Внедрение системы контроля и управления доступом (СКУД) в ОАО "Банк Москвы"

Размещено на http://www.allbest.ru/

МОСКОВСКИЙ ФИНАНСОВО-ПРОМЫШЛЕННЫЙ УНИВЕРСИТЕТ «СИНЕРГИЯ»

Факультет электронного обучения

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

на тему: «Внедрение системы контроля и управления доступом (СКУД) в ОАО «Банк Москвы»

Обучающийся: Катасов Андрей Михаилович

Руководитель: Алехина Гелена Васильевна

Декан ФЭО: Гриценко Анатолий Григорьевич

МОСКВА

2016 г.

Задание на дипломный проект

1. Тема дипломного проекта: «Внедрение системы контроля и управления доступом (СКУД) в ОАО «Банк Москвы»

2. Срок сдачи студентом законченного проекта « 12 » марта 2016 г.

3. Исходные данные по дипломному проекту: результаты предпроектного обследования ; задание на разработку технологии внедрения системы контроля и управления доступом (СКУД) в ОАО «Банк Москвы».

4. Содержание разделов дипломного проекта

Введение

I Аналитическая часть

1.1. Технико-экономическая характеристика предметной области и предприятия (Установление границ рассмотрения).

1.1.1. Общая характеристика предметной области.

1.1.2. Организационно-функциональная структура предприятия.

1.2. Анализ рисков информационной безопасности

1.2.1 Идентификация и оценка информационных активов.

1.2.2. Оценка уязвимостей активов.

1.2.3. Оценка угроз активам.

1.2.4. Оценка существующих и планируемых средств защиты.

1.2.5. Оценка рисков.

1.3. Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии

1.3.1. Выбор комплекса задач обеспечения информационной безопасности.

1.3.2. Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.

1.4. Выбор защитных мер

1.4.1. Выбор организационных мер.

1.4.2. Выбор инженерно-технических мер.

II Проектная часть

2.1. Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия.

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

2.2. Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия.

2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия.

2.2.2. Контрольный пример реализации проекта и его описание.

III Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

3.2 Расчёт показателей экономической эффективности проекта

Заключение

Приложения

5. Основные вопросы, подлежащие разработке

В главе 1 необходимо представить обоснование актуальности выбора задачи обеспечения информационной безопасности, обосновать и изложить используемую стратегию действий по защите информационных ресурсов, результаты анализа предметной области, а также обоснование и результаты выбора административных и инженерно-технических мер.

В разделе 1.1. необходимо привести краткое описание компании и таблицу показателей ее деятельности, рисунок организационной структуры и его описание.

В разделе 1.2 следует провести анализ рисков информационной безопасности, для чего необходимо:

· идентифицировать информационные активы;

· ранжировать их по степени важности;

· определить активы, которые относятся к конфиденциальным;

· оценить уязвимость активов;

· оценить степень угроз выбранным информационным активам;

· дать характеристику действующей системе защиты информации на предприятии на предмет полноты и адекватности реагирования на угрозы информационной безопасности.

· провести обоснование выбора методики оценки рисков с последующим проведением оценки.

Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.

В разделе 1.3 необходимо кратко специфицировать комплекс задач, подлежащих дальнейшему решению. Необходимо отразить причину сделанного выбора и место задачи в комплексе задач.

В разделе 1.4 необходимо провести анализ и обоснование выбора:

· стратегии обеспечения информационной безопасности

· организационных и инженерно-технических мер обеспечения информационной безопасности;

· необходимых документов, регламентирующих проведение мероприятий по обеспечению информационной безопасности

В главе 2 необходимо представить проектные решения в соответствии с выбранным направлением обеспечения информационной безопасности.

В разделе 2.1 необходимо провести выбор нормативных актов отечественного и международного права, которые будут использоваться в качестве основы для разработки внутренних нормативных документов, а также разработать образцы документов в соответствии с выбранной темой.

Раздел 2.2 должен содержать описание внедряемых (разрабатываемых) программно-аппаратных средств информационной безопасности, а также описание контрольного примера применения выбранных средств информационной безопасности.

Требования по содержанию и форме представления информации (текстовая часть, таблицы, рисунки, схемы) изложены в соответствующем разделе Методических рекомендаций.

В главе 3 приводится методика расчета показателей экономической эффективности и расчеты, выполненные в соответствии с изложенной методикой. Расчетные данные следует представить в виде таблиц и диаграмм, отражающие сравнение величины ущерба до и после реализации мер по защите информации.

Приложения обязательно должны содержать формы внутренних нормативных документов. Кроме того также могут быть приведены:

· схемы или таблицы из основной части дипломной работы;

· результаты выполнения контрольного примера;

· схемы документооборота;

· примеры классификаторов;

· формы первичных и результатных документов;

· распечатки меню, экранных форм ввода, получаемых отчетов в разработанной системе;

· а также другие материалы дипломного проекта, кроме копий документов, не имеющих отношения к дипломному проектированию, рекламных сообщений, скриншотов.

В одном приложении нельзя размещать различные по смыслу таблицы или рисунки. Не допускается дублирование в приложении материала, размещенного в основной части дипломного проекта.

С детальным рассмотрением содержания каждого пункта, а также примерами схем и таблиц необходимо ознакомиться в «Методических указания по дипломному проектированию для направления «Информационные системы», специальности «Информационные системы и технологии», специализация «Безопасность информационных систем», размещенных на сайте факультета ИСиТ в разделе «Материалы».

При подготовке дипломного проекта вы можете пользоваться дополнительными литературными источниками, а также основной литературой, список которой приведен ниже.

Оглавление

• Введение
• I. Аналитическая часть
• 1.1 Технико-экономическая характеристика системы контроля и управления доступом в ОАО «Банк Москвы»
• 1.1.1 Общая характеристика предприятия
• 1.1.2 Организационно-функциональная структура ОАО «Банк Москвы»
• 1.2 Анализ рисков информационной безопасности в отделении ОАО «Банк Москвы»
• 1.2.1 Идентификация и оценка информационных активов
• 1.2.2 Оценка уязвимостей активов
• 1.2.3 Оценка угроз активам
• 1.2.4 Оценка существующих и планируемых средств защиты
• 1.2.5 Оценка рисков
• 1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы контроля и управления доступом в ОАО «Банк Москвы»
• 1.3.1 Выбор комплекса задач обеспечения информационной безопасности
• 1.3.2 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации
• 1.4 Выбор защитных мер
• 1.4.1 Выбор организационных мер
• 1.4.2 Выбор инженерно-технических мер
• II. Проектная часть
• 2.1 Комплекс организационных мер функционирования системы контроля и управления доступом
• 2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности, контроля и управления доступом
• 2.1.2 Организационно-административная основа создания системы контроля и управления доступом в организации
• 2.2 Комплекс проектируемых программно-аппаратных средств СКиУ в ОАО «Банк Москвы»
• 2.2.1 Структура программно-аппаратного комплекса СКУД
• 2.2.2 Контрольный пример реализации проекта и его описание
• III. Обоснование экономической эффективности проекта
• 3.1 Выбор и обоснование методики расчёта экономической эффективности
• 3.2 Расчёт показателей экономической эффективности проекта
• Заключение
• Список использованных источников
• Приложения
• Введение
• В последние годы одним из самых эффективных и востребованных подходов к решению задач комплексной безопасности организаций различных форм собственности становится применение различных систем контроля и управления доступом (СКУД).
• Грамотное использование СКУД в организации позволяет свести к минимуму риск несанкционированного доступа на территорию, в здание, отдельные этажи и помещения. При этом, подобные системы не создают препятствий для прохода персонала и посетителей в разрешенные для них зоны. Необходимо понимать, что СКУД не устраняют необходимость контроля со стороны человека, однако они значительно повышает эффективность работы службы безопасности, особенно при наличии многочисленных зон риска.
• Оптимальное соотношение человеческих и технических средств должно определяться в соответствии с поставленными задачами и допустимым уровнем возможных угроз.
• К сожалению, в настоящее время процесс выбора конкретных СКУД носит сложный характер, поскольку реально отсутствует какая-либо систематизированная аналитическая информация по имеющимся сегодня в мире СКУД.
• Необходимо заметить, что некоторые зарубежные компании, стараясь заполнить пока еще свободную нишу российского рынка, порой проявляют недобросовестность в рекламе, в предоставлении полной информации о технических и функциональных возможностях систем, об особенностях их эксплуатации в сравнительно сложных климатических условиях и т.п. В результате на важных объектах можно встретить непрофессионально спроектированные системы СКУД, у которых даже технические характеристики не соответствуют условиям эксплуатации в Российской Федерации.
• Целью данной выпускной квалификационной работы является определение наиболее уязвимых информационных активов организации, а также разработка наиболее оптимальных средств и методов защиты информации, среди которых главное место занимает проект внедрения системы контроля и управления доступом.
• Исходя из поставленной цели, предполагается решение ряда задач:

· проанализировать технико-экономические характеристики системы контроля и управления доступом и анализ рисков информационной безопасности в ОАО «Банк Москвы»;

· обосновать необходимость совершенствования системы контроля и управления доступом в ОАО «Банк Москвы»;

· провести выбор конкретных защитных мер;

· изучить комплекс организационных мер функционирования системы контроля и управления доступом;

· спроектировать комплекс программно-аппаратных средств СКиУ в ОАО «Банк Москвы»;

· провести анализ экономической эффективности предлагаемых мероприятий.

Объектом исследования является ОАО «Банк Москвы». Предмет исследования - система контроля и управления доступом (СКУД).

Выпускная квалификационная работа из введения, основной части (состоящей из трех глав - аналитической, проектной и экономической), заключения, списка использованных источников и приложений.

В аналитической главе дана характеристика рассматриваемого предприятия, определены защищаемые информационные активы, оценены угрозы и риски. Определен комплекс задач и защитных мер, включая организационные и инженерно-технические задачи.

В проектной главе описан программно-аппаратный комплекс выбранных мер, приведена его структура, рассмотрен контрольный пример реализации проекта.

В экономической главе рассчитана стоимость внедрения указанного комплекса, сроков его окупаемости.

В данной работе используются как теоретические (анализ, классификация, обобщение), так и эмпирические (сравнение, измерение и др.) методы исследования.

При выполнении работы была использована современная учебная литература, научные труды как отечественных, так и зарубежных авторов, нормативная документация, статьи из журналов в области информационной безопасности, финансовая отчетность предприятия, а также материалы сети интернет.

I. Аналитическая часть

контроль управление доступ безопасность

1.1 Технико-экономическая характеристика системы контроля и управления доступом в ОАО «Банк Москвы»

1.1.1 Общая характеристика предприятия

Акционерное общество «Банк Москвы» - российский коммерческий банк, оказывающий банковские услуги как юридическим, так и физическим лицам. Основан в 1995 году как акционерный коммерческий «Московский муниципальный банк - Банк Москвы».

Полное наименование Банка - Акционерный коммерческий банк «Банк Москвы» (открытое акционерное общество). Сокращенное наименование Банка - ОАО «Банк Москвы». Год основания Банка - 1995. Юридический адрес: Россия, 107996, г. Москва, ул. Рождественка, дом 8/15 строение 3.

Генеральная лицензия Банка России № 2748. Данные БИК: 044525219. ИНН: 7702000406. КПП: 775001001/997950001. ОКОНХ: 96120. ОКПО: 29292940.

На данный момент «Банк Москвы» представлен в большинстве наиболее значимых экономически регионах страны и насчитывает 311 обособленных подразделений, в том числе дополнительные офисы и операционные кассы. В банковскую сеть холдинга АО «Банк Москвы» входят 4 обособленных дочерних банка, которые расположены за пределами Российской Федерации, а именно «БМ Банк» (Украина), Банк «Москва-Минск» (Беларусь), «Эстонский кредитный банк» (Эстония) и «Банк Москвы» (Сербия).

В «Банк Москвы» действует собственный процессинговый центр, который обслуживает карточные программы банка. Всего Банк выпустил более 21 млн пластиковых карт. Процессинговый центр сертифицирован компаниями «Visa International» и «MasterCard», обладает широкой сетью банкоматов (более 2 тысяч банковатов только в Российской Федерации). При этом объединенная сеть банкоматов банков Группы ВТБ - «Банка Москвы», «ВТБ 24» и «ТрансКредитБанка» - превышает 12 тысяч устройств (в сети отменена комиссия за снятие собственных денежных средств).

В апреле 2010 года мэрией города Москва было подписано распоряжение о поддержке банка средствами из городского бюджета. Согласно данному распоряжению, из столичного бюджета на 2010 год должно было быть выделено 7,5 млрд рублей на покупку дополнительной эмиссии акций банка [36]. В феврале 2011 года принадлежавший правительству Москвы пакет в 46,48 % был полностью продан банку ВТБ, также ВТБ приобрёл 25 % плюс 1 акция Столичной страховой группы, владеющей 17,32 % акций Банка Москвы.

По состоянию на февраль 2016 года, основным акционером Банка является Группа ВТБ (100%). Председатель совета директоров банка с 24 февраля 2011 года - А. Л. Костин [37]. Президент - председатель правления - Геннадий Солдатенков (до 12 апреля 2011 года - Андрей Бородин) [41].

3 марта 2016 года на сайте Банка было опубликовано уведомление кредиторов о принятии решения о реорганизации Акционерного коммерческого банка «Банк Москвы». Принято решение о реорганизации ОАО «Банк Москвы» в форме выделения Акционерного общества «БС Банк (Банк Специальный)», которое будет осуществляться одновременно с присоединением АО «БС Банк (Банк Специальный)» к Банку ВТБ (ПАО) (генеральная лицензия Банка России № 1000, ОГРН 1027739609391, ИНН 7702070139, КПП 997950001, место нахождения: г. Санкт-Петербург, ул. Большая Морская, д. 29).

ОАО «Банк Москвы», имеющий Генеральную лицензию Банка России, а также являющийся участником системы страхования вкладов, осуществляет и предполагает осуществлять после завершения реорганизации следующие банковские операции в рублях и иностранной валюте [39]:

· привлечение денежных средств физических и юридических лиц во вклады (до востребования и на определенный срок);

· размещение привлеченных во вклады (до востребования и на определенный срок) денежных средств физических и юридических лиц от своего имени и за свой счет;

· открытие и ведение банковских счетов физических и юридических лиц;

· осуществление переводов денежных средств по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам;

· инкассацию денежных средств, векселей, платежных и расчетных документов и кассовое обслуживание физических и юридических лиц;

· куплю и продажу иностранной валюты как в наличной, так и безналичной формах;

· привлечение во вклады и размещение драгоценных металлов;

· выдачу банковских гарантий;

· осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов).

Спонсорские проекты ОАО «Банк Москвы» направлены на популяризацию спорта и здорового образа жизни, поддержку культурно-массовых мероприятий, развитие культуры и искусства. «Банк Москвы» рассматривает спонсорскую деятельность как важный фактор, который формирует его положительную репутацию и помогает установить контакты с потребителями услуг и продуктов в различных сегментах и регионах присутствия.

Ключевым фокусом работы Банка остается развитие бизнеса с клиентами сегмента СМБ (компаниями с годовой выручкой до 10 млрд. руб.). Работа с крупными корпоративными клиентами строится при координации со стороны ВТБ. Благодаря накопленному опыту в реализации инфраструктурных и инвестиционных проектов, ОАО «Банк Москвы» развивает сотрудничество с предприятиями, обслуживающими государственный заказ, а также с компаниями, связанными с реализацией государственных программ на региональном и муниципальном уровнях.

В таблице 1.1.1 представлены основные статьи баланса ОАО "Банк Москвы" за 2013-2015 годы (данные на конец года)

Таблица 1.1.1 - Основные статьи баланса

Балансовые показатели (млрд. руб)	2013	2014	2015
Активы	949,13	1 363,75	1 558,88
Чистая ссудная задолженность	669,19	801,60	949,81
Средства клиентов	667,04	877,74	910,22
Собственные средства	61,47	182,72	191,29
Чистая прибыль	56,51	5,75	7,78

Активы Банка по состоянию на 01.01.2016 составили 1 558,88 млрд руб. и за год увеличились на 14,3%. Чистая ссудная задолженность увеличилась на 18,5%. При этом, объем межбанковских кредитов фактически не изменился, а согласно Плану финансового оздоровления Банка были созданы резервы в сумме 25,6 млрд. руб.

По итогам 2015 года операционный доход Банка Москвы до создания резервов составил 75,5 млрд. рублей, что на 49,5% больше данного показателя 2014 года. Увеличение операционного дохода было прежде всего обусловлено ростом чистых процентных доходов.

Чистые процентные доходы являются основной статьей доходов Банка Москвы и составляют более 75,0% операционного дохода. Они включают доходы от кредитных операций и доходы от операций с ценными бумагами с фиксированной доходностью.

1.1.2 Организационно-функциональная структура ОАО «Банк Москвы»

Организационная структура банка - внутренняя организация работы кредитного учреждения, с помощью которой структурируются и формализуются подходы и методы управления, определяются группы исполнителей, разрабатываются системы контроля и внутриорганизационных взаимоотношений [38]. Организационная структура кредитных организаций законодательно не регулируется, т.о., банки вправе самостоятельно определять собственную систему управления.

Управляет ОАО «Банк Москвы» общее собрание акционеров, которое является ключевым звеном его организационной структуры. Собрание созывается не реже двух раз в год, предусмотрены случаи внеочередного собрания акционеров по требованию учредителей, совета директоров, ревизионной комиссии или акционеров банка.

Совет директоров избирает председателя совета директоров, который может быть президентом банка. Председатель совета директоров занимается информированием совета директоров о работе банка, о связях с общественностью, о перспективах развития банка и т.д.; осуществляет управление оперативной деятельностью банка.

Председатель совета директоров ОАО «Банк Москвы», президент - председатель правления Банка ВТБ (ПАО) Костин Андрей Леонидович. Президент ОАО «Банк Москвы» - председатель правления Банка ВТБ24 (ПАО) Задорнов Михаил Михайлович [40]. Президент и председатель правления непосредственно ОАО «Банк Москвы» - Солдатенков Геннадий Владимирович.

Правление банка наряду с председателем совета директоров включает вице-президентов, которые возглавляют ведущие отделы банка, а также главного бухгалтера, осуществляющего бухгалтерский учет, движение денежных средств и контроль.

В организационно-функциональной структуре ОАО «Банк Москвы» реализованы оперативные (кредитование, инвестирование, осуществление доверительных операций, международных расчетов, прием и обслуживание вкладов) и штабные функции (консультирование исполнителей, ведение бухгалтерского учета, анализ хозяйственной деятельности, прием на работу, повышение квалификации сотрудников, маркетинг, контроль за деятельностью банка).

Рис. 1.1.1 - Организационная структура ОАО «Банк Москвы»

Основа организационной структуры ОАО «Банк Москвы» включает функциональные подразделения и службы, число которых определяется экономическим содержанием и объемом выполняемых банком операций (рис 1.1.1).

Подразделения ОАО «Банк Москвы» сформированы по функциональному назначению:

· кредитный комитет и ревизионный комитет занимаются общими вопросами: первый разрабатывает кредитную политику банка, второй проводит внешний обзор и оценку деятельности банка;

· управление планирования занимается организацией коммерческой деятельности и управлением банковской ликвидностью, рентабельностью; экономическим анализом и изучением кредитоспособности клиента; разработкой основ и планов коммерческой деятельности банков; маркетингом и связями с общественностью;

· управление депозитных операций проводит депозитные операции (прием и выдачу вкладов) и занимается эмиссией и размещением собственных ценных бумаг (акций, облигаций, векселей, сертификатов);

· управление кредитных операций осуществляет краткосрочное и долгосрочное кредитование; кредитование населения; нетрадиционные банковские операции, связанные с кредитованием, такие, как лизинг, факторинг и т.д.;

· управление посреднических и других операций связано с проведением гарантийных операций и операций по доверенности (трастовые операции); комиссионных операций, фактoринговых услуг, посреднических услуг; операций с ценными бумагами (операции по размещению, хранению и продаже ценных бумаг);

· управление организации международных банковских операций осуществляет валютные и кредитные операции с привлечением валютных вкладов, покупку валюты, предоставление валютных кредитов; проведение международных расчетов;

· учетно-операционное управление, включающее операционный отдел, отдел кассовых операций, расчетный отдел, занимается проведением расчетно-кассового обслуживания клиентов.

Исследования в рамках написания данной работы проведено на базе Академического отделения ОАО «Банк Москвы», которое расположено по адресу: г. Москва, ул. Дм. Ульянова, д. 24.

В данном филиале банка сформированы следующие отделы:

· административно-хозяйственный отдел;

· бухгалтерия;

· юридический отдел (сотрудники-юристы занимаются проверкой правильности заполнения документов, составления договоров, проведения трастовых операций, представлением интересов клиента в суде);

· отдел кадров (занимается подбором и расстановкой кадров);

· отдел эксплуатации и внедрения вычислительной техники и информационной безопасности (отдел обработки и защиты информации).

1.2 Анализ рисков информационной безопасности в отделении ОАО «Банк Москвы»

1.2.1 Идентификация и оценка информационных активов

Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и который, соответственно, требует защиты со стороны организации.

Типы активов Академического филиала ОАО «Банк Москвы»:

1. Информация (база данных бухгалтерии - содержит информацию обо всех сотрудниках компании, финансовых операциях которые происходят как внутри, так и вне компании, а так же информацию о проведенных транзакциях и их статусе).

2. Документы (разнообразные договора, контракты и служебные записки).

Таблица 1.2.1 - Оценка информационных активов

Наименование актива	Форма представления	Тип актива	Вид деятельности	Владелец актива	Критерии определения стоимости	Размерность оценки
						Количественная оценка (руб.)	Качественная
Информационные активы
База данных бухгалтерии	Электронная	Информация / данные	Учет в организации.	Бухгалтерия	Степень важности	100 000	Критическое значение
БД информационно-правовых документов	Электронная	Информация / данные	Обработка заявок клиентов. Продажи и маркетинг.	Директор	Степень важности	100 000	Критическое значение
Персональные данные о сотрудниках	Электронная	Информация / данные	Учет в организации.	Кадровый отдел	Степень важности	100 000	Высокая
Штатное расписание и кадровый учет	Бумажный документ, электронный документ	Информация / данные	Учет в организации.	Кадровый отдел	Стоимость обновления или воссоздания	50 000	Критическое значение
База данных текущих заявок (MySQL)	Материальный объект	Информация / данные	Хранение и обработка заявок клиентов	IT-отдел	Первоначальная стоимость	10 000	Высокая
Активы аппаратных средств
Принтеры	Материальный объект	Аппаратные средства	Обработка заявок клиентов	IT-отдел	Первоначальная стоимость	75 000	Малая
Сетевое оборудование	Материальный объект	Оборудование для обеспечения связи	Доступ к информационным ресурсам	IT-отдел	Первоначальная стоимость	20 000	Средняя
Сервер баз данных	Материальный объект	Аппаратные средства	Доступ к информационным ресурсам	IT-отдел	Первоначальная стоимость	15 000	Критическое значение
Почтовый сервер	Материальный объект	Аппаратные средства	Обеспечение непрерывной работы Web-портала, Обработка заявок клиентов	IT-отдел	Первоначальная стоимость	15 000	Критическое значение
Персональный компьютер	Материальный объект	Аппаратные средства	Обработка заявок клиентов, обмен корреспонденцией	Консультанты, товароведы, администрация.	Первоначальная стоимость	250 000	Средняя
Активы программного обеспечения
Учетная Система	Электронная	Программное обеспечение	Обработка заявок клиентов, обмен корреспонденцией	IT-отдел	Обновление и воссоздание	50 000	Высокое
Программы целевого назначения	Электронная	Программное обеспечение	Обработка заявок клиентов, обмен корреспонденцией	IT-отдел	Обновление и воссоздание	70 000	Высокое
Windows 7 Ultimate	Электронная	Программное обеспечение	Доступ к информационным ресурсам, Обработка заявок клиентов, обмен корреспонденцией	IT-отдел	Первоначальная стоимость	80 000	Малая
MS Office 2010	Электронная	Программное обеспечение	Обработка заявок клиентов, обмен корреспонденцией	IT-отдел	Первоначальная стоимость	50 000	Малая

3. Программное обеспечение (в т.ч. прикладные программы).

4. Аппаратные средства (персональные компьютеры - необходимые для работы сотрудников). Сервер баз данных, телефоны, медные и оптоволоконные кабели, коммутаторы, принтеры, почтовый сервер.

Полный перечень информационных активов, обязательное ограничение доступа, к которым регламентируется действующим законодательством РФ, представлены в таблице 1.2.1.

Таблица 1.2.2 - Результаты ранжирования активов

Наименование актива	Ценность актива (ранг)
База данных бухгалтерии	5
Почтовый сервер	5
БД информационно-правовых документов	5
Персональные данные о сотрудниках	5
Кадровый учет	5
Учетная Система	4
БД текущих заявок (MySQL)	4
Программы целевого назначения	4
Оборудование для обеспечения связи	4
Windows 7 Ultimate	3
MS Office 2010	2
Принтеры	2

Таблица 1.2.3 - Перечень сведений конфиденциального характера

№ п/п	Наименование сведений	Гриф конфиденциальности	Нормативный документ, реквизиты, №№ статей
1.	Сведения, раскрывающие характеристики средств защиты информации ЛВС предприятия от несанкционированного доступа	Информация ограниченного доступа	-
2.	Требования по обеспечению сохранения служебной тайны сотрудниками предприятия	Информация ограниченного доступа	ст. 139, 857 ГК РФ
3.	Персональные данные сотрудников	Информация ограниченного доступа; подлежат разглашению с согласия сотрудника	Федеральный закон №152-ФЗ; Глава 14 Трудового кодекса РФ
4.	Научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства, имеющая действительную коммерческую ценность в силу неизвестности ее третьим лицам).	подлежит разглашению только по решению предприятия	Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ О коммерческой тайне

1.2.2 Оценка уязвимостей активов

Уязвимость информационных активов является серьезным недостатком. Из-за него возможным становится нежелательное воздействие на актив со стороны злоумышленников, неквалифицированного персонала или вредоносного кода (вирусы, программы-шпионы и др.).

В общем случае, уязвимость - это некое событие, возникающее как результат такого стечения обстоятельств, когда в силу каких-то причин используемые в защищаемых системах обработки данных средства защиты не в состоянии оказать достаточного противодействия проявлению дестабилизирующих факторам и нежелательного их воздействия на защищаемую информацию.

В терминологии информационной безопасности, «уязвимость» чаще применяется для обозначения недостатка в системе, используя который, можно нарушить её целостность и вызвать неправильную работу.

Уязвимости информационной системы организации можно определить несколькими способами. Их может описать сотрудник компании (системный администратор или специалист службы компьютерной безопасности) на основании собственного опыта (возможно, в качестве подсказки для наиболее полного описания множества уязвимостей информационной системы используя классификации уязвимостей). Также могут быть приглашены сторонние специалисты для проведения технологического аудита информационной системы и выявления ее уязвимостей.

Показателями уязвимости актива и его особо важных зон являются степень уязвимости в порядковой шкале оценок (пример степеней: высокая, средняя, низкая). После проведения оценки уязвимости предоставляется отчет, который должен в себя включать описание уязвимостей и уязвимых систем.

Таблица 1.2.4 - Оценка уязвимости активов

Группа уязвимостей. Содержание уязвимости	БД бухгалтерии	Почтовый сервер	БД информационно-правовых документов	Перс. данные о сотр.	Кадровый учет	Учетная Система	БД текущих заявок	ПО целевого назначения	Оборудование связи
1. Среда и инфраструктура
Отсутствие физической защиты зданий, дверей и окон		Средняя		Средняя	Средняя				Средняя
Нестабильная работа электросети	Средняя		Средняя			Низкая	Средняя	Средняя	Низкая
2. Аппаратное обеспечение
Отсутствие схем периодической замены		Средняя							Средняя
Подверженности воздействию влаги, пыли, загрязнения		Средняя							Высокая
Отсутствие контроля за эффективным изменением конфигурации	Средняя	Высокая	Средняя				Средняя
3. Программное обеспечение
Отсутствие тестирования или недостаточное тестирование программного обеспечения						Высокая
Сложный пользовательский интерфейс						Средняя
Плохое управление паролями	Высокая	Среднее	Высокая			Среднее	Высокая	Высокая
4. Коммуникации
Отсутствие идентификации и аутентификации отправителя и получателя	Высокая	Среднее	Высокая			Среднее	Высокая	Высокая
Незащищенные подключения к сетям общего пользования	Высокая	Среднее	Высокая			Среднее	Высокая	Высокая
Отсутствие идентификации и аутентификации отправителя и получателя	Высокая	Среднее	Высокая			Среднее	Высокая	Высокая
5. Документы (документооборот)
Хранение в незащищенных местах				Среднее	Среднее
Бесконтрольное копирование				Высокая	Среднее
6. Общие уязвимые места
Отказ системы из-за отказа одного из элементов	Средняя	Средняя	Средняя			Высокая	Средняя		Средняя
Некорректные результаты проведения технического обслуживания						Средняя			Средняя

1.2.3 Оценка угроз активам

Угроза (гипотетическая возможность неблагоприятного воздействия) обладает способностью наносить реальный ущерб ИТ-системе организации и ее активам. Если такая угроза реализуется, то она может взаимодействовать с системой и вызвать нежелательные инциденты, оказывающие неблагоприятное воздействие на систему.

Исходные данные для оценки угроз следует получать от владельцев или пользователей активов, служащих отделов кадров, специалистов по разработке оборудования и информационным технологиям, а также лиц, отвечающих за реализацию защитных мер в организации. Другие организации, например, федеральное правительство и местные органы власти, также могут оказать помощь при проведении оценки угроз, например, предоставить необходимые статистические данные.

Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:

· ошибки и упущения;

· мошенничество и кража;

· случаи вредительства со стороны персонала;

· ухудшение состояния материальной части и инфраструктуры;

· программное обеспечение хакеров, например имитация действий законного пользователя;

· программное обеспечение, нарушающее нормальную работу системы;

· промышленный шпионаж.

После идентификации источника угроз (кто или что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы.

Классификация возможностей реализации угроз и атак, представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки.

Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Таблица 1.2.5 - Оценка угроз активам

Группа уязвимостей. Содержание уязвимости	БД бухгалтерии	Почтовый сервер	БД информационно-правовых документов	Перс. данные о сотр.	Кадровый учет	Учетная Система	БД текущих заявок	ПО целевого назначения	Оборудование связи
1. Угрозы, обусловленные преднамеренными действиями
Похищение информации				Средняя	Средняя	Средняя
Вредоносное программное обеспечение	Высокая	Средняя	Средняя				Высокая	Высокая
Взлом системы	Высокая	Высокая	Высокая				Средняя	Средняя
2. Угрозы, обусловленные случайными действиями
Ошибки пользователей				Средняя	Средняя	Средняя
Программные сбои						Средняя		Средняя
Неисправность в системе кондиционирования воздуха	Низкая					Низкая			Низкая
3. Угрозы, обусловленные естественными причинами (природные, техногенные факторы)
Колебания напряжения	Низкая	Низкая					Низкая
Воздействие пыли	Низкая	Низкая					Низкая		Средняя
Пожар	Средняя	Средняя	Средняя	Средняя	Средняя	Средняя	Высокая	Низкая	Средняя

1.2.4 Оценка существующих и планируемых средств защиты

Грамотное функционирование системы защиты информации в организации является ключевым моментом, который ни в коем случае нельзя упускать из вида. Потенциальные негативные последствия могут стать очень серьезными, если произойдет утрата данных или целых баз данных, результатов разнообразных аналитических исследований, исходных кодов и целых программных продуктов. При недостаточном уровне организации системы защиты информации это может привести к большим проблемам в дальнейшем ведении бизнеса, а в определенных случаях - просто невозможным.

Задачи по защите информации в «Банке Москвы» возлагаются на специальный IT-отдел организации.

Локальная вычислительная сеть организации состоит из сервера БД, почтового сервера, рабочих станций, принтеров. Для объединения компьютеров в локальную сеть используются хабы (hubs). Организация доступ к Internet организуется с использованием волоконно-оптического канала Ethernet.

Технические и программные характеристики офисных ПК (PC):

· Процессор: Intel Celeron Dual Core G530 (Sandy Bridge, 2.40ГГц, LGA1155, L3 2048Kb)

· Память: DDR3 2048 Mb (pc-10660) 1333MHz

· Материнская плата: S1155, iH61, 2*DDR3, PCI-E16x, SVGA, DVI, SATA, Lan, mATX, Retail

· Видеокарта встроенная Intel® HD Graphics 512Мб (из RAM)

· Сетевая карта есть (100/1000 Ethernet).

· Программное обеспечение:

· ОС: Windows 7 Ultimate;

· Office: Microsoft Office 2010/2013;

· Почтовый клиент Outlook 2010;

· Технические и программные характеристики серверов:

· Производитель Dell;

· Процессор :Intel Xeon E3-1240 (Sandy Bridge, 3.3 ГГц, 8Мб, S1155);

· Чипсет: Intel® 3420;

· Оперативная память: 2 x DDR3 2048 Mb (pc-10660) 1333MHz;

· Жесткий диск: 2 x 700Gb (SATA II);

· Сетевая карта: 1 x 10/100/1000 Мбит/с;

· Видеокарта: Matrox G200eW, 8 Мбайт памяти.

Программное обеспечение серверов:

· ОС: Windows Server 2008;

· Сервер электронной почты: Microsoft Exchange Server;

· СУБД: Microsoft SQL server + Mysql (WEB).

Охранная система рассчитана на предупреждение несанкционированного доступа в помещение. Применяемая охранная система состоит из охранной панели (централи) - прибор, который собирает и анализирует информацию, поступившую от охранных датчиков, а так же выполняет заранее запрограммированные в ней функции, исполняемые при срабатывании датчиков. В состав оборудования входит пульт управления, который отображает состояние сигнализации, служит для ее программирования и осуществляет постановку и снятие объекта с охраны.

Применяемая система пожарной сигнализации состоит из следующих компонентов:

1. Контрольная панель - это прибор, занимающийся анализом состояния пожарных датчиков и шлейфов, а также отдает команды на запуск пожарной автоматики.

2 Блок индикации или автоматизированное рабочее место на базе компьютера - служит для отображения событий и состояния пожарной сигнализации.

3. Источник бесперебойного питания служит для обеспечения непрерывной работы сигнализации, даже при отсутствии электропитания.

4. Различные типы пожарных датчиков (извещатели) служат для обнаружения очага возгорания или продуктов горения (дым, угарный газ и т.д.).

Основные факторы, на которые реагирует пожарная сигнализация - это концентрация дыма в воздухе, повышение температуры, наличие угарного газа и открытый огонь. И на каждый из этих признаков существуют пожарные датчики.

Тепловой пожарный датчик реагирует на изменение температуры в защищаемом помещении. Он может быть пороговым, с заданной температурой срабатывания, и интегральным, реагирующим на скорость изменения температуры. Дымовой пожарный датчик реагирует на наличие дыма в воздухе, самый распространенный тип датчиков. Датчик пламени реагирует на открытое пламя. Используется в местах, где возможен пожар без предварительного тления, например столярные мастерские, хранилища горючих материалов и т.д.

Ручные пожарные извещатели имеют форму закрытой прозрачной коробки с «красной кнопкой», размещаются на стенах в легкодоступных местах. Это делается для того, чтобы в случае обнаружения пожара работник без труда мог оповестить все предприятие об опасности. Требование наличия ручных извещателей относится к общим требованиям установки пожарной сигнализации на предприятиях.

Архитектура программного обеспечения СКУД строится на основе ряда механизмов, определяемых требованиями, предъявляемыми к системе. Трактовка СКУД как системы реального времени требует реализации механизмов диспетчеризации, межобъектного взаимодействия и средств работы с таймерами.

Параллелизм в обработке одновременно происходящих внешних событий должен обеспечивается за счет использования многопоточности. Клиент-серверный подход вносит необходимость реализации механизма и способов взаимодействия между сервером и приложениями, а общие требования безопасности и надежности заставляют выбирать особые способы хранения данных и работы с ними.

Рис. 1.2.1 - Схема технической архитектуры СКУД

Сегменты сети, могут существовать в рамках системы в единственном экземпляре, либо таких сегментов может быть много, то есть оборудование СКУД может подключаться не к единственному ПК, а к любому из ПК, объединенных, в свою очередь, в компьютерную сеть.

Рис. 1.2.2 - Управление турникетами с использованием контроллеров L5T04

Общая схема технической архитектуры проектируемой СКУД представлена на рис.1.2.3. Схема программной архитектуры представлена на рис.1.2.4.

Разработка архитектуры является неотъемлемой частью этапа разработки системы. Разрабатываемая система представляет собой службу для большого количества пользователей, т.к. согласно техническому заданию, максимальное количество пользователей разрабатываемой СКУД.

Все данные разрабатываемой СКУД (данные обо всех проходах через УПУ - время, дата, Ф.И.О. и должность пользователя) должны храниться в одном месте, т.е. в одной базе данных. Наиболее соответствующей архитектурой для разрабатываемой системы будет являться архитектура клиент-сервер.

Рис. 1.2.3 - Общая схема технической архитектуры СКУД

Рис. 1.2.4 - Общая схема программной сетевой архитектуры СКУД

Серверная часть состоит из web-сервера и сервера БД. Часть, отвечающая за контроль и управление доступом, представлена в виде «толстого» клиента. «Толстый» клиент выполняет идентификацию и аутентификацию пользователей. Аппаратная подсистема состоит из серверного оборудования, средств контроля и управления доступом и исполнительных устройств. Серверная часть программной подсистемы работает на серверном оборудовании.

Средства КУД представляют собой: считывающее устройство (для считывания RFID идентификатора), блок памяти и внешняя периферия (для хранения ядра системы). Для приема и обработки информации необходим управляющий элемент. Для передачи/получения данных с сервера, необходим интерфейс передачи данных, в нашем случае - предполагается использовать Ethernet. В качестве исполнительных устройств, в разрабатываемой системе предполагается использовать замки и датчики открытия двери.

В основе задач, решаемых проектируемой системой контроля и управления доступом должна лежать возможность разграничения полномочий персонала по времени и точкам доступа. Таким образом, типичными задачами, возлагаемыми на проектируемую СКУД будут задачи, указанные в таблице.

Таблица 1.2.6 - Анализ выполнения основных задач по обеспечению информационной безопасности

Основные задачи по обеспечению информационной безопасности	Степень выполнения
Обеспечение безопасности производственно-торговой деятельности, защита информации и сведений, являющихся коммерческой тайной.	Высокая степень выполнения.
Организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны.	Средняя степень выполнения. Есть некоторые недостатки в уровне безопасности.
Организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной.	Средняя степень выполнения. Есть некоторые недостатки в уровне безопасности.
Предотвращение необоснованного допуска и открытого доступа к сведениям и работам, составляющим коммерческую тайну.	Средняя степень выполнения. Есть недостатки в системе защиты информации и БД.
Выявление и локализация возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (авария, пожар и др.) ситуациях.	Средняя степень выполнения. Есть некоторые недостатки в уровне безопасности.
Обеспечение режима безопасности при осуществлении таких видов деятельности, как различные встречи, переговоры, совещания, заседания и другие мероприятия, связанные с деловым сотрудничеством на национальном и международном уровне.	Высокая степень выполнения.
Обеспечение охраны территории, зданий помещений, с защищаемой информацией.	Высокая степень выполнения.

Таблица 1.2.7 - Анализ возможности решения основных задач СКУД

Наименование задачи	Возможность решения в рамках выбранной архитектуры
Распределение прав доступа между клиентами	Да
Протоколирование фактов прохода через контрольные точки	Да
Работа с пропусками и их идентификация	Да
Автоматический учет рабочего времени	Да
Отображение информации о нештатных ситуациях	Да
Централизованное управление системой контроля доступа	Да

1.2.5 Оценка рисков

Процессы оценки и управления рисками служат фундаментом для построения системы управления информационной безопасностью организации. Эффективность этих процессов определяется точностью и полнотой анализа и оценки факторов риска, а также эффективностью используемых в организации механизмов принятия управленческих решений и контроля их исполнения.

Под риском понимается некоторая вероятность реализации угрозы информационной безопасности. В классическом представлении оценка рисков включает в себя оценку угроз, уязвимостей и ущерба, наносимого при их реализации.

Вне зависимости от использованного способа оценки измерения риска результатом оценки прежде всего должно стать составление перечня оцененных рисков для каждого возможного случая раскрытия, изменения, ограничения доступности и разрушения информации в рассматриваемой системе информационных технологий. Полученный перечень оцененных рисков затем используют при идентификации рисков, на которые следует обращать внимание в первую очередь при выборе защитных мер.

Оценка рисков нарушения информационной безопасности проводится для всех информационных активов. Анализ рисков включает идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов.

Распространенным способом оценки рисков являются грамотно спланированные интервью с использованием «опросников», в которых участвуют необходимые структурные подразделения. По окончании анализа и расшифровки рисков необходимо составить специальный отчет. Далее отчет предоставляется высшему руководству организации.

Таблица 1.2.8 - Результаты оценки рисков активам

Риск	Наименование актива	Ранг риска
Вредоносное программное обеспечение; взлом системы	База данных бухгалтерии	5
Пожар; воздействие пыли	Почтовый сервер	5
Взлом системы	БД информационно-правовых документов	5
Похищение информации; пожар	Персональные данные о сотрудниках	5
Похищение информации; ошибки пользователей	Кадровый учет	5
Похищение информации; ошибки пользователей	Учетная Система	4
Вредоносное программное обеспечение; взлом системы	БД текущих заявок (MySQL)	4
Вредоносное программное обеспечение	Программы целевого назначения	4
Пожар; воздействие пыли	Оборудование для обеспечения связи	4

1.3 Характеристика комплекса задач, задачи и обоснование необходимости совершенствования системы контроля и управления доступом в ОАО «Банк Москвы»

1.3.1 Выбор комплекса задач обеспечения информационной безопасности

Современные системы контроля и управления доступом (СКУД, СКиУД) способны максимально эффективно решать задачи обеспечения безопасности любого типа и уровня .СКУД способны осуществлять предупреждение о проникновении посторонних лиц на подконтрольную территорию, в целом способствуют повышению дисциплины труда благодаря учету рабочего времени сотрудников компании. Использование СКУД позволяет осуществлять управление любыми дверьми, которые являющимися частями такой СКУД. Возможно слежение за дверьми по максимально дозволенной продолжительности её нахождения в открытом состоянии.

В основе задач, решаемых системой контроля и управления доступом, лежит возможность разграничения полномочий персонала по времени и точкам доступа. Т.о., наиболее типичными задачами, которые возложены СКУД, являются:

· распределение прав доступа и ограничений между клиентами;

· протоколирование и систематизирование фактов прохода через контрольные точки;

· работа с пропусками и их идентификация;

· автоматизированный учет рабочего времени сотрудников организации;

· отображение информации о «нештатных ситуациях»;

· централизованное управление системой контроля доступа в целом.

Существует большое множество типов электронных систем защиты и контроля доступа в помещения. Все такие системы отличаются друг от друга как степенью сложности и надежности, так и удобством обслуживания, что в свою очередь отражается на стоимости системы.

Чаще всего, все системы защиты сводятся к следующим функциям: обнаружение, опознавание, управление, контроль. Приведенная ниже блок-схема часто приводится в литературе и хорошо отражает функции систем защиты.

При выборе системы контроля и управления доступом следует учитывать не только цену СКУД, но и надежность, безопасность, гибкость, возможность индивидуальной доработки как оборудования, так и программного обеспечения и его последующую эксплуатацию.

Обобщенная схема классификации СКУД представлена на рисунке 1.5.1.

Автономные СКУД служат для управления одной или несколькими точками доступа, без передачи информации на центральный пульт и без контроля со стороны оператора и без использования управляющего компьютера. Часто автономные системы не имеют считывателя на «выход» и для открывания двери изнутри помещения используется обычная электрическая кнопка выхода. Контроллер автономной системы должен иметь функцию программирования - занесения кодов идентификаторов в память. Для этого в большинстве моделей применяется упрощенный способ программирования на основе использования инструмента «мастер-ключ».

Основные достоинства автономных систем: невысокая стоимость; простота программирования системы; отсутствие большого количества кабельных соединений; оперативность и сравнительная простота монтажа; удобство использования для небольших объектов, не нуждающихся в особенно надежной пропускной системе.

Сетевые (централизованные) СКУД служат для управления большим количеством точек доступа с обменом информацией с центральным пультом, в качестве которого применяется компьютер (сервер), и контролем и управлением системой со стороны оператора. Большинство сетевых СКУД сохраняют все достоинства автономных систем, основным из которых является возможность работы без использования управляющего компьютера.

Рис. 1.5.1 - Классификация СКУД

Универсальные СКУД включают в себя функции как автономных, так и сетевых систем. Работают в сетевом режиме под управлением центрального устройства и переходят в автономный режим при возникновении отказов в сетевом оборудовании, в центральном устройстве или при обрыве связи. Широкие технические возможности универсальных систем контроля доступа позволяют рассматривать их как основу для построения интегрированных систем безопасности. Особенно перспективна интеграция СКУД с системами охранно-пожарной сигнализации (ОПС) и системами охранного видеонаблюдения.