также
рекомендации могут быть вполне конкретными и относится к деятельности
одной единственной компании (план защиты информации, дополнительные
работы по анализу и созданию методологического, организационно–
управленческого, технологического, инфраструктурного и технического
обеспечения режима информационной безопасности компании).
Организационно–технологический анализ ИС компании в основном
предполагает проведение оценки соответствия типовым требованиям
руководящих документов к системе информационной безопасности компании в
области организационно–технологических норм и анализ документооборота
компании категории “конфиденциально” на соответствие требованиям
концепции информационной безопасности, положению о коммерческой тайне,
прочим внутренним требованиям компании по обеспечению
конфиденциальности информации.
Правильная экспертиза решений и проектов играет важную роль в
обеспечении функционирования всей системы информационной безопасности и
должна соответствовать требованиям по обеспечению информационной
безопасности экспертно–документальным методом. Экспертиза проектов подсистем
–требованиям по безопасности экспертно–документальным методом.
Работы по анализу документооборота и поставке типовых комплектов
организационно–распорядительной документации, как правило, включают два
направления:
– анализ документооборота компании категории “конфиденциально” на
соответствие требованиям концепции информационной безопасности,
положению о коммерческой тайне, прочим внутренним требованиям компании
по обеспечению конфиденциальности информации;
– поставку комплекта типовой организационно–распорядительной
документации в соответствии с рекомендациями корпоративной политики ИБ
компании на организационно–управленческом и правовом уровне.
1.1.2 Методика построения корпоративной системы защиты информации
Главная цель любой системы информационной безопасности заключается
в обеспечении устойчивого функционирования объекта: предотвращении угроз
его безопасности, защите законных интересов владельца, защита информации
от противоправных посягательств, в том числе уголовно наказуемых деяний в
рассматриваемой сфере отношений,обеспечении нормальной
производственной деятельности всех подразделений объекта. Другая задача
сводится к повышению качества предоставляемых услуг и гарантий
безопасности, имущественных прав и интересов клиентов.
Для этого необходимо:
– отнести информацию к категории ограниченного доступа (служебной
тайне);
– прогнозировать и своевременно выявлять угрозы безопасности
информационным ресурсам, причины и условия, способствующие нанесению
финансового, материального и морального ущерба, нарушению его
нормального функционирования и развития;
– создать условия функционирования с наименьшей вероятностью
реализации угроз безопасности информационным ресурсам и нанесения
различных видов ущерба;
– создать механизм и условия оперативного реагирования на угрозы
информационной безопасности и проявления негативных тенденций в
функционировании, эффективное пресечение посягательств на ресурсы на
основе правовых, организационных и технических мер и средств обеспечения
безопасности;
– создать условия для максимально возможного возмещения и
локализации ущерба, наносимого неправомерными действиями физических и
юридических лиц, и тем самым ослабить возможное негативное влияние
последствий нарушения информационной безопасности.
При выполнении работ можно использовать следующую модель
построения корпоративной системы защиты информации, основанную на
адаптации Общих Критериев (ISO 15408) и проведении анализа риска (ISO
17799) (Рисунок 1.1).
Рисунок 1.1 – Модель построения корпоративной системы защиты
информации
Представленная модель защиты информации – это совокупность
объективных внешних и внутренних факторов и их влияние на состояние
информационной безопасности на объекте и на сохранность материальных или
информационных ресурсов.
Рассматриваются следующие объективные факторы:
– угрозы информационной безопасности,характеризующиеся
вероятностью возникновения и вероятностью реализации;
– уязвимости информационной системы или системы контрмер (системы
информационной безопасности), влияющие на вероятность реализации угрозы;
– риск – фактор, отражающий возможный ущерб организации в
результате реализации угрозы информационной безопасности: утечки
информации и ее неправомерного использования (риск в конечном итоге
отражает вероятные финансовые потери – прямые или косвенные).
Для построения сбалансированной системы информационной
безопасности предполагается первоначально провести анализ рисков в области
информационной безопасности. Затем определить оптимальный уровень риска
для организации на основе заданного критерия. Систему информационной
безопасности (контрмеры) предстоит построить таким образом, чтобы достичь
заданного уровня риска.
Предлагаемая методика проведения аналитических работ позволяет
полностью проанализировать и документально оформить требования,
связанные с обеспечением информационной безопасности, избежать расходов
на излишние меры безопасности, возможные при субъективной оценке рисков,
оказать помощь в планировании и осуществлении защиты на всех стадиях
жизненного цикла информационных систем, обеспечить проведение работ в
сжатые сроки, представить обоснование для выбора мер противодействия,
оценить эффективность контрмер, сравнить различные варианты контрмер.
При построении модели будут учитываться взаимосвязи между
ресурсами. Например, выход из строя какого–либо оборудования может
привести к потере данных или выходу из строя другого критически важного
элемента системы. Подобные взаимосвязи определяют основу построения
модели организации с точки зрения ИБ.
1.1.3 Методика реорганизации
корпоративной системы информационной безопасности
На данный момент многие организации имеют старую корпоративную
систему информационной безопасности и целесообразно рассмотреть методику
ее реорганизации.
Главной целью любой системы обеспечения информационной
безопасности является обеспечение устойчивого функционирования
предприятия, предотвращение угроз его безопасности, защита законных
интересов предприятия от противоправных посягательств, недопущение
хищения финансовых средств, разглашения, утраты, утечки, искажения и
уничтожения служебной информации, обеспечение нормальной торговой и
производственной деятельности всех подразделений предприятия. Еще одной
целью системы информационной безопасности является повышение качества
предоставляемых услуг и гарантий безопасности имущественных прав и
интересов клиентов.
Для достижения названных целей необходимо решить следующие
основные задачи:
– отнесение информации к категории ограниченного доступа (служебной
или коммерческой тайне);
– прогнозирование и своевременное выявление угроз безопасности
информационным ресурсам, причин и условий, способствующих нанесению
финансового, материального и морального ущерба, нарушению их нормального
функционирования и развития;
– создание условий функционирования с наименьшей вероятностью
реализации угроз безопасности информационным ресурсам и нанесения
различных видов ущерба;
– создание механизма и условий оперативного реагирования на угрозы
информационной безопасности и проявление негативных тенденций в
функционировании, эффективное пресечение посягательств на ресурсы на
основе правовых, организационных и технических мер и средств обеспечения
безопасности.
При выполнении практических работ по реорганизации системы
безопасности может быть принята следующая модель построения системы
информационной безопасности, основанная на адаптации "Общих критериев"
ISO 15408 и проведении анализа информационных рисков (Рисунок 1.2).....
Толық нұсқасын 30 секундтан кейін жүктей аласыз!!!
Әлеуметтік желілерде бөлісіңіз:
Facebook | VK | WhatsApp | Telegram | Twitter
Қарап көріңіз 👇
Пайдалы сілтемелер:
» Туған күнге 99 тілектер жинағы: өз сөзімен, қысқаша, қарапайым туған күнге тілек
» Абай Құнанбаев барлық өлеңдер жинағын жүктеу, оқу
» Дастархан батасы: дастарханға бата беру, ас қайыру
Соңғы жаңалықтар:
» Ораза айт намазы уақыты Қазақстан қалалары бойынша
» Биыл 1 сыныпқа өтініш қабылдау 1 сәуірде басталып, 2024 жылғы 31 тамызға дейін жалғасады.
» Жұмыссыз жастарға 1 миллион теңгеге дейінгі ҚАЙТЫМСЫЗ гранттар. Өтінім қабылдау басталды!