Размещено на http://www.allbest.ru/

МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»

Факультет электронного обучения

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

на тему «Внедрение системы контроля и управления доступом (СКУД) в ОАО «Банк Москвы»

Обучающийся

Катасов А.М.

Руководитель

Алехина Г.В.

МОСКВА 2016 г



ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ

1. АНАЛИТИЧЕСКАЯ ЧАСТЬ

1.1 Технико-экономическая характеристика системы контроля и управления доступом в ОАО «Банк Москвы»

1.2 Анализ рисков информационной безопасности в отделении ОАО «Банк Москвы»

1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы контроля и управления доступом в ОАО «Банк Москвы»

1.4 Выбор защитных мер

2. ПРОЕКТНАЯ ЧАСТЬ

2.1 Комплекс организационных мер функционирования системы контроля и управления доступом

2.2 Комплекс проектируемых программно-аппаратных средств СКиУ в ОАО «Банк Москвы»

3. ОБОСНОВАНИЕ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ПРОЕКТА

3.1 Выбор и обоснование методики расчёта экономической эффективности

3.2 Расчёт показателей экономической эффективности проекта

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

ПРИЛОЖЕНИЯ



ВВЕДЕНИЕ

В последние годы одним из самых эффективных и востребованных подходов к решению задач комплексной безопасности организаций различных форм собственности становится применение различных систем контроля и управления доступом (СКУД).

Грамотное использование СКУД в организации позволяет свести к минимуму риск несанкционированного доступа на территорию, в здание, отдельные этажи и помещения. При этом, подобные системы не создают препятствий для прохода персонала и посетителей в разрешенные для них зоны. Необходимо понимать, что СКУД не устраняют необходимость контроля со стороны человека, однако они значительно повышает эффективность работы службы безопасности, особенно при наличии многочисленных зон риска.

Оптимальное соотношение человеческих и технических средств должно определяться в соответствии с поставленными задачами и допустимым уровнем возможных угроз.

К сожалению, в настоящее время процесс выбора конкретных СКУД носит сложный характер, поскольку реально отсутствует какая-либо систематизированная аналитическая информация по имеющимся сегодня в мире СКУД.

Необходимо заметить, что некоторые зарубежные компании, стараясь заполнить пока еще свободную нишу российского рынка, порой проявляют недобросовестность в рекламе, в предоставлении полной информации о технических и функциональных возможностях систем, об особенностях их эксплуатации в сравнительно сложных климатических условиях и т.п. В результате на важных объектах можно встретить непрофессионально спроектированные системы СКУД, у которых даже технические характеристики не соответствуют условиям эксплуатации в Российской Федерации.

Целью данной выпускной квалификационной работы является определение наиболее уязвимых информационных активов организации, а также разработка наиболее оптимальных средств и методов защиты информации, среди которых главное место занимает проект внедрения системы контроля и управления доступом.

Исходя из поставленной цели, предполагается решение ряда задач:

· проанализировать технико-экономические характеристики системы контроля и управления доступом и анализ рисков информационной безопасности в ОАО «Банк Москвы»;

· обосновать необходимость совершенствования системы контроля и управления доступом в ОАО «Банк Москвы»;

· провести выбор конкретных защитных мер;

· изучить комплекс организационных мер функционирования системы контроля и управления доступом;

· спроектировать комплекс программно-аппаратных средств СКиУ в ОАО «Банк Москвы»;

· провести анализ экономической эффективности предлагаемых мероприятий.

Объектом исследования является ОАО «Банк Москвы». Предмет исследования - система контроля и управления доступом (СКУД).

Выпускная квалификационная работа из введения, основной части (состоящей из трех глав - аналитической, проектной и экономической), заключения, списка использованных источников и приложений.

В аналитической главе дана характеристика рассматриваемого предприятия, определены защищаемые информационные активы, оценены угрозы и риски. Определен комплекс задач и защитных мер, включая организационные и инженерно-технические задачи.

В проектной главе описан программно-аппаратный комплекс выбранных мер, приведена его структура, рассмотрен контрольный пример реализации проекта.

В экономической главе рассчитана стоимость внедрения указанного комплекса, сроков его окупаемости.

В данной работе используются как теоретические (анализ, классификация, обобщение), так и эмпирические (сравнение, измерение и др.) методы исследования.

При выполнении работы была использована современная учебная литература, научные труды как отечественных, так и зарубежных авторов, нормативная документация, статьи из журналов в области информационной безопасности, финансовая отчетность предприятия, а также материалы сети интернет.



1. АНАЛИТИЧЕСКАЯ ЧАСТЬ

1.1 Технико-экономическая характеристика системы контроля и управления доступом в ОАО «Банк Москвы»

Общая характеристика предприятия

Акционерное общество «Банк Москвы» - российский коммерческий банк, оказывающий банковские услуги как юридическим, так и физическим лицам. Основан в 1995 году как акционерный коммерческий «Московский муниципальный банк - Банк Москвы».

Полное наименование Банка - Акционерный коммерческий банк «Банк Москвы» (открытое акционерное общество). Сокращенное наименование Банка - ОАО «Банк Москвы». Год основания Банка - 1995. Юридический адрес: Россия, 107996, г. Москва, ул. Рождественка, дом 8/15 строение 3.

Генеральная лицензия Банка России № 2748. Данные БИК: 044525219. ИНН: 7702000406. КПП: 775001001/997950001. ОКОНХ: 96120. ОКПО: 29292940.

На данный момент «Банк Москвы» представлен в большинстве наиболее значимых экономически регионах страны и насчитывает 311 обособленных подразделений, в том числе дополнительные офисы и операционные кассы. В банковскую сеть холдинга АО «Банк Москвы» входят 4 обособленных дочерних банка, которые расположены за пределами Российской Федерации, а именно «БМ Банк» (Украина), Банк «Москва-Минск» (Беларусь), «Эстонский кредитный банк» (Эстония) и «Банк Москвы» (Сербия).

В «Банк Москвы» действует собственный процессинговый центр, который обслуживает карточные программы банка. Всего Банк выпустил более 21 млн пластиковых карт. Процессинговый центр сертифицирован компаниями «Visa International» и «MasterCard», обладает широкой сетью банкоматов (более 2 тысяч банковатов только в Российской Федерации). При этом объединенная сеть банкоматов банков Группы ВТБ - «Банка Москвы», «ВТБ 24» и «ТрансКредитБанка» - превышает 12 тысяч устройств (в сети отменена комиссия за снятие собственных денежных средств).

В апреле 2010 года мэрией города Москва было подписано распоряжение о поддержке банка средствами из городского бюджета. Согласно данному распоряжению, из столичного бюджета на 2010 год должно было быть выделено 7,5 млрд рублей на покупку дополнительной эмиссии акций банка [36]. В феврале 2011 года принадлежавший правительству Москвы пакет в 46,48 % был полностью продан банку ВТБ, также ВТБ приобрёл 25 % плюс 1 акция Столичной страховой группы, владеющей 17,32 % акций Банка Москвы.

По состоянию на февраль 2016 года, основным акционером Банка является Группа ВТБ (100%). Председатель совета директоров банка с 24 февраля 2011 года - А. Л. Костин [37]. Президент - председатель правления - Геннадий Солдатенков (до 12 апреля 2011 года - Андрей Бородин) [41].

3 марта 2016 года на сайте Банка было опубликовано уведомление кредиторов о принятии решения о реорганизации Акционерного коммерческого банка «Банк Москвы». Принято решение о реорганизации ОАО «Банк Москвы» в форме выделения Акционерного общества «БС Банк (Банк Специальный)», которое будет осуществляться одновременно с присоединением АО «БС Банк (Банк Специальный)» к Банку ВТБ (ПАО) (генеральная лицензия Банка России № 1000, ОГРН 1027739609391, ИНН 7702070139, КПП 997950001, место нахождения: г. Санкт-Петербург, ул. Большая Морская, д. 29).

ОАО «Банк Москвы», имеющий Генеральную лицензию Банка России, а также являющийся участником системы страхования вкладов, осуществляет и предполагает осуществлять после завершения реорганизации следующие банковские операции в рублях и иностранной валюте [39]:

· привлечение денежных средств физических и юридических лиц во вклады (до востребования и на определенный срок);

· размещение привлеченных во вклады (до востребования и на определенный срок) денежных средств физических и юридических лиц от своего имени и за свой счет;

· открытие и ведение банковских счетов физических и юридических лиц;

· осуществление переводов денежных средств по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам;

· инкассацию денежных средств, векселей, платежных и расчетных документов и кассовое обслуживание физических и юридических лиц;

· куплю и продажу иностранной валюты как в наличной, так и безналичной формах;

· привлечение во вклады и размещение драгоценных металлов;

· выдачу банковских гарантий;

· осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов).

Спонсорские проекты ОАО «Банк Москвы» направлены на популяризацию спорта и здорового образа жизни, поддержку культурно-массовых мероприятий, развитие культуры и искусства. «Банк Москвы» рассматривает спонсорскую деятельность как важный фактор, который формирует его положительную репутацию и помогает установить контакты с потребителями услуг и продуктов в различных сегментах и регионах присутствия.

Ключевым фокусом работы Банка остается развитие бизнеса с клиентами сегмента СМБ (компаниями с годовой выручкой до 10 млрд. руб.). Работа с крупными корпоративными клиентами строится при координации со стороны ВТБ. Благодаря накопленному опыту в реализации инфраструктурных и инвестиционных проектов, ОАО «Банк Москвы» развивает сотрудничество с предприятиями, обслуживающими государственный заказ, а также с компаниями, связанными с реализацией государственных программ на региональном и муниципальном уровнях.

В таблице 1.1.1 представлены основные статьи баланса ОАО "Банк Москвы" за 2013-2015 годы (данные на конец года)

Таблица 1.1.1 - Основные статьи баланса

Балансовые показатели (млрд. руб)	2013	2014	2015
Активы	949,13	1 363,75	1 558,88
Чистая ссудная задолженность	669,19	801,60	949,81
Средства клиентов	667,04	877,74	910,22
Собственные средства	61,47	182,72	191,29
Чистая прибыль	56,51	5,75	7,78

Активы Банка по состоянию на 01.01.2016 составили 1 558,88 млрд руб. и за год увеличились на 14,3%. Чистая ссудная задолженность увеличилась на 18,5%. При этом, объем межбанковских кредитов фактически не изменился, а согласно Плану финансового оздоровления Банка были созданы резервы в сумме 25,6 млрд. руб.

По итогам 2015 года операционный доход Банка Москвы до создания резервов составил 75,5 млрд. рублей, что на 49,5% больше данного показателя 2014 года. Увеличение операционного дохода было прежде всего обусловлено ростом чистых процентных доходов.

Чистые процентные доходы являются основной статьей доходов Банка Москвы и составляют более 75,0% операционного дохода. Они включают доходы от кредитных операций и доходы от операций с ценными бумагами с фиксированной доходностью.

Организационно-функциональная структура ОАО «Банк Москвы»

Организационная структура банка - внутренняя организация работы кредитного учреждения, с помощью которой структурируются и формализуются подходы и методы управления, определяются группы исполнителей, разрабатываются системы контроля и внутриорганизационных взаимоотношений [38]. Организационная структура кредитных организаций законодательно не регулируется, т.о., банки вправе самостоятельно определять собственную систему управления.

Управляет ОАО «Банк Москвы» общее собрание акционеров, которое является ключевым звеном его организационной структуры. Собрание созывается не реже двух раз в год, предусмотрены случаи внеочередного собрания акционеров по требованию учредителей, совета директоров, ревизионной комиссии или акционеров банка.

Совет директоров избирает председателя совета директоров, который может быть президентом банка. Председатель совета директоров занимается информированием совета директоров о работе банка, о связях с общественностью, о перспективах развития банка и т.д.; осуществляет управление оперативной деятельностью банка.

Председатель совета директоров ОАО «Банк Москвы», президент - председатель правления Банка ВТБ (ПАО) Костин Андрей Леонидович. Президент ОАО «Банк Москвы» - председатель правления Банка ВТБ24 (ПАО) Задорнов Михаил Михайлович [40]. Президент и председатель правления непосредственно ОАО «Банк Москвы» - Солдатенков Геннадий Владимирович.

Правление банка наряду с председателем совета директоров включает вице-президентов, которые возглавляют ведущие отделы банка, а также главного бухгалтера, осуществляющего бухгалтерский учет, движение денежных средств и контроль.

В организационно-функциональной структуре ОАО «Банк Москвы» реализованы оперативные (кредитование, инвестирование, осуществление доверительных операций, международных расчетов, прием и обслуживание вкладов) и штабные функции (консультирование исполнителей, ведение бухгалтерского учета, анализ хозяйственной деятельности, прием на работу, повышение квалификации сотрудников, маркетинг, контроль за деятельностью банка).

Основа организационной структуры ОАО «Банк Москвы» включает функциональные подразделения и службы, число которых определяется экономическим содержанием и объемом выполняемых банком операций (рис 1.1.1).

Подразделения ОАО «Банк Москвы» сформированы по функциональному назначению:

· кредитный комитет и ревизионный комитет занимаются общими вопросами: первый разрабатывает кредитную политику банка, второй проводит внешний обзор и оценку деятельности банка;

· управление планирования занимается организацией коммерческой деятельности и управлением банковской ликвидностью, рентабельностью; экономическим анализом и изучением кредитоспособности клиента; разработкой основ и планов коммерческой деятельности банков; маркетингом и связями с общественностью;

· управление депозитных операций проводит депозитные операции (прием и выдачу вкладов) и занимается эмиссией и размещением собственных ценных бумаг (акций, облигаций, векселей, сертификатов);

· управление кредитных операций осуществляет краткосрочное и долгосрочное кредитование; кредитование населения; нетрадиционные банковские операции, связанные с кредитованием, такие, как лизинг, факторинг и т.д.;

· управление посреднических и других операций связано с проведением гарантийных операций и операций по доверенности (трастовые операции); комиссионных операций, фактoринговых услуг, посреднических услуг; операций с ценными бумагами (операции по размещению, хранению и продаже ценных бумаг);

· управление организации международных банковских операций осуществляет валютные и кредитные операции с привлечением валютных вкладов, покупку валюты, предоставление валютных кредитов; проведение международных расчетов;

· учетно-операционное управление, включающее операционный отдел, отдел кассовых операций, расчетный отдел, занимается проведением расчетно-кассового обслуживания клиентов.

Исследования в рамках написания данной работы проведено на базе Академического отделения ОАО «Банк Москвы», которое расположено по адресу: г. Москва, ул. Дм. Ульянова, д. 24.

В данном филиале банка сформированы следующие отделы:

· административно-хозяйственный отдел;

· бухгалтерия;

· юридический отдел (сотрудники-юристы занимаются проверкой правильности заполнения документов, составления договоров, проведения трастовых операций, представлением интересов клиента в суде);

· отдел кадров (занимается подбором и расстановкой кадров);

· отдел эксплуатации и внедрения вычислительной техники и информационной безопасности (отдел обработки и защиты информации).

1.2 Анализ рисков информационной безопасности в отделении ОАО «Банк Москвы»

Идентификация и оценка информационных активов

Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации.

Типы активов Академического филиала ОАО «Банк Москвы»:

1. Информация (база данных бухгалтерии - содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе).

2. Документы (разнообразные договора, контракты и служебные записки).

3. Программное обеспечение (в т.ч. прикладные программы).

4. Аппаратные средства (персональные компьютеры - необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.

Полный перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.

Таблица 1.2.1 - Оценка информационных активов

Наименование актива	Форма представления	Тип актива	Вид деятельности	Владелец актива	Критерии определения стоимости	Размерность оценки
						Количественная оценка (руб.)	Качественная
Информационные активы
База данных бухгалтерии	Электронная	Информация / данные	Учет в организации.	Бухгалтерия	Степень важности	100 000	Критическое значение
БД информационно-правовых документов	Электронная	Информация / данные	Обработка заявок клиентов. Продажи и маркетинг	Директор	Степень важности	100 000	Критическое значение
Персональные данные о сотрудниках	Электронная	Информация / данные	Учет в организации.	Кадровый отдел	Степень важности	100 000	Высокая
Штатное расписание и кадровый учет	Бумажный документ, электронный документ	Информация / данные	Учет в организации.	Кадровый отдел	Стоимость обновления или воссоздания	50 000	Критическое значение
База данных текущих заявок (MySQL)	Материальный объект	Информация / данные	Хранение и обработка заявок клиентов	IT-отдел	Первоначальная стоимость	10 000	Высокая
Активы аппаратных средств
Принтеры	Материальный объект	Аппаратные средства	Обработка заявок клиентов	IT-отдел	Первоначальная стоимость	75 000	Малая
Сетевое оборудование	Материальный объект	Оборудование для обеспечения связи	Доступ к информационным ресурсам	IT-отдел	Первоначальная стоимость	20 000	Средняя
Сервер баз данных	Материальный объект	Аппаратные средства	Доступ к информационным ресурсам	IT-отдел	Первоначальная стоимость	15 000	Критическое значение
Почтовый сервер	Материальный объект	Аппаратные средства	Обеспечение непрерывной работы Web-портала, Обработка заявок клиентов	IT-отдел	Первоначальная стоимость	15 000	Критическое значение
Персональный компьютер	Материальный объект	Аппаратные средства	Обработка заявок клиентов, обмен корреспонденцией	Консультанты, товароведы, администрация.	Первоначальная стоимость	250 000	Средняя
Активы программного обеспечения
Учетная Система	Электронная	Программное обеспечение	Обработка заявок клиентов, обмен корреспонденцией	IT-отдел	Обновление и воссоздание	50 000	Высокое
Программы целевого назначения	Электронная	Программное обеспечение	Обработка заявок клиентов, обмен корреспонденцией	IT-отдел	Обновление и воссоздание	70 000	Высокое
Windows 7 Ultimate	Электронная	Программное обеспечение	Доступ к информационным ресурсам, Обработка заявок клиентов, обмен корреспонденцией	IT-отдел	Первоначальная стоимость	80 000	Малая
MS Office 2010	Электронная	Программное обеспечение	Обработка заявок клиентов, обмен корреспонденцией	IT-отдел	Первоначальная стоимость	50 000	Малая

Таблица 1.2.2 - Результаты ранжирования активов

Наименование актива	Ценность актива (ранг)
База данных бухгалтерии	5
Почтовый сервер	5
БД информационно-правовых документов	5
Персональные данные о сотрудниках	5
Кадровый учет	5
Учетная Система	4
БД текущих заявок (MySQL)	4
Программы целевого назначения	4
Оборудование для обеспечения связи	4
Windows 7 Ultimate	3
MS Office 2010	2
Принтеры	2



Таблица 1.2.3 - Перечень сведений конфиденциального характера

№ п/п	Наименование сведений	Гриф конфиденциальности	Нормативный документ, реквизиты, №№ статей
1.	Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа	Информация ограниченного доступа	-
2.	Требования по обеспечению сохранения служебной тайны сотрудниками предприятия	Информация ограниченного доступа	ст. 139, 857 ГК РФ
3.	Персональные данные сотрудников	Информация ограниченного доступа; подлежат разглашению с согласия сотрудника	Федеральный закон №152-ФЗ; Глава 14 Трудового кодекса РФ
4.	Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства, имеющая действительную коммерческую ценность в силу неизвестности ее третьим лицам).	подлежит разглашению только по решению предприятия	Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

Оценка уязвимостей активов

Уязвимость информационных активов является серьезным недостатком. Из-за него возможным становится нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (вирусы, программы-шпионы и др.).

В общем случае, уязвимость - это некое событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

В терминологии информационной безопасности, «уязвимость» чаще применяется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу.

Уязвимости информационной системы организации можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы компьютерной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Также могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая). После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем.

Таблица 1.2.4 - Оценка уязвимости активов

Группа уязвимостей. Содержание уязвимости	БД бухгалтерии	Почтовый сервер	БД информационно-правовых документов	Перс. данные о сотр.	Кадровый учет	Учетная Система	БД текущих заявок	ПО целевого назначения	Оборудование связи
1. Среда и инфраструктура
Отсутствие физической защиты зданий, дверей и окон		Средняя		Средняя	Средняя				Средняя
Нестабильная работа электросети	Средняя		Средняя			Низкая	Средняя	Средняя	Низкая
2. Аппаратное обеспечение
Отсутствие схем периодической замены		Средняя							Средняя
Подверженности воздействию влаги, пыли, загрязнения		Средняя							Высокая
Отсутствие контроля за эффективным изменением конфигурации	Средняя	Высокая	Средняя				Средняя
3. Программное обеспечение
Отсутствие тестирования или недостаточное тестирование программного обеспечения						Высокая
Сложный пользовательский интерфейс						Средняя
Плохое управление паролями	Высокая	Среднее	Высокая			Среднее	Высокая	Высокая
4. Коммуникации
Отсутствие идентификации и аутентификации отправителя и получателя	Высокая	Среднее	Высокая			Среднее	Высокая	Высокая
Незащищенные подключения к сетям общего пользования	Высокая	Среднее	Высокая			Среднее	Высокая	Высокая
Отсутствие идентификации и аутентификации отправителя и получателя	Высокая	Среднее	Высокая			Среднее	Высокая	Высокая
5. Документы (документооборот)
Хранение в незащищенных местах				Среднее	Среднее
Бесконтрольное копирование				Высокая	Среднее
6. Общие уязвимые места
Отказ системы из-за отказа одного из элементов	Средняя	Средняя	Средняя			Высокая	Средняя		Средняя
Некорректные результаты проведения технического обслуживания						Средняя			Средняя

Оценка угроз активам

Угроза (гипотетическая возможность неблагоприятного воздействия) обладает способностью наносить реальный ущерб ИТ-системе организации и ее активам. Если такая угроза реализуется, то она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:

· ошибки и упущения;

· мошенничество и кража;

· случаи вредительства со стороны персонала;

· ухудшение состояния материальной части и инфраструктуры;

· программное обеспечение хакеров, например имитация действий законного пользователя;

· программное обеспечение, нарушающее нормальную работу системы;

· промышленный шпионаж.

После идентификации источника угроз (кто или что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.

Классификация возможностей реализации угроз и атак, представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки.

Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Таблица 1.2.5 - Оценка угроз активам

Группа уязвимостей. Содержание уязвимости	БД бухгалтерии	Почтовый сервер	БД информационно-правовых документов	Перс. данные о сотр.	Кадровый учет	Учетная Система	БД текущих заявок	ПО целевого назначения	Оборудование связи
1. Угрозы, обусловленные преднамеренными действиями
Похищение информации				Средняя	Средняя	Средняя
Вредоносное программное обеспечение	Высокая	Средняя	Средняя				Высокая	Высокая
Взлом системы	Высокая	Высокая	Высокая				Средняя	Средняя
2. Угрозы, обусловленные случайными действиями
Ошибки пользователей				Средняя	Средняя	Средняя
Программные сбои						Средняя		Средняя
Неисправность в системе кондиционирования воздуха	Низкая					Низкая			Низкая
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Колебания напряжения	Низкая	Низкая					Низкая
Воздействие пыли	Низкая	Низкая					Низкая		Средняя
Пожар	Средняя	Средняя	Средняя	Средняя	Средняя	Средняя	Высокая	Низкая	Средняя

Оценка существующих и планируемых средств защиты

Грамотное функционирование системы защиты информации в организации является ключевым моментом, который ни в коем случае нельзя упускать из вида. Потенциальные негативные последствия могут стать очень серьезными, если произойдет утрата данных или целых баз данных, результатов разнообразных аналитических исследований, исходных кодов и целых программных продуктов. При недостаточном уровне организации системы защиты информации это может привести к большим проблемам в дальнейшем ведении бизнеса, а в определенных случаях - просто невозможным.

Задачи по защите информации в «Банке Москвы» возлагаются на специальный IT-отдел организации.

Локальная вычислительная сеть организации состоит из сервера БД, почтового сервера, рабочих станций, принтеров. Для объединения компьютеров в локальную сеть используются хабы (hubs). Организация доступ к Internet организуется с использованием волоконно-оптического канала Ethernet.

Технические и программные характеристики офисных ПК (PC):

· Процессор: Intel Celeron Dual Core G530 (Sandy Bridge, 2.40ГГц, LGA1155, L3 2048Kb)

· Память: DDR3 2048 Mb (pc-10660) 1333MHz

· Материнская плата: S1155, iH61, 2*DDR3, PCI-E16x, SVGA, DVI, SATA, Lan, mATX, Retail

· Видеокарта встроенная Intel® HD Graphics 512Мб (из RAM)

· Сетевая карта есть (100/1000 Ethernet).

· Программное обеспечение:

· ОС: Windows 7 Ultimate;

· Office: Microsoft Office 2010/2013;

· Почтовый клиент Outlook 2010;

· Технические и программные характеристики серверов:

· Производитель Dell;

· Процессор :Intel Xeon E3-1240 (Sandy Bridge, 3.3 ГГц, 8Мб, S1155);

· Чипсет: Intel® 3420;

· Оперативная память: 2 x DDR3 2048 Mb (pc-10660) 1333MHz;

· Жесткий диск: 2 x 700Gb (SATA II);

· Сетевая карта: 1 x 10/100/1000 Мбит/с;

· Видеокарта: Matrox G200eW, 8 Мбайт памяти.

Программное обеспечение серверов:

· ОС: Windows Server 2008;

· Сервер электронной почты: Microsoft Exchange Server;

· СУБД: Microsoft SQL server + Mysql (WEB).

Охранная система рассчитана на предупреждение несанкционированного доступа в помещение. Применяемая охранная система состоит из охранной панели (централи) - прибор, который собирает и анализирует информацию, поступившую от охранных датчиков, а так же выполняет заранее запрограммированные в ней функции, исполняемые при срабатывании датчиков. В состав оборудования входит пульт управления, который отображает состояние сигнализации, служит для ее программирования и осуществляет постановку и снятие объекта с охраны.

Применяемая система пожарной сигнализации состоит из следующих компонентов:

1. Контрольная панель - это прибор, занимающийся анализом состояния пожарных датчиков и шлейфов, а также отдает команды на запуск пожарной автоматики.

2 Блок индикации или автоматизированное рабочее место на базе компьютера - служит для отображения событий и состояния пожарной сигнализации.

3. Источник бесперебойного питания служит для обеспечения непрерывной работы сигнализации, даже при отсутствии электропитания.

4. Различные типы пожарных датчиков (извещатели) служат для обнаружения очага возгорания или продуктов горения (дым, угарный газ и т.д.).

Основные факторы, на которые реагирует пожарная сигнализация - это концентрация дыма в воздухе, повышение температуры, наличие угарного газа и открытый огонь. И на каждый из этих признаков существуют пожарные датчики.

Тепловой пожарный датчик реагирует на изменение температуры в защищаемом помещении. Он может быть пороговым, с заданной температурой срабатывания, и интегральным, реагирующим на скорость изменения температуры. Дымовой пожарный датчик реагирует на наличие дыма в воздухе, самый распространенный тип датчиков. Датчик пламени реагирует на открытое пламя. Используется в местах, где возможен пожар без предварительного тления, например столярные мастерские, хранилища горючих материалов и т.д.

Ручные пожарные извещатели имеют форму закрытой прозрачной коробки с «красной кнопкой», размещаются на стенах в легкодоступных местах. Это делается для того, чтобы в случае обнаружения пожара работник без труда мог оповестить все предприятие об опасности. Требование наличия ручных извещателей относится к общим требованиям установки пожарной сигнализации на предприятиях.

Архитектура программного обеспечения СКУД строится на основе ряда механизмов, определяемых требованиями, предъявляемыми к системе. Трактовка СКУД как системы реального времени требует реализации механизмов диспетчеризации, межобъектного взаимодействия и средств работы с таймерами.

Параллелизм в обработке одновременно происходящих внешних событий должен обеспечивается за счет использования многопоточности. Клиент-серверный подход вносит необходимость реализации механизма и способов взаимодействия между сервером и приложениями, а общие требования безопасности и надежности заставляют выбирать особые способы хранения данных и работы с ними.

Сегменты сети, могут существовать в рамках системы в единственном экземпляре, либо таких сегментов может быть много, то есть оборудование СКУД может подключаться не к единственному ПК, а к любому из ПК, объединенных, в свою очередь, в компьютерную сеть.

Разработка архитектуры является неотъемлемой частью этапа разработки системы. Разрабатываемая система представляет собой службу для большого количества пользователей, т.к. согласно техническому заданию, максимальное количество пользователей разрабатываемой СКУД.

Все данные разрабатываемой СКУД (данные обо всех проходах через УПУ - время, дата, Ф.И.О. и должность пользователя) должны храниться в одном месте, т.е. в одной базе данных. Наиболее соответствующей архитектурой для разрабатываемой системы будет являться архитектура клиент-сервер.

Серверная часть состоит из web-сервера и сервера БД. Часть, отвечающая за контроль и управление доступом, представлена в виде «толстого» клиента. «Толстый» клиент выполняет идентификацию и аутентификацию пользователей. Аппаратная подсистема состоит из серверного оборудования, средств контроля и управления доступом и исполнительных устройств. Серверная часть программной подсистемы работает на серверном оборудовании.

Средства КУД представляют собой: считывающее устройство (для считывания RFID идентификатора), блок памяти и внешняя периферия (для хранения ядра системы). Для приема и обработки информации необходим управляющий элемент. Для передачи/получения данных с сервера, необходим интерфейс передачи данных, в нашем случае - предполагается использовать Ethernet. В качестве исполнительных устройств, в разрабатываемой системе предполагается использовать замки и датчики открытия двери.

В основе задач, решаемых проектируемой системой контроля и управления доступом должна лежать возможность разграничения полномочий персонала по времени и точкам доступа. Таким образом, типичными задачами, возлагаемыми на проектируемую СКУД будут задачи, указанные в таблице.

Таблица 1.2.6 - Анализ выполнения основных задач по обеспечению информационной безопасности

Основные задачи по обеспечению информационной безопасности	Степень выполнения
Обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной.	Высокая степень выполнения.
Организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны.	Средняя степень выполнения. Есть некоторые недостатки в уровне безопасности.
Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной.	Средняя степень выполнения. Есть некоторые недостатки в уровне безопасности.
Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну.	Средняя степень выполнения. Есть недостатки в системе защиты информации и БД.
Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях.	Средняя степень выполнения. Есть некоторые недостатки в уровне безопасности.
Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне.	Высокая степень выполнения.
Обеспечение охраны территории, зданий помещений, с защищаемой информацией.	Высокая степень выполнения.

Оценка рисков

Процессы оценки и управления рисками служат фундаментом для построения системы управления информационной безопасностью организации. Эффективность этих процессов определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Под риском понимается некоторая вероятность реализации угрозы информационной безопасности. В классическом представлении оценка рисков включает в себя оценку угроз, уязвимостей и ущерба, наносимого при их реализации.

Вне зависимости от использованного способа оценки измерения риска результатом оценки прежде всего должно стать составление перечня оцененных рисков для каждого возможного случая раскрытия, изменения, ограничения доступности и разрушения информации в рассматриваемой системе информационных технологий. Полученный перечень оцененных рисков затем используют при идентификации рисков, на которые следует обращать внимание в первую очередь при выборе защитных мер.

Оценка рисков нарушения информационной безопасности проводится для всех информационных активов. Анализ рисков включает идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.

Распространенным способом оценки рисков являются грамотно спланированные интервью с использованием «опросников», в которых участвуют необходимые структурные подразделения. По окончании анализа и расшифровки рисков необходимо составить специальный отчет. Далее отчет предоставляется высшему руководству организации.

Таблица 1.2.8 - Результаты оценки рисков активам

Риск	Наименование актива	Ранг риска
Вредоносное программное обеспечение; взлом системы	База данных бухгалтерии	5
Пожар; воздействие пыли	Почтовый сервер	5
Взлом системы	БД информационно-правовых документов	5
Похищение информации; пожар	Персональные данные о сотрудниках	5
Похищение информации; ошибки пользователей	Кадровый учет	5
Похищение информации; ошибки пользователей	Учетная Система	4
Вредоносное программное обеспечение; взлом системы	БД текущих заявок (MySQL)	4
Вредоносное программное обеспечение	Программы целевого назначения	4
Пожар; воздействие пыли	Оборудование для обеспечения связи	4



1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы контроля и управления доступом в ОАО «Банк Москвы»

Выбор комплекса задач обеспечения информационной безопасности

Современные системы контроля и управления доступом (СКУД, СКиУД) способны максимально эффективно решать задачи обеспечения безопасности любого типа и уровня .СКУД способны осуществлять предупреждение о проникновении посторонних лиц на подконтрольную территорию, в целом способствуют повышению дисциплины труда благодаря учету рабочего времени сотрудников компании. Использование СКУД позволяет осуществлять управление любыми дверьми, которые являющимися частями такой СКУД. Возможно слежение за дверьми по максимально дозволенной продолжительности её нахождения в открытом состоянии.

В основе задач, решаемых системой контроля и управления доступом, лежит возможность разграничения полномочий персонала по времени и точкам доступа. Т.о., наиболее типичными задачами, которые возложены СКУД, являются:

· распределение прав доступа и ограничений между клиентами;

· протоколирование и систематизирование фактов прохода через контрольные точки;

· работа с пропусками и их идентификация;

· автоматизированный учет рабочего времени сотрудников организации;

· отображение информации о «нештатных ситуациях»;

· централизованное управление системой контроля доступа в целом.

Существует большое множество типов электронных систем защиты и контроля доступа в помещения. Все такие системы отличаются друг от друга как степенью сложности и надежности, так и удобством обслуживания, что в свою очередь отражается на стоимости системы.

Чаще всего, все системы защиты сводятся к следующим функциям: обнаружение, опознавание, управление, контроль. Приведенная ниже блок-схема часто приводится в литературе и хорошо отражает функции систем защиты.

При выборе системы контроля и управления доступом следует учитывать не только цену СКУД, но и надежность, безопасность, гибкость, возможность индивидуальной доработки как оборудования, так и программного обеспечения и его последующую эксплуатацию.

Обобщенная схема классификации СКУД представлена на рисунке 1.5.1.

Автономные СКУД служат для управления одной или несколькими точками доступа, без передачи информации на центральный пульт и без контроля со стороны оператора и без использования управляющего компьютера. Часто автономные системы не имеют считывателя на «выход» и для открывания двери изнутри помещения используется обычная электрическая кнопка выхода. Контроллер автономной системы должен иметь функцию программирования - занесения кодов идентификаторов в память. Для этого в большинстве моделей применяется упрощенный способ программирования на основе использования инструмента «мастер-ключ».

Основные достоинства автономных систем: невысокая стоимость; простота программирования системы; отсутствие большого количества кабельных соединений; оперативность и сравнительная простота монтажа; удобство использования для небольших объектов, не нуждающихся в особенно надежной пропускной системе.

Сетевые (централизованные) СКУД служат для управления большим количеством точек доступа с обменом информацией с центральным пультом, в качестве которого применяется компьютер (сервер), и контролем и управлением системой со стороны оператора. Большинство сетевых СКУД сохраняют все достоинства автономных систем, основным из которых является возможность работы без использования управляющего компьютера.

Универсальные СКУД включают в себя функции как автономных, так и сетевых систем. Работают в сетевом режиме под управлением центрального устройства и переходят в автономный режим при возникновении отказов в сетевом оборудовании, в центральном устройстве или при обрыве связи. Широкие технические возможности универсальных систем контроля доступа позволяют рассматривать их как основу для построения интегрированных систем безопасности. Особенно перспективна интеграция СКУД с системами охранно-пожарной сигнализации (ОПС) и системами охранного видеонаблюдения.

По техническим характеристикам и функциональным возможностям СКУД условно подразделяются на четыре класса. В приложении Е представлено описание каждого из четырех классов СКУД.

Для выбора соответствующей СКУД нужно определить, к какому классу защищенности от несанкционированного доступа относится данная автоматизированная система (АС) рассматриваемого предприятия, а также к какому классу относится информационная система персональных данных.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1А, 1Б, 1В, 1Г и 1Д. Рассматриваемая АС предприятия относится к классу 1Д.

При учете технических показателей должны выполняться следующие требования к структуре и возможностям СКУД:

· сложность СКУД должна соответствовать размерам предприятия (предполагаемым потокам служащих);

· число точек прохода СКУД должно соответствовать требуемому уровню (с учетом перспектив модернизации и расширения);

· автономные контроллеры должны быть рассчитаны на применение различных типов считывателей;

· сетевые контроллеры применяются для создания СКУД любой степени сложности;

· реализация дополнительных возможностей: получение отчета о наличии или отсутствии сотрудников, информация о местонахождении сотрудников, ведение табеля учета рабочего времени, формирование временного графика прохода сотрудников; ведение базы данных сотрудников и т.д.;

· комплектность оборудования и возможность корректной работы (совместимость) системы контроля и управления доступом со всеми типами физических исполнительных устройств (ограждения, турникеты, калитки);

· совместимость с существующими техническими системами обнаружения и пожарной сигнализации, управления основным и резервным освещением, средствами связи и тревожной сигнализации, системами видеоконтроля;

· возможность простого и «легкого» расширения системы и перехода к сетевой системе, например, установленные ранее автономные контроллеры должны работать в сетевом режиме.

Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации

Диаграмма IDEF0 используется для создания функциональной модели, отображающей и функции системы, а также потоки информации и материальных объектов, связывающие эти функции. На данный момент пропускной режим на рассматриваемом предприятии осуществляется следующим образом: сотрудник предъявляет свое удостоверение вахтеру, который записывает в свой журнал его фамилию и время прихода, после чего пропускает в здание.

В результате декомпозиции процесс «Организация пропускного режима» разобьется на три подсистемы: предъявление удостоверения вахтеру, идентификация сотрудника, запись данных в журнал.

Чтобы показать главные недостатки существующей пропускной системы на предприятии, а именно: человеческий фактор и время, требуемое для записи данных в журнал, произведем декомпозицию процессов «идентификация сотрудника» и «запись данных в журнал». Полученные диаграммы IDEF0 первого и второго уровней изображены на рисунках 1.3.4 и 1.3.5 соответственно.

1.4 Выбор защитных мер

Выбор организационных мер

Рынок систем СКУД в России на данный момент достаточно обширен и весьма разнообразен, и при этом постоянно расширяется: на нем представлены как отечественные, так и зарубежные производители. Причем, это как раз тот случай, когда не стыдно за отечественных производителей: их продукция, по мнению специалистов, как минимум не уступает, а по многим параметрам даже превосходит зарубежную.

Сбор, обработка и передача информации и информационных потоков в филиале ОАО «Банк Москвы» происходит при помощи специальных технических средств. К таковым относятся в первую очередь: электронно-вычислительная техника и компьютерные системы, автоматические телефонные станции, телефоны и др.

Чтобы обеспечить максимальную степень информационной защиты, необходимо внести дополнения в документы информационной безопасности, используемой в филиале Банка. Документы являются организационно-административной основой информационной безопасности работы.

Целесообразным видится добавление в договоры с сотрудниками всех (без исключения) отделов филиала ряда пунктов, касающихся вопросов доступа к информации. Так, предлагается добавить перечень пунктов, касающихся ответственности (в том числе дисциплинарных взысканий) по соблюдению политики безопасности.

Кроме того, на отдел информационной безопасности целесообразно добавить контроль технических нюансов по проверке носителей информации сотрудников.

Выбор инженерно-технических мер

У каждого производителя свое направление деятельности по функционалу оборудования и программного обеспечения. Кто-то предлагает большие, сложные системы, поддерживающие интеграцию с пожарными системами, системами видеонаблюдения, и т.д., а кто-то имеет направленность на небольшие здания и помещения с небольшим числом сотрудников.

Повышение цен на импортные комплектующие и отдельные устройства в 2015 года, скорее всего, приведет к росту отечественных СКУД в сегменте систем малого и среднего масштаба. Что касается крупных систем и систем со сложным функционалом, скорее всего, серьезного перехода на отечественные аналоги не будет, возможно, просто заказчики «умерят свои аппетиты» и уменьшится объем самих систем.

Если более подробно рассмотреть требования заказчиков в связке с масштабом объекта, можно сделать следующий прогноз: для крупных объектов будут востребованы широкий функционал, высокая надежность и защищенность, легкость расширения и модернизации в будущем. Для распределенных объектов, вне зависимости от их масштаба, ключевыми будут централизация функций мониторинга и контроля, многоуровневая система резервирования, способность автономного функционирования отдельных составляющих системы. Для небольших объектов доминировать будут цена, простота управления, установки и эксплуатации.

Немногочисленные комплексные исследования рынка СКУД в РФ показывают, что наиболее популярными системами контроля и управления доступом на данный момент являются: «Parsec», «Octagram» (ранее - «Legos»), «Perco», «Болид». Все перечисленные СКУД удовлетворяют требованиям по обеспечению безопасности для коммерческого банка, являются универсальными и многофункциональными.

Компания ЗАО «Легос» (сейчас - бренд «Octagram») создана специалистами-разработчиками электронных систем и компонентов в 2007 году. Головной офис компании располагается в Москве. Основная сера деятельности - производство и продажа управляющего оборудования и программного обеспечения для систем автоматизации, контроля и безопасности зданий и сооружений.

Оборудование и программное обеспечение под торговой маркой «Parsec®» выпускается с 1997 года. Производитель профессиональных систем контроля и управления доступом Parsec - ООО «НПО Релвест». Головной офис расположен в Москве. Выпускаемый спектр продукции позволяет комплексно решать задачи по оснащению различных объектов.

«PERCo» - один из ведущих российских производителей систем и оборудования безопасности. Год образования - 1988. Головной офис в Москве. Основные товарные группы: Основные товарные группы: турникеты, калитки и ограждения, электромеханические замки, электронные проходные, системы контроля доступа и повышения эффективности, комплексные системы безопасности.

1. СКУД «Octagram» по способу управления относится к типу универсальных и включает в себя функции как автономных, так и сетевых систем, работающих с центральным устройством управления (компьютер) под контролем оператора и переходящих в автономный режим при возникновении отказов в сетевом оборудовании, в центральном устройстве или обрыве связи.