Размещено на http://www.allbest.ru/

Государственное бюджетное профессиональное образовательное учреждение

Колледж связи № 54 имени П.М. Вострухина

КУРСОВАЯ РАБОТА

по МДК 03.01. "Защита информации в ИТКС с использованием технических средств защиты « МДК 03.02 «Физическая защита линий связи ИТКС»

На тему «Формирование службы информационной безопасности в организации»

Выполнена студентом Хохловой Ольгой Леонидовной

гр. 3-ОИБТС9-8

Руководитель преподаватель спец. дисциплин В.П.Шаманин

Руководитель преподаватель спец. дисциплин В.В.Кузнецова



Задание

к выполнению курсовой работы студента

Хохловой Ольги Леонидовны

на тему: «Формирование службы информационной безопасности в организации»

Цель работы: Создание эффективной системы защиты информации в компании от утечек информации по радиоэлектронным каналам, отвечающей современным требованиям, предъявляемым к системам защиты информации, с помощью программно-технических средств защиты

Основные вопросы, подлежащие разработке:

Теоретическая часть:

1. Изучение теоретических основ информационной безопасности

2. Описание и анализ защищаемого объекта

3. Оценка информационных ресурсов в организации

4. Анализ уязвимостей и определение возможных угроз

5. Способы защиты организации от утечки и информации

6. Выбор и Обоснование технических средств защиты информации

7. Внедрение физической защиты линий связи информационно-телекоммуникационных систем и сетей

8. Экономическое обоснование технических средств защиты

Практическая часть:

Практическая реализация одного из элементов защиты организации

Основная литература:

1. Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др. Технические средства и методы защиты информации: Учебное пособие для вузов. - М.: Горячая линия - Телеком, 2019.

2. Каторин Ю.Ф., Разумовский А.В., Спивак А.И. Защита информации техническими средствами: Учебное пособие. - Спб.: НИУ ИТМО, 2018.

3. Мельников В.П. Информационная безопасность: Учебное пособие/ В.П.Мельников, С.А.Клейменов, А.М. Петраков; Под ред.С.А.Клейменова.-6-е изд., Стереотип.-М.: Академия, 2019.

4. Интернет - ресурсы:

Электронная библиотека «Все для студента». [Электронный ресурс]: http://www.twirpx.com/

Руководитель Шаманин В.П. Подпись руководителя

Руководитель Кузнецова В.В. Подпись руководителя

Дата выдачи задания 19.01.2022 г.

Задание получил __ Хохлова Ольга Леонидовна

дата, Ф.И.О., подпись студента

План-график подготовки и выполнения курсовой работы Студенткой группы 3ОИБТС9-8 Хохловой Ольгой Леонидовны

№ п/г	Выполняемые работы и мероприятия	Срок выполнения	Отметка руководителя о завершении этапа (число и подпись)
1	Выбор темы и согласование ее с руководителем, выдача бланка задания	19.01.2022
2	Подбор литературы, ее изучение и обработка. Составление библиографии по основным источникам	20.01.2022
3	Составление плана курсовой работы и его согласование с руководителем	21.01.2022
4	Разработка и предоставление на проверку основной части	10.02.2022
5	Написание введения и заключения	15.02.2022
6	Разработка и согласование практической части, приложений к работе	25.02.2022
7	Согласование с руководителем выводов и предложений	1.03.2022
8	Переработка (доработка) курсовой работы в соответствии с замечаниями руководителя	10.03.2022
9	Сдача курсовой работы на отзыв руководителю	20.03.2022
10	Разработка тезисов и презентации для защиты	1.04.2022
11	Завершение подготовки к защите с учетом отзыва (предварительная защита)	10.04.2022

Подпись руководителя _________________(Шаманин В.П.)

Подпись руководителя _________________( Кузнецова В.В.)

С графиком выполнения работы ознакомлен:

Подпись студента _____________________(Хохлова О.Л)

Дата « 19 » января 2022 г.



Оглавление

защита информация угроза пожарный

Введение

1. Изучение теоретических основ об отделе информационной безопасности

1.1 Основы отдела по обеспечению информационной безопасности: цели, функции, организация работы

1.2 Выбор и обоснование технических средств защиты информации

2. Формирование службы информационной безопасности в организации

2.1 Описание и анализ защищаемого обьекта

2.2 Средства защиты информации, установленные в организации

2.3 Наиболее вероятные угрозы утечки защищаемой информации

2.4 Оценка нанесенного ущерба от реализации угроз

2.5 Способы и методы защиты, установленные на предприятии

2.6. Выбор технических средств защиты информации

2.7 Формирование отдела информационной безопасности

2.8 Структура Отдела

2.9 Права и обязанности

2.10 Ответственность сотрудников за защиту информационных ресурсов

3. Проектирование охранно-пожарной системы на предприятии

3.1 Система пожарной сигнализации

3.2 Выбор оборудования

4. Настройка политик SecureCode

4.1 Разграничение доступа по уровням

5. Экономическое обоснование проекта

Заключение

Список используемой литературы



Введение

В любой корпорации и в любом предприятии, актуальной проблемой является обеспечение информационной безопасности и сохранность данных от утечки и НСД сторонними лицами. Для предотвращений данных проблем, используются различного рода технические средства защиты и мониторинга. Также предприятия на своей основе, организуют отдельные предприятия, занимающиеся защитой данных и организаций систем защиты информации на определённой территории.

Информационная безопасность - практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные (электронная или, например, физическая). Основная задача информационной безопасности - сбалансированная защита конфиденциальности, целостности и доступности данных, с учётом целесообразности применения и без какого-либо ущерба производительности организации. Это достигается, в основном, посредством многоэтапного процесса управления рисками, который позволяет идентифицировать основные средства и нематериальные активы, источники угроз, уязвимости, потенциальную степень воздействия и возможности управления рисками. Этот процесс сопровождается оценкой эффективности плана по управлению рисками

Служба информационной безопасности - это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной организации. Служба информационной безопасности должна быть самостоятельным подразделением и подчиняться напрямую первому лицу в организации.

Актуальность работы заключается в том, что информация, бесспорно, выступает основой всего процесса управления в организации, труд управленца и заключается в ее сборе, изучении, обработке и грамотном толковании. От уровня организации сбора, обработки

Объектом настоящей курсовой работы является отдел информационной безопасности

Предмет настоящей курсовой работы является формирование службы информационной безопасности в организации

Целью курсовой работы является изучение и исследование формирования службы информационной безопасности в организации

Для достижения поставленной цели необходимо выполнить ряд задач:

– исследовать теоретические основы защиты выделенного помещения;

– произвести анализ вероятных угроз и каналов утечек информации;

– описать организацию и оценить действующую систему защиты;

– оценить ущерб от успешной реализации угроз;

– исследовать существующие способы и методы защиты помещения;

– сделать сравнительный анализ и выбрать средства защиты;

– обосновать экономические затраты проекта;

– практическая реализация одного из элементов системы защиты.



1. Исследование теоретических основ об отделе информационной безопасности

1.1 Основы отдела по обеспечению информационной безопасности: цели, функции, организация работы

Основные цели работы СИБ:

– правовая защита компании во взаимоотношениях с государственными органами, партнерами по бизнесу (российскими и зарубежными), конкурентами;

– охрана секретных сведений, прав интеллектуальной собственности, повышение репутации организации в деловой сфере, увеличение эффективности использования имеющихся данных;

– охрана собственности компании;

– повышение конкурентоспособности, минимизация ущерба от несанкционированного доступа к информации;

– стимулирование деловой активности всех сотрудников, контроль за соблюдением трудовой дисциплины;

– недопущение искажения, потери, хищения, подделки информационных ресурсов;

– предотвращение любых несанкционированных действий по отношению к секретным сведениям;

– документационное обеспечение предприятия в пределах своей компетенции;

– охрана конституционных прав людей на личную тайну и конфиденциальность сведений, содержащихся в аис;

– своевременное выявление и предотвращение угроз интересам компании;

– разработка путей возмещения ущерба от неправомерных действий третьих лиц, минимизация последствий;

– пресечение попыток подрыва стабильного функционирования организации;

– обеспечение безопасного проведения сделок, совещаний, переговоров, встреч;

– получение информации о конкурентах, инвесторах и возможных партнерах разрешенными законодательством способами;

– обучение всего персонала основам иб, проведение профилактических и воспитательных бесед.

Деятельность служб информационной безопасности на предприятиях должна быть организована в рамках правовых норм. В зависимости от направления работы компании функции и штат служб ИБ могут сильно различаться.

Основные задачи службы информационной безопасности:

– консультирование руководителей по вопросам обеспечения иб и привлечения кадров;

– проверка кандидатов на замещение вакансий в других подразделениях, беседы с увольняющимися сотрудниками, а также периодический инструктаж персонала, повышение его уровня грамотности в сфере безопасности информации;

– периодический анализ психологической обстановки в коллективе;

– контроль активности персонала, учет нарушений правил безопасности сотрудниками;

– классификация информации, определение уровня ее важности и роли в информационных системах;

– разработка политики информационной безопасности;

– разграничение доступа пользователей к секретной информации;

– разработка инструкций по информационной безопасности для каждого структурного подразделения, контроль их выполнения (при формировании новых правил иб это должно быть отражено в нормативно-правовых документах);

– контроль аутентификации сотрудников, периодическая смена паролей, контроль соблюдения запрета на передачи паролей лицам, не имеющим прав доступа к системам информации;

– обеспечение безопасности информационных систем (ограничение удаленного доступа, установка агентов системы обнаружения атак на каждом сегменте информационной сети);

– ведение регистрационных журналов по всем системам;

– контроль и учет антивирусного и программного обеспечения;

– ознакомление с правилами использования информации третьих лиц в случае необходимости их допуска к секретным данным;

– хранение, учет и выдача носителей конфиденциальных сведений;

– организация физической охраны объекта;

– принятие мер по сохранности информации при ее транспортировке;

– взаимодействие с представителями правоохранительных органов в случае необходимости.

Также специалист по ИБ занимается обеспечением безопасного функционирования автоматизированных информационных систем (АИС).

В комплекс мер по обеспечению безопасности АИС входит:

– регулярное обновление системы и всех ее элементов;

– проведение расследований по каждому нарушению, принятие необходимых мер по результатам расследования с целью избежать повторения инцидента;

– инвентаризация программных и технических средств защиты аис;

– вычисление открытых портов, идентификация ос и приложений;

– проверка уровня безопасности web-приложений;

– оценка систем управления информационными базами знаний и данных;

– составление отчетов для руководства.

Служба ИБ также занимается созданием криптографической защиты данных. Проводит аудит информационных систем, проверяя возможность их взлома, наличие каналов утечки секретных данных.

Состав службы ИБ зависит от целей и размеров организации. Небольшим компаниям может быть достаточно и одного человека, который совмещает должности руководителя СИБ и ИБ-специалиста.

Необходимо понимать, что служба, занимающаяся безопасностью информации, - это не сервисный отдел, а руководящий. Ее главной задачей является разработка правил информационной безопасности и контроль за их соблюдением. Например, требования служб ИБ об установке защитного программного обеспечения должны исполнять сотрудники IT-управления. Они же могут заниматься разработкой и обслуживанием ПО. Служба ИБ в этом случае выступает в роли координатора.

Управлению ИБ в вопросах, относящихся к его компетенции, должны подчиняться все сотрудники организации. Управление, занимающееся созданием и обеспечением безопасности не должно входить в структуру других управлений. Оно должно работать обособленно, но при этом взаимодействуя со всеми остальными сотрудниками.

Каждый сотрудник, начиная от рядового исполнителя и заканчивая руководством компании, должен четко понимать, что такое безопасность информации, осознавать важность сохранности секретных сведений. И наказание, которое последует за нарушение правил информационной безопасности.

Для обеспечения сохранности секретной информации можно обратиться за помощью к сторонней организации. В этой ситуации существует определенный риск - сведения, которые должны храниться в секрете, частично будут доступны приглашенным специалистам. Поэтому для закрытых организаций собственное управление ИБ предпочтительнее сервисных сотрудников.

В обязанности служб ИБ входит разработка и поддержка в актуальном состоянии документов для обеспечения безопасности секретных сведений:

– концепция ИБ компании;

– политика ИБ;

– методички и инструкции по обеспечению сохранности информации для каждого управления, включая руководство;

– регламенты по работе с охраняемыми данными;

– должностные инструкции сотрудников, занимающихся вопросами информационной безопасности;

– нормативно-правовые документы, регламенты по обеспечению сохранности конфиденциальных и персональных сведений;

– приказы о назначении людей, ответственных за работу с секретными данными.

В зависимости от размера и вида деятельности компании перечень необходимых документов по обеспечению информационной безопасности может быть значительно расширен.

Сотрудники, занимающиеся охраной информации, должны подчиняться напрямую руководству, а не начальникам других управлений.

1.2 Выбор и обоснование технических средств защиты информации

В ГОСТе Р 52447-2005 показатели качества техники ЗИ должны отвечать следующим основным требованиям:

– способствовать обеспечению соответствия качества техники ЗИ целям ее создания и решаемым задачам;

– быть стабильными;

– способствовать обеспечению повышения эффективности ЗИ;

– учитывать современные достижения науки и техники и основные направления технического прогресса в промышленности;

– характеризовать все свойства техники ЗИ, обусловливающие ее пригодность удовлетворять определенные потребности в соответствии с ее назначением;

– исключать дублирование показателей при комплексной оценке уровня качества техники ЗИ;

– учитывать действующие национальные стандарты комплексной системы общих технических требований и комплексной системы контроля качества продукции.

Технические средства защиты информации на предприятии выбираются исходя из оценки прогнозируемых рисков-вероятностей и степени опасности.

Программные средства защиты информации включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной информации типа временных файлов, тестового контроля системы защиты и др. Программно-аппаратные средства защиты информации реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства, такие как защита помещения от прослушивания.



2. Формирование службы информационной безопасности в организации

2.1 Описание и анализ защищаемого объекта

Организация ООО « Радуга» размещена на концерне и находится на 2 этаже. Вход на объект расположен с лицевой стороны, ближе к левому краю здания. Электропроводка по стенам проложена в металлических и пластиковых кабель-каналах, выше подвесных потолков в пластиковых трубах. Для резервирования и защиты электрических сетей на территории контролируемой зоны объекта, в отдельном здании установлен бензиновый генератор.

В здании смонтированы и находятся в рабочем состоянии следующие инженерные системы:

– отопления;

– вентиляции и кондиционирования воздуха;

– автоматической пожарной сигнализацией;

– тревожной сигнализации;

– система аудио- видеонаблюдения;

– система звукового оповещения сотрудников;

– системы оповещения и управления эвакуацией.

Оконные конструкции во всех помещениях охраняемого объекта остеклены, имеют надежные и исправные запирающие устройства.

На первых и последних этажах объекта защиты установлены пластиковые стеклопакеты и решетчатые ставни.

Вся территория объекта - является контролируем зоной. Перед концерном расположен контрольно-пропускной пункт, для контроля за пребыванием и размещением лиц, а также транспортных средств, как внутри охраняемой зоны, так и по ее периметру. Также объект охраняет частное охранное предприятие "ВостокПарк" - на случай проникновения на объект. Все средства инженерной системы - находятся внутри контролируемой зоны объекта.

2.2 Анализ существующей системы защиты в организации ООО «Радуга»

В организации ООО « Радуга», обеспечение безопасности осуществляется с помощью следующих средств, которые приведены в приложении 2

В организации ранее были установлены следующие технические средства защиты информации от несанкционированного доступа и утечки

Одним из наиболее подходящих вариантов для защиты информации - является установка персонального компьютера в защищенном исполнении ЛИС-40НС.

Компьютер ЛИС-40НС - автоматизированное рабочее место, предназначенное для использования в качестве средства обработки, хранения и защиты информации. Изделие поставляется без сертификата ФСТЭК.

Информационная система ЛИС-40НС является комплексом технических средств, прошедших специальную проверку (СП) и специальные исследования (СИ), обеспечивающим защиту обрабатываемой информации от утечки по техническим каналам.

Базовая комплектация:

– системный блок;

– монитор;

– клавиатура;

– манипулятор типа «мышь»;

– источник бесперебойного питания;

– комплект экранирующих заглушек;

– эксплуатационная документация;

– заключение о спец. проверке, протокол спец. исследования.

дополнительно поставляется:

– принтер;

– МФУ.

Размер пространства, на границе и за пределами которого выполняются нормы эффективности защиты информации от утечки за счёт побочных электромагнитных излучений, соответствует документу «Требования по технической защите информации, содержащей сведения, составляющие государственную тайну», приказ ФСТЭК России от 20 октября 2016 г. № 025.

На предприятии уже установлен ST301 Spider, необходимый для контроля за состоянием проводных линий и наличия на них подключения сторонних технических средств съема информации, передающихся по линиям связи.

Анализатор проводных линий ST 301 SPIDER - предназначен для поиска прослушивающих приборов, гальванически подключенных к силовым и слаботочным проводным линиям. Прибор используются пассивные и активные режимы работы, которые позволяют найти активные, отключенные или неисправные прослушивающие приборы.

Пассивные каналы:

Усилитель низкой частоты-Канал предназначен для обнаружения в слаботочных линиях низкочастотных сигналов подслушивающих устройств. Анализ сигналов производится с помощью графической информации (осциллограмма или спектрограмма) и акустической информации (через наушники или встроенный динамик).

Проводной приемник- Канал предназначен для обнаружения сигналов подслушивающих устройств, передающих информацию по силовым и слаботочным проводным линиям в диапазоне частот 0,1-180 МГц. Анализ сигналов производится с помощью графической информации (осциллограмма или спектрограмма) и акустической информации (через наушники или встроенный динамик).

Активные каналы:

Нелинейный локатор-канал предназначен для обнаружения подслушивающих устройств (в том числе выключенных и/или неисправных), подключенных к проводной линии. Принцип действия проводного нелинейного локатора анализатора аналогичен с принципом действия обычного нелинейного локатора. Встроенный передатчик подает зондирующий сигнал в проверяемую линию, а приемник фиксирует отраженные сигналы на частотах 2 и 3 гармоник. Наличие сигналов на этих частотах свидетельствует о присутствии в линии нелинейности или МОМ-структуры. Если уровень 2 гармоники превышает уровень 3 гармоники, то с большой вероятностью к линии гальванически подключено электронное устройство. Если уровень 3 гармоники превышает уровень 2 гармоники, вероятно, что в линии присутствует МОМ-структура.

Рефлектометр-Предназначен для тестирования кабелей с целью обнаружения нештатных гальванических подключений (неоднородностей). В кабель подается синусоидальный сигнал, который отражается от неоднородности и возвращается с запаздыванием. Фаза отраженного сигнала отличается от фазы излученного. Аналогичные процедуры производятся для множества частот. В результате формируется спектр с чередующимися максимумами, анализируя который можно определить расстояние до дефекта (неоднородности) в проверяемом кабеле. Рефлектометр определяет расстояние до неоднородности с точностью ±0,6 м., которая зависит от правильно установленного Коэффициента Укорочения (КУ).

В помещении отдела по обеспечению защиты информации с ведением различного рода документооборота, установлены персонально-электронно вычислительные машины, с местной локальной сетью, не выходящей за пределы выделенного помещения. Дополнительно, организован контроль за пребыванием лиц. Для организации системы защиты, были использованы активные и пассивные средства. Из пассивных, в конструкции выделенного помещения были использованы арматурные вставки и арматурные сетки, для обеспечения защиты от утечки по каналу ПЭМИН. В качестве активного средства защиты был выбраны аппаратно-программный комплекс "ТАЛИСМАН - К".

АПК «ТАЛИСМАН» предназначен для криптографической защиты любых видов информации передаваемых по коммутируемым телефонным сетям связи общего пользования (PSTN) в режиме организации цифрового канала связи (точка-точка) на аналоговых абонентских линиях с двухпроводным окончанием. Режим защиты данных персонального компьютера

Специально разработанная программа «Крипто-Терминал» для передачи данных ПК:

– режим передачи сообщений с клавиатуры персонального компьютера;

– режим передачи файлов персонального компьютера;

– поддерживаемые операционные системы windows-98/2000/nt/xp;

– общие параметры аппаратуры «талисман-к»;

– возможность использования в помещениях где ведутся секретные переговоры (до 1 категории включительно);

– возможность установки эксплуатационных параметров с пк, с помощью специализированной программной оболочки;

– возможность работы по физическим линиям связи (без АТС);

– возможность защиты пользовательского программного обеспечения;

– не возможность считывания установленных параметров;

– возможность создания индивидуальных криптографических версий изделия;

– защита конфиденциальной информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну;

– возможность использования генератора случайных чисел и визуального контроля при вводе ключевых установок;

– уровень защищенности линейного сигнала во всех режимах гарантированный;

– возможность изменения конфигурации аппарата по желанию заказчика;

– сервисная поддержка, гарантийные обязательства на 3 года.

В помещении где расположены персонально-электронно вычислительные машины, также находится техническое средство подавления исходящих помех - генератор шума "ГШ Гном-3".

Генератор шума Гном-3М используется для защиты информации, которая обрабатывается на персональных компьютерах и в локальных сетях предприятия, от утечки по каналам ПЭМИН. Данный прибор нивелирует возможность похищения конфиденциальных данных по каналам побочных электромагнитных излучений. Шумогенератор создает помехи, максимально приближенные к белому шуму, благодаря чему никакие жучки и дешифраторы не смогут уловить и расшифровать защищённую в полосе помех информацию.

2.3 Анализ уязвимостей и угроз информационной системы организации

Перехват обрабатываемой техническими средствами информации может осуществляться путем специальных воздействий на элементы технических и физических средств защиты. Одним из методов такого воздействия является высокочастотное навязывание, наводки, т.е. воздействие на технические средства высокочастотными сигналами различного спектра действия.

Перехват речевой информации из помещения может осуществляться с помощью лазерных средств акустической разведки. В этом случае будет применяться дистанционное лазерное зондирование объектов, обладающих определенными свойствами и являющихся потенциальными источниками закрытой речевой информации, а в качестве таких объектов могут выступать оконные стекла и другие виброотражающие поверхности, и элементы строительных конструкций.

Также возможен перехват речевой информации через системы воздушной вентиляции помещений, различных вытяжных систем и системы подачи чистого воздуха, конструкций зданий, сооружений (стены, потолки, полы), труб водоснабжения, отопления, канализации и других твёрдых тел. Для перехвата акустических колебаний в этом случае используются направленные контактные микрофоны (стетоскопы) или же путем непосредственного прослушивания находясь пределах досягаемости звуковых сигналов.

Вероятен съём информации путём наблюдения из соседнего здания с помощью биноклей, ночного визира, направленного микрофона, обеспечивающего высокое качество наблюдения, устройства регистрации изображения -- фото- или видеокамеры; инфракрасного прожектора.

Не исключен съем защищаемой информации непосредственно с персональных компьютеров пользователей, путем внедрения электронных устройств негласного получения информации и передачи данных.

Стоить заметить, что человеческий фактор также наиболее вероятен, т.е. использование мобильных телефонов и пр. в выделенном помещении с неумышленной фото и видео фиксацией секретных документов.

2.4 Оценка нанесенного ущерба от реализации угроз

Создавая систему защиты информации в организации, следует учитывать, насколько велика ценность внутренних защищаемых данных.

Стоимость конфиденциальной информации варьируется от степени значимости и грифа секретности. Покупателей, которые уже были готовы заплатить за готовую продукцию - 50 человек. А потенциальных покупателей было - 22 человека, которые уже были готовы сотрудничать для приобретения товаров, а также акций предприятия. При успешной реализации угроз есть вероятность потерять потенциальных и возможных покупателей, что скажется потерей прибыли (8 миллионов рублей). Также из этих 22 человек 12 могут подать в суд, тогда это скажется дополнительными расходами на судебные издержки на дела по нарушению законодательства и условий договоров. Утрата конфиденциальной информации подрывает на длительный период положение организации на рынке (800 тысяч рублей). Ещё к ущербу можно соотнести потерю имиджа организации (900 тысяч рублей), и потери, связанные с раскрытием коммерческой тайны, затраты персонала на устранение последствий реализации угроз (500 тысяч рублей), затраты на оборудование для устранения последствий реализации угроз (700 тысяч рублей).

2.5 Выбор средств защиты в организации

После проведения анализа уязвимостей и угроз информационной системы организации, были определены меры, которые необходимо реализовать для обеспечения полной технической системы защиты информации.

Для обеспечения защиты по лазерному каналу утечки информации было выбрано техническое средство "Генераторный блок Соната АВ-4Л". Шумовой сигнал, возбуждаемый изделием в ламелях оконных жалюзи, представляет собой шумовые колебания поверхности ламелей.

Размер и место установки ламелей выбирается исходя из обеспечения отсутствия прямой видимости потенциальных «мишеней».

Изделие входит в состав Системы активной акустической и вибрационной защиты акустической речевой информации "Соната-АВ" модель 4Б (далее Система) и сертифицировано в ее составе. Соната АВ4Л представляет собой техническое средство виброакустической защиты с центральным генераторным блоком, пассивными вибровозбудителями и подсистемой автоматического контроля количества вибровозбудителей, подключенных к генераторному блоку. Шумовой сигнал, возбуждаемый Изделием в ламелях оконных жалюзи, представляет собой шумовые колебания поверхности ламелей.

Размер и место установки ламелей выбирается исходя из обеспечения отсутствия прямой видимости потенциальных «мишеней».

Электропитание, управление и контроль работы Изделия осуществляется в составе Системы "Соната-АВ4Б". Генераторный блок устанавливается на стену или карниз жалюзи примерно посередине защищаемой группы ламелей и подключается; к линии вторичного электропитания и управления Системы «Соната-АВ4Б». В случае отсутствия последней на объекте выполняется подключение по след. Схеме (см. Приложение 1)

При выборе системы «Соната-АВ4Б», была проведена сравнительная характеристика среди похожих технических средств таких как Соната-СИВ4Б и Соната-ИП4.1. сравнив эти технические средства выбор упал на Сонату АВ4Б, так как данная система лучше защищена от механического повреждения при монтаже и транспортировке. Так же Соната АВ4Б имеет такие плюсы как увлечённость пропускной способности канала в сравнениями с другими моделями. Также в сравнении характеристик и цены более доступна оказалась система Соната АВ4Б.

Для защиты от несанкционированного доступа к ПЭВМ, будет использован Программно-аппаратный комплекс «Соболь» 4.0 -- это электронный замок для защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство защиты автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.

Электронный замок «Соболь» применяется для защиты персональных компьютеров, в том числе десктопов, ноутбуков, ультрабуков, а также серверов и ряда специализированных устройств (криптографических шлюзов, маршрутизаторов и т. д.). Обновленная версия ПАК «Соболь» поддерживает работу с ОС Windows 8 и Windows Server 2012 и файловой системой EXT4 в ОС семейства Linux.

Продукт прошел инспекционный контроль в ФСТЭК России на соответствие руководящим документам по 2-му уровню контроля на отсутствие НДВ и может применяться в АС до класса 1Б включительно и ИСПДн самого высокого уровня защищенности. Обновленная версия ПАК «Соболь» также передана в ФСБ России, где проводятся контрольные тематические испытания с целью подтверждения имеющихся сертификатов соответствия.

Проводя сравнительный анализ имеющихся на данный момент технических средств защиты от несанкционированного доступа - было выделено 3 основных варианта. Первым рассматривался вариант установки программного обеспечения «КонтрольЦ», которое, к сожалению, не соответствует нашим требованиям, т.к. эту систему защиты довольно просто избежать. Вторым вариантом, является ПАК «Соболь» - полностью сертифицированное средство защиты, выполняющее необходимые нам требования, по относительно низкой стоимости. Третьим вариантом, является комплексная система защиты «РубежАккорд» - выполняющая все необходимые требования, но данное средство защиты информации не подходит нам, из-за его сравнительно высокой цены.

Для обеспечения защиты уходящих силовых линий, за пределами помещения будет использован сетевой фильтр "ЛФС-100-3Ф". Фильтр сетевой помехоподавляющий «ЛФС-100-3Ф» предназначен для защиты радиоэлектронных устройств и средств вычислительной техники от утечки информации за счет наводок по трехфазным цепям электропитания напряжением до 380 В.

Чтобы предотвратить несанкционированный съем информации, содержащейся в излучениях оргтехники и распространяющейся по сети, целесообразно подключать оборудование через сетевой фильтр ЛФС-100-3Ф. Данная модель предназначена для пассивной защиты электросетей промышленных зданий и офисов от утечки информативных сигналов.

Сетевой фильтр имеет сертификат соответствия ГОСТ Р. Это значит, что он отвечает требованиям технического регламента Таможенного союза и может официально использоваться по прямому назначению во всех странах-участниках ТС. Устройство разработано для защиты электросети с такими параметрами:

– кол-во проводов - 4 (3 фазы и нейтральный проводник);

– сила тока - max 100А;

– напряжение - 380В +/-10%;

– частота - 50Гц. (изменено)

Для эффективного подавления побочных излучений техники необходимо установить фильтр так, чтобы все ПК и радиотехника были подключены к сети через него. При этом важно, что сетевой помехоподавляющий фильтр ЛФС-100-3Ф разрешено использовать только в зданиях, при температуре воздуха +1…40С.

В качестве пассивных средств защиты предложена установка жалюзи на каждый оконный проем, для защиты по оптическому каналу утечки информации, с последующей установкой решетчатых ставней, в целях избегания человеческого фактора по утере документа, через открытый оконный проем.

В том числе будет предложена полная шумоизоляция помещения, для защиты от утечки по каналу непосредственного прослушивания за пределами контролируемой зоны.

2.6 Формирование отдела информационной безопасности

Отдел информационной безопасности (далее Отдел) представляет собой отдельное структурное подразделение организации. Он формируется, реструктуризируется и ликвидируется приказом руководства организации (директора либо другого уполномоченного лица).

Отдел находится в подчинении непосредственного начальника, которого назначает на данную должность руководитель организации. В его отсутствие управление осуществляет заместитель начальника либо другое уполномоченное лицо. Вышестоящим начальником Отдела является руководитель организации.

Работа службы защиты информации выстраивается в соответствии с требованиями законодательства и иных нормативно-правовых актов, в том числе - уставной документации организации.

Обязанности сотрудников службы защиты информации, их полномочия и степень ответственности за сохранность информационных ресурсов организации определяются данным положением, уставной документацией организации, условиями трудового договора и должностными инструкциями.

Отдел взаимодействует с другими структурными подразделениями организации в пределах своей компетенции.

Цель работы Отдела - обеспечить защиту информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения.

В задачи Отдела входит разработка и внедрение системы безопасности, а также контроль за ее работой и анализ эффективности используемых средств защиты информации.

В перечень функций службы защиты информации входит:

– разработка комплексной системы безопасности, включающей использование разнообразных методов и способов защиты конфиденциальной информации от намеренного и ненамеренного разглашения, утери, искажения, похищения;

– внедрение режима конфиденциальности и контроль за его соблюдением;

– взаимодействие с контрагентами, обеспечение конфиденциальности передачи данных и информации, сообщаемой партнерам в процессе открытых переговоров;

– разработка документов, предписывающих соблюдение режима конфиденциальности штатными сотрудниками организации и прикомандированными работниками;

– оценка эффективности внедренной системы защиты информационных ресурсов организации от намеренного и ненамеренного разглашения, утери, искажения, похищения;

– проведение аттестации сотрудников с последующим присвоением им необходимой степени допуска к чтению и использованию конфиденциальной информации;

– составление актов проверки техники, оборудования, помещений на предмет их соответствия требованиям безопасности;

– другие функции, выполнение которых поспособствует реализации целей и задач работы Отдела.

2.7 Права и обязанности

Служба защиты информации уполномочена:

– контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности, введенного в организации;

– пользоваться информацией для служебного пользования, запрашивать ее у сотрудников других структурных подразделений организации;

– вступать во взаимодействие с органами исполнительной, законодательной и судебной власти для решения правовых вопросов, касающихся функций службы;

– принимать все необходимые меры для обеспечения защиты конфиденциальной информации;

– привлекать сторонних специалистов для разработки, внедрения и анализа эффективности системы защиты конфиденциальной информации;

– давать указания сотрудникам других структурных подразделений организации по вопросам, входящим в компетенцию службы;

– проводить внутренние служебные расследования при обнаружении фактов намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации;

– осуществлять другие действия, предусмотренные должностными инструкциями и направленные на реализацию целей и задач службы.

В обязанности начальника службы защиты информации входит:

– распределять задачи между подчиненными в соответствии с их специализацией, контролировать скорость и качество их выполнения;

– участвовать в процессе подбора персонала;

– разрабатывать проекты по усовершенствованию системы защиты конфиденциальной информации;

– организовывать обучение сотрудников службы отдела защиты информации и работников других структурных подразделений организации;

– устанавливать порядок ремонтных работ, направленных на скорейшее восстановление работоспособности системы защиты информации при возникновении технических сбоев или аварий;

– координировать взаимодействие сотрудников службы защиты информации с работниками других структурных подразделений организации.

Сотрудники службы защиты информации обязаны:

– контролировать работу всех сотрудников организации и следить за соблюдением режима конфиденциальности;

– проводить профилактику намеренного или ненамеренного разглашения, утери, искажения, похищения конфиденциальной информации путем проведения инструктажа сотрудников организации;

– участвовать в разработке комплексной системы защиты конфиденциальной информации;

– периодически проверять журналы инструктажа и оборудование организации;

– проводить аттестацию всех сотрудников организации, проверять их знания в области существующих методов превентивной защиты конфиденциальной информации;

– выполнять другую работу, направленную на реализацию целей и задач службы защиты информации;

– взаимоотношения Отдела с другими структурными подразделениями организации.

Служба защиты информации в пределах свой компетенции взаимодействует с:

Кадровой службой (для участия в собеседованиях с соискателями на должности, предусматривающими допуск к конфиденциальной информации, отражения в личных делах результатов аттестации и сведений о выявленных нарушениях режима конфиденциальности, изучения личных дел сотрудников организации).

Бухгалтерией (для предоставления информации о льготах и надбавках, предусмотренных для сотрудников с допуском к конфиденциальной информации, получения информации о расходовании фонда оплаты труда и других данных, необходимых в работе службы защиты информации).

Финансовой службой (для предоставления плановой документации, касающейся закупки необходимого оборудования).

Юридическим отделом (для своевременного изучения изменений законодательства, касающихся защиты информации, а также для применения законодательно обоснованных наказаний за нарушение режима конфиденциальности).

Другими структурными подразделениями (для координации их работы и обеспечения необходимого уровня защиты конфиденциальной информации).



2.8 Ответственность сотрудников за защиту информационных ресурсов

Ответственность за защиту информационных ресурсов организации от намеренного или ненамеренного разглашения, утери, искажения и похищения несет руководитель Отдела.

Ответственность работников службы защиты информации определяется их должностными инструкциями.

Сотрудники штата Организации:

– начальник службы безопасности;

– заместитель начальника службы безопасности;

– охрана;

– специалист по обеспечению информационной безопасности;

– оператор специального назначения 1;

– It-специалист;

2.10 Должностные обязанности сотрудников и указания к применение технических средств защиты

Начальник службы безопасности помимо своих основных должностных обязанностей обязан знать правила использования и применения технической системы Соната А4ВБ

В должностные обязанности начальника службы информационной безопасности входит:

– обеспечивать надежную защиту объектов организации от краж, хищений и других преступных посягательств, пожаров, аварий, актов вандализма, стихийных бедствий, общественных беспорядков и т.п.;

– разрабатывать и осуществляет руководство мероприятиями по безопасности объектов;

– вырабатывать адекватные угрозе средства защиты и виды режимов охраны.

– пресекает попытки несанкционированного проникновения на охраняемый объект;

– отражает угрозу и способствует ликвидации вредных последствий непосредственного нападения на охраняемый объект;

– осуществляет проверку и оценку лояльности служащих охраняемого объекта;

– обеспечивает неприкосновенность перевозимых материальных ценностей, отражая попытки несанкционированного доступа к ним;

– осуществляет на охраняемом объекте связь с базовым органом службы охраны объекта, а в пути следования -- с транспортными и территориальными органами внутренних дел;

– в совершенстве владеет приемами рукопашного боя и самозащиты;

– владеет средствами индивидуальной защиты, холодным и огнестрельным оружием;

Заместитель начальника службы безопасности: средство

– организует и обеспечивает пропускной и внутриобъектовый режим в зданиях и помещениях, порядок несения службы охраны, контролирует соблюдение требований режима сотрудниками, соседними организациями, партнерами и посетителями;

– руководит работами по правовому и организационному регулированию отношений по защите коммерческой тайны;

– участвует в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны, в частности, устава, коллективного договора, правил внутреннего трудового распорядка;

– разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ организует и контролирует выполнение требований инструкций и положений по защите коммерческой тайны";

– изучает все стороны коммерческой, производственной, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведет учет и анализ нарушений режима безопасности, накапливает и анализирует данные о злоумышленных устремлениях конкурентов и других организаций, о деятельности предприятия и его клиентов, партнеров;

– организует и проводит служебные расследования по фактам разглашения сведений, утрат документов и других нарушений безопасности предприятия; разрабатывает, ведет, обновляет и пополняет перечень сведений, составляющих коммерческую тайну и другие локальные нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;

– обеспечивает строгое выполнение требований нормативных документов по защите коммерческой тайны;

– осуществляет руководство службами и подразделениями безопасности филиалов, подразделений, дочерних предприятий;

– организует и регулярно проводит обучение сотрудников предприятия по всем направлениям защиты коммерческой тайны;

– ведет учет сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;

Специалист по обеспечению безопасности информации в ключевых системах информационной инфраструктуры:

– выполняет мероприятия по обеспечению безопасности информации в ключевых системах информационной инфраструктуры;

– определяет возможные угрозы безопасности информации, уязвимость программного и аппаратного обеспечения, разрабатывает технологии обнаружения вторжения, оценивает и переоценивает риски, связанные с угрозами деструктивных информационных воздействий, способных нанести ущерб системам и сетям вследствие несанкционированного доступа, использования раскрытия, модификации или уничтожения информации и ресурсов информационно-управляющих систем;

– определяет ограничения по вводу информации, процедуры управления инцидентами нарушения безопасности и предотвращает их развитие;

– разрабатывает процедуры защиты носителей информации, коммуникаций и восстановления информационно-управляющих систем после сбоя или отказа;

– осуществляет контроль деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры; информационное, материально-техническое и научно-техническое обеспечение безопасности информации; контроль состояния работ по обеспечению безопасности информации в ключевых системах информационной инфраструктуры и их соответствие нормативным правовым актам российской федерации;

– дает отзывы и заключения на проекты вновь создаваемых и модернизируемых объектов и других разработок по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры;

– участвует в рассмотрении технических заданий на научно-исследовательские и опытно-конструкторские работы по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, оценивает их соответствие действующим нормативным и методическим документам;

– участвует в работах по внедрению новых средств технической защиты информации;

– содействует распространению в организации передового опыта и внедрению современных организационно-технических мер, средств и способов обеспечения безопасности информации в ключевых системах информационной инфраструктуры;

– проводит оценки технико-экономического уровня и эффективности предлагаемых и реализуемых организационно-технических решений по обеспечению безопасности информации в ключевых системах информационной инфраструктуры.

Операторы специального назначения помимо своиз основных должностных обязанностей должен знать правило пользавния и использовие аппарата ГШ

– ведение документооборота компании;

– учет, регистрация и распределение входящей и исходящей документации;

– проверка, редактирование исходящих документов, регистрация документов, распределение документов по подразделениям;

– определение контрольных сроков исполнения документов, контроль исполнения;

– подготовка документов к архивному хранению;

– ведение электронной базы документов, составление картотек;

– коммуникации с курьерскими службами.

Охранник выполняет следующие должностные обязанности:

– обеспечение безопасности охраняемого объекта;

– видеонаблюдение;

– осуществление контрольно-пропускного режима;

– контроль сохранности товарно-материальных ценностей? (ТМЦ), инструментов, оборудования и спецтехники;

– предотвращение попыток хищения и порчи ТМЦ, инструментов, оборудования и спецтехники;

– обеспечение безопасности сотрудников и посетителеи? на территории охраняемого объекта;

– ведение служебной? документации.

Специалист отдела информационных технологий обязан выполнять следующие трудовые функции:

– обеспечивает достоверность, защиту информации и своевременность ее предоставления;

– осуществляет установку, настройку, техническое сопровождение и обслуживание оборудования и программного обеспечения организации;

– осуществляет информационно-техническую поддержку;

– принимает участие в разработке и реализации целевых программ применения информационных технологий;

– создает информационные системы и обеспечивает доступ к содержащейся в них информации;

– внедряет новые информационные технологии в деятельность организации;

– анализирует потребности организации в дополнительных средствах вычислительной техники и обработки информации;



3. Разработка охранно-пожарной системы, как элемент физической защиты организации ООО « Радуга»

3.1 Система пожарной сигнализации

Система пожарной сигнализации - это специальные датчики, которые входят в состав системы пожарной безопасности, фиксируют повышение температуры в помещении предприятия, задымленность, очаги открытого огня, после чего отправляют сигнал тревоги на контрольную панель. Оттуда информация поступает на пост охраны или в службу пожарной безопасности.

По государственным стандартам безопасности, установка системы пожарной безопасности необходима в любом помещении, предприятии, офисе и офисном здании. Пожарная сигнализация позволяет обезопасить людей, находящихся на объекте, сохранить их жизни и здоровье, а также уберечь ценное имущество от повреждений при пожаре.

Извещатели пожарной сигнализации распознают признаки пожара максимально быстро. После этого включаются тревожные световые и звуковые сигналы, начинается эвакуация людей. Системы пожарной безопасности на предприятии позволяют свести к минимуму ущерб от пожара.

Функции приемо-контрольных приборов ОПС: охранно-пожарная сигнализация ОПС:

– прием сигналов от пожарных и охранных извещателей;

– обеспечение электропитанием активных пожарных и охранных извещателей;

– выдача информации на световые, звуковые оповещатели и пульты централизованного наблюдения, формирование стартового импульса запуска прибора пожарного управления.