Построение системы инженерно-технической защиты информации объекта информатизации юридическая компания

Размещено на http://www.allbest.ru/

Аэрокосмический колледж

Цикловая комиссия общепрофессиональных дисциплин и УГС 10.00.00

КУРСОВОЙ ПРОЕКТ

Построение системы инженерно-технической защиты информации объекта информатизации юридическая компания

Руководитель М.С. Фукс

Обучающийся БИАССК-5-21 И.С. Дмитриев



Задание

на курсовую работу по междисциплинарному курсу: «МДК.02.01. Инженерно-технические средства физической защиты информации»

Обучающемуся Дмитриеву Ивану Сергеевичу

Группа БИАССК-5-21 Форма обучения очная

Тема работы: «Построение системы инженерно-технической защиты информации объекта информатизации юридическая компания»

Срок сдачи студентом работы 20.12.2023г.

Перечень вопросов, подлежащих разработке при написании теоретической части:

1. Теоретические основы системы инженерно-технической защиты. Требования, цели и задачи.

2. Нормативно-правовое регулирование и эксплуатация инженерно-технической защиты.

3. Анализ инженерно-технической безопасности объекта.

Перечень вопросов, подлежащих разработке при написании практической части:

1. Разработка плана построения системы инженерно-технической защиты информации.

2. Внедрение системы защиты информатизации.

3. Оценка эффективности системы инженерно-технической защиты информации.

Дата выдачи задания: «6» Сентября 2023г.

Руководитель М.С.Фукс

Задание принял к исполнениюИ.С.Дмитриев



Содержание

Введение

1. Теоретическая часть

1.1 Теоретические основы системы инженерно-технической защиты. Требования, цели и задачи

1.2 Нормативно-правовое регулирование и эксплуатация инженерно-технической защиты

1.3 Анализ инженерно-технической безопасности объекта

2. Практическая часть

2.1 Разработка плана построения системы инженерно-технической защиты информации

2.2 Внедрение системы защиты информатизации

2.3 Оценка эффективности системы инженерно-технической защиты информации

Заключение

Список источников и литературы



Аннотация

защита информация инженерный технический

к курсовому проекту по дисциплине «Инженерно-технические средства физической защиты объектов иинформатизации» на тему

«ПОСТРОЕНИЕ СИСТЕМЫ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ ОБЪЕКТА ИНФОРМАТИЗАЦИИ ЮРИДИЧЕСКАЯ КОМПАНИЯ»

Дмитриев Иван Сергеевич

Ключевые слова: инженерно-техническая защита, анализ защиты, технические каналы утечки информации.

Целью курсового проекта является разработка комплекса мероприятий по организации инженерно-технической защиты в юридической компании. Данная цель определила необходимость постановки и решения основных задач:

ѕ изучение основных угроз и методов защиты информации в юридической компании;

ѕ анализ текущего состояния защиты информации в выбранном юридическом учреждении;

ѕ разработка предложений по улучшению системы инженерно-технической защиты информации в выбранном учреждении;

ѕ оценка эффективности предложенных мер по улучшению защиты информации.

Объект исследования - юридическая компания

Предмет исследования - применение инженерно-технических средств защиты информации для обеспечения защиты здания.

Работа состоит из введения, заключения двух глав, которые содержат в себе теоретическую и практическую части.

В первой главе присутствуют основные понятия и определения инженерно-технической защиты, основные средства защиты от утечки информации по техническим каналам, статистические данные.

Во второй главе проводится анализ объекта защиты, анализ угроз и уязвимостей, организация защиты от утечек по техническим каналам, экономическая оценка.

Работа включает: страницы 44, рисунков 14, таблиц 13. Использованных источников - 12



Перечень сокращений и обозначений

ПО - программное обеспечение

СОТ - Система охранного телевидения

СКУД - Система контроля и управления доступом

НСД- Несанкционированный доступ

АСОИ - Автоматизированная система обработки информации

ОПС - Охранно-пожарная сигнализация

СИТЗ - система инженерно-технической защиты



Введение

В современном информационном обществе, где цифровые данные играют важную роль в бизнес-процессах, безопасность информационных систем и защита конфиденциальной информации становятся все более актуальными. юридические компании также не являются исключением, так как они обрабатывают огромное количество конфиденциальных данных клиентов. Однако, с развитием информационных технологий возникает ряд угроз безопасности информации. К таким угрозам относятся несанкционированный доступ к информации, вирусы и вредоносные программы, кража и подделка данных и др. Чтобы обеспечить надежную защиту информации, необходимо строить систему инженерно-технической защиты объекта информатизации Юридическая компания.

Цель данной курсовой работы состоит в разработке системы инженерно-технической защиты информации объекта информатизации юридическая компания. Для достижения этой цели были поставлены следующие задачи:

ѕ Изучение основных угроз и методов защиты информации в учреждениях;

ѕ Анализ текущего состояния защиты информации в выбранном юридическом учреждении;

ѕ Разработка предложений по улучшению системы инженерно-технической защиты информации в выбранном учреждении;

ѕ Оценка эффективности предложенных мер по улучшению защиты информации

Проблема заключается в создании и реализации комплексной системы мер, направленных на защиту информации в юридическом учреждении от утечек, взломов и несанкционированного доступа. Это включает в себя не только технические аспекты, такие как использование современного программного обеспечения и защитных механизмов, но и обучение персонала и разработку соответствующих политик и процедур безопасности.

Объектом исследования работы является проект юридическая компания.

Предметом исследования применение инженерно-технических средств защиты информации для обеспечения защиты объекта является юридическая компания.

Как было сказано ранее, существует огромное количество извещателей, оповещателей, датчиков, видеокамер, СОТ и СКУД. Вместе с тем, в юридической компании имеется слабая инженерно-техническая защита информации. Можно ли как-то улучшить систему инженерно-технической безопасности. Если да, то насколько это будет эффективно и безопасно.

В соответствии с поставленными целями необходимо решение следующих задач:

- изучение основных видов инженерно-технических средств защиты информации, включая различные СКУД и СОТ для защиты объекта;

- обзор и анализ современных систем защиты информации от ведущих разработчиков на рынке;

- оценка функциональности и эффективности выбранных инженерно-технических средств защиты информации, включая их способности.

Методы исследования: сбор и анализ данных о работе ПО для защиты в юридическом учреждении, экспериментальное исследование. Наблюдение за работоспособностью оборудования на защищаемом объекте.

В заключение, следует отметить, что разработка и реализация системы инженерно-технической защиты информации является важным шагом для обеспечения информационной безопасности юридической компании. Это позволяет не только защитить конфиденциальность и целостность важных данных, но и поддерживать доверие клиентов и партнеров, что в конечном итоге способствует успешной работе компании в сфере юриспруденции. Учитывая все современные угрозы и риски, связанные с использованием информационных технологий, необходимо принять комплексные меры по защите информации, включающие как технические решения, так и организационные мероприятия. Ответственное отношение к информационной безопасности и построение системы её обеспечения позволит в юридической компании обеспечить непрерывность законодательного процесса, сохранность и целостность информации, а также защиту персональных данных участников юридического процесса.



1. Теоретическая часть

1.1 Теоретические основы системы инженерно-технической защиты. Требования, цели и задачи

Система инженерно-технической защиты (ИТЗ) представляет собой комплекс мероприятий, технических решений и систем, направленных на обеспечение безопасности, надежности и эффективности функционирования объекта или предприятия.

Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Поскольку совокупность целей, задач, объектов защиты и проводимых мероприятий очень разнородна и многообразна, необходимо систематизировать эту совокупность, введя классификацию средств по виду, ориентации и другим характеристикам. [1]

Многообразие классификационных характеристик позволяет рассматривать инженерно-технические средства по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны службы безопасности.

Схема классификации ИТЗИ предоставлена ниже (рисунок 1).

Рисунок 1 Схема классификации ИТЗИ

Существует классификация инженерно-технической защиты информации по виду, объектам воздействия и используемым технологиям. Выделяют следующие виды средств инженерно-технической защиты: [3]

Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий; К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа-выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий. Средства пожаротушения относятся к системам ликвидации угроз.

Аппаратные. К ним относятся электронные и механические устройства, предназначенные для инженерно-технической защиты информации и для противодействия шпионажу. Их главная задача - выявление каналов утечки информации, их локализация (обнаружение) и нейтрализация. Примерами таких средств могут служить комплексы для поиска сетевых радиопередатчиков, телефонных закладок и радиомикрофонов, устанавливаемых с целью секретного прослушивания.

Программные средства-информации -- это система специальных программ, реализующих функции защиты информации. Выделяют следующие направления использования программ для обеспечения безопасности конфиденциальной информации

1. Защита информации от несанкционированного доступа;

2. Защита информации от копирования;

3. Защита информации от вирусов;

4. Программная защита каналов связи. [2]

Криптографические. Специальные системы шифрования и кодировки, которые используются для защиты информации при телефонных переговорах, рабочих встречах, в рамках совещаний. Принцип работы криптографии состоит в применении математических моделей кодировки сообщений, что обеспечивает эффективную защиту информации от несанкционированного изменения и использования злоумышленниками.

Основные определения, связанные с ИТЗ, включают:

1. Безопасность: ИТЗ должна обеспечивать безопасность людей, имущества и окружающей среды путем предотвращения или снижения рисков, связанных с различными опасностями. Это может включать предотвращение пожаров, аварийных ситуаций, взрывов, поражения электрическим током, обрушений и других опасностей.

2. Надежность: ИТЗ должна быть спроектирована и реализована с учетом требований к надежности и долговечности технических систем и оборудования. Надежность включает в себя обеспечение бесперебойной работы системы, минимизацию вероятности отказов и возможность быстрого восстановления работоспособности.

3. Эффективность: ИТЗ должна обеспечивать оптимальное использование ресурсов, таких как энергия, вода, материалы и трудовые ресурсы. Целью эффективности является снижение затрат и повышение производительности без ущерба для безопасности и надежности.

4. Защита от внешних воздействий: ИТЗ должна учитывать воздействие различных факторов среды на объект или предприятие. Это может включать защиту от погодных условий, природных катастроф, вандализма, террористических актов и других внешних угроз.

5. Системы контроля и автоматики: ИТЗ может включать использование систем контроля и управления для наблюдения, регулирования и автоматизации различных процессов и систем. Это позволяет оперативно реагировать на изменяющиеся условия и минимизировать человеческий фактор в функционировании объекта или предприятия. [7]

Несанкционированный доступ -- доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по функциональному предназначению и техническим характеристикам.

Существуют различные средства пассивного противодействия несанкционированному доступу к информации в юридической компании. Некоторые из них включают:

1. Фильтры контента: это программное обеспечение или аппаратные устройства, которые сканируют информацию и блокируют запрещенный или нежелательный контент. Они могут быть установлены на компьютерах или встроены в сетевое оборудование, такое как маршрутизаторы.

2. Фильтры спама: они помогают обнаруживать и блокировать нежелательные электронные письма, которые могут содержать вредоносные ссылки или вирусы. Фильтры спама могут быть установлены на сервере электронной почты или на самом компьютере.

3. Брэндмауэры: это программное или аппаратное оборудование, которое контролирует и ограничивает доступ к определенным ресурсам или информации, блокирует нежелательный трафик и защищает сеть от внешних атак

4. Прокси-серверы: они действуют как посредники между клиентом и сервером, фильтруя и блокируя нежелательные запросы или информацию. Прокси-серверы могут быть настроены на уровне компьютера, сети или провайдера интернета.

5. Блокировка доменов и URL-адресов: это метод, в котором определенные домены или URL-адреса блокируются, чтобы предотвратить доступ к определенным веб-сайтам или страницам с нежелательным контентом.

6. Расширения и плагины для браузера: многие браузеры предлагают дополнения, которые помогают блокировать нежелательную рекламу, попапы, трекеры или другую нежелательную информацию. Эти расширения и плагины могут быть установлены пользователем и настроены в соответствии с его предпочтениями.

7. Ограничение доступа и права пользователей: администраторы сетей могут устанавливать ограничения на доступ к определенным сайтам, приложениям или категориям информации для определенных пользователей или групп пользователей.

8. Физическая безопасность: Обеспечение физической безопасности помещений офиса аналитических компаний путем установки систем контроля доступа, видеонаблюдения, механических и электронных замков. Защита серверных комнат и хранилищ данных с применением физических барьеров и контроля доступа.

9. Шифрование данных: Использование шифрования для защиты конфиденциальной информации. Шифрование данных помогает обеспечить конфиденциальность информации, как в пути, так и в хранилище данных.

10. Аутентификация и управление доступом: Внедрение многофакторной аутентификации для повышения безопасности доступа к информационным системам. Ограничение доступа к конфиденциальной информации только авторизованным сотрудникам с помощью управления правами доступа и ролевой модели.

11. Регулярное обновление ПО и систем безопасности: Своевременное обновление операционных систем, программного обеспечения и систем защиты от вредоносного ПО для поддержания высокого уровня безопасности системы.

12. Обучение сотрудников: Прохождение обучения и разъяснение мер безопасности информации для сотрудников офиса аналитической компании, включая принципы конфиденциальности, осведомленность о социальной инженерии и правила использования информационных систем.

13. Аудит систем безопасности: Регулярное проведение аудитов и проверок систем безопасности для обнаружения и устранения потенциальных уязвимостей в информационных системах. [6]

Система инженерно-технической защиты (СИТЗ) юридической компании играет важную роль в обеспечении безопасности персонала, и материальных ценностей. Вот несколько основных аспектов, которые следует учесть при разработке такой системы:

1. Охранно-пожарная сигнализация (ОПС): Установка ОПС позволяет своевременно обнаружить и сигнализировать о пожаре или иных аварийных ситуациях. Она должна включать датчики дыма, тепла, датчики протечки воды, пожарные вызовные кнопки и систему оповещения.

2. Видеонаблюдение: Установка системы видеонаблюдения позволяет контролировать помещения и обнаруживать незаконные действия или проникновение посторонних лиц. Камеры наблюдения следует размещать в зонах с высоким риском, таких как входы, коридоры, аптеки и склады.

3. Контроль доступа: Система контроля доступа ограничивает доступ к определенным зонам юридической компании только авторизованному персоналу. Это может быть осуществлено с помощью электронных ключей, биометрических систем и карточек доступа.

4. Безопасность сети: Обеспечение безопасности компьютерной сети и защита информации являются критическими аспектами защиты юридической компании. Важно регулярно обновлять программное обеспечение, использовать сильные пароли, установить брандмауэры и защищенные сетевые точки доступа.

5. Системы оповещения и эвакуации: юридическая компания должно иметь систему оповещения и эвакуации в случае чрезвычайных ситуаций, таких как пожар, природные катастрофы или террористические акты. Эта система должна быть надежной и эффективной, чтобы обеспечить безопасность всех присутствующих.

6. Защита от электрических сбоев: Установка системы бесперебойного питания (ИБП) позволяет предотвратить потерю электроэнергии и сохранить работоспособность критически важного оборудования. Также необходимо обеспечить заземление оборудования, чтобы предотвратить повреждение от статического электричества или перенапряжения.

7. Бережливость ресурсов: Эффективное использование энергии и воды также является важным элементом системы инженерно-технической защиты. Использование энергоэффективного оборудования, такого как энергосберегающие лампы и кондиционеры, а также системы сбора и переработки воды помогут снизить потребление. [5]

Это лишь некоторые основы системы инженерно-технической защиты в юридической компании. Рекомендуется провести более подробный анализ и проконсультироваться со специалистами в этой области, чтобы разработать подходящую систему для определённого офисного помещения аналитической компании.

Требования системы инженерно-технической защиты в юридической компании могут включать следующие аспекты:

1. Электробезопасность:

- Установка надежной сети заземления и регулярная проверка ее состояния.

- Проведение регулярной проверки и обслуживания электрооборудования.

- Использование надежных устройств защитного отключения при возникновении нештатных ситуаций.

2. Пожарная безопасность:

- Установка системы пожарной сигнализации и автоматического пожаротушения.

- Выполнение требований по пожарной безопасности при размещении оборудования и проведении работ в помещениях.

- Обучение персонала аналитической компании правилам пожарной безопасности и регулярная проверка их знаний.

3. Системы вентиляции и кондиционирования воздуха:

- Предоставление достаточного объема свежего воздуха и поддержание оптимальной температуры и влажности в помещениях.

- Регулярное обслуживание и чистка системы вентиляции и кондиционирования воздуха для предотвращения распространения бактерий.

4. Защита от несанкционированного доступа:

- Установка системы видеонаблюдения.

- Введение системы контроля доступа и ограничения зоны доступа к особо конфиденциальной информации.

- Проведение регулярных инструктажей персонала по правилам безопасности и защите от несанкционированного доступа.

Точные требования системы инженерно-технической защиты в юридической компании могут различаться в зависимости от масштаба и специфики офиса, а также от требований законодательства и регуляторных органов в данной стране.

Цели и задачи системы инженерно-технической защиты (СИТЗ) в юридической компании связаны со следующими требованиями:

1. Безопасность персонала и сотрудников: Главная цель СИТЗ - обеспечить безопасность персонала в юридической компании. Это может включать предотвращение несанкционированного доступа, обнаружение и предупреждение пожаров и аварийных ситуаций, контроль за входами и выходами, а также системы оповещения и эвакуации при чрезвычайных ситуациях.

2. Защита инфраструктуры и материальных ценностей: СИТЗ также направлена на защиту материальных ценностей юридической компании, таких как оборудование, лекарства, документы и финансовые ресурсы. Это включает установку систем видеонаблюдения, контроль доступа, определение и контроль зон высокого риска, а также меры по предотвращению кражи и вандализма.

3. Бесперебойность работы: Важным требованием СИТЗ является обеспечение бесперебойности работы юридического помещения. Это достигается через использование систем бесперебойного питания (ИБП) и сетевой инфраструктуры, контроль и регулярное обслуживание технических систем, а также меры по предотвращению аварий и сбоев.

4. Соответствие нормам и стандартам: СИТЗ должна соответствовать применимым нормам и стандартам безопасности и защиты. Это может включать аналитические и строительные нормы, нормы пожарной безопасности, нормы защиты данных и конфиденциальности сотрудников, клиентов, а также другие правовые и регуляторные требования.

5. Экономическая эффективность: Разработка и внедрение СИТЗ должны быть экономически эффективными, учитывая ограниченность финансовых ресурсов учреждения. Это включает анализ рисков, оптимизацию затрат, выбор наиболее подходящих технических решений и использование энергосберегающих технологий

Комбинация этих требований, целей и задач СИТЗ обеспечивает комплексную защиту юридической компании, улучшает безопасность персонала и сотрудников, а также обеспечивает бесперебойную и эффективную работу офиса компании.

Цели системы инженерно-технической защиты юридической компании могут включать:

1. Защита сотрудников и персонала: Главная цель системы инженерно-технической защиты - обеспечение безопасной и безаварийной работы офисного помещения юридической компании. Она должна защищать клиентов, их конфиденциальность и права, а также обеспечивать безопасность персонала.

2. Защита офисного оборудования: Офисное оборудование юридической компании является основой, поэтому его целостность и функциональность должны быть обеспечены. Задача системы инженерно-технической защиты включает в себя мониторинг состояния оборудования, предотвращение сбоев и неисправностей, а также обеспечение своевременного обслуживания и ремонта.

3. Защита от внешних воздействий: юридическая компании может быть подвержена различным внешним угрозам, таким как пожары, наводнения, кражи и незаконный доступ. Задачей системы инженерно-технической защиты является минимизация рисков и предотвращение возможных угроз и воздействий, обеспечивая безопасность офисного помещения юридической компании и его окружающей территории.

4. Соблюдение норм и стандартов: юридическая компания должна соответствовать определенным нормам и стандартам, установленным регулирующими органами. Задача системы инженерно-технической защиты заключается в обеспечении соответствия офиса юридической компаниии всем требованиям по безопасности, эффективности и качеству оказываемых услуг.

5. Оптимизация процессов и ресурсов: Система инженерно-технической защиты должна также способствовать оптимизации процессов и ресурсов в юридической компании. Это включает в себя рациональное использование энергии и воды, эффективное управление инфраструктурой, автоматизацию рутинных задач и так далее. [2]

1.2 Нормативно-правовое регулирование и эксплуатация инженерно-технической защиты

Нормативно-правовое регулирование эксплуатации инженерно-технической защиты в юридической компании является важным аспектом для обеспечения безопасности информационных и технических ресурсов.

В рамках данных законов и нормативных актов, юридическая компания должна разработать и реализовать свою политику по защите информации. В этой политике должны быть определены меры по защите информации, включая инженерно-технические средства, такие как системы видеонаблюдения, пропускные системы, системы контроля доступа и другие.

Эксплуатация инженерно-технической защиты в юридической компании должна быть организована в соответствии с требованиями указанных законов и нормативных актов. Важно своевременно обслуживать и обновлять все инженерно-технические средства, проводить регулярные проверки и тестирования и обеспечивать их надлежащую работу. Также необходимо обучать персонал компании правилам использования и обслуживания данных инженерно-технических средств.

В целом, нормативно-правовое регулирование и эксплуатация инженерно-технической защиты в юридической компании помогают минимизировать риски инцидентов безопасности и обеспечивают сохранность информации и технических ресурсов компании.

Нормативные документы, законы, стандарты для офиса аналитической компании:

1. Конституция Российской Федерации: определяет основные права и свободы граждан, включая право на защиту информации и персональных данных.

2. Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации”: устанавливает общие принципы регулирования отношений в области информации и информационных технологий, а также определяет права и обязанности субъектов, осуществляющих деятельность в этой сфере.

3. Федеральный закон от 07.02.1992 № 2300-1 “О защите прав потребителей”: регулирует отношения между потребителями и изготовителями, исполнителями, продавцами, устанавливает права потребителей на получение необходимой и достоверной информации о товарах, работах, услугах

4. Федеральный закон от 10.01.2002 № 1-ФЗ “Об электронной цифровой подписи”: регулирует отношения в области использования электронных цифровых подписей для идентификации участников электронного взаимодействия.

5. Федеральный закон от 31.05.2018 № 122-ФЗ “О государственной регистрации недвижимости”: регулирует вопросы регистрации прав на недвижимое имущество.

6. Закон "О техническом регулировании и о применении продукции" - определяет основные требования к безопасности продукции.

7. Закон "О государственном контроле и надзоре за обеспечением безопасности объектов повышенной опасности" - регулирует правила проведения выездных проверок и контроля объектов повышенной опасности.

8. Положение о безопасности технически сложных объектов - устанавливает требования к безопасности внутри организации, а также определяет порядок проведения экспертизы технического уровня и безопасности объектов.

9. Стандарты ГОСТ Р - устанавливают требования к качеству, безопасности и испытаниям различных видов техники, оборудования и материалов.

10. Охранно-пожарные нормы и правила (ОПН) - регламентируют требования к обеспечению пожарной безопасности и проведению пожарно-технического минимума.

11. Санитарные нормы и правила (СНиП) - устанавливают требования к условиям работы и безопасности рабочих мест.

12. Инструкции по охране труда - определяют правила и требования к безопасности работников при выполнении определенных видов работ.

13. Национальные и международные стандарты безопасности - используются в зависимости от специфики деятельности компании и требований клиентов.

Кроме указанных выше нормативных документов, при анализе инженерно-технической безопасности в юридической компании также могут быть применены следующие ГОСТы и нормы:

1. ГОСТ Р ИСО/МЭК 27001-2006 “Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования”.

2. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 “Безопасность информационных технологий. Управление рисками. Часть 3. Методология оценки риска”.

3. ГОСТ Р 53114-2008 “Защита информации. Обеспечение информационной безопасности в организации. Основные положения”.

4. ГОСТ Р 51583-2014 “Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения”.

5. ГОСТ 34.201-89 “Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем”.

6. ГОСТ Р ИСО/МЭК 31000-2018 "Управление рисками. Руководство".

7. ГОСТ Р 12.0.003-2014 "Система управления безопасностью труда. Основные положения"

8. ГОСТ Р 56877-2016 Руководство по оказанию правовой помощи потребителям.

Настоящий стандарт устанавливает единый порядок оказания потребителям правовой помощи в виде предоставления юридических консультаций, составления для них претензий, жалоб, исковых заявлений и иных юридических документов, представления интересов потребителей, в том числе в судах, в целях досудебной и судебной защиты их прав и законных интересов, осуществляемой органами государственной власти и местного самоуправления, общественными объединениями потребителей и иными организациями, осуществляющими правовую помощь потребителям, как безвозмездно, так и за плату.

9. ГОСТ Р ИСО 9001-2015 "Системы менеджмента качества. Требования";

Нормативные документы, законы, стандарты для офиса юридической компании:

Можно дополнить, что в юридической компании нормативную базу по управлению национальной системой документирования определяют следующие нормативные акты, ГОСТы и законы:

1. Закон Российской Федерации "О государственной регистрации юридических лиц"

2. Закон Российской Федерации "Об архивном деле в Российской Федерации"

3. Закон Российской Федерации "О защите персональных данных"

4. Закон Российской Федерации "Об информации, информационных технологиях и о защите информации"

5. "ГОСТ Р 7.0.97-2016. Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов

Настоящий стандарт распространяется на организационно-распорядительные документы: уставы, положения, правила, инструкции, регламенты, постановления, распоряжения, приказы, решения, протоколы, договоры, акты, письма, справки и др. (далее - документы), в том числе включенные в ОК 011-93 "Общероссийский классификатор управленческой документации" (ОКУД), класс 0200000.

6. Приказ Минкомсвязи России от 23 марта 2017 г. № 130 "Об утверждении требований к порядку формирования, ведения и использования единой системы классификации и кодирования документов и дел в органах исполнительной власти Российской Федерации, органах местного самоуправления, их виде исключения.

Это основные нормативные документов и рекомендаций, которые влияют на процессы аналитики в разных сферах. Важно учитывать и следовать соответствующим документам и рекомендациям, чтобы обеспечить качество и надежность юридических данных и результатов.

1.3 Анализ инженерно-технической безопасности объекта

Целью данного анализа является оценка инженерно-технической безопасности в юридической компании. Инженерно-техническая безопасность - это область, связанная с оценкой и управлением рисками, связанными с использованием различных технических систем и оборудования. В юридической компании безопасность играет важную роль, поскольку она напрямую влияет на охрану персонала и сотрудников офиса.

Юридическая компания «ООО» Заря находиться в городе Красноярск. Объект на расположен по адресу улица Красной армии. Юридическая компания “Заря” - это одна из лидирующих компаний в сфере предоставления юридических услуг. Основана в 2015 году и с тех пор успешно предоставляет услуги физическим и юридическим лицам. Основными направлениями деятельности юридической компании Заря является:

1. Консультации по юридическим вопросам - предоставление юридической помощи по различным аспектам гражданского, корпоративного, трудового, семейного и других отраслей права.

2. Сопровождение сделок с недвижимостью - юридическая экспертиза документов, проверка чистоты сделки, представительство интересов клиентов при заключении сделок с недвижимостью.

3. Регистрация и ликвидация юридических лиц - помощь в регистрации и ликвидации компаний, внесении изменений в учредительные документы, открытии филиалов и представительств.

В Юридической компании “Заря” работает более 15 профессионалов своего дела.

Рисунок 2 Организационная структуры юридической компании

Во главе компании находится директор, который принимает стратегические решения и определяет курс развития компании. Юридическая компания также имеет отделы для выполнения специализированных функций. Некоторые из них могут включать отделы такие как, отделы финансов.

Также есть в юридической компании отдел безопасности, который отвечает за разработку и поддержку информационных систем и оказание технической поддержки компании. Юридическая компания также имеет административный персонал, который обеспечивает правильное функционирование компании. К административному персоналу могут относиться, секретари, кадровики и сотрудники по обслуживанию клиентов, юристы.



Рисунок 3 План первого этажа юридической компании

На первом этаже в юридический компании находиться главные кабинеты данного предприятия такие как: кабинет директора где храниться важная информация юридической компании, секретарь, юридический отдел, бухгалтерия где храниться денежная информация, отдел кадров где храниться информация о каждом сотрудники данной компании и отдел по работе с клиентами где проходят большинство, встреч с людьми которые обращаться с разными видами работы в данную компанию, а также место для санузла.



Рисунок 4 План второго этажа юридической компании

Второй этаж юридической компании содержит важную конфиденциальную информации данного объекта. На втором этаже находиться хранилище, для документов которое хранит информация о данном объекте, а также документы по работе с каждым клиентом, который обращался в юридическую компанию для оказания разных услуг. Также находиться кабинет безопасности самый главный кабинет данного объекта, который следит за всем объектом.

Таблица 1

Содержание и местоположение защищаемых ресурсов

Объект защиты	Место расположения
Персонал, клиенты	Основное здание и территория вокруг здания (неприлегающая к ней территория)
Здания, сооружения	Территория юридической компании
Конфиденциальная информация	База данных клиентов и персонала
Носители конфиденциальной информации: документы, содержание пдн, служебную и коммерческую информацию	Персонал, данные находящиеся на рабочих местах (в базе компьютера)
Оборудование	Находится на всех рабочих местах юридической компании
Финансовые ценности	Хранилище и кабинет обслуживания юридических лиц

При анализе инженерно-технической безопасности объекта нужно определить категории контролируемых зон в здании юридической компании.

Таблица 2

Контролируемые зоны

Категория	Наименование зоны	Функциональное название объекта	Условия доступа сотрудников	Условия доступа	Наличие охраны
1	Свободная	Внешняя территория юридической компании	Свободный	Свободный	Нет
2	Наблюдаемая	Внутренняя территория юридической компании	Свободный	Удостоверение личности персонала	Есть
3	Усиленной защиты	Информационный отдел, ИБ, Кабинет директора юридической компании	По разрешению директора	Запрещено	Усиленная охрана
4	Высшей защиты	Свободный	По специальным идентификационным картам объекта (ограниченный)	Запрещено	Усиленная охрана



Рисунок 5 Категория зон первого этажа юридической компании

На первом этаже имеют высокий уровень защиты такие места как: кабинет директора, отдел кадров и отдел работы с клиентами

Рисунок 6 Категория зон второго этажа юридической компании

На втором этаже также имеется высокий уровень защиты таких мест как: хранилище для документов и отдел безопасности.

Таблица 3

Характеристика технической укрупнённости объект

Наименование параметра	Данные
Площадь, кв.м	150 кв.м
Высота потолка, м.	4 м.
Толщина стен: наружных, внутренних, м.	0,8 и 1,3 м
Окна: количество, размер	15, 200Ч300 см
Двери: размер проема, тип замков	150*200см Врезные
Описание смежных помещений: Сверху, сбоку слева, сбоку справа, снизу	Кабинет руководителя, хранилище, кабинет Начальника юридической компании
Система электропитания (освещение): тип светильников и их количество	Светодиодные светильники, кол- во светильников 65 штук.
Система заземления	Подсистема заземления EZ-4.8
Система сигнализации	Охранно-пожарная, Видеокамеры,
Система вентиляции	Комбинированная
Наличие экранов на батареях	Нет

При проведении анализа инженерно-технической защиты здания юридической компании необходимо провести анализ месторасположения объекта, какие объекты находятся в ближайшем окружении.

Юридическая компания «ООО» Заря находиться в городе Красноярск. Объект на расположен по адресу улица Красной армии. Возле объекта находиться жилые здания, торговый центр, больница и банк. Также возле объекта находиться проезжая зона так как вокруг данного объекта находиться большое скопление людей так как объекты вокруг данной компании собирают в себе большое скопление людей.



Рисунок 7 Местоположение офиса юридической компании

Таблица 4

Местоположение объекта

Пространственная характеристика помещения	Функциональная, конструктивная и техническая характеристика помещения
Этаж	2 этажа	Площадь, м2	175 кв/м2
Количество окон, тип сигнализации наличие штор на окнах	Кол-во окон: 15 штук. Тип сигнализации: Магнито-контактные На окнах установлены жалюзи	Куда выходят окна?	Улица Красной армии
Двери, кол-во одинарные	Двери: 9 штук	Куда выходят двери?	Коридор, холл, хранилище
Соседние помещения, названия, толщина стен	Рядом с офисом юридической компании находятся жилые здания, банк, торговый центр, больница толщина стен 1 метр.

Для проведения качественного инженерно-технического анализа объекта защиты необходимо проанализировать защищаемую информацию и провести ее структурирование.



Таблица 5

Анализ и структурирование защищаемой информации

Наименование элемента информации	Категория информации	Источники информации	Вид носителя информации	Местонахождение информации
Структура предприятия	Для служебного пользования	Документы, сотрудники, директор,	Электронный (Жесткий диск)	Сейф в кабинете директора
Личные данные сотрудников	Для служебного пользования	Сотрудники, директор, электронные системы	Электронная система БД. (Жесткий диск)	Сейф в хранилище
Финансовые документы	Для служебного пользования	Сотрудники, директор, электронные системы	Электронная система БД. (Жесткий диск)	Сейф в хранилище
Приказы по организации	Для служебного пользования	Бумажные носители, электронные носители, сотрудники, директор, речевая информация	Электронные носители, бумажные носители.	Сейф в кабинете директора, а также в системе.

Таблица 6

Анализ пожаростойкости и взрывостойкости здания

Информативный признак категории	Категория исследуемого объекта
По функционально-отраслевой принадлежности	Юридическая организация организация
По виду возможного ущерба	Физический, финансовый, репутационный
По масштабу возможного ущерба	При пожаре, катастрофе, кибератаки, внешних угроз - это может достичь колоссального ущерба для здания аналитической компании носителях.



Рисунок 8 Изначальная система ИТЗИ первого этажа юридической компании

Рисунок 9 Изначальная система ИТЗИ второго этажа юридической компании

Анализ инженерно-технической безопасности в юридической компании, как правило, выполняется с учетом следующих нормативных документов, законов и стандартов:

1. Анализ физической безопасности

Первым шагом в анализе инженерно-технической безопасности юридической компании является оценка его физической безопасности.

Это включает в себя проверку наличия систем видеонаблюдения, контроля доступа, аварийной сигнализации, пожаротушения и других средств защиты.

В анализе инженерно-технической физической безопасности объекта следует учитывать следующие аспекты:

1. Физическая защита здания и территории: необходимо оценить состояние здания, защищен ли оно от несанкционированного проникновения, наличие ограждения, видеонаблюдения, контроля доступа и других систем безопасности.

2. Система пожарной безопасности: анализируется наличие и состояние пожарной сигнализации, огнетушителей, пожарных выходов, осуществляется проверка системы дымоудаления и эвакуационных планов.

3. Электробезопасность: обеспечение безопасности работы с электроустановками, наличие и исправность заземления, защитных устройств от электрического удара.

4. Системы безопасности информационных технологий: проверяется наличие и защищенность информационных систем, контроль доступа к информации, системы резервного копирования данных и прочие меры, обеспечивающие защиту конфиденциальности информации.

5. Безопасность персонала: оценивается система пропускного режима, процедуры обучения сотрудников правилам безопасности, контроль доступа сотрудников и посетителей в здание, безопасное обращение с конфиденциальными документами.

6. Защита от внешних угроз: анализируется наличие систем видеонаблюдения, контроля доступа, оценивается уровень защиты от несанкционированного проникновения, разработка плана действий в случае чрезвычайных ситуаций.

7. Система контроля доступа и пропускного режима: оценивается наличие и состояние системы контроля доступа, процедуры и правила пропускного режима, обеспечение безопасности при проходе посторонних лиц на территорию объекта. [4]

2. Анализ информационной безопасности [3]

Важным аспектом безопасности в юридических компаниях является защита информации о клиентах. В этом разделе анализируются меры, принятые для защиты данных от несанкционированного доступа, хищения или повреждения. Это включает проверку соответствия систем защиты данных современным требованиям по безопасности информации.

При анализе инженерно-технической информационной безопасности следует учитывать следующие аспекты:

1. Защита конфиденциальной информации: Юридические компании обрабатывают большое количество конфиденциальных данных своих клиентов. Поэтому важно принимать меры для защиты этой информации от несанкционированного доступа или утечки.

2. Защита систем и сетей: Юридические компании используют компьютерные системы и сети для обмена информацией и хранения данных. Эти системы должны быть защищены от вирусов, хакерских атак и других угроз.

3. Обучение и осведомленность сотрудников: Сотрудники юридической компании должны быть обучены основам информационной безопасности и осведомлены о наиболее распространенных угрозах. Обучение сотрудников поможет предотвратить ошибки и повысить уровень безопасности.

4. Резервное копирование данных: Важно регулярно создавать резервные копии данных и хранить их на безопасном месте. Это позволит быстро восстановить данные в случае их потери или повреждения.

5. Внутренний аудит безопасности: Регулярно проводить аудиты безопасности, чтобы выявить потенциальные уязвимости и проблемы. Это поможет идентифицировать слабые места в системе и предпринять меры по их устранению.

6. Соблюдение законодательства: Юридические компании также должны соблюдать соответствующее законодательство в области защиты данных и информационной безопасности. Это включает в себя соблюдение требований по защите персональных данных клиентов.

7. Сотрудничество со специалистами по информационной безопасности: Рекомендуется сотрудничать со специалистами по информационной безопасности, которые помогут провести анализ уязвимостей, разработать и реализовать меры по улучшению безопасности в компании.

8. Обновление и поддержка программного обеспечения: Регулярно обновлять используемое программное обеспечение и операционные системы, чтобы исправить известные уязвимости и получать последние исправления безопасности.

9. Мониторинг и обнаружение инцидентов: Важно вести мониторинг сетей и систем на предмет обнаружения потенциальных инцидентов или необычной активности, чтобы реагировать на них вовремя и минимизировать возможные угрозы.

3. Анализ электробезопасности

Оценка электробезопасности гарантирует, что электрические системы и оборудование в юридической компании соответствуют стандартам безопасности и предотвращают возможные аварии. В этом разделе анализируются меры по защите от электрошоков, пожаров и других происшествий, вызванных электрическим оборудованием.

При анализе инженерно-технической электробезопасности следует учитывать следующие аспекты:

1. Соблюдение нормативных требований: при анализе электробезопасности необходимо учитывать соответствие компании требованиям законодательства, нормативных документов и стандартов.

2. Оценка рисков: необходимо проанализировать потенциальные опасности и риски, возникающие в процессе работы с электрическими устройствами и оборудованием

3. Идентификация опасных зон: следует выделить зоны, где существует повышенный риск получения электрического удара или иных травм в результате неправильного использования или обслуживания электрического оборудования.

4. Обучение персонала: необходимо обеспечить обучение сотрудников компании правилам безопасной эксплуатации электрооборудования, действиям в случае аварийных ситуаций, мерам первой помощи и т.д.

5. Проведение проверок и аудитов: регулярные проверки электрооборудования и систем безопасности помогут выявить возможные неполадки, нарушения или недостатки, требующие немедленной исправления.

4. Анализ пожарной безопасности [5]

Пожарная безопасность является критическим аспектом безопасности в любой юридической компании. В данном разделе анализируются системы определения и тушения пожаров, наличие аварийных выходов, план эвакуации и обучение персонала по пожарной безопасности.

При анализе инженерно-технической пожарной безопасности следует учитывать следующие аспекты:

1. Законодательство и нормативные акты: необходимо изучить действующие законы и нормы, регулирующие пожарную безопасность, а также ознакомиться с указаниями и инструкциями по пожарной безопасности, выданными компетентными органами.

2. Анализ зданий и помещений: следует оценить пожарную безопасность здания компании и ее отдельных помещений, учитывая такие факторы, как наличие пожарораспространяющих конструкций, системы пожаротушения, условия пожароопасности и т.д.

3. Расчет пожарной нагрузки: необходимо определить количество горючих материалов и источников возгорания в компании, а также провести расчет пожарной нагрузки для определения необходимых мер по предотвращению и тушению пожаров.

4. Организация эвакуации и аварийного выхода: важно разработать планы эвакуации и установить соответствующие указатели и выходы для обеспечения быстрой и безопасной эвакуации сотрудников в случае пожара.

5. Обучение и тренировки: необходимо провести обучение сотрудников компании правилам пожарной безопасности, а также проводить регулярные тренировки по эвакуации и пользованию средствами пожаротушения.

6. Создание системы контроля и мониторинга: следует установить систему контроля и мониторинга пожарной безопасности, включающую проверку работоспособности систем пожаротушения, контроль горючих воспламеняющихся материалов и т.д.

5. Анализ безопасности водоснабжения и водоотведения

В этом разделе анализируются системы водоснабжения и водоотведения в юридической компании. Выявляются потенциальные риски от загрязнения воды, оцениваются системы очистки воды и обслуживание водопроводной инфраструктуры.

При анализе инженерно-технической безопасности систем водоснабжения и водоотведения следует учитывать следующие аспекты:

1. Соответствие системы требованиям нормативно-технической документации. Необходимо проверить, что все компоненты системы соответствуют действующим нормам и стандартам безопасности.

2. Правильность проектирования системы. Необходимо убедиться, что система водоснабжения и водоотведения была проектирована с учетом всех необходимых технических и безопасностных требований.

3. Качество материалов и оборудования. Необходимо проверить, что используемые материалы и оборудование соответствуют требованиям безопасности и не имеют дефектов, которые могут привести к авариям или ухудшению качества водоснабжения и водоотведения.

4. Эффективность системы. Необходимо оценить эффективность работы системы водоснабжения и водоотведения в компании, ее производительность и возможность обеспечения нужного объема и качества воды для всех пользователей.

5. Системы контроля и предотвращения аварий. Необходимо проверить наличие и правильность работы систем контроля и предотвращения аварий, таких как датчики утечки, автоматические клапаны, системы аварийного отключения, и др.

6. Обучение персонала. Необходимо убедиться, что персонал юридической компании обучен не только работе с системой водоснабжения и водоотведения, но и техникам безопасности, включая правила пожарной безопасности и процедуры действий при аварийных ситуациях.

7. Регулярный технический осмотр и обслуживание. Необходимо проводить регулярные технические осмотры и обслуживание системы водоснабжения и водоотведения, включая проверку состояния оборудования, чистку и ремонт, а также обновление системы при необходимости.

8. Законодательные требования и нормативы. Необходимо учитывать все действующие законодательные и нормативные требования в области инженерно-технической безопасности систем водоснабжения и водоотведения.

6. Анализ безопасности строений

Важным аспектом безопасности юридической компании является состояние зданий, в которых оно расположено. Анализируются системы дымоудаления, состояние кровли, фундамента, окон и дверей.

При анализе инженерно-технической безопасности строений следует

1. Инженерно-технические нормы и стандарты: необходимо ознакомиться с действующими нормативными документами, которые регулируют требования к безопасности строений. Это может быть ГОСТ, СНиП, инструкции и технические указания.

2. Проектирование и строительство: следует изучить проектные и строительные документы, чтобы убедиться, что все меры безопасности были учтены при разработке и реализации проекта. Проверить наличие необходимых разрешительных документов на строительство.

3. Земельные и правовые вопросы: оценить геологические и геодезические исследования, проведенные на участке под строительство, чтобы убедиться, что нет геологических рисков. Также необходимо проверить наличие правоустанавливающих документов на использование земельного участка.

4. Эксплуатационные аспекты: проанализировать техническое состояние строений, наличие технического обслуживания и ремонтных работ, а также наличие необходимого оборудования и средств для обеспечения безопасности.

5. Оценка рисков и управление безопасностью: провести оценку возможных рисков, связанных с условиями эксплуатации строений, погодными условиями, стихийными бедствиями и т.д. Разработать систему управления безопасностью, включающую планы предотвращения и реагирования на чрезвычайные ситуации.