47343

Разработка системы защиты ИСПДн СКУД ОАО «ММЗ» с использованием биометрических данных

Дипломная

Информатика, кибернетика и программирование

Под системой контроля и управлением доступа обычно понимают совокупность программно- технических и организационно-методических средств, с помощью которых решается задача контроля и управления помещением предприятия и отдельными помещениями, а также оперативный контроль за передвижением персонала и времени его нахождения на территории предприятия

Русский

2013-11-28

678 KB

106 чел.

Содержание

[1]
ВВЕДЕНИЕ

[2]
ПОСТАНОВКА ЗАДАЧИ

[3]
АНАЛИТИЧЕСКАЯ ЧАСТЬ

[4] Описание предприятия

[4.1] Система контроля и управления доступом

[4.2] Анализ обрабатываемой информации и классификация ИСПДн

[4.3] Классификация АС

[4.4] Модель нарушителя

[4.5] Возможные угрозы в ИСПДн

[5]
КОНСТРУКТОРСКАЯ ЧАСТЬ

[5.1] Техническое задание

[5.2] Организационные мероприятия по защите ПДн в ИСПДн СКУД ОАО «Марийский машиностроительный завод»

[5.3] Физические мероприятия по защите информации в ИСПДн

[5.4] Система охранно-пожарной сигнализации

[5.5] Биометрические идентификаторы с СКУД

[5.5.1] Обзор рынка биометрических считывателей.

[5.5.2] Выбор биометрического считывателя.

[5.6] Программно- аппаратные средства защиты ПДн в ИСПДн СКУД

[5.6.1] Обзор рынка программно- аппаратных средств защиты от НСД

[5.6.2] Выбор программно-аппаратного средства защиты от НСД

[5.6.3] Обзор рынка и выбор средства антивирусной защиты

[6]
ТЕХНОЛОГИЧЕСКАЯ ЧАСТЬ

[6.1] График выполнения работ

[6.2] Предварительные испытания биометрического считывателя

[7]
ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ

[7.1] Описание эффекта от внедрения системы защиты информации

[7.2] Расчет стоимости разработки системы защиты биометрических данных в ИСПДн СКУД ОАО «ММЗ».

[7.3] Расчет затрат на внедрение системы защиты биометрических данных в ИСПДн СКУД ОАО «ММЗ»

[7.4] Оценка текущих эксплуатационных затрат

[8]
БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ

[8.1] 6.1. Анализ вредных факторов при работе с ПЭВМ

[8.2] Анализ организации рабочего места администратора безопасности СКУД

[8.2.1] Анализ микроклимата

[8.2.2] Анализ освещенности рабочего места

[8.2.3] Анализ уровня напряженности электромагнитного поля

[8.2.4] Анализ электробезопасности

[8.2.5] Анализ чрезвычайных ситуаций

[8.2.6] Анализ уровня шума и вибраций

[8.3] Рекомендуемые мероприятия

[8.4] Расчет искусственного освещения

[8.5] Вывод

[9]
ЗАКЛЮЧЕНИЕ

[10]
СПИСОК ЛИТЕРАТУРЫ

[11] ПРИЛОЖЕНИЯ


Принятые сокращения

АПК – аппаратно-программный комплекс;

АРМ – автоматизированное рабочее место;

ВТСС – вспомогательные технические средства и системы;

ИСПДн – информационная система персональных данных;

ИП – идентификационный признак;

НДВ – недекларированные возможности;

НСД – несанкционированный доступ;

ОС – операционная система;

ОПС – охранно-пожарная сигнализация;

ОП – отпечаток пальца;

ПДн – персональные данные;

ПМВ – программно-математическое воздействие;

ПО - программное обеспечение;

ПЭВМ – персональная электронно- вычислительная машина;

ПЭМИН – побочные электромагнитные излучения и наводки;

РД – руководящий документ;

РФ – Российская Федерация;

СВТ – средства вычислительной техники;

СЗИ – система защиты информации;

СЗПДн – система (подсистема) зашиты персональных данных;

СКУД – система контроля и управления доступом;

ТСО – технические средства охраны;

УБПДн – угроза безопасности персональных данных;

ФЗ – федеральный закон;

ФСТЭК – федеральная служба по техническому экспорту и контролю.


ВВЕДЕНИЕ

Проблема создания быстрого и надежного способа аутентификации человека была и является одной из самых актуальных. Традиционные процедуры проверки соответствия осуществляются с помощью информации, которую знает человек (пароль), и/или физических компонентов (например, идентификационные брелоки или смарт-карты). При этом ввод пароля в общем случае является более медленной процедурой по сравнению с установлением личности по смарт-карте. Кроме того, пароль при определенном стечении обстоятельств может стать известным посторонним лицам, а также может быть угадан злоумышленником в случае его простоты, или наоборот, забыт зарегистрированным пользователем в случае его чрезмерной сложности и/или длины. Физические компоненты, в свою очередь, могут быть украдены, утеряны, также существует вероятность создания злоумышленником дубликата. Применение строгой двухфакторной аутентификации (т.е. одновременное использование знаний и вещей в процедуре проверки) в данном случае не полностью решает проблему компрометации.

Идентификация человека по его биометрическим параметрам имеет очевидное преимущество по сравнению с традиционным методами Использование биометрии для аутентификации личности имеет большую историю изучения и применения. Помимо усиления безопасности, биометрические системы аутентификации повышают удобство пользователя, устраняя необходимость генерировать и помнить пароли. Кроме того, биометрия - один из немногих методов, которые могут использоваться для отрицательного распознавания, когда система определяет, является ли человек тем, кем он отказывает себя признавать.

Нельзя забывать, что в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и подзаконных актов к нему, биометрические данные относятся к персональным данным, и на оператора систем обработки этих данных возлагается обязанность обеспечить их безопасность. Данный закон предусматривает решение ряда задач:

  •  предотвращение несанкционированного доступа к ПДн, их утечки и (или) передачи лицам, не имеющим права доступа к такой информации;
  •  недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
  •  обеспечение возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие действий нарушителей;
  •  осуществление контроля над обеспечением уровня защищенности ПДн.

Актуальность этих задач обусловлена двумя обстоятельствами.

Во-первых, ПДн представляют собой информацию ограниченного доступа. Такая информация становится персональными данными, когда находится не у лица, к которому относится, а у уполномоченных на то юридических и физических лиц. ПДн могут быть информацией, составляющей различные виды тайны, например, личную, семейную, врачебную, служебную и т. п. Характерно, что информация из разряда персональных данных может и не составлять личную или семейную тайну, если человек, к которому она относится, не считает нужным ее скрывать.

Во-вторых, сосредоточение больших объемов ПДн граждан в информационных системах, широкое использование сетевых технологий привели к вероятности их утечки, уничтожения или модификации, что может вызвать серьезные социальные последствия. Поэтому приходится предпринимать адекватные меры по защите ПДн, осуществлять государственное нормативное регулирование деятельности в этой области.

  1.  
    ПОСТАНОВКА ЗАДАЧИ

В СКУД ОАО «ММЗ» обрабатываются персональные данные, в том числе и биометрические данные. С учетом большой ценности данной информации, с учетом происходящих изменений в правовой области защиты информации необходимо обеспечить их безопасное хранение и обработку.

Задачей данного дипломного проекта является разработка системы защиты ИСПДн СКУД ОАО «ММЗ» с использованием биометрических данных, приведение его в соответствие с требованиями федеральных законов, законодательных актов, нормативно-методической документации в области защиты персональных данных.

  1.  
    АНАЛИТИЧЕСКАЯ ЧАСТЬ
    1.  Описание предприятия

Ордена Ленина Открытое акционерное общество "Марийский машиностроительный завод" является крупным предприятием республики Марий Эл, входящим в состав ОАО «Концерн ПВО „Алмаз-Антей“» (г. Москва). ОАО «ММЗ» является крупным многопрофильным предприятием, специализирующемся на выпуске сложных радиотехнических комплексов, систем управления, вычислительной техники, разнообразной приборной и машиностроительной продукции, поставляемой как по гособоронзаказу, так и на рынок гражданской продукции, в том числе на экспорт. Предприятие имеет современное оборудование, квалифицированных специалистов, значительный научно-технический потенциал. Продукция гражданского назначения отмечена дипломами и наградами на различных выставках и конкурсах, в том числе Дипломом Лауреата Всероссийского конкурса «100 лучших товаров России». ОАО «ММЗ» имеет лицензии на 45 видов деятельности, основными из которых является машиностроение и приборостроение.

В настоящее время численность работников предприятия составляет 4200 человек. Для прохода на территорию предприятия работников и посетителей оборудованы две проходные, для проезда транспорта – железнодорожные и автомобильные контрольно-пропускные пункты (КПП). Структурные подразделения предприятия, доступ в которые ограничен по режимным требованиям, оборудованы КПП. Проходные оборудованы системой контроля и управления доступом (СКУД), в которой сосредоточены и циркулируют персональные данные работников предприятия, командированных и посетителей.

Предприятие расположено в северо-восточной части города. В окружении имеются предприятия массового отдыха и торговые предприятия. Территория объекта в темное время суток освещается. Предприятие ограждено по периметру забором из железобетонных плит высотой 2.5 м, общей протяженностью 3000 м, стены некоторых зданий также являются частью ограждения, все здания на территории предприятия построены из кирпича и железобетона. Периметр территории, здания ОАО «ММЗ» оборудован системой охранного освещения, которая обеспечивает необходимые условия видимости ограждения территории и периметра здания. Режим работы объекта – круглосуточно. Охрана предприятия осуществляется отрядом охраны, имеющих несколько караулов, работающих посменно.

Открытое акционерное общество «Марийский машиностроительный завод» осуществляет свою деятельность в соответствии с законодательством Российской Федерации и Уставом ОАО «ММЗ». Общая структурная схема представлена в Приложении № 1.

Во главе ОАО «ММЗ» находится генеральный директор, в непосредственном подчинении которого три помощника, пять заместителей и служба главного инженера. Структурно ОАО «ММЗ» подразделяется на:

- 17 служб предприятия;

- цеха основного и вспомогательного производства;

- дочерние самостоятельные подразделения.

  1.  Система контроля и управления доступом

Под системой контроля и управлением доступа обычно понимают совокупность программно- технических и организационно-методических средств, с помощью которых решается задача контроля и управления помещением предприятия и отдельными помещениями, а также оперативный контроль за передвижением персонала и времени его нахождения на территории предприятия. Исполнительным устройством системы управления доступом может быть замок, электромеханическая защелка, турникет, шлагбаум, электронная проходная. СКУД может быть интегрирована в другие системы безопасности. Грамотная интеграция СКУД в систему видеонаблюдения позволяет полностью контролировать ситуацию на объекте. В случае возникновения чрезвычайной ситуации подобная охранная система позволяет быстро обнаружить нарушителя. Возможна интеграция СКУД в систему охранно-пожарной сигнализации, что позволяет разблокировать двери, турникеты, электронные проходные, включать сирену в случае пожара.

В соответствии с Руководящим документом 78.36.003-2002 «Инженерно-техническая укрепленность. Технические системы охраны. Требования и нормативы проектирования по защите объектов от преступных посягательств» Система контроля и управления доступом (СКУД) предназначена для:

• обеспечения санкционированного входа в здание и в зоны ограниченного доступа и выход из них путем идентификации личности по комбинации различных признаков: вещественный код (Виганда-карточки, ключи touch-memory и другие устройства), запоминаемый код (клавиатуры, кодонаборные панели и другие устройства), биометрические признаки (отпечатки пальцев, сетчатка глаз и другие признаки);

• предотвращения несанкционированного прохода в помещения и зоны ограниченного доступа объекта.

Система контроля и управления доступом ОАО «Марийского машиностроительного завода» построена на основе программно-аппаратного комплекса «Интеллект» российской компании ITV. В состав данной системы входят:

  •  контроллеры,
  •  персональные идентификаторы,
  •  cчитыватели персональных идентификаторов,
  •  исполнительные механизмы,
  •  автоматизированные рабочие места (АРМ),
  •  программное обеспечение, ведущее базу данных и производящее обработку поступающей информации.
  •  Локальная вычислительная сеть (ЛВС) СКУД

Посредством локальной вычислительной сети обеспечивается объединение автоматизированных рабочих мест (АРМ) и серверов.

ЛВС СКУД обеспечивает объединение АРМ и сервера для циркуляции информации между центральной проходной, проходной №2, бюро пропусков, серверной и корпусами предприятия. Связь обеспечивается через коммутаторы в корпусах с помощью оптоволоконного кабеля, между проходными, бюро пропусков, корпусами с помощью витой пары. ЛВС СКУД не связана с общей локальной сетью завода с целью повышения безопасности, нет выхода в интернет.

К автоматизированным рабочим местам относятся:

  •  АРМ администратора безопасности (одно рабочее место);

Необходим для настройки параметров системы и определения сценариев поведения систем в зависимости от возможных ситуаций. Также определяются права доступа к ресурсам системы операторов и пользователей и т.д. АРМ состоит из системного блока, монитора, клавиатуры, мыши, и источника бесперебойного питания.

  •  АРМ бюро пропусков (2 рабочих места);

Происходит работа с базой данных работающих, командированных и посетителей: оформление постоянных, временных и разовых пропусков, внесение и корректировка их персональных данных. Оснащается оборудованием по изготовлению пропусков: принтер, цифровая фотокамера.

  •  АРМы контролеров проходных (2 рабочих места – центральная заводская проходная, 1 рабочее место – вторая проходная);

Производится контроль прохода работающих через точки доступа проходных (заводских и цеховых). При этом контролером осуществляется фотоидентификации (сравнение с фотографией владельца пропуска, появляющейся из базы данных при считывании пропуска) персонала, проходящего через проходную. При отрицательном результате фотоидентификации проход персонала через проходную может быть заблокирован контролером АРМ.

  •  АРМ корпусов находятся в коммуникационных помещениях. (5 рабочих мест);

Производится контроль прохода с помощью контроллера. Также производится видеозапись. Видеоархив хранится на видеосерверах.

На АРМ установлена операционная система Windows XP Professional, Windows 7 Professional. На сервере установлена операционная система Microsoft Windows 2003 Server.

В состав СКУД, в соответствии с задачами дипломного проекта, должны входить биометрические идентификаторы. Они необходимы для упорядочения допуска людей в режимные помещения и позволяют достичь таких целей, как:

  •  Обеспечение санкционированного прохода сотрудников;
  •  Предотвращение бесконтрольного проникновения лиц, неимеющих разрешение на проход;

Выбор и внедрение биометрических идентификаторов описаны в конструкторской и технологической частях данного дипломного проекта.

Схема СКУД представлена в приложениях №2 и №3.

  1.  Анализ обрабатываемой информации и классификация ИСПДн

В СКУД циркулирует информация (идентификационный признак), на основе которой происходит идентификация пользователей СКУД. На основе федерального закона № 152-ФЗ «О персональных данных» данная информация относится к персональным данным. Под персональными данными сотрудников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника, а также сведения о фактах, событиях и обстоятельствах жизни сотрудника, позволяющие идентифицировать его личность. Необходимо отметить, что до внедрения биометрических идентификаторов, ИСПДн СКУД ОАО «ММЗ» классифицировалась по классу К3. Определим какая информация циркулирует в ИСПДн, включая биометрические данные. На основе этого проведем классификацию данной системы.

В соответствии с приказом от 13 февраля 2008 года «об утверждении порядка проведения классификации информационных систем персональных данных», персональные данные разделяются на четыре основные категории:

• категория 1 — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; •

• категория 2 — персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1;

• категория 3 — персональные данные, позволяющие идентифицировать субъекта персональных данных;

• категория 4 — обезличенные и (или) общедоступные персональные данные.

В ИСПДн СКУД ОАО «ММЗ» обрабатываются ПДн 2 категории:

- ФИО;

- паспортные данные;

- занимаемая должность;

- биометрические данные;

- фотография.

Для классификации ИСПДн СКУД ОАО «ММЗ», в соответствие с ФЗ № 152, кроме категории ПДн необходимо проанализировать следующие исходные данные:

• объём обрабатываемых ПД (количество субъектов, персональные данные которых обрабатываются в ИС);

• заданные владельцем информационной системы характеристики безопасности персональных данных, обрабатываемых в ИС;

• структура информационной системы;

• наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена;

• режим обработки ПД;

• режим разграничения прав доступа пользователей информационной системы;

• местонахождение технических средств ИС.

В ИСПДн СКУД ОАО «ММЗ» одновременно обрабатываются персональные данные около 5000 субъектов персональных данных, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. ИСПДн представляет собой комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа, не имеющий подключения к сетям международного информационного обмена. В ИСПДн используется многопользовательский режим обработки персональных данных с разграничением прав доступа. Следовательно, ИСПДн СКУД ОАО «ММЗ» можно присвоить класс К2.

Результат классификации ИСПДн представлен в Приложениях № 4 и 5.

  1.  Классификация АС

С целью повышения безопасности информации необходимо использовать комплексную защиту, которая включает в себя средства от НСД. Для того, что бы внедрить программно-аппаратные средства от НСД необходимо определить класс АС.

На основании руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» необходимыми исходными данными для проведения классификации конкретной АС являются:

- перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;

- перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;

- матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;

- режим обработки данных в АС.

В СКУД имеются различные категории пользователей и обслуживающего персонала, которые обладают разными полномочиями по доступу к АРМ, обрабатывающим ПДн.

Доступ к информационным ресурсам, содержащим ПДн, осуществляется сервер согласно таблице разграничения прав доступа для каждого пользователя. Нагляднее всего это демонстрирует матрица доступа (см. Приложение № 6).

Следовательно, автоматизированная система обработки конфиденциальной информации «Система контроля и управления доступом» является многопользовательской с разными правами доступа. На основании этого АС «СКУД» можно присвоить класс 1Г.

Результат классификации АС представлен в Приложении № 7.

  1.  Модель нарушителя

Модель нарушителя представляет собой некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе.

Определим нарушителей для ИСПДн СКУД ОАО «ММЗ» в соответствие с документом «Базовая модель угроз безопасности ПДн» от 15.02.2008года.

Нарушители по данному документу классифицируются на внешних и внутренних. Внутреннего нарушителя в свою очередь можно разделить на несколько групп:

  1.  Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступ к ПДн.
  2.  Зарегистрированный пользователь информационных ресурсов, имеющий ограниченные права доступа к ПДн ИСПДн с рабочего места
  3.  Пользователь информационных ресурсов, осуществляющие удаленный доступ к ПДн по ЛВС.
  4.  Зарегистрированный пользователь с полномочиями системного администратора ИСПДн.
  5.  Зарегистрированный пользователь с полномочиями администратора безопасности ИСПДн.
  6.  Программисты- разработчики прикладного ПО и лица, обеспечивающие его сопровождение в ИСПДн.
  7.  Программисты- разработчики прикладного ПО и лица, обеспечивающие поставку, сопровождение в ИСПДн.
  8.  Другие категории лиц в соответствии с оргштатной структурой ИСПДн.

Внешними нарушителями в нашей системе могут быть:

- криминальные структуры;

- внешние субъекты (физические лица);

- конкуренты (конкурирующие организации);

- недобросовестные партнеры.

К внутренним нарушителям ОАО «ММЗ» можно отнести: программистов, обслуживающих ПО СКУД «Интеллект»; работников бюро пропусков, которые непосредственно вводят ПДн в СКУД; работников охраны, имеющие доступ к ПДн на КПП, администратора сети, обслуживающий нормальное функционирование ЛВС; другие работники, имеющие доступ в КЗ, но не имеющие доступ к ПДн.

Определим к какой категории каждый нарушитель относится.

Работники, имеющие доступ в КЗ, но не имеющие доступ к ПДн. Данный нарушитель может производить съем информации с помощью ПЭМИН. Данного нарушителя не берем во внимание, так как предотвращение съема информации по ПЭМИН является темой отдельно дипломного проекта.

Охрана и администратор сети относятся к первой категории и имеют санкционированный доступ к ИСПДн, но не имеют доступа к ПДн.

Лицо этой категории, может:

  •  иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;
  •  располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
  •  располагать именами и вести выявление паролей зарегистрированных пользователей;

Работники бюро пропускного режима относятся ко второй категории. Это зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.

Лицо этой категории:

  •  обладает всеми возможностями лиц первой категории;
  •  знает, по меньшей мере, одно легальное имя доступа;
  •  обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
  •  располагает конфиденциальными данными, к которым имеет доступ.
  •  Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн должны регламентироваться соответствующими правилами разграничения доступа.

Программисты – пятая категория (зарегистрированные пользователи с полномочиями системного администратора ИСПДн).

Лицо этой категории:

  •  обладает всеми возможностями лиц предыдущих категорий;
  •  обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
  •  обладает полной информацией о технических средствах и конфигурации ИСПДн;
  •  имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
  •  обладает правами конфигурирования и административной настройки технических средств ИСПДн.

Системный администратор выполняет конфигурирование и управление программным обеспечением (ПО) и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД.

Из вышеизложенного следует, что нарушитель ИСПДн СКУД ОАО «ММЗ» относится к 5 категории.

  1.  Возможные угрозы в ИСПДн

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий  при их обработке в информационной системе персональных данных.

Существует методика по определению угроз информационной безопасности и построения частной модели угроз. Она описана в документе ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена 14 февраля 2008г. Актуальной считается только та угроза, которая может быть реализована с информационной системе и представляет опасность для защищаемых сведений. Поэтому в модели угроз опишем только те, которые относятся к нашей информационной системе и являются актуальными. Угрозы безопасности и определение их актуальности описаны в таблице 1.

Таблица 1

угрозы безопасности

степень опасности Y1

вероятность реализации Y2

коэффициент реализуемости

возможность реализации

степень актуальности

1.утечка акустической (речевой) информации – перехват информации, содержащейся непосредственно в произносимой реи;

Н

2

0,6

средняя

неактуальная

2.утечка акустической (речевой) информации - перехват информации, воспроизводимой акустическими средствами АС;

Н

2

0,6

средняя

неактуальная

3. утечка видовой информации – просмотр информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения, входящих в состав АС;

Н

2

0,6

средняя

неактуальная

4. перехват информации с использованием специальных электронных устройств съема информации внедренных в ОТСС;

Н

0

0,5

средняя

неактуальная

5. перехват информации с использованием специальных электронных устройств съема информации внедренных в ВТСС;

Н

0

0,5

средняя

неактуальная

6. перехват информации с использованием специальных электронных устройств съема информации внедренных в помещения;

Н

0

0,5

средняя

неактуальная

7. утечка информации по каналу ПЭМИН – перехват ПЭМИ ТС обработки информации;

Н

5

0,75

высокая

актуальная

8. утечка информации по каналу ПЭМИН – наводки на ВТСС;

Н

5

0,75

высокая

актуальная

9. утечка информации по каналу ПЭМИН – наводки на линии, инженерные конструкции, выходящие за пределы КЗ;

Н

5

0,75

высокая

актуальная

10. НСД к информации, обрабатываемой в АРМ – действия нарушителей при непосредственном доступе к АС;

Н

5

0,75

высокая

актуальная

11. НСД к информации,  обрабатываемой в АРМ, по средствам внедрения аппаратных закладок;

Н

0

0,5

средняя

неактуальная

12. Угрозы, реализуемые в ходе загрузки ОС и направленные на перехват паролей и идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой;

Н

5

0,75

высокая

актуальная

13. Угрозы, реализуемые после загрузки ОС и направленные на выполнение НСД с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) ОС или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.)

Н

5

0,75

высокая

актуальная

14. Внедрение вредоносных программ;

Н

5

0,75

высокая

актуальная

15. угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации;

Н

2

0,6

средняя

неактуальная

16. угрозы выявления паролей;

Н

2

0,6

средняя

неактуальная

17. угрозы удаленного запуска приложений;

Н

2

0,6

средняя

неактуальная

18. угрозы внедрения по сети вредоносных программ.

Н

2

0,6

средняя

неактуальная

Для того чтобы произвести анализ рисков (таблица 4), необходимо проанализировать виды угроз, описанные в таблице.

Расчет риска происходит по следующей схеме:

Риск = Величина потерь * Вероятность реализации угрозы

Величина потерь – неотрицательное число. В таблице 2 представлена шкала для определения возможного ущерба. А шкала для определения вероятности угроз в таблице 3.

Таблица 2

Величина потерь

Описание ущерба от реализации угрозы

0

Реализации угрозы приведет к ничтожному ущербу

1

Основная деятельность не будет затронута. Финансовых потерь не будет, возможные последствия учтены в бюджете или предприняты меры по переносу риска

2

Деятельность организации прервется на некоторое время. Будут затронуты внутренние функции организации, превышен бюджет, потеряны возможности получить прибыль

3

Будут затронуты внешние функции организации, нанесен большой финансовый ущерб. Возможна утрата части партнерских связей

4

На восстановление требуются крупные финансовые вложения, деятельность прерывается на длительный срок, возможна смена руководства

5

Деятельность прекращается, невосполнимый ущерб

Таблица 3

Вероятность реализации угрозы

Средняя частота появления

0

Данный вид атаки отсутствует вообще

1

Реже, чем 1 раз в год

2

Около 1 раза в год

3

Около 1 раза в месяц

4

Около 1 раза в неделю

5

Ежедневно

Таблица 4

Описание угрозы

Ущерб

Вероятность

Риск

1. утечка информации по каналу ПЭМИН – перехват ПЭМИ ТС обработки информации;

1

2

2

2. утечка информации по каналу ПЭМИН – наводки на ВТСС;

1

2

2

3. утечка информации по каналу ПЭМИН – наводки на линии, инженерные конструкции, выходящие за пределы КЗ;

1

2

2

4. НСД к информации, обрабатываемой в АРМ – действия нарушителей при непосредственном доступе к АС;

2

5

10

5. Угрозы, реализуемые в ходе загрузки ОС и направленные на перехват паролей и идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой;

2

5

10

6. Угрозы, реализуемые после загрузки ОС и направленные на выполнение НСД с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) ОС или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.)

2

5

10

7. Внедрение вредоносных программ;

2

5

10

Итого:

46

Суммарный риск подсчитывается как сумма максимальных величин риска для каждой угрозы.

Максимальный риск – это риск, который понесет организация при осуществлении всех угроз. Максимальный риск рассчитывается как произведение суммарной цены всех угроз (11) на максимальную величину возможности реализации угрозы (5). Максимальный риск составляет 55 ед.

Соответственно, среднее значение частоты осуществления угроз можно определить как частное от суммарного риска и суммарной цены всех угроз. Среднее значение частоты возникновения угроз Рср=55/46=1,2. т.е., исходя из методики и шкалы, различные угрозы осуществляются около одного раза в год.

Для снижения рисков, во-первых, предлагается введение организационно-правовых мер. Однако одних организационно-правовых мер для обеспечения защиты информации недостаточно, необходимо также использовать и программно-аппаратные средства защиты.

Понизить вероятность риска, а, следовательно, и уменьшить предполагаемый ущерб, можно потратив некоторую денежную сумму на построение системы защиты.  

Комплексная система защиты должна уменьшать вероятность риска таким образом, чтобы затраты на её внедрение и эксплуатацию, не превышали возможного ущерба от угроз на информацию, которую она защищает.

  1.  
    КОНСТРУКТОРСКАЯ ЧАСТЬ
    1.  Техническое задание

Предмет контракта: выполнение работ по защите биометрических данных в ИСПДн СКУД ОАО «ММЗ».

Защите подлежат персональные данные в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О защите персональных данных»

Состав работ:

  1.  Разработка Перечня информационных систем персональных данных (ИСПДн):

- Анализ структуры информационных систем ОАО «ММЗ», с целью выделения независимых ИСПДн.

- Сбор необходимых исходных данных для классификации ИСПДн.

  1.  Разработка Модели Угроз

Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО «ММЗ», во исполнение требованиями подпункта «а» пункта 12 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября
2007 года № 781, в соответствии с требованиями методических документов Федеральной службы по техническому и экспортному контролю Российской Федерации и Федеральной службы безопасности Российской Федерации:

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена заместителем директора ФСТЭК 14 февраля 2008 года.

- «Базовая модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных», утверждена заместителем директора ФСТЭК 15 февраля 2008 года.

- «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 центра ФСБ № 149/5-144
от 21 февраля 2008 года.

  1.  Классификация ИСПДн

Сбор и анализ исходных данных по ИСПДн СКУД ОАО «ММЗ».

Определение категории обрабатываемых в информационной системе персональных данных и других необходимых критериев для классификации ИСПДн, в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. № 55/86/20.

По результатам анализа, на основе модели угроз безопасности персональных данных определение класса специальных информационных систем и подготовка актов классификации систем.

  1.  Внедрение биометрических считывателей для режимных помещений в СКУД ОАО «ММЗ», с целью дополнительного контроля санкционированного допуска и предотвращение несанкционированного прохода.
  2.  Разработка положения об обработке и защите персональных данных.

Положение об обработке и защите персональных данных должно быть разработано в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781, а также в соответствие с требованиями методических документов Федеральной службы по техническому и экспортному контролю Российской Федерации и Федеральной службы безопасности Российской Федерации.

  1.  Сбор и анализ имеющихся и используемых СЗИ, в том числе СКЗИ. Определение класса СВТ в соответствие с регламентирующими документами Федеральной службы по техническому и экспортному контролю Российской Федерации.
  2.  Разработка и сравнительный анализ вариантов реализации системы защиты персональных данных

На основе результатов работ будет принято решение о необходимости, варианте и порядке реализации системы защиты персональных данных для информационной системы персональных данных.

  1.  Организационные мероприятия по защите ПДн в ИСПДн СКУД ОАО «Марийский машиностроительный завод»

В первую очередь необходима разработка организационных мер защиты информации. При отсутствии надлежащей организации работы, отсутствии системы контроля и надзора за деятельностью сотрудников, все технические средства могут оказаться бессмысленными.

С одной стороны, организационные мероприятия должны быть направлены на обеспечение правильности функционирования механизмов защиты, и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

К организационным мерам можно отнести такие, как:

- идентификация пользователей ИС по паролю;

- регистрация входа \ выхода пользователей в ИС;

- разграничение доступа пользователей к средствам защиты и информационным ресурсам в соответствии с матрицей доступа;

- учет всех материальных носителей информации, регистрация их выдачи;

- физическая охрана ИСПДн, контроль доступа в помещение;

- блокирование терминалов пользователей;

- очистка освобождаемых областей оперативной памяти компьютера и внешних накопителей;

- регистрация фактов распечатки документов с указанием даты, времени и имени пользователя;

- наличие администратора (службы) безопасности, ответственных за ведение, нормальное функционирование и контроль работы средств защиты информации.

Также, к организационным мерам можно отнести отдельные мероприятия на стадии проектирования ИСПДн:

- разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;

- определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн;

- разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно распорядительной документации по защите информации (приказов, инструкций и других документов).

В организации должны быть разработаны такие документы, как:

- положение о работе с персональными данными;

- инструкция администратора безопасности;

- инструкция пользователя ИСПДн;

- положение о парольной защите;

- положение об антивирусной защите;

- регламент проведения проверок безопасности ИСПДн;

- порядок учета и регистрации магнитных носителей информации.

В Положении о работе с персональными данными отражается (Приложение № 8 ):

- порядок получения, обработки, использования и хранения персональных данных;

- порядок передачи персональных данных третьим лицом;

- гарантии конфиденциальности персональных данных.

В инструкции администратора безопасности устанавливаются (Приложение № 9):

- правовая основа деятельности администратора;

- требования к уровню его знаний, квалификации и опыту;

- перечень вверенного ему оборудования и порядок доступа к нему;

- перечень и периодичность плановых мероприятий по контролю осуществления надлежащего функционирования системы защиты ИСПДн;

- полномочия администратора по контролю за деятельностью пользователей ИСПДн, в частности, разработка и внедрение системы паролей доступа пользователей, организация разграничения доступа пользователей к техническим средствам защиты ИСПДн и информационным ресурсам ИСПДн, выявление допущенных пользователями нарушений инструкций и приостановление/прекращение их доступа в ИСПДн;

- ответственность за допущенные нарушения.

В инструкции пользователя ИСПДн указываются (Приложение № 10):

- требования к уровню владения техническими средствами обработки информации;

- полномочия доступа к техническим средствам защиты информации;

- полномочия доступа к информационным ресурсам, периферийным устройствам, материальным носителям информации;

- обязанности по соблюдению правил антивирусной защиты ИСПДн;

- ответственность за несоблюдение установленных правил работы в ИСПДн.

Такие документы, как положение о парольной защите, положение об антивирусной защите (Приложение № 11) и регламент проведения проверок безопасности ИСПДн носят технический характер и составляются в соответствии необходимым уровнем обеспечения безопасности ИСПДн, обусловленного ее классом.

  1.  Физические мероприятия по защите информации в ИСПДн

Физические меры защиты – различные механические, электро- или электронно-механические устройства, предназначение для создания физических препятствий на путях проникновения потенциальных нарушителей к защищаемой информации, а также техника визуального наблюдения, связи и охранной сигнализации.

Защита серверов

Физическая безопасность серверов - это очевидный, но в тоже время очень важный аспект безопасности, поскольку физическая незащищенность сервера ведет к большому риску, который может выразиться в неавторизованном доступе к нему и его порче, что повлияет на целостность сервера, всей сети и ее ресурсов.

В первую очередь надо подготовить помещение, где будут стоять серверы. Обязательное правило: сервер должен находиться в отдельной комнате, доступ в которую имеет строго ограниченный круг лиц. На окнах обязательно должны быть жалюзи. Расположение помещения внутри здания также является важной частью защиты. Доступ в данное помещение осуществляется, конечно же, через дверь, она должна быть единственной, в том понимании, что через нее должен осуществляться единственный доступ в комнату. Дверь должна быть надежно укреплена, оборудована кодовыми замками, рассчитана на преднамеренные попытки взлома, а с другой стороны  являться неприметной для злоумышленника, существенно не отличаясь от остальных дверей.

Всё оборудование в серверной должно быть размещено в закрытых шкафах или на открытых стойках, число которых определяется исходя из имеющегося оборудования, его типоразмеров и способов монтажа. Закрытые шкафы позволяют организовать дополнительные ограничения доступа к оборудованию с использованием подсистемы контроля доступа. Однако такие шкафы требуют обеспечения необходимого температурного режима, для чего применяются дополнительные вентиляторы, встраиваемые системы охлаждения и модули отвода горячего воздуха. При распределении оборудования по шкафам или стойкам следует учитывать его совместимость, а также распределение мощности, габариты, массу и оптимальность проведения коммуникаций.

Разумным шагом станет отключение неиспользуемых дисководов, параллельных и последовательных портов сервера. Его корпус желательно опечатать. Все это осложнит кражу или подмену информации даже в том случае, если злоумышленник каким-то образом проникнет в серверную комнату. Не стоит пренебрегать и такими тривиальными мерами защиты, как железные решетки и двери, кодовые замки и камеры видеонаблюдения, которые будут постоянно вести запись всего, что происходит в ключевых помещениях офиса.

Защита помещений

Основным моментом физической защиты является доступность в помещение, в котором находится оборудование, способное помочь проникнуть в сеть.

Для защиты от прямого доступа к оборудованию применяются стандартные методы защиты имущества. А именно, установление соответствующей системы безопасности, включающей в себя замки, сигнализацию, квалифицированную охрану, имеющую доступ только до внешнего периметра комнат. То есть не имеющая прямого доступа к оборудованию, которое охраняет.

В помещениях с рабочими компьютерами высокий уровень защиты, необходимый для серверных комнат, не требуется. Поэтому для них используют немного другие методы. Первым делом необходимо препятствовать проникновению посторонних лиц на территорию компании без необходимости. В случае нахождения постороннего человека на территории организации, следует обращать внимание на его действия и противостоять несанкционированному использованию рабочих компьютеров. Методом противодействия может служить сопровождение человека от вахты до того места, куда он направляется и обратно. Также следует опасаться стажеров и людей, приходящих на собеседование в компанию. На окнах обязательно должны быть жалюзи. На двери необходимо установить кодовые замки. Ключи от помещении с рабочими компьютерами должны выдаваться сотрудникам, согласно утвержденному списку. Данные помещения не должны оставаться незапертыми при отсутствии в них сотрудников даже на короткое время.

На системных блоках АРМ проходных и корпусов должны быть отключены все дисководы, параллельные и последовательные порты, корпусы опечатаны.

Защита электронных архивов

Методом защиты целостности информации, на случай взлома, является создание архивной копии. Частота создания архивной копии определяется важностью и объемами поступления новой информации. Но в  любом случае, методы защиты архивной копии должны не уступать методам защиты основного источника информации.

Важное правило: резервные копии нельзя хранить в одном помещении с сервером. Часто об этом забывают и в результате, защитившись от информационных атак, фирмы оказываются беззащитными даже перед небольшим пожаром, в котором предусмотрительно сделанные копии гибнут вместе с сервером.

Защита компьютеров от неполадок в электросети

Сейчас, в начале нового века, как и во времена появления лампочки Ильича, главной особенностью сетей электроснабжения является невозможность обеспечения их надежной и стабильной работы.

Поддерживать стандартные параметры напряжения, частоты, высокочастотных шумов и т.д. не удается по многим причинам. Эта проблема актуальна и для самых развитых стран. Развитие энергетики не успевает за развитием других отраслей промышленности и энергопотреблением. Непредсказуемые всплески и падения напряжения во время включения и выключения мощных потребителей, удары молний, различные аварии - все это приводит к выходу из строя компьютерной и другой чувствительной техники. По сообщениям специалистов IBM, в среднем бывает до 120 нарушений электроснабжения в месяц. Ни для кого не секрет, что качество современных силовых сетей далеко от идеального. Даже если нет никаких внешних признаков аномалий, очень часто напряжение в электросети выше или ниже нормы. Нарушения в системе электроснабжения могут нанести ущерб, нанесенный, например, банковской сети или сети научного учреждения, даже трудно подсчитать. Дело не в стоимости оборудования, а в потере ценнейших данных. Для борьбы с этими проблемами разработано специальное оборудование. Поэтому необходимо для каждого компьютера использовать источник бесперебойного питания.

Защита кабельной системы сети

Часто, даже защитив серверы, забывают, что в защите нуждаются и всевозможные провода – кабельная система сети. Причем, нередко приходится опасаться не злоумышленников, а самых обыкновенных уборщиц, которые заслуженно считаются самыми страшными врагами локальных сетей. Лучший вариант защиты кабеля – это короба, но, в принципе, подойдет любой другой способ, позволяющий скрыть и надежно закрепить провода. Впрочем, не стоит упускать из вида и возможность подключения к ним извне для перехвата информации или создания помех, например, посредством разряда тока. Хотя, надо признать, что этот вариант мало распространен и замечен лишь при нарушениях работы крупных фирм – в этих случаях игра с законом стоит свеч. Рассматриваемая фирма является ведущим производителем в своей области, и хотя серьезных конкурентов у предприятия нет, и случаев попыток перехвата информации посредством наводок замечено не было, не стоит этим пренебрегать.

  1.  Система охранно-пожарной сигнализации

Охранно-пожарная сигнализация – получение, обработка, передача и представление в заданном виде потребителям при помощи технических средств информации о пожаре или проникновении злоумышленника на охраняемый объект.

Система охранно-пожарной и тревожной сигнализации представляет собой совокупность совместно действующих технических средств обнаружения пожара и попытки проникновения нарушителя на охраняемый объект, сбора и предоставления в заданном виде информации о проникновении (попытке проникновения), а также выдачи сигналов тревоги в дежурную часть органов внутренних дел при разбойном нападении на объект в период его работы.

Уровень безопасности в основном зависит от времени реагирования технических средств охраны (ТСО) на возникающую угрозу. И чем раньше обнаружится возникающая угроза объекту, тем эффективнее ее можно пресечь. Этого можно достичь благодаря правильному выбору и использованию ТСО, а также их оптимальному размещению в охраняемых зонах.

Любая система охранно-пожарной сигнализации (ОПС) может быть разбита на три составляющие: извещатели (датчики), концентраторы, устройства оповещения и реагирования. Извещатели, объединенные в логические группы, именуемые шлейфами, анализируют текущее состояние объекта по различным физическим параметрам и передают полученную информацию на концентратор. Концентратор является ядром системы, он обрабатывает сообщения от всех извещателей и, в случае необходимости какой-либо реакции, выдает информацию на систему оповещения и реагирования.

По принципу формирования информационного сигнала о проникновении на объект или пожаре извещатели охранно-пожарной сигнализации делятся на активные и пассивные. Активные извещатели охранно-пожарной сигнализации генерируют в охраняемой зоне сигнал и реагируют на изменение его параметров. Пассивные извещатели реагируют на изменение параметров окружающей среды, вызванное вторжением нарушителя или возгоранием.

Каждая охранно-пожарная сигнализация использует охранные и пожарные извещатели, контролирующие различные физические параметры. Широко используются такие типы охранных извещателей, как инфракрасные пассивные, магнитоконтактные, извещатели разбития стекла, периметральные активные извещатели, комбинированные активные извещатели. В системах пожарной сигнализации применяются тепловые, дымовые, световые, ионизационные, комбинированные и ручные извещатели.

Извещатели (датчики) являются основным элементом систем ОПС и во многом определяют эффективность их использования. Это устройства, предназначенные для определения наличия угрозы безопасности охраняемого объекта и передачи тревожного сообщения для своевременного реагирования. Извещатели могут классифицироваться по физическому принципу действия. Рассмотрим наиболее распространенные типы извещателей.

Контактные извещатели служат для обнаружения несанкционированного открытия дверей, окон, ворот и т. д. Магнитные извещатели состоят из двух частей: герконового реле (геркона), устанавливаемого на неподвижную часть конструкции, и магнита, устанавливаемого на открывающийся модуль. Когда магнит находится вблизи геркона, его контакты в замкнутом состоянии. По принципу монтажа герконы делятся на накладные, врезные и для монтажа на металлические двери.

Инфракрасные пассивные извещатели служат для обнаружения вторжения нарушителя в контролируемый объем. ИК извещатель с помощью пироэлемента преобразуют тепловое излучение в электрический сигнал. В настоящее время используются 2 и 4 площадные пироэлементы. Это позволяет существенно снизить вероятность ложных тревог. Формирование зон обнаружения происходит с помощью зеркал (на отражение) и/или линз (на прохождение) Френеля.

Комбинированные извещатели объединяют в одном корпусе пассивный ИК и радиоволновый детектор, основанный на эффекте Доплера. Это позволяет существенно уменьшить вероятность ложной тревоги: поскольку сигнал тревоги выдается только при одновременном обнаружении нарушения обеими частями извещателя.

Акустические извещатели оснащаются высокочувствительным миниатюрным микрофоном, улавливающим звук, издаваемый при разбитии стекла. Эти извещатели крепятся на стену или потолок около окна. При разбитии стекла возникает два типа звуковых колебаний в строго определенной последовательности: сначала ударная волна от колебания всего массива стекла с частотой порядка 100Гц, а потом волна разрушения стекла с частотой около 5 Кгц. Извещатель обрабатывает эти сигналы и принимает решение о наличии проникновения.

Дымовые извещатели предназначены для обнаружения наличия частиц дыма в воздухе. По принципу действия они делятся на два основных типа: оптоэлектронные и ионизационные. Дымовые извещатели позволяют обнаружить пожар на ранней стадии развития. Это их главное преимущество перед тепловыми извещателями. Поэтому дымовые извещатели сейчас наиболее перспективны для применения на всех видах объектов.

Дымовые извещатели по зоне обнаружения делятся на точечные и линейные. Точечные извещатели имеют чувствительную зону внутри измерительной камеры извещателя. Принцип обнаружения основан на отражении оптического излучения от частиц дыма, попадающих в эту зону.

Линейные дымовые извещатели в качестве чувствительной зоны используют, как правило, луч света длиной до 100 м, который пересекает защищаемое помещение. Обнаружение пожара происходит при ослаблении оптического излучения дымом.

Тепловые извещатели служат для обнаружения внутри помещения повышенной температуры. По принципу действия они делятся на термоконтактные и дифференциальные. Дифференциальные извещатели являются восстанавливаемыми и содержат термопару для измерения температуры. Такой извещатель реагирует не только на абсолютное значение температуры, но и на высокую скорость изменения температуры. Тепловые извещатели недостаточно эффективны для раннего обнаружения пожара. Их применение оправдано только для тех объектов, где вероятность повышения температуры более высока, чем появление дыма или открытого пламени, а также там, где условия эксплуатации не позволяют применить извещатели другого типа.

Извещатели пламени реагируют на инфракрасное или ультрафиолетовое излучение открытого пожара. Область их применения достаточно ограничена. В основном это производственные объекты, места хранения ЛВЖ, бензоколонки и т.д.

Особенностью ручных извещателей является то, что в действие их приводит человек, обнаруживший пожар. Этот тип извещателей применяется в местах постоянного присутствия людей, на лестничных пролетах, на путях эвакуации и т.д.

В зависимости от способов выявления тревог и формирования сигналов, извещатели и системы охранно-пожарной сигнализации делятся на неадресные, адресные и адресно-аналоговые. В неадресных системах извещатели имеют фиксированный порог чувствительности, при этом группа извещателей включается в общий шлейф охранно-пожарной сигнализации, в котором в случае срабатывания одного из приборов охранно-пожарной сигнализации формируется обобщенный сигнал тревоги. Адресные системы отличаются наличием в извещении информации об адресе прибора охранно-пожарной сигнализации, что позволяет определить зону пожара с точностью до места расположения извещателя. Адресно-аналоговая охранно-пожарная сигнализация является наиболее информативной и развитой. В такой системе применяются «интеллектуальные» извещатели охранно-пожарной сигнализации, в которых текущие значения контролируемого параметра вместе с адресом передаются прибором по шлейфу охранно-пожарной сигнализации. Такой способ мониторинга используется для раннего обнаружения тревожной ситуации, получения данных о необходимости технического обслуживания приборов вследствие загрязнения или других факторов. Кроме этого, адресно-аналоговые системы позволяют, не прерывая работу охранно-пожарной сигнализации, программно изменять фиксированный порог чувствительности извещателей при необходимости их адаптации к условиям эксплуатации на объекте.

Концентраторы (контрольные панели) предназначены для сбора и обработки информации о состоянии извещателей и линий передачи (шлейфов). Можно выделить проводные безадресные и адресные концентраторы. В последних информация от датчиков к концентратору поступает в цифровом коде. Это позволяет концентратору контролировать состояние каждого подключенного к общему шлейфу датчика в отдельности. Беспроводные концентраторы получают информацию от датчиков по радиоканалу. Концентраторы выдают соответствующие сигналы на внешние устройства оповещения на основе анализа информации от датчиков.

Линии передач, по которым поступают сигналы от извещателей, представляют физические шлейфы, они в общем случае могут отличаться от логических шлейфов, с которыми оперирует схема обработки сигналов концентратора. Логическим шлейфом (зоной) называется единичный сегмент информационного пространства концентратора: именно его состояние анализируется им в каждый момент времени. Максимальное число зон, которое может контролировать концентратор, составляет: до 30 – для аналоговых и до 100 – для микропроцессорных (цифровых) концентраторов.

Современная аппаратура охранно-пожарной сигнализации имеет собственную развитую функцию оповещения. Несмотря на то, что системы оповещения о пожаре выделены в самостоятельный класс оборудования, на базе технических средств пожарной сигнализации достаточно многих производителей можно реализовывать системы оповещения 1 и 2 категории.

Пожарные оповещатели предназначены для оповещения о пожаре с помощью различных звуковых и световых сигналов. Для звуковой сигнализации применяются звуковые сирены различных типов. Для световой сигнализации применяются различные световые оповещатели, выполненные на основе ламп накаливания, светодиодов и импульсных газоразрядных источников света.

На предприятии существует система охранно-пожарной сигнализации, управляемая при помощи пультов охранной сигнализации С-2000. В качестве магнитоконтактных извещателей используются «С2000-СМК». Рассмотрим ОПС бюро пропусков, кабинет администратора безопасности СКУД и серверная. Извещатели «С2000-СМК» устанавливаются на всех дверях для защиты от незаконного проникновения в помещения. В нерабочее время необходим охранный объемный оптико-электронный адресный извещатель «С2000-ИК исп. 02». Он установлен во всех помещениях.

В бюро пропусков имеют доступ все посетители, поэтому обеспечивается дополнительная защита данного помещения. Для этого на окна установлены «С2000-СТ» для обнаружения разбития стекла.

Для раннего обнаружения пожара во всех помещениях установлены дымовые пожарные извещатели «ДИП-34А».

Установленные извещатели соединяются к кабельной сети единой системы сигнализации предприятия.

  1.  Биометрические идентификаторы с СКУД
    1.  Обзор рынка биометрических считывателей.

Многолетний мировой опыт применения метода идентификации по отпечаткам пальцев и интенсивные разработки в области создания различных электронных датчиков, проводимые в последнее время, привели к тому, что в настоящее время этот метод рассматривается как достаточно надежный и относительно недорогой способ идентификации личности.

В системе идентификации по отпечатку пальцев всегда присутствует датчик для снятия отпечатка пальца, база данных, содержащая в каком-либо виде эталонный экземпляр (образец) отпечатка пальца и вычислитель, который работает по определённому алгоритму выделения характерных особенностей отпечатка и записи полученных значений в базу данных, которая может быть как внутренней, по отношению к вычислителю, так и внешней. Такая система для связи с внешними устройствами может также иметь различные интерфейсы, например, USB, Ethernet, RS-232/485. Эти и другие параметры (например, совместимость со СКУД на предприятии) будут учитываться при выборе биометрического идентификатора для обеспечения контроля доступа в режимные помещения ОАО «ММЗ».

Биометрический считыватель для СКУД компании Sagem MA500+.

Программируемый считыватель отпечатков пальцев Sagem MA500+ предназначены для контроля доступа в помещения или в сети на основе биометрической идентификации или верификации отпечатков пальцев. Эти устройства имеют встроенную базу данных на 3000 пользователей и осуществляют верификацию и идентификацию в базе на 1000 шаблонов за 0,9 с. Каждый считыватель отпечатков пальцев оснащен оптическим сканером с разрешением 500 точек на дюйм, многоцветным светодиодным индикатором и многотоновым зуммером. MA500+ поддерживают протоколы Wiegand, Clock&Data, RS-422/RS485, TCP/IP и UDP, могут работать автономно или подключаться к контроллеру СКУД, а также получать электропитание от внешнего источника или по сети Ethernet (POE).

Каждый считыватель отпечатков пальцев этой серии оснащен клавиатурой с 12 клавишами для набора PIN-кода и настройки, а также 4 функциональными клавишами, которые предназначены для быстрого вызова предварительно запрограммированных функций. Текущая информация о процессе идентификации/верификации отображается на графическом LCD-дисплее 128х64 пикс.

Удаленное управление считывателем отпечатков, в том числе запрос файла отчета, изменение конфигурационных настроек, обновление ПО считывателя и работа с биометрической БД может осуществляться по TCP/IP или USB. При этом считыватель отпечатков пальцев может работать как автономное устройство или в составе СКУД. В случае работы MA500+ в автономном режиме, управление исполнительным устройством СКУД (электромеханический замок, турникет и др.) осуществляется через релейный выход устройства.

Режимы работы считывателя Sagem МА500+: Идентификация 1:N и Верификация 1:1.

Если МА500+ работает в составе СКУД, то возможны две типовые конфигурации системы:

В первом варианте, для достижения высокого уровня безопасности, вы можете подключить каждый считыватель отпечатков пальцев к контроллеру СКУД, например, через интерфейс Wiegand.

Во втором варианте считыватели МА500+ могут подключаться к ПК не через контроллеры, а напрямую по TCP/IP или через порт USB. Такая конфигурация может использоваться как для СКУД, так и в системах учета рабочего времени.

Благодаря внутреннему ПО, считыватели отпечатков пальцев МА500+ позволяют настраивать уровень надежности идентификации/верификации в зависимости от специфики объекта и задач.

Специализированное ПО MEMS обслуживает считыватели отпечатков пальцев Sagem, установленное на подключенной к сети рабочей станции, позволяет осуществлять назначение временных зон, синхронизацию баз данных считывателей с базой данных сервера, формирование отчетов, а также управление группами считывателей. К этой рабочей станции можно подключить сканер отпечатков пальцев MorphoSmart и устройство печати карт. ПО MEMS поддерживает Microsoft Access и SQL Server, причем при использовании SQL Server возможна работа в режиме «клиент-сервер», что позволяет осуществлять централизованное управление базами данных.

Опционально данный биометрический идентификатор оснащается бесконтактными считывателем карт доступа стандартов Mifare и DESFire.

Цена: 44 000 рублей, с опцией считывания карт 46 400 рублей.

Биометрический считыватель RWKLB575 HID Global Corporation.

Считыватель RWKLB575 предназначен для аутентификации персонала по отпечаткам пальцев в системах контроля доступа и учета рабочего времени. RWKLB575 считывает любые iCLASS-идентификаторы с объемом памяти 16 Кб и может перезаписывать информацию, хранящуюся в их памяти. Этот биометрический считыватель имеет интерфейсы Wigand, USB, RS-485, выход «открытый коллектор», оснащен постоянным магнитом и совместим со стандартными электрическими коробами. Он надежно работает от источника постоянного тока 9-12 В при температурах от 0 до +45 градусов Цельсия.

Данный биометрический считыватель относится к линейке оборудования bioCLASS компании HID Global Corporation и представляет собой интегрированное устройство, объединяющее оптический сканер отпечатка пальцев BIO500 и перезаписывающий iCLASS-считыватель RWRL550, оснащенный 12-кнопочной клавиатурой и ЖК-дисплеем. RWKLB575 осуществляет сличение снятого сканером отпечатка пальца предъявителя iCLASS-идентификатора с шаблоном отпечатка, записанным в память этого идентификатора. Для аутентификации в СКУД (системе контроля и управления доступом) сотрудник компании должен поднести идентификатор к считывателю и затем приложить указательный палец на биометрический сканер. Для допуска посетителей и гостей в охраняемое помещение биометрический считыватель может работать и в «гостевом» режиме.

В настоящее время использование отпечатка пальца сотрудника в качестве идентификационного признака признано наиболее надежным для ограничения доступа, поскольку этот параметр отличается минимальной биологической повторяемостью (менее <0,00001%), временной устойчивостью, сложностью подделки и малым «весом» шаблона для записи на идентификатор. Применяемая в RWKLB575 биометрическая технология Identix Incorporated, делает этот биометрический считыватель независимым от мелких повреждений кожи пальцев человека, а также от температуры и влажности воздуха в помещении.

Благодаря схемотехническому решению этот биометрический считыватель с клавиатурой позволяет комбинировать три метода идентификации персонала в СКУД и выбирать один из трех режимов прохода: по iCLASS-идентификатору и PIN-коду (гостевой режим), по iCLASS-идентификатору и отпечатку пальца или по  iCLASS-идентификатору, отпечатку пальца и PIN-коду. ЖК-дисплей RWKLB575 отображает последовательность набора команд и правильность ввода PIN-кода, а также точность расположения пальца на биометрическом сканере. Кроме того, биометрический считыватель оснащен трехцветным светодиодным индикатором и многотоновым зуммером, обеспечивающих визуальный и звуковой контроль рабочих состояний считывателя.

Встроенный Wigand-интерфейс позволяет соединять биометрический считыватель HID с контроллерами СКУД большинства известных производителей. Через интерфейс USB считыватель может локально подключаться к компьютеру для перезаписи информации в базу данных, что требуется, например, для учета рабочего времени сотрудников компании. Наличие в RWKLB575 интерфейса RS-485 позволяет создавать последовательную сеть из несколько считывателей, подключаемых к компьютеру через общий контроллер. Построенная по этой схеме биометрическая СКУД, обслуживается одним компьютером и имеет общую базу данных, что особенно удобно для крупных организаций, сотрудники которых имеют доступ только на определенные объекты.

Возможность записи и хранения шаблонов отпечатков пальцев не на считывателе, а на идентификаторе исключает необходимость прокладки дополнительных кабелей для пересылки биометрических шаблонов между считывателем и контроллером, что снижает затраты на монтаж и инсталляцию СКУД. Считыватели в такой сети соединяются между собой кабелем «витая пара», общая длина которого может достигать 1200 м.

Как и большинство считывателей HID, биометрический считыватель RWKLB575 оснащен постоянным магнитом, на базе которого можно создать магнитоконтатный датчик контроля целостности конструкции. Для этого используется магнитоуправляемый элемент - геркон, который монтируется в стену напротив магнита. При несанкционированном вскрытии конструкции биометрического считывателя магнитное поле изменяется, контакты геркона размыкаются и генерируется сигнал тревоги.

Все идентификаторы iClass с объемом памяти 2 кбайта обеспечивают хранение цифровых биометрических шаблонов отпечатков пальцев, поэтому могут использоваться с данным биометрическим считывателем. Компания HID Global Corporation выпускает большой ассортимент различных идентификаторов с таким объемом памяти, включая карты iCLASS, брелоки и метки на клейкой подложке. Использование для хранения шаблонов отпечатков пальцев клейких меток позволяет легко и быстро дополнить биометрическим приложением уже работающую на объекте СКУД. Например, для обеспечения доступа определенным сотрудникам в особо охраняемые помещения офиса достаточно наклеить на используемую ими карту iCLASS метку с их биометрическими данными.

Цена: 26 600 рублей.

Биометрический считыватель ZK Software F702S.

Биометрический считыватель F702S предназначен для работы в составе автономной или сетевой системы контроля доступа с программированием с помощью встроенной клавиатуры. При этом централизованная система контроля доступа может быть организована на базе русифицированного ПО, которое входит в комплект поставки считывателя и может поддерживать неограниченное число считывателей по сети Ethernet или по шинам RS-232 и RS-485. Данное ПО позволяет программировать считыватели, вводить пользователей с учетом уровней их доступа, выполнять мониторинг СКУД в режиме реального времени, формировать отчеты и выводить на монитор охраны фотографии.

Считыватель F702S оснащен базой данных на 1500 шаблонов отпечатков пальцев. Он имеет Wiegand-интерфейс, благодаря которому считыватель можно использовать в системах контроля доступа большинства производителей, поддерживающих обмен данными между контроллером и считывателем по протоколу Wiegand. При этом Wiegand формат может произвольно конфигурироваться пользователем с длиной кода от 26 до 64 бит.

В зависимости от конфигурации СКУД биометрический считыватель может работать в режиме идентификация 1:N (только отпечаток пальца) или в режиме верификация 1:1 (ПИН плюс отпечаток пальца или карта плюс отпечаток пальца). Кроме того, F702S поддерживает идентификацию пользователя по ПИН-коду плюс код, по карте плюс код или только по карте. Для реализации определенных режимов верификации или идентификации можно использовать опциональный встроенный считыватель или подключить внешний.

Возможен автономный режим работы считывателя, т.е. без его подключения к сети Ethernet. В этом случае F702S программируется не с помощью ПО, а данные переносятся с помощью USB-накопителя. Бесплатное ПО ZK Software, установленное на подключенной к сети рабочей станции, позволяет осуществлять назначение временных зон, синхронизацию баз данных считывателей с базой данных сервера, формирование отчетов, а также управление группами считывателей.

Функциональные параметры на биометрические считывателя F702S:

  •  ЖК-дисплей с поддержкой русского языка
  •  Релейный выход управления замком
  •  Датчик вскрытия корпуса
  •  Вход для подключения кнопки выхода
  •  Вход для подключения датчика положения двери
  •  Wiegand вход/выход
  •  Общий тревожный выход и выход для подключения дверного звонка
  •  2 функциональные клавиши для выбора типа события для системы учета рабочего времени (приход/уход)
  •  Поддержка кода принуждения
  •  Опционально: Поддержка кода работ, web-сервер, считыватель карт EM, Mifare, HID.

Цена: 11 500 рублей, с опцией считывания карт HID – 15 000 рублей.

Биометрический считыватель системы контроля доступа Smartec ST-FR020EM.

Считыватели ST-FR020EM выполняют идентификацию персонала по отпечаткам пальцев и по проксимити картам стандарта EM. Эти устройства могут использоваться для организации автономной системы контроля доступа и программироваться локально через систему голосового меню. Кроме того, ST-FR020EM могут работать в составе централизованной сетевой СКУД, при этом их программирование выполняется с помощью специализированного ПО.

Централизованная система контроля доступа может быть организована либо на базе программного обеспечения «Таймекс» с подключением исполнительных устройств непосредственно к данному считывателю, либо путем интеграции ST-FR020EM в любую стороннюю СКУД.

Для интеграции считывателя ST-FR020EM в сторонние системы контроля доступа используется интерфейс Wiegand. При этом пользователь может произвольно конфигурировать выходной Wiegand формат устройства с длиной кода от 26 до 64 бит. Бесплатная версия ПО «Таймекс» обеспечивает программирование считывателей, ввод пользователей с учетом уровней доступа и формирование отчетов.

ST-FR020EM рассчитан на обслуживание до 600 шаблонов отпечатков пальцев. Таким образом, если на каждого человека заносится по 2 шаблона, то общее количество пользователей составит 300. При этом устройство поддерживает такие режимы распознавания пользователя, как идентификация по пальцу или по карте. Наличие у ST-FR020EM Wiegand входа позволяет подключить к нему внешний проксимити считыватель или дополнительный биометрический.

Функциональные возможности:

  •  Контроллер с поддержкой всех функций контроля доступа
  •  Металлический корпус
  •  Высокий уровень погодозащищенности
  •  Сенсор со стеклянной призмой
  •  Релейный выход управления замком и общий тревожный выход
  •  Вход подключения кнопки выхода и вход датчика положения двери, датчик вскрытия
  •  Wiegand выход/выход, USB порт (host)
  •  Поддержка отпечатка пальца прохода по принуждению
  •  Голосовые инструкции на русском языке

Цена: 7 800 рублей.

Сравнительная таблица характеристик представленных продуктов приведена в Приложении № 12 .

  1.  Выбор биометрического считывателя.

Исходя из технических характеристик, выполняемых функций и экономической составляющей вопроса из рассматриваемых биометрических считывателей для контроля доступа в режимные помещения был выбран ZK Software F702S с возможностью считывания HID карт.

Биометрический считыватель F702S известного производителя ZK Software обеспечивает ограничение доступа в помещения по отпечаткам пальцев и способен работать как автономно, так и в составе СКУД ОАО «ММЗ» на базе ПО «Интеллект». Для централизованного конфигурирования биометрических устройств по Ethernet или RS232/485 все считыватели и терминалы ZKSoftware комплектуются русифицированным программным обеспечением. Это ПО позволяет запрограммировать уровни доступа и временные зоны для каждого сотрудника компании, а также использовать в системе контроля доступа режим фотоверификации. Благодаря наличию в программе отчетов по проходам через биометрические считыватели, резервированию БД и менеджменту пользователей (добавление, удаление и редактирование записей), на базе этого ПО можно построить простейшую систему безопасности объекта.

Данный считыватель по сравнению с другими обладает высокой функциональностью по доступной цене (15 000 рублей – это почти в три раза меньше, чем аналогичный продукт от компании Sagem). Имеющаяся встроенная база данных на 1500 биометрических шаблонов, достаточна для того чтобы внести необходимое количество пользователей для прохода в режимные помещения. Также необходимо отметить, что F702S единственный работает с HID-картами, которые уже используются на предприятии, что сокращает расходы на приобретение новых видов карт.

F702-S - биометрический терминал контроля производится с применением надежных комплектующих и соблюдением стандартов безопасности. Широко используется для организации систем контроля доступа в офисах, гостиницах, фабриках, заводах, общественных заведениях. Перед продажей изделие подвергается полному и строгому тестированию всех функций.

Терминал доступа имеет возможность подключения кнопки открытия двери, считывателя, электронного замка, звонка, аларма.

Технические характеристики:

  •  Аппаратная платформа: ZEM500
  •  Операционная система: Linux
  •  Количество пользователей: 1500
  •  Количество записей: 50000
  •  Сенсор: ZK сенсор
  •  Зоны контроля доступа: 50 временных зон, 5 групп, 10 комбинаций, Управление праздниками, работа в сети или автономное использование
  •  Соединение: TCP/IP, RS232, RS485
  •  Дисплей: LCD, 80 символов
  •  Питание: 12 В
  •  Скорость идентификации: <2 с
  •  FRR/FAR: <1%/<0.0001%
  •  Вход и Выход: Weigand Подключение терминала к контроллеру, подключение считывателя к терминалу
  •  Проводной звонок: Да
  •  Температура эксплуатации: 0-45 гр. С, влажность 20-80%

ZK Software F702S встраиваются в уже имеющуюся систему контроля и управления доступом. Всего биометрических идентификаторов необходимо 35 штук, которые устанавливаются на вход в режимные помещения. В отделе испытаний и научно-техническом центре с помощью данных считывателей осуществляется двойное распознавание (карта + отпечаток пальца), в других помещениях только по отпечатку пальца.

Схема доработанной СКУД представлена в приложении № 13.

  1.  Программно- аппаратные средства защиты ПДн в ИСПДн СКУД

Одно из приоритетных направлений по улучшению системы защиты информации является установка на компьютеры программно-аппаратных комплексов защиты от НСД. При выборе средств защиты необходимо обратить внимание на наличие сертификатов ФСТЭК.

Также критерием отбора является наличие у продукта следующих характеристик:

  •  контроль целостности информации;
  •  контроль и разграничение доступа;
  •  наличие подсистемы аудита;
  •  возможность шифрования трафика сети;
  •  дополнительная идентификация пользователей;
  •  затирание остатков информации в системе.
    1.  Обзор рынка программно- аппаратных средств защиты от НСД

Dallas Lock 7.7

Система Dallas Lock 7.7 представляет собой программное средство защиты от НСД к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов. Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа в среде ХР/2003/Vista/2008/7.

Dallas Lock 7.7 обеспечивает многоуровневую защиту локальных ресурсов компьютера:

- запрет загрузки компьютера посторонними лицам;

- двухфакторная авторизация по паролю и аппаратным идентификаторам (USB eToken, смарт-карты eToken, Rutoken, Touch Memory);

- разграничение прав пользователей на доступ к локальным и сетевым ресурсам;

- контроль работы пользователей со сменными накопителями;

- мандатный и дискреционный принципы разграничения прав;

- организация замкнутой программной среды;

- аудит действий пользователей;

- контроль целостности ресурсов компьютера;

- очистка остаточной информации;

- возможность автоматической печати штампов (меток конфиденциальности) на всех распечатываемых документах;

- защита содержимого дисков путем прозрачного преобразования;

- удаленное администрирование

- выделенный центр управления, работа в составе домена безопасности (v7.5/7.7);

- возможность установки на портативные компьютеры (Notebook);

- отсутствие обязательной аппаратной части;

- работа на сервере терминального доступа;

- удобные интерфейс, установка и настройка.

СЗИ Dallas Lock 7.7 блокирует доступ посторонних лиц к ресурсам ПК и позволяет разграничить права пользователей и администраторов при работе на компьютере. Контролируются права локальных, сетевых и терминальных пользователей. Разграничения касаются прав доступа к объектам файловой системы, доступа к сети, к сменным накопителям и к аппаратным ресурсам.

Для идентификации пользователей служат индивидуальные пароли и аппаратные идентификаторы Touch Memory, eToken, ruToken (двухфакторная аутентификация). Аппаратная идентификация не является обязательной – система может работать в полностью программном режиме.

Запрос пароля и аппаратных идентификаторов происходит до начала загрузки ОС. Загрузка ОС возможна только после проверки идентификационных данных пользователя в СЗИ. Таким образом обеспечивается доверенная загрузка системы.

Разграничение прав доступа к ресурсам файловой системы реализуется следующими методами:

- Дискреционный - предоставляет доступ к защищаемым объектам файловой системы на основании списков контроля доступа. В соответствии с содержимым списков определяются права доступа для каждого пользователя.

- Мандатный - каждому пользователю присваивается максимальный уровень мандатного доступа. Пользователь получает доступ к объектам, мандатный уровень которых не превышает его текущий уровень.

СЗИ позволяет контролировать целостность файлов, папок и параметров аппаратно-программной среды компьютера. Для контроля целостности используются контрольные суммы, вычисленные по одному из алгоритмов на выбор: CRC32, MD5, ГOCT P34.11-94.

Подсистема аудита действий пользователей состоит из шести журналов, в которые заносятся события и результат (с указанием причины, при отказах) попыток входов и выходов пользователей, события доступа к ресурсам файловой системы, события запуска процессов, события печати на локальных и   сетевых принтерах, события по администрированию СЗИ. Для облегчения работы с журналами, реализована возможность фильтрации записей по определенным признакам и экспорт журналов в формат MS Excel.

Подсистема очистки остаточной информации гарантирует невозможность восстановления удаленных  данных.

Возможно очищение освобождаемого дискового пространства, файла подкачки, освобождаемой памяти и заданных папок при выходе пользователя из системы. Подсистема может работать в автоматическом режиме, когда зачищаются все удаляемые данные, либо данные зачищаются по команде пользователя.

Подсистема перехвата событий печати позволяет на каждом распечатанном с ПК документе добавлять штамп. Формат и поля штампа могут гибко настраиваться.

Для защиты от загрузки компьютера и доступа к информации в обход СЗИ предусмотрена возможность преобразования содержимого диска в «прозрачном» режиме. Информация преобразуется при записи и декодируется при чтении с носителя. При работе процесс преобразования незаметен для пользователя. После преобразования диска получить доступ к хранящейся на нем информации невозможно без пароля для входа в СЗИ. Режим «прозрачного» преобразования диска защищает информацию, даже если жесткий диск будет подключен к другому компьютеру. Данные могут быть преобразованы по алгоритмам XOR32 или ГОСТ 28147-89.

СЗИ предоставляет возможность преобразования отдельных файлов и/или папок. В качестве ключа   преобразования используется пароль и, по желанию пользователя, аппаратный идентификатор. Преобразованные  данные хранятся в файле-контейнере, который может использоваться для безопасной передачи данных или хранения информации на отчуждаемом носителе. Доступ к преобразованным данным можно получить с любого компьютера с СЗИ при совпадении пароля и аппаратного идентификатора.

Возможно использование встроенного алгоритма преобразования ГОСТ 28147-89, либо подключение внешнего сертифицированного  криптопровайдера (например, «КриптоПро»).

Для предотвращения утечки информации через сменные накопители, предусмотрена   возможность   гибкого разграничения доступа к дискетам, оптическим дискам, USB-Flash - возможно разграничения доступа по типу накопителя, либо к конкретным экземплярам.

Система позволяет настраивать замкнутую программную среду (режим, в котором пользователь может запускать только программы, определенные администратором).

Для осуществления централизованного управления защищенными компьютерами в составе ЛВС, в состав системы входит «Сервер Безопасности» (СБ). СБ Dallas Lock и зарегистрированные на нем компьютеры с Dallas Lock образуют «Домен Безопасности». При использовании СБ возможно централизованное управление учетными записями пользователей, управление политиками безопасности,  просмотр и автоматический сбор журналов, назначение прав доступа к ресурсам, управление прозрачным преобразованием и выполнение команд оперативного управления.

С помощью модуля «Менеджер серверов безопасности» возможно объединение нескольких СБ в «Лес Безопасности», с помощью которого осуществляется централизованное управления несколькими Доменами Безопасности (получение журналов, управление политиками и учетными записями пользователей).

Возможна установка СЗИ на портативные компьютеры (ноутбуки).

Существует возможность просматривать экранные снимки удаленных компьютеров. Эти снимки могут быть сохранены в файлы и просмотрены в дальнейшем.

Возможна установка СЗИ на компьютеры, работающие в составе домена (как на клиентские машины, так и на контроллер домена, таким образом с помощью Dallas Lock 7.7 можно защитить всю сеть.

Возможна установка на сервер терминального доступа.

Сертификат соответствия ФСТЭК № 2209 удостоверяет, что система защиты информации от несанкционированного доступа Dallas Lock 7.7 является программным средством защиты информации от несанкционированного доступа к информационным ресурсам компьютеров и соответствуют требованиям руководящих документов Гостехкомиссии России по 2-му уровню контроля отсутствия недекларированных возможностей и 3-му классу защищенности от НСД. Версия продукта может использоваться для защиты государственной тайны категории «совершенно секретно» (АС до класса защищенности "1Б" включительно), а также для защиты информации (персональных данных) в ИСПДн до 1 класса включительно.

КСЗИ «ПАНЦИРЬ-К»

Система предназначена для защиты информации, обрабатываемой на автономном компьютере, либо на компьютерах в составе корпоративной сети. КСЗИ служит для эффективного противодействия, как известным, так и потенциально возможным атакам на защищаемые ресурсы, что обеспечивается устранением архитектурных недостатков защиты современных ОС.

КСЗИ может применяться для защиты, как от внешних, так и от внутренних ИТ-угроз, обеспечивая эффективное противодействие атакам и со стороны хакеров, и со стороны инсайдеров (санкционированных пользователей, допущенных к обработке информации на защищаемом вычислительном средстве).

КСЗИ также может использоваться для эффективного противодействия вирусным атакам и шпионским программам.

В части дополнительной защиты конфиденциальности информации в КСЗИ реализованы возможности гарантированного удаления остаточной информации и шифрования данных "на лету" (шифрование файлов и дисков, локальных, съемных, сетевых).

Система реализована программно (опционально может использоваться аппаратная компонента защиты), содержит в своем составе клиентскую и серверную части(для реализации АРМа администратора безопасности в составе сети).

Основные механизмы защиты КСЗИ реализованы в виде системных драйверов. Все возможности защиты, предоставляемые КСЗИ, реализованы собственными средствами (не использованы встроенные механизмы ОС).

Основные механизмы защиты, реализованные в КСЗИ «Панцирь-К»:

  •  Механизмы разграничения доступа к локальным и разделенным в сети ресурсам – к файловым объектам, к объектам реестра ОС, к внешних накопителям, к принтерам, к сетевым хостам и др.;
  •  Механизм включения в разграничительную политику субъекта "процесс", как самостоятельного субъекта доступа к ресурсам, принципиально расширяющий функциональные возможности защиты и противодействующий атакам на расширение привилегий;
  •  Механизм управления подключением устройств;
  •  Механизм обеспечения замкнутости программной среды, позволяющий локализовать среду исполнения для пользователей, в частности противодействующий запуску троянских и шпионских программ;
  •  Механизмы контроля целостности файловых объектов (программ и данных) и контроля корректности функционирования КСЗИ;
  •  Механизм авторизации, позволяющий подключать аппаратные средства ввода парольных данных (eToken и др.);
  •  Механизм контроля корректности идентификации субъекта доступа к ресурсам (контроль олицетворения);
  •  Механизм противодействия ошибкам и закладкам в системном и в прикладном ПО;
  •  Механизм шифрования данных, реализующий ключевую политику, обеспечивающую невозможность несанкционированно раскрыть похищенную информацию (в том числе и собственно пользователем, ее обрабатывающим - инсайдером), даже при наличии у похитителя ключа шифрования.  

Сертификат ФСТЭК России № 1973

КСЗИ «ПАНЦИРЬ-К» для ОС Windows 2000/XP/2003VISTA/2008 /Windows 7 (в т. ч. для 64-х-битных систем), сертифицированная по 5 классу СВТ и 4 уровню контроля НДВ, собственными средствами реализует все технические требования, регламентируемые для АС класса защищенности 1Г), а также для защиты информации (персональных данных) в ИСПДн до 1 класса включительно.

Secret Net 6.5

Secret Net 6 – это комплексное решение, сочетающее в себе необходимые возможности по защите информации, средства централизованного управления, средства оперативного реагирования и возможность мониторинга безопасности информационной системы в реальном времени.

Тесная интеграция защитных механизмов Secret Net с механизмами управления сетевой инфраструктурой, повышает защищенность информационной системы компании в целом.

Возможности Secret Net 6.5

  •  Разграничение доступа
  •  Усиленная идентификация и аутентификация пользователей

Система Secret Net 6 совместно с ОС Windows (2000/XP/2003/VISTA/2008/7) обеспечивает идентификацию и аутентификацию пользователя с помощью программно-аппаратных средств при его входе в систему. В качестве устройств для ввода в нее идентификационных признаков могут быть использованы: iButton; eToken Pro; Rutoken.

  •  Управление доступом пользователей к конфиденциальным данным

Функция управления доступом пользователей к конфиденциальной информации. Каждому информационному ресурсу назначается один их трёх уровней конфиденциальности: «Не конфиденциально", "Конфиденциально", "Строго конфиденциально", а каждому пользователю – уровень допуска. Доступ осуществляется по результатам сравнения уровня допуска с категорией конфиденциальности информации.

  •  Разграничение доступа к устройствам

Функция обеспечивает разграничение доступа к устройствам с целью предотвращения несанкционированного копирования информации с защищаемого компьютера. Существует возможность запретить, либо разрешить пользователям работу с любыми портами \ устройствами.

Разграничивается доступ к следующим портам/устройствам:

  •  последовательные и параллельные порты;
  •  сменные, логические и оптические диски;
  •  USB-порты.

Поддерживается контроль подключения устройств на шинах USB, PCMCIA, IEEE1394 по типу и серийному номеру, права доступа на эти устройства задаются не только для отдельных пользователей, но и для групп пользователей.

Также существует возможность запретить использование сетевых интерфейсов — Ethernet, 1394 FireWire, Bluetooth, IrDA, WiFi.

  •  Доверенная информационная среда
  •  Защита от загрузки с внешних носителей

С помощью средств аппаратной поддержки можно запретить пользователю загрузку ОС с внешних съёмных носителей. В качестве аппаратной поддержки система Secret Net 6 использует программно-аппаратный комплекс «Соболь" и Secret Net Card. Плату аппаратной поддержки невозможно обойти средствами BIOS: если в течение определённого времени после включения питания на плату не было передано управление, она блокирует работу всей системы.

  •  Замкнутая программная среда

Для каждого пользователя компьютера формируется определённый перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей. Применение этого режима позволяет исключить распространение вирусов, «червей" и шпионского ПО, а также использования ПК в качестве игровой приставки.

  •  Контроль целостности

Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.

Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнаружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности:

  •  регистрация события в журнале Secret Net;
  •  блокировка компьютера;
  •  восстановление повреждённой/модифицированной информации;
  •  отклонение или принятие изменений.
  •  Контроль аппаратной конфигурации компьютера

Осуществляет своевременное обнаружение изменений в аппаратной конфигурации компьютера и реагирования на эти изменения. Предусмотрено два вида реакций:

  •  регистрация события в журнале Secret Net;
  •  блокировка компьютера.
  •  Функциональный самоконтроль подсистем

Самоконтроль производится перед входом пользователя в систему и предназначен для обеспечения гарантии того, что к моменту завершения загрузки ОС все ключевые компоненты Secret Net 6 загружены и функционируют.

  •  Защита информации в процессе хранения
  •  Контроль печати конфиденциальной информации.

Печать осуществляется под контролем системы защиты. При разрешённом выводе конфиденциальной информации на печать документы автоматически маркируются в соответствии с принятыми в организации стандартами. Факт печати отображается в журнале защиты Secret Net 6.

  •  Гарантированное уничтожение данных

Уничтожение достигается путем записи случайной последовательности на место удаленной информации в освобождаемую область диска. Для большей надежности может быть выполнено до 10 циклов (проходов) затирания.

  •  Регистрация событий

Система Secret Net 6 регистрирует все события, происходящие на компьютере: включение \ выключение компьютера, вход \ выход пользователей, события НСД, запуск приложений, обращения к конфиденциальной информации, контроль вывода конфиденциальной информации на печать и отчуждаемые носители и т.п.

  •  Удобство управления и настроек
  •  Импорт и экспорт параметров

В Secret Net 6 реализована возможность экспорта и импорта различных параметров системы. После проверки корректности работы защитных механизмов на компьютере, принимаемом за эталонный, выполняется экспорт значений параметров в файл. Далее значения импортируются на необходимое количество компьютеров.

Сертификат соответствия ФСТЭК № 2228 от 03.12.2010года. Система Secret Net 6.5 (автономный вариант) Соответствует руководящим документам по 2-му уровню контроля на отсутствие НДВ и 3-му классу защищенности по СВТ. Может использоваться в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно.

СЗИ «Страж NT (версия 3.0)»

СЗИ от НСД Страж NТ (версия 3.0) предназначена для комплексной и многофункциональной защиты информационных ресурсов от несанкционированного доступа при работе в многопользовательских автоматизированных системах (АС) и информационных системах персональных данных. Страж NТ (версия 3.0) функционирует в среде MS Windows 2000/XP/2003/Vista/2008/7 и устанавливается как на автономных рабочих местах, так и на рабочих станциях и серверах локальной вычислительной сети.

СЗИ Страж NT представляет собой программный комплекс, включающий в себя следующие компоненты:

  •  ядро системы защиты;
  •  устройства для идентификации пользователей;
  •  программу установки, настройки и снятия СЗИ;
  •  программу управления СЗИ;
  •  программу тестирования СЗИ;
  •  программу настройки маркировки документов;
  •  программу просмотра журнала печати документов;
  •  монитор системы защиты информации.

Ядро системы защиты встраивается в ядро операционной системы Windows NT, существенно расширяя и усиливая механизмы защиты ОС. Реализованная в ядре защиты концепция единого диспетчера доступа к защищаемым ресурсам и носителям информации, независимо от типов носителей и файловых систем. К функциям, реализованным в ядре системы защиты, относятся следующие:

  •  идентификация и аутентификация пользователей при входе в систему по идентификатору и паролю;
  •  блокировка клавиатуры на время загрузки операционной системы (за исключением администратора безопасности);
  •  управление запуском всех системных компонентов, включая драйверы, службы и прикладные программы пользователей;
  •  создание замкнутой программной среды для пользователей;
  •  перехват всех запросов к ресурсам системы и реализация единого диспетчера доступа;
  •  дискреционный контроль доступа к ресурсам системы на основе списков управления доступом;
  •  полнофункциональный мандатный контроль доступа на основе меток конфиденциальности пользователей, защищаемых ресурсов и прикладных программ;
  •  контроль потоков защищаемой информации;
  •  блокировка компьютера при изъятии идентификатора (только для USB-идентификаторов);
  •  автоматическое затирание защищаемых файлов при  их удалении;
  •  затирание файла подкачки страниц при завершении работы;
  •  контроль целостности постоянных информационных массивов и программного обеспечения;
  •  регистрация обращений к защищаемым ресурсам;
  •  регистрация событий входа в систему;
  •  регистрация выдачи документов на печать;
  •  автоматическая маркировка документов, выдаваемых на печать;
  •  защита папки обмена;
  •  защита ввода-вывода на отчуждаемые носители;
  •  обеспечение интерфейса с пользователем и программами управления и настройки СЗИ.

В СЗИ Страж NT предусмотрена возможность работы пользователей (в том числе и администратора безопасности) на различных компьютерах с использованием единого идентификатора и пароля для входа. В качестве устройств идентификации пользователя в данной версии могут применяться стандартная 3,5” дискета, устройства iButton (таблетка), USB-ключи eToken R2, eToken Pro, Guardant ID, Rutoken и флэш-накопителей.. Устройства идентификации пользователей поставляются по заявке заказчика в комплекте с программным обеспечением СЗИ Страж NT, либо могут приобретаться заказчиком отдельно у производителей и продавцов устройств идентификации.

В подсистеме преобразования информации на отчуждаемых носителях реализован дополнительный механизм защиты съемных носителей (дискет и флэш-накопителей) путем прозрачного преобразования всей информации, записываемой на носитель. Преобразование информации осуществляется с применением функции гаммирования с обратной связью алгоритма криптографического преобразования ГОСТ 28147-89.

В Страж NT (версия 3.0) существует возможность регистрировать как отчуждаемые носители, так и отдельные тома жестких дисков. Также существует возможность контроля устройств, подключенных к компьютеру, путём задания дескрипторов безопасности для групп однотипных устройств.

Сертификат соответствия ФСТЭК № 2145. удостоверяет, что система защиты соответствует требованиям руководящих документов по 3 классу СВТ, по 2 уровню контроля НДВ. Имеющийся сертификат позволяет использовать СЗИ от НСД Страж NТ (версия 3.0) при создании АС класса защищенности до 1Б включительно и для защиты информации в ИСПДн до 1 класса включительно.

Аккорд-АМДЗ

СЗИ Аккорд-АМДЗ (аппаратный модуль доверенной загрузки) представляет собой программно-аппаратный комплекс, предназначенный для обеспечения защиты информации от НСД. Он представляет из себя PCI плату (контроллер), подключаемый к компьютеру и комплект устанавливаемого ПО. Данная плата абсолютно независима от ОС, имеет встроенную энергонезависимую ПЗУ, в которой хранится вся необходимая для функционирования информация. Аккорд-АМДЗ имеет возможность обеспечивать идентификацию и аутентификацию (в том числе и при помощи ключей TouchMemory), контроль целостности конфигурации компьютера, журнализацию событий.Комплекс начинает работу сразу после выполнения штатного BIOS компьютера – до загрузки операционной системы, и обеспечивает доверенную загрузку ОС, поддерживающих следующие файловые системы: FAT 12, FAT 16, FAT 32, NTFS, HPFS, EXT2FS, EXT3FS, FreeBSD, Sol86FS, QNXFS, MINIX

Аккорд NT/2000

СЗИ НСД «Аккорд-NT/2000» является программной надстройкой над аппаратным модулем и предназначен для разграничения доступа пользователей к рабочим станциям, терминалам и терминальным серверам. Комплекс работает на всей ветви операционных систем (ОС) Microsoft NT +, на терминальных серверах, построенных на базе ОС Windows 2000 Advanced Server и на базе серверов семейства Windows 2003, и ПО Citrix Metaframe XP, работающем на этих ОС. Комплекс обеспечивает для пользователя "прозрачный" режим работы, при котором он, как правило, не замечает внедренной системы защиты.

Поддерживаемая ОС: Windows NT, Windows 2000, ХР, 2003, MS Vista.

Подсистемы:

  •  Подсистема управления:

Обеспечивает идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам (дискреционный и мандатный способы), настройка учетной записи пользователей (изменение имени и пароля, задание временных ограничений работы), механизм временной блокировки компьютера, управление потоками информации.

  •  Подсистема контроля целостности:

В СВТ должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части КСЗ. Программы КСЗ должны выполняться в отдельной части оперативной памяти.

  •  Подсистема регистрации:

- использование идентификационного и аутентификационного механизма;

- запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);

- создание и уничтожение объекта;

- действия по изменению ПРД.

Аккорд-NT/2000 3.2 соответствует требованиям руководящих документов Гостехкомиссии по 3 классу защищенности и может использоваться при создании автоматизированных систем до класса защищенности 1В включительно.

Сравнительная таблица характеристик представленных продуктов приведена в Приложении № 14.

  1.  Выбор программно-аппаратного средства защиты от НСД

Исходя из особенностей архитектуры, выполняемых функций и экономической составляющей вопроса из всего набора средств, представленных на российском рынке, для обеспечения защиты персональных данных от несанкционированного доступа, обрабатываемых в ИСПДн СКУД ОАО «ММЗ», был выбран программный продукт Secret Net 6.5 дополненный программно-аппаратным комплексом  Secret Net Card.

Secret Net 6.5 выполняет следующие задачи:

В подсистеме управления доступом:

- осуществляется идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длинной не мене шести буквенно-цифровых символов;

- осуществляется идентификация терминалов, компьютеров, узлов сети ИСПДн, каналов связи, внешних устройств компьютеров по логическим именам;

- осуществляется идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

- осуществляется контроль доступа субъектов, к защищаемым ресурсам в соответствии с матрицей доступа.

В подсистеме регистрации и учета:

- осуществляется регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная - несанкционированная), идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа, код или пароль, предъявленный при неуспешной попытке;

- осуществляется регистрация выдачи печатных (графических) документов на «твердую» копию. В параметрах регистрации указываются (дата и время выдачи (обращения к подсистеме вывода), спецификация устройства выдачи - логическое имя (номер) внешнего устройства, краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа, идентификатор субъекта доступа, запросившего документ;

- осуществляется регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются дата и время, запуска, имя (идентификатор) программы (процесса, задания), идентификатор субъекта доступа, запросившего программу (процесс, задание), результат запуска (успешный, неуспешный - несанкционированный);

- осуществляется регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная - несанкционированная), идентификатор субъекта доступа, спецификация защищаемого файла;

- осуществляется регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, компьютерам, узлам сети ИСПДн, линиям (каналам) связи, внешним устройствам компьютеров, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются дата и время попытки доступа к защищаемому объекту с указанием ее результата (успешная, неуспешная - несанкционированная), идентификатор субъекта доступа, спецификация защищаемого объекта - логическое имя (номер);

- проводится учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

- учет защищаемых носителей проводится в журнале (картотеке) с регистрацией их выдачи (приема);

- осуществляется очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютеров и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

В подсистеме обеспечения целостности:

- проводится резервное копирование ПДн на отчуждаемые носители информации;

- обеспечена целостность программных средств защиты информации в составе СЗПДн, а также неизменность программной среды. При этом целостность средств защиты проверяется при загрузке системы по контрольным суммам компонент средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

- осуществляется физическая охрана ИСПДн (устройств и носителей информации), предусматривающая контроль доступа в помещения ИСДн посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения ИСДн и хранилище носителей информации, особенно в нерабочее время;

- проводится периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСПДн с помощью тест - программ, имитирующих попытки НСД;

- есть в наличии средства восстановления СЗПДн, предусматривающие ведение двух копий программных средств защиты информации и их периодическое обновление и контроль работоспособности.

Все вышеописанные задачи полностью удовлетворяют требованиям, предъявляемым к ИСПДн класса К2.

  1.  Обзор рынка и выбор средства антивирусной защиты

Антивирусная защита, как следует из ее названия, направлена против вирусов, то есть программ, которые созданы либо для того, чтобы украсть важную информацию, либо для того, чтобы ее уничтожить или блокировать работу компьютеров. Антивирусная защита способна обнаружить и обезвредить вирусы. Таким образом, антивирусная защита обеспечивает информационную безопасность предприятия, причем обеспечить ее может, как и в любом другом деле, только профессиональная антивирусная защита.

Антивирусная защита необходима каждому компьютеру в офисе. Если же не установлена антивирусная защита, важная информация, которая имеется в памяти компьютера, может стать достоянием тех, кто стремится получить к ней несанкционированный доступ, всевозможных киберпреступников. Достаточно отсутствия антивирусной защиты на одном из компьютеров компании, чтобы результатом вирусной атаки стали огромные материальные, моральные, временные потери. Надежная, установленная профессионалами антивирусная защита предотвратит такой исход.

Dr.Web Enterprise Suite

Dr.Web Enterprise Suite —это комплекс со встроенной системой централизованного управления антивирусной антиспам-защитой рабочих станций под управлением Windows 2000/XP/2003/Vista/2008/7 на предприятиях любого масштаба.

Ключевые функции:

  •  централизованная установка (для компьютеров, работающих под управлением 2000/XP/2003/Vista/2008/7) без физического доступа к компьютеру;
  •  централизованная настройка антивирусного ПО и его обновление;
  •  возможность централизованного мониторинга состояния антивирусной защиты сети;
  •  в случае необходимости - централизованная постановка/отмена задач рабочим станциям внутри сети;
  •  централизованный сбор и изучение информации о вирусных событиях на всех защищаемых компьютерах;
  •  при необходимости - предоставление отдельным пользователям возможности самостоятельной настройки антивирусного ПО;
  •  управление антивирусной сетью и получение соответствующей информации администратором антивирусной защиты как с рабочих мест в корпоративной сети, так и удаленно через Интернет.

Преимущества:

1. Возможность иерархического построения системы антивирусной защиты на базе нескольких серверов Dr.Web Enterprise Suite, соединённых между собой и обеспечивающих своими ресурсами единую антивирусную сеть, делает это решение незаменимым для компаний, имеющих многофилиальную структуру. Программа легко масштабируется в зависимости от размеров и сложности сети и может быть адаптирована как для простых сетей из нескольких компьютеров, так и для сложных распределенных интранет-сетей, насчитывающих десятки тысяч узлов. Масштабирование обеспечивается возможностью использовать группирование из нескольких взаимодействующих серверов Dr.Web Enterprise Suite и отдельного SQL-сервера для хранения данных и комплексной структурой взаимодействия между ними.

2. Единый центр управления антивирусной защитой

Dr.Web Enterprise Suite предоставляет возможность установки рабочего места администратора (консоли) практически на любом компьютере под управлением любой операционной системы.

Dr.Web Enterprise Suite позволяет администратору, работающему как внутри сети, так и на удаленном компьютере (через сеть Интернет), централизовано управлять всеми компонентами антивирусной защиты, отслеживать состояние всех защищенных узлов, получать уведомления о вирусных инцидентах и настраивать автоматическую реакцию на них. Для этого достаточно наличия связи по протоколу TCP/IP между рабочим местом администратора и антивирусным сервером. Легкость в развертывании антивирусной сети, гибкие возможности настроек инсталляционных пакетов для развертывания клиентской части, быстрое и эффективное распространение сервером обновлений вирусных баз и программных модулей на защищаемые компьютеры, не требующее для немедленного начала работы каких-либо дополнительных настроек и составления расписания обновления и исключительное удобство администрирования бесспорно относятся к числу многочисленных достоинств Dr.Web Enterprise Suite, отличающих наш продукт от аналогичных решений на рынке.

3. Низкозатратное администрирование

Возможность единого «взгляда сверху» на антивирусную сеть предприятия любого масштаба с одного рабочего места (через консоль администратора) — причем, где бы оно не находилось, — сокращает время на администрирование и затраты на восстановление жизнеспособности сети после вирусной атаки. Dr.Web Enterprise Suite позволяет существенно сократить время на обслуживание и значительно снижает нагрузку на системных администраторов.

4. Экономия трафика локальной сети

Решение обеспечивает минимальный, в сравнении с аналогичными решениями других производителей, сетевой трафик, основанный на специально разработанном протоколе обмена информацией в сетях, построенных на основе протоколов TCP/IP, IPX и NetBIOS с возможностью применения специальных алгоритмов сжатия трафика. Экономия сетевого трафика обеспечивается специальным оптимизированным протоколом, поддерживающим компрессию данных между клиентом и сервером.

Решение поддерживает одновременно несколько сетевых протоколов между защищаемыми компьютерами и антивирусным сервером: TCP/IP, IPX/SPX, NetBIOS. Безопасность передачи данных между различными компонентами системы обеспечивается возможностью шифрования данных, что позволяет администрировать антивирусную сеть из любой точки мира через Интернет.

Dr.Web Enterprise Suite содержит опцию встроенного резервного копирования критически важных данных и конфигурации антивирусного сервера, а также опцию восстановления сервера из резервной копии.

Сертификат соответствия ФСТЭК РФ № 2012 от 14.01.2010 на программное изделие «Антивирус Dr.Web версии 5.0 для Windows» по 2 уровню контроля НДВ и на соответствие ТУ, и может использоваться для защиты информации в ИСПДн до 1 класса включительно.

Цена: 1090 рублей за 1 лицензию.

Kaspersky Business Space Security

Kaspersky Business Space Security – это оптимальная защита информационных ресурсов компании от современных интернет-угроз.

Kaspersky Business Space Security защищает рабочие станции и файловые серверы от всех видов вирусов, троянских программ и червей, предотвращает вирусные эпидемии, а также обеспечивает сохранность информации и мгновенный доступ пользователей к сетевым ресурсам. Продукт разработан с учетом повышенных требований к серверам, работающим в условиях высоких нагрузок.

Преимущества:

- централизованная установка и управление;

- поддержка Cisco® NAC (Network Admission Control);

- защита рабочих станций и файловых серверов от всех видов интернет-угроз;

- технология iSwift для исключения повторных проверок в рамках сети;

- распределение нагрузки между процессорами сервера;

- изоляция зараженных рабочих станций;

- отмена вредоносных изменений в системе;

- масштабируемость.

Дополнительные характеристики:

- проактивная защита рабочих станций от новых вредоносных программ;

- проверка электронной почты и интернет-трафика «на лету»;

- персональный файервол с системой IDS/IPS;

- защита при работе в беспроводных сетях WiFi;

- технология самозащиты антивируса от вредоносных программ;

- карантинное хранилище подозрительных объектов;

- автоматическое обновление баз.

Сертификат ФСТЭК №1832 от 10.05.2007 ПО «Антивирус Касперского 6.0 для Windows Servers» –  по 3 уровню контроля НДВ и на соответствие ТУ.

Сертификат ФСТЭК №1834 от 11.05.2007 ПО «Антивирус Касперского 6.0 для Windows Workstations» –  по 3 уровню контроля НДВ и на соответствие ТУ.

Сертификат ФСТЭК №1835 от 11.05.2007 ПО «Kaspersky Administration Kit 6.0» –  по 3 уровню контроля НДВ и на соответствие ТУ.

Цена Kaspersky Business Space Security: 10 - 14 лицензий – 1200 рублей за 1 лицензию.

ESET NOD32 Business Edition версии 4.0

Решение ESET NOD32 Business Edition разработано для сетей крупных и средних организаций и обеспечивает защиту файловых серверов и рабочих станций компании. ESET NOD32 Business Edition обеспечивает обнаружение и блокировку вирусов, троянских программ, червей, шпионских программ, рекламного ПО, фишинг-атак, руткитов и других интернет-угроз, представляющих опасность для компаний. Несмотря на минимальную потребность в ресурсах, данное решение  обеспечивает непревзойденный уровень проактивной защиты, практически не снижая производительность компьютера. ESET NOD32 Business Edition обеспечивает поддержку файловых серверов Windows, Novell Netware и Linux/FreeBSD.

Версия для корпоративных клиентов Антивируса ESET NOD32 является прекрасно масштабируемым решением, которое может охватывать от пяти до сотни тысяч пользователей в рамках одной структуры.

В состав приложения входит компонента для централизованного развертывания и управления ESET Remote Administrator, обеспечивающая простоту внедрения и администрирования продукта  как в сетях небольших компаний, так и в масштабных корпоративных сетях.

Функциональные возможности:

  •  Установка на сервер.

Версия для корпоративных клиентов ESET NOD32 может быть установлена как на сервер, так и на рабочие станции (версия для домашнего использования может устанавливаться только на рабочие станции). Это особенно важно для компаний, стремящихся к поддержке своей конкурентоспособности, так как серверы уязвимы для атак не менее, чем обычные рабочие станции. Если серверы не будут защищены, один вирус может повредить всю систему.

  •  Удаленное администрирование.

С помощью компоненты ESET Remote Administrator можно контролировать и администрировать программное решение по безопасности из любой точки мира. Особую важность этот фактор имеет для компаний, распределенных географически, а также для системных администраторов, предпочитающий удаленную форму работы или находящихся в разъездах.

  •  Возможность «Зеркала».

Функция зеркала ESET позволяет ИТ-администратору ограничить полосу пропускания сети путем создания внутреннего сервера обновлений. В результате у рядовых пользователей нет необходимости выходить в Интернет для получения обновлений, что не только позволяет экономить ресурсы, но также сокращает общую уязвимость информационной структуры.

Сертификат ФСТЭК РФ 1914 от 22.09.2009г по 3 уровню контроля НДВ и на соответствие ТУ, и может использоваться при создании АС до 1Г включительно, а также для защиты информации в ИСПДн до 1 класса включительно.

Цена ПО «ESET NOD32® Antivirus 4.0: Business Edition»– 950 рублей – 1 лицензия.

В качестве комплексного решения антивирусной защиты вычислительной сети был выбрано ПО «ESET NOD32® Antivirus 4.0: Business Edition». Данное антивирусное ПО необходимо установить на рабочих станциях и серверах. ПО «ESET NOD32® Antivirus 4.0: Business Edition» будет загружаться вместе с ОС и функционировать в режиме постоянной защиты. Версия для корпоративных клиентов ESET NOD32 может быть установлена как на сервер, так и на рабочие станции. Это особенно важно для информационной системы предприятия, так как серверы уязвимы для атак не менее, чем обычные рабочие станции. Если серверы не будут защищены, один вирус может повредить всю информационную систему.

ПО «ESET NOD32® Antivirus 4.0: Business Edition» выполняет следующие задачи:

- проводится автоматическая проверка на наличие ВП или последствий ПМВ при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать ВП, по их типовым шаблонам и с помощью эвристического анализа;

- реализованы механизмы автоматического блокирования обнаруженных ВП путем их удаления из программных модулей или уничтожения;

- регулярно выполняется проверка на предмет наличия ВП в средствах защиты от ПМВ (при первом запуске средства защиты от ПМВ и с устанавливаемой периодичностью);

- факт выявления ПМВ инициирует автоматическую проверку на предмет наличия ВП;

- реализован механизм отката для устанавливаемого числа операций удаления ВП из оперативной или постоянной памяти, из программных модулей и прикладных программ или программных средств, содержащих ВП;

- на всех технических средствах ИСПДн проводится непрерывный согласованный по единому сценарию автоматический мониторинг информационного обмена в ИСПДн с целью выявления проявлений ПМВ.

Все вышеперечисленные задачи полностью удовлетворяют требованиям, предъявляемым к ИСПДн класса К2.

  1.  
    ТЕХНОЛОГИЧЕСКАЯ ЧАСТЬ

Данная часть является заключительным этапом в области проектирования и пуско-наладки системы, т.к. содержит в себе описание технологии проведения работ. Основой является построение сетевого графика проведения работ, в соответствии, со сроками которого ведутся работы по установке, монтажу и пуско-наладке биометрических считывателей и системы защиты.

Рекомендуются следующие стадии создания СЗПДн:

  1.  предпроектная стадия, включающая предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание;
    1.  стадия проектирования (разработки проектов) и реализации ИСПДн, включающая доработку контроля и управления доступом с помощью биометрических считывателей отпечатков пальцев и разработку системы защиты биометрических данных в составе ИСПДн;

3. стадия ввода в действие биометрических считывателей и системы защиты ПДн, включающая опытную эксплуатацию и приемо-сдаточные испытания, а также оценку соответствия ИСПДн требованиям безопасности информации.

На предпроектной стадии по обследованию ИСПДн рекомендуются следующие мероприятия:

  •  устанавливается необходимость обработки ПДн в ИСПДн;
  •  определяется перечень ПДн, подлежащих защите от НСД;
  •  определяются условия расположения ИСПДн относительно границ контролируемой зоны (КЗ);
  •  определяются конфигурация и топология ИСПДн в целом и ее отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
  •  определяются технические средства и системы, предполагаемые к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
  •  определяются режимы обработки ПДн в ИСПДн в целом и в отдельных компонентах;
  •  определяется класс ИСПДн;
  •  уточняется степень участия персонала в обработке ПДн, характер их взаимодействия между собой;
  •  определяются (уточняются) угрозы безопасности ПДн к конкретным условиям функционирования (разработка частной модели угроз).

Техническое (частное техническое) задание на разработку СЗПДн должно содержать:

  •  обоснование разработки СЗПДн;
  •  исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах; класс ИСПДн;
  •  ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн; конкретизацию мероприятий и требований к СЗПДн;
  •  перечень предполагаемых к использованию сертифицированных средств защиты информации;
  •  обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
  •  состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.

 На стадии проектирования и создания ИСПДн (СЗПДн) проводятся следующие мероприятия:

  •  разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
  •  разработка раздела технического проекта на ИСПДн в части защиты информации;
  •  строительно-монтажные работы в соответствии с проектной документацией;
  •  использование серийно выпускаемых технических средств обработки, передачи и хранения информации;
  •  разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
  •  использование сертифицированных технических, программных и программно-технических средств защиты информации и их установка;
  •  сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;
  •  разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;
  •  определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн;
  •  разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
  •  выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.

На стадии ввода в действие ИСПДн (СЗПДн) осуществляются:

  •  выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
  •  опытная эксплуатация биометрических идентификаторов в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе уже имеющейся СКУД;
  •  опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн и отработки ПДн;
  •  приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации;
  •  организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
  •  оценка соответствия ИСПДн требованиям безопасности ПДн.
    1.  График выполнения работ

Таблица 5

Этап работ

неделя

1

2

3

4

5

6

7

8

9

10

11

12

Обследование ИСПДн

Формирование тех. задания

 

Разработка проекта СЗПДн 

Подготовка СЗПДн к вводу в действие

Комплектация

Пуско-наладочные работы

Проведение предварит. испытаний

Обучение персонала

Проведение опытной эксплуатации

  1.  Предварительные испытания биометрического считывателя

Объект испытаний: ZKSoftware F702S (с дополнительной опцией считывания HID – карт)

Цель испытаний: Проверка работоспособности функциональных возможностей на соответствие заявленных в технической документации. (результат испытаний представлены в таблице 6)

Таблица 6

№ п/п

Функция

Описание функции

Результат проверки

1.

Инициализация программатора

Установка соединения с программным обеспечением

Работает

2.

Подсветка

Подсветка сканирующей матрицы

Работает

3.

Определение наличия

Определение наличия пальца на сканирующей матрице

Работает

4.

Сканирование

Сканирование отпечатка пальца и сигнализация о готовности программному обеспечению

Работает

5.

Считывание отпечатка

Считывание отпечатка пальца с последующей их записью в БД

Работает

6.

Считывание 2-х отпечатков

Считывание 2-х отпечатков любых пальцев (в т.ч. у разных людей) с последующей их записью в БД

Работает

7.

Соответствие данных

Соответствие данных, введенных в начальных стадиях работы ПО (Имя, Организация), записанным в БД

Соответствует

8.

Чтение карточки HID

Нахождение в поле действия прибора карточки HID с последующим автоматическим считыванием

Работает

9.

Верификация отпечатка

Верификация отпечатка пальца с последующим разрешением прохода

Работает

10.

Отказ доступа

Отказ доступа при предъявлении неверного пальца или пальца другого человека

Работает

При эксплуатации биометрического считывателя нельзя забывать об основных факторах воздействия для систем идентификации по отпечатку пальцев. Данные факторы описаны в Приложении № 15.

На работу ZKSoftware F702S из всех факторов можно выделить:

  •  Изменение поверхности пальца (порез, рана, разрез, царапина и т.д.), обусловленные травмой. Вероятность ошибки возрастает, но распознавание возможно при условии небольшого пореза.
  •  Изменение состояния кожи пальца, увлажнение или сухость, обусловленные биологическими или физическими причинами. В этом случае вероятность ошибки стремится к нулю. Идентификатор распознает даже мокрые руки.
  •  Номер пальца, используемого для идентификации. F702S достаточно хорошо распознает любые пальцы, при условии правильном расположении их на считывателе.
  •  Изменение состояния кожи пальца: огрубение, царапины, ороговение или трещины вследствие издержек профессии или хобби. Данные факторы незначительно влияют на идентификацию. Биометрический считыватель распознает отпечаток даже грязных и жирных рук, при условии не стопроцентной загрязненности.

Вывод

В ходе проведения испытаний проверялась работоспособность биометрического считывателя ZK Software F702S. В целом комплекс работает устойчиво, тем не менее, для надежной работы желательно соблюсти некоторые аспекты эксплуатации.

По результатам оценки функциональных параметров выработались рекомендации по использованию комплекса для минимизации ошибок и отказов.

1. Запись эталонного отпечатка желательно проводить в помещении с комнатной температурой, подушечки пальцев должны быть сухими.

2. Прикладывать палец следует таким образом, чтобы на середине сенсора оказывался центр папиллярного рисунка подушечки пальца. Располагать палец следует строго под прямым углом к считывателю.

3. В БД рекомендуется записывать не менее двух отпечатков пальцев. При возникновении нештатных ситуаций при считывании (отказ доступа из-за температурных перепадов, повышенной влажности пальцев и т.п.) можно было бы использовать запасной вариант.

4. Порядок поднесения карточки и предъявления отпечатка пальца не имеет значения.

Функциональные свойства, которыми обладает биометрический комплекс, не отличаются от заявленных в фирменных справочных листках. Его можно применять на объектах в целях повышения безопасности и надежности систем контроля доступа.

  1.  
    ОРГАНИЗАЦИОННО-ЭКОНОМИЧЕСКАЯ ЧАСТЬ

В данном разделе дипломного проекта представлено описание эффекта от внедрения системы защиты биометрических данных в ИСПДн СКУД ОАО «ММЗ», расчет капитальных затрат на внедрение системы защиты, а также оценка текущих эксплуатационных затрат.

  1.  Описание эффекта от внедрения системы защиты информации

Оценить с достаточной степенью точности прямой экономический эффект от реализации проекта по обеспечению информационной безопасности сложно, так как его внедрение оказывает косвенное влияние на получение прибыли от инвестиций. Главным образом, рекомендуемая система рассматривалась как средство снижения рисков.

Ниже выполнена оценка рисков для ИСПДн СКУД до внедрения системы защиты ПДн и после него. Риски выражены в баллах. Шкала для определения возможного ущерба описана в таблице 7, а шкала для определения вероятности реализации угрозы в таблице 8.

Таблица 7

Величина потерь

Описание ущерба от реализации угрозы

0

Реализации угрозы приведет к ничтожному ущербу

1

Основная деятельность не будет затронута. Финансовых потерь не будет, возможные последствия учтены в бюджете или предприняты меры по переносу риска

2

Деятельность организации прервется на некоторое время. Будут затронуты внутренние функции организации, превышен бюджет, потеряны возможности получить прибыль

3

Будут затронуты внешние функции организации, нанесен большой финансовый ущерб. Возможна утрата части партнерских связей

4

На восстановление требуются крупные финансовые вложения, деятельность прерывается на длительный срок, возможна смена руководства

5

Деятельность прекращается, невосполнимый ущерб

Таблица 8

Вероятность реализации угрозы

Средняя частота появления

0

Данный вид атаки отсутствует вообще

1

Реже, чем 1 раз в год

2

Около 1 раза в год

3

Около 1 раза в месяц

4

Около 1 раза в неделю

5

Ежедневно

Величина риска рассчитывается как произведение вероятности реализации угрозы на величину ущерба от угрозы.

Риски до и после внедрения системы защиты ПДн в ИСПДн СКУД ОАО «ММЗ» приведены в таблице 9.

Таблица 9.

Описание угрозы

Риск до внедрения

Риск после внедрения

1. утечка информации по каналу ПЭМИН – перехват ПЭМИ ТС обработки информации;

2

2

2. утечка информации по каналу ПЭМИН – наводки на ВТСС;

2

2

3. утечка информации по каналу ПЭМИН – наводки на линии, инженерные конструкции, выходящие за пределы КЗ;

2

2

4. НСД к информации, обрабатываемой в АРМ – действия нарушителей при непосредственном доступе к АС;

10

4

5. Угрозы, реализуемые в ходе загрузки ОС и направленные на перехват паролей и идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой;

10

4

6. Угрозы, реализуемые после загрузки ОС и направленные на выполнение НСД с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) ОС или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.)

10

4

7. Внедрение вредоносных программ;

10

2

Итого

46

20

После внедрения системы обеспечения информационной безопасности риски сократились более чем в 2 раза, следовательно, полученный эффект весьма в значительной степени влияет на увеличение прибыли предприятия.

  1.  Расчет стоимости разработки системы защиты биометрических данных в ИСПДн СКУД ОАО «ММЗ».

При расчете стоимости разработки проекта в первую следует выявить виды затрат, возникающих при проектировании системы защиты информации.

Разработка системы связана со следующими группами затрат:

  •  материальные расходы;
  •  расходы на оплату труда исполнителей разработки;
  •  взносы на социальное страхование;
  •  амортизация основных фондов;
  •  прочие прямые расходы;
  •  накладные расходы.

Ниже приведен расчет данных видов затрат, исходя из следующих данных:

  1.  В процессе разработки участвуют:
  •  руководитель проекта (заработная плата (ЗП1 – 25000 руб./мес., с учетом надбавок и доплаты к окладам, время занятости в проекте К1 – 7% от общих затрат времени на разработку);
  •  инженер (заработная плата ЗП2 12000 руб./мес., с учетом надбавок и доплаты к окладам, время занятости в проекте К2 – 100% от общих затрат времени на разработку);
  1.  Срок разработки СР – 4 месяца (84 рабочих дня);
  2.  Длительность рабочего дня Д – 8 часов;
  3.  Процент отчислений на дополнительную заработную плату ПД – 10%;
  4.  Процент взносов на социальное страхование ПС – 34,2%;
  5.  Использовалась следующая вычислительная техника:
  •  компьютер (стоимость СТ1 – 11000 руб., время занятости в проекте КТ1 – 80% срока разработки, срок полезного использования СЭТ1 – 1 год, энергопотребление ЭТ1 – 0,2 кВт/ч);
  •  принтер (стоимость СТ2 – 4000 руб., время занятости в проекте КТ2 – 1% срока разработки, срок полезного использования СЭТ2 – 5 лет, энергопотребление ЭТ2 – 0,1 кВт/ч);
  1.  Стоимость электроэнергии СЭ – 4,15 руб. кВт/ч;
  2.  Было отпечатано 200 листов печатного текста при стоимости одного листа 0,6 руб. ( с учетом стоимости бумаги и краски для принтера).

Затраты на разработку проекта приведены в таблице 10.

Таблица 10.

Наименование статьи расходов

Расчет затрат

Величина затрат (руб.)

Материальные расходы

Расходные материалы

200*0,6

120

Основная заработная плата по исполнителям

Зарплата руководителя

СР*К1*ЗП1 = 4*0,07*25000

7000

Зарплата инженера

СР*К2*ЗП2 = 4*1*12000

48000

Итого:

55000

Дополнительная заработная плата исполнителей

Доп. зарплата

55000*ПД=45600*0,1

5500

Взносы на социальное страхование

Отчисления от зарплаты

(55000+5500)*ПС=60500*0,342

20691

Амортизация

Амортизация используемого компьютера

СТ1*КТ1*СР/СЭТ1 в месяцах = 11000*0,8*4/(1*12)

2933,3

Амортизация

Амортизация используемого принтера

СТ2*КТ2*СР/СЭТ2 в месяцах = 4000*0,01*4/(5*12)

2,67

Расходы на электроэнергию

Расходы на электроэнергию (компьютер)

ЭТ1*СЭ*Д*СР*КТ1 = 0,2*4,15*(8*84)*0,8

446,2

Расходы на электроэнергию (принтер)

ЭТ2*СЭ*Д*СР*КТ2 = 0,1*4,15*(8*84)*0,01

2,79

Итого:

84695,96

Прочие прямые расходы

10% * ∑= 0,1*84695,96

8469,6

Итого:

93165,56

Таким образом, стоимость разработки проекта составила 93165,56руб.

  1.  Расчет затрат на внедрение системы защиты биометрических данных в ИСПДн СКУД ОАО «ММЗ»

Расчет затрат на внедрение ведется с учетом того, что программно-аппаратные средства защиты и биометрические считыватели поставляются разработчиками средств, и транспортные расходы входят в стоимость продуктов. Пуско-наладочные работы осуществляются разработчиком проекта. На данный вид работ привлекаются 2 человека (должность – инженер). Предполагаемый срок выполнения работ – 15 рабочих дней.

Приобретение технических и программных средств

Таблица 11.

Наименование технических и программных средств

Цена (руб.)

Количество

Величина затрат (руб.)

Средства биометрической идентификации

Биометрический идентификатор отпечатков пальцев с считывателем HID-карт ZKSoftware F702S

15000

35

52500

Средства защиты

СЗИ от НСД « Secret Net 6.5 »

6400

11

70400

Плата Secret Net Touch Memory Card PCI 2 (идентификация и аутентификация пользователя с помощью iButton)

3200

11

35200

Считыватель iButton (для SN-TMC-PCI-2)

360

11

3960

Идентификатор iButton DS-1992 (1 Кбит памяти)

300

11

3300

Eset NOD32 Business Edition версии 3.0

950

11

10450

Итого:

123 310

Пуско-наладочные работы

Таблица 12

Наименование статьи расходов

Расчет затрат

Величина затрат (руб.)

Основная заработная плата исполнителям (за время внедрения системы)

Зарплата инженерам организации-разработчика проекта (2 чел.)

2*6000*15/22

8181,82

Дополнительная заработная плата исполнителям (за время внедрения системы)

Доп. зарплата инженеров организации-разработчика

8181,82*0,1

818,18

Взносы на социальное страхование

Отчисления от зарплаты инженеров организации-разработчика

(8181,82+818,18)*

0,342

3078

Вспомогательные материалы для работ

Материалы для работ

0,05*52 500

2625

Итого:

14703

Прочие прямые расходы

Прочие прямые расходы

10% * ∑= 0,1*14703

1470,3

Итого:

16173,3

Цены взяты с сайтов Биопрофиль. Биометрические системы (www.bio-profile.ru), Код безопасности. ГК «Информзащаита» (www.securitycode.ru).

Как показал анализ затрат на внедрение системы защиты ПДн, основную часть расходов составляет стоимость средств защиты от НСД. В зависимости от величины поставки средств защиты ПДн сумма затрат на внедрение может уменьшиться весьма значительно.

  1.  Оценка текущих эксплуатационных затрат

Текущие эксплуатационные затраты внедренной системы защиты информации состоят из следующих составляющих:

заработная плата администратора безопасности;

взносы на социальное страхование;

материальные расходы;

амортизация основных фондов;

накладные расходы;

прочие прямые расходы.

Данная система безопасности представляет собой дополнительные программно-аппаратные средства (устанавливаются на рабочие места, имеющиеся на предприятии) и биометрические считыватели, которые внедряются в СКУД завода.

Для сопровождения и поддержания системы безопасности в рабочем состоянии привлекать сторонних специалистов не требуется, все работы выполняет штатный состав сотрудников. В должностные инструкции, которых входит обслуживание данного комплекса.

Нормативный срок эксплуатации:

  •  программно-аппаратных комплексов составляет 5 лет при коэффициенте использования 100%.
  •  Технических систем и средств контроля и управления доступом не менее 8 лет с учетом проведения восстановительных работ.

Однако, с учетом морального износа срок эксплуатации программно-аппаратных средств ограничим 3 годами, а биометрических идентификаторов - 5 годами. Это отражено в таблице 13.

Таблица 13.

Вид 

Срок службы (лет)

Годовая норма амортизации (%)

Балансовая стоимость (руб.)

Время эксплуатации (мес.)

Сумма износа (руб.)

Биометрический идентификатор ZKSoftware F702S

5

20

52 500

60

52 500

СЗИ от НСД « Secret Net 6.5 »

3

20

70 400

36

42 240

Плата Secret Net Touch Memory Card PCI 2

3

20

35 200

36

21 120

Считыватель iButton (для SN-TMC-PCI-2)

5

20

3 960

60

3 960

Идентификатор iButton DS-1992 (1 Кбит памяти)

5

20

3 300

60

3 300

Eset NOD32 Business Edition версии 3.0

3

20

10 450

36

6 270

ИТОГО

129 390

В таблице 14 приведен расчет затрат на сопровождение системы (с учетом того, что на обслуживание системы администратор безопасности тратит 20% своего рабочего времени, а дополнительная заработная плата составляет 10% от основной). Заработная плата администратора безопасности составляет 15 000 рублей (с учетом надбавок и доплат к окладам).

Таблица 14.

Наименование статьи расходов

Состав затрат

Сумма затрат (руб.)

Основная заработная плата

Зарплата администратора безопасности за год

0,2*11*15000

33000

Дополнительная заработная плата

Доп. зарплата администратора безопасности

33000*0,1

3300

Социальное страхование

Отчисления от зарплаты администратора безопасности

(33000+3300)*0,342

12414,6

Материальные расходы

Вспомогательные материалы для обслуживания технических средств

52 500*0,1

5250

Итого:

53964,6

Прочие прямые расходы

Прочие прямые расходы (учитывают те затраты, которые по разным причинам не могут быть включены в прямые расходы. Примем их значение равным 10% от прямых затрат)

53964,6*0,1

5396,46

Накладные расходы

Накладные расходы

(33000+3300)*0,8

29040

Итого:

88401,06

Несмотря на значительные затраты на построение системы защиты ПДн в ИСПДн пропускного режима ОАО «ММЗ» (разработка – 93 165,56 руб., внедрение – 139 483,3 руб., эксплуатационные затраты в год – 88 401,06 руб., всего – 321 049,92), эти затраты оправданы. В данном случае речь идет не о показателе рентабельности инвестиций в безопасность ПДн, а о необходимых мерах защиты, которые обязательно должны быть реализованы в соответствии с законодательством РФ и руководящими документами ФСТЭК.

  1.  
    БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ

С развитием научно-технического прогресса немаловажную роль играет возможность безопасного исполнения людьми своих трудовых обязанностей. В связи с этим была создана и развивается наука о безопасности труда и жизнедеятельности человека. Вопросам безопасности жизнедеятельности с каждым годом уделяется все большее внимание, т.к. забота о здоровье человека стала не только делом государственной важности, но и элементом конкуренции работодателей в вопросе привлечения кадров.

Безопасность жизнедеятельности (БЖД) - это комплекс мероприятий, направленных на обеспечение безопасности человека в среде обитания, сохранение его здоровья, разработку методов и средств защиты путем снижения влияния вредных и опасных факторов до допустимых значений, выработку мер по ограничению ущерба в ликвидации последствий чрезвычайных ситуаций мирного и военного времени.

Цель и содержание БЖД:

- обнаружение и изучение факторов окружающей среды, отрицательно влияющих на здоровье человека;

- ослабление действия этих факторов до безопасных пределов или исключение их если это возможно;

- ликвидация последствий катастроф и стихийных бедствий.

Круг практических задач БЖД прежде всего обусловлен выбором принципов защиты, разработкой и рациональным использованием средств защиты человека и природной среды от воздействия техногенных источников и стихийных явлений, а также средств, обеспечивающих комфортное состояние среды жизнедеятельности.

Охрана здоровья трудящихся, обеспечение безопасности условий труда, ликвидация профессиональных заболеваний и производственного травматизма составляет одну из главных забот человеческого общества. Обращается внимание на необходимость широкого применения прогрессивных форм научной организации труда, сведения к минимуму ручного, малоквалифицированного труда, создания обстановки, исключающей профессиональные заболевания и производственный травматизм.

На рабочем месте должны быть предусмотрены меры защиты от возможного воздействия опасных и вредных факторов производства. Уровни этих факторов не должны превышать предельных значений, оговоренных правовыми, техническими и санитарно-техническими нормами. Эти нормативные документы обязывают к созданию на рабочем месте условий труда, при которых влияние опасных и вредных факторов на работающих либо устранено совсем, либо находится в допустимых пределах.

Данный раздел дипломного проекта посвящен рассмотрению следующих вопросов:

- анализ вредных и опасных факторов при работе с ПЭВМ;

- определение мероприятий по улучшению условий труда в соответствии с нормативными документами;

- технический расчет освещенности рабочего места администратора безопасности.

6.1. Анализ вредных факторов при работе с ПЭВМ

Безопасность жизнедеятельности при работе со средствами вычислительной техники обеспечивается ГОСТами Системы стандартов безопасности труда (ССБТ) и Санитарно-эпидемиологическими правилами и нормативами СанПиН 2.2.2/2.4.1340-03 "Гигиенические требования к персональным электронно-вычислительным машинам и организации работы". Полное выполнение этих требований сводит риск возникновения чрезвычайной ситуации к минимуму.

Работа со средствами вычислительной техники связана с вредным воздействием целой группы факторов, таких как:

  •  неблагоприятные климатические условия;
  •  недостаточная освещенность рабочего места;
  •  повышенный уровень электромагнитных и электростатических полей;
  •  переутомление работающих;
  •  опасность поражения электрическим током;
  •  опасность возникновения пожара;
  •  воздействие вредных излучений от монитора и от компьютера;
  •  ненормированный уровень шума;
  •  неэргономичность рабочего места и другие факторы;

Кроме того, работа с компьютером характеризуется значительным умственным напряжением и нервно-эмоциональной нагрузкой операторов, высокой напряженностью зрительной работы и достаточно большой нагрузкой на мышцы рук при работе с клавиатурой ЭВМ. Большое значение имеет рациональная конструкция и расположение элементов рабочего места, что важно для поддержания оптимальной рабочей позы человека-оператора.

В процессе работы с компьютером необходимо соблюдать правильный режим труда и отдыха. В противном случае у персонала отмечаются значительное напряжение зрительного аппарата с появлением жалоб на неудовлетворенность работой, головные боли, раздражительность, нарушение сна, усталость и болезненные ощущения в глазах, в пояснице, в области шеи и руках. Для предотвращения возникновения перечисленных опасностей необходимо соблюдать меры безопасности при работе с персональным компьютером.

Проведем анализ основных факторов вредного и опасного влияния компьютера и другой офисной техники на организм человека.

  1.  Анализ организации рабочего места администратора безопасности СКУД

Рабочее место – это часть пространства, в котором пользователь осуществляет трудовую деятельность и проводит большую часть рабочего времени. Рабочее место, хорошо приспособленное к трудовой деятельности, правильно и целесообразно организованное в отношении пространства, формы, размера обеспечивает ему удобное положение при работе и высокую производительность труда при наименьшем физическом и психическом напряжении.

Конструкция рабочего стола обеспечивает оптимальное размещение на рабочей поверхности используемого оборудования с учетом его количества и конструктивных особенностей, характера выполняемой работы. Высота рабочей поверхности стола должна составлять 725 мм, ширина – 1000 мм, а глубина – 800 мм.

Конструкция рабочего стула пользователя позволяет регулировать положение пользователя (высоту, угол наклона спинки и т.д.), что позволяет занимать оптимальную позу за рабочим местом для работы на ПЭВМ.

  1.  Анализ микроклимата

Микроклимат производственных помещений – это климат внутренней среды этих помещений, который определяется действующими на организм человека сочетаниями температуры, влажности и скорости движения воздуха.

Параметры микроклимата могут меняться в широких пределах, в то время как необходимым условием жизнедеятельности человека является поддержание постоянства температуры тела благодаря терморегуляции, т.е. способности организма регулировать отдачу тепла в окружающую среду. Принцип нормирования микроклимата – создание оптимальных условий для теплообмена тела человека с окружающей средой.

Вычислительная техника является источником существенных тепловыделений, что может привести к повышению температуры и снижению относительной влажности в помещении. В помещениях, где установлены компьютеры, должны соблюдаться определенные параметры микроклимата.

Температура воздуха в помещении, где установлена ПЭВМ в холодный период регулируется батареями радиаторов, и составляет 18-22°С. Скорость движения воздуха не более 0.1м/с. Относительная влажность около 50-60%. В соответствии с санитарными требованиями ежедневно проводится влажная уборка и регулярное проветривание помещения.

  1.  Анализ освещенности рабочего места

Помещения с ПЭВМ должны иметь естественное и искусственное освещение. Естественное освещение должно осуществляться через светопроемы, ориентированные преимущественно на север и северо-восток и обеспечивать коэффициент естественной освещенности (КЕО) не 1 ниже 1.2% в зонах с устойчивым снежным покровом и не ниже 1.5% на остальной территории. Рабочие места пользователей ПЭВМ по отношению к световым проемам должны располагаться так, чтобы естественный свет падал сбоку, преимущественно слева.

Недостаточность освещения приводит к напряжению зрения, ослабляет внимание, приводит к наступлению преждевременной утомленности. Чрезмерно яркое освещение вызывает ослепление, раздражение и резь в глазах.

Неправильное направление света на рабочем месте может создавать резкие тени, блики, дезориентировать работающего. Все эти причины могут привести к несчастному случаю или профзаболеваниям, поэтому столь важно обеспечить правильное освещение.

Согласно СанПиН 2.2.2/2.4.1340-03 в производственных и административно-общественных помещениях, в случаях преимущественной работы с документами, следует применять системы комбинированного освещения.

Освещенность на поверхности стола в зоне размещения рабочего документа должна быть 300 - 500 лк. Освещение не должно создавать бликов на поверхности экрана. Освещенность поверхности экрана не должна быть более 300 лк.

Яркость светящихся поверхностей (окна, светильники и др.), находящихся в поле зрения, должна быть не более 200 кд/м2.

Следует ограничивать отраженную блесткость на рабочих поверхностях (экран, стол, клавиатура и др.) за счет правильного выбора типов светильников и расположения рабочих мест по отношению к источникам естественного и искусственного освещения, при этом яркость бликов на экране ПЭВМ не должна превышать 40 кд/м2 и яркость потолка не должна превышать 200 кд/м2.

Показатель ослепленности для источников общего искусственного освещения в производственных помещениях должен быть не более 20.

Яркость светильников общего освещения в зоне углов излучения от 50 до 90 градусов с вертикалью в продольной и поперечной плоскостях должна составлять не более 200 кд/м2, защитный угол светильников должен быть не менее 40 градусов.

Светильники местного освещения должны иметь не просвечивающий отражатель с защитным углом не менее 40 градусов.

В качестве источников света при искусственном освещении должны применяться преимущественно люминесцентные лампы типа ЛБ. При устройстве отраженного освещения в производственных и административно-общественных помещениях допускается применение металлогалогенных ламп мощностью до 250Вт. Допускается применение ламп накаливания в светильниках местного освещения.

Общее освещение следует выполнять в виде сплошных или прерывистых линий светильников, расположенных сбоку от рабочих мест, параллельно линии зрения пользователя при рядном расположении мониторов. При периметральном расположении компьютеров линии светильников должны располагаться локализовано над рабочим столом ближе к его переднему краю.

Для освещения помещений с ПЭВМ следует применять светильники с зеркальными параболическими решетками, укомплектованными электронными пускорегулирующими аппаратами (ЭПРА). Допускается использование многоламповых светильников с электромагнитными пускорегулирующими аппаратами, состоящими из равного числа опережающих и отстающих ветвей.

Для обеспечения нормируемых значений освещенности в помещениях использования ПЭВМ следует проводить чистку стекол оконных рам и светильников не реже двух раз в год и проводить своевременную замену перегоревших ламп.

  1.  Анализ уровня напряженности электромагнитного поля

Электромагнитные поля, характеризующиеся напряженностями электрических и магнитных полей, наиболее вредны для организма человека. Основным источником этих проблем являются мониторы с электронно-лучевыми трубками. У администротора безопасности СКУД используется монитор LCD Samsung SM 710N, соответствующие стандарту безопасности ТСО’99 и поддерживающие частоту кадровой развертки 100 Гц при разрешении экрана 1024 на 768 точек.

При повышенном уровне напряженности электромагнитных полей следует сократить время работы за компьютером, делать пятнадцатиминутные перерывы в течение полутора-двух часов работы.

В современных мониторах, каковым является наша модель, применяются кинескопы с токопроводящим покрытием на поверхности экрана, поэтому для снятия электростатического заряда с поверхности экрана необходимо заземлить монитор.

  1.  Анализ электробезопасности

Работа на ПЭВМ связана с опасностью поражения электрическим током. Электрический ток, проходя через тело человека, парализует его мышцы. Опасным для жизни человека считают ток, величина которого превышает 10 мА.

При работе с компьютером наиболее опасны в отношении электрического тока следующие участки:

  •  задняя панель системного блока;
  •  экран монитора;
  •  розетки;
  •  нарушенная изоляция электропроводки.

С целью предупреждения поражений электрическим током к работе на ПЭВМ допускаются только лица, предварительно прошедшие инструктаж по технике безопасности (ТБ) и расписавшиеся в журнале регистрации инструктажа по ТБ.

В соответствии с правилами электробезопасности в помещении, где работает руководитель, осуществляется постоянный контроль состояния электропроводки, предохранительных щитов, шнуров, с помощью которых включаются в сеть компьютеры, осветительные приборы, другие электроприборы. Корпус компьютера заземлен.

  1.  Анализ чрезвычайных ситуаций

Среди чрезвычайных ситуаций наиболее вероятной является пожар.

Пожарная безопасность – состояние объекта, при котором исключается возможность пожара, а в случае его возникновения предотвращается воздействие на людей опасных факторов пожара и обеспечивается защита материальных ценностей. Общие требования к пожарной безопасности нормируются ГОСТ 12.1.004–91.

Пожарная безопасность обеспечивается системой предотвращения пожара и системой пожарной защиты. Во всех служебных помещениях имеются извещатели системы оповещения о пожаре (детекторы дыма, температурные датчики), а также «План эвакуации людей при пожаре», регламентирующий действия персонала в случае возникновения очага возгорания и указывающий места расположения пожарной техники.

Опасными факторами, повышающими вероятность возникновения очага возгорания, являются: большая протяженность и скрытость монтажа электропроводки, значительное количество офисной техники и наличие кухонных бытовых приборов, питающихся от сети напряжением 220 В.

Как известно пожар может возникнуть при взаимодействии горючих веществ, окисления и источников зажигания.

Горючими компонентами являются: бумажные документы, строительные материалы для акустической и эстетической отделки помещений, перегородки, двери, полы, изоляция кабелей и др.

Источниками зажигания могут быть электронные схемы от ПЭВМ, приборы, применяемые для технического обслуживания, устройства электропитания, где в результате различных нарушений образуются перегретые элементы, электрические искры, способные вызвать загорания горючих материалов.

В современных ПЭВМ очень высокая плотность размещения элементов электронных схем. В непосредственной близости друг от друга располагаются соединительные провода, кабели. При протекании по ним электрического тока выделяется значительное количество теплоты. При этом возможно оплавление изоляции. Для отвода избыточной теплоты от ПЭВМ служат системы вентиляции и кондиционирования воздуха. При постоянном действии эти системы представляют собой дополнительную пожарную опасность.

К средствам тушения пожара, имеющимся на предприятии, относится углекислотный огнетушитель (ОУ-8), достоинством которого является высокая эффективность тушения пожара, сохранность электронного оборудования, диэлектрические свойства углекислого газа, что позволяет использовать огнетушители даже в том случае, когда не удается обесточить электроустановку сразу.

  1.  Анализ уровня шума и вибраций

Шум ухудшает условия труда, оказывая вредное действие на организм человека. Работающие в условиях длительного шумового воздействия испытывают раздражительность, головные боли, головокружение, снижение памяти, повышенную утомляемость, понижение аппетита, боли в ушах и т.д. Такие нарушения в работе ряда органов и систем организма человека могут вызвать негативные изменения в эмоциональном состоянии человека вплоть до стрессовых. Под воздействием шума снижается концентрация внимания, нарушаются физиологические функции, появляется усталость в связи с повышенными энергетическими затратами и нервно-психическим напряжением, ухудшается речевая коммутация. Все это снижает работоспособность человека и его производительность, качество и безопасность труда. Длительное воздействие интенсивного шума (выше 80 дБ) на слух человека приводит к его частичной или полной потере.

Рабочее помещение администратора безопасности СКУД находится на первом этаже непроизводственного здания, т.е. никаких внешних источников шума в помещении нет. Основным источником шума является компьютерное оборудование (вентиляторы систем охлаждения и трансформаторы системного блока ПЭВМ, источник бесперебойного питания). Согласно СанПиН 2.2.2/2.4.1340-03, эквивалентный уровень звука не должен превышать 50 дБА, что в нашем случае выполняется.

  1.  Рекомендуемые мероприятия

На основании проделанного анализа условий работы оператора ПЭВМ разработан следующий комплекс защитных мероприятий, направленных на устранение опасных и вредных производственных факторов и улучшение условий труда:

1. Требуется ознакомить всех сотрудников, имеющих доступ в помещение, где установлена ПЭВМ, с мерами защиты от поражения электрическим током:

  •  Запрещается прикасаться к задней панели системного блока при включенном питании;
  •  Запрещается при включенном питании переключать разъемы интерфейсных кабелей периферийных устройств;
  •  Запрещается производить частые переключения питания;
  •  Запрещается допускать попадание влаги на поверхность системного блока, монитора, рабочую поверхность клавиатуры, дисководов, печатающих и других устройств;
  •  Запрещается приступать к работе при обнаружении неисправностей оборудования до их устранения;
  •  Запрещается самостоятельно производить вскрытие и ремонт оборудования.

2. Необходимо разработать комплекс упражнений для проведения физкультминутки, т.к. рациональный режим труда и отдыха способствует снижению утомления, поддержанию высокой работоспособности оператора ПЭВМ, повышению производительности его труда и сохранению здоровья, установить количество перерывов на отдых, определить их длительность и распределить в течение рабочей смены.

3. Для повышения влажности воздуха в помещениях с ПЭВМ следует применять увлажнители воздуха, заправляемые ежедневно дистиллированной или прокипяченной питьевой водой. Увлажнение воздуха можно отнести и к общим мерам защиты от статического электричества.

4. Для обеспечения нормируемых значений освещенности в помещении следует проводить чистку стекол оконных рам и светильников не реже двух раз в год и проводить своевременную замену перегоревших ламп. Следует изменить расположение рабочего стола , так чтобы естественный свет падал с левой стороны (в соответствии с рекомендациями СанПиН 2.2.2/2.4.1340-03). Все предметы, загораживающие попадание естественного света на рабочее место должны быть убраны. В случаях преимущественной работы с документами к общему освещению дополнительно устанавливаются светильники местного освещения, предназначенные для освещения зоны расположения документов. Освещенность на поверхности стола в зоне размещения рабочего документа должна быть 300 - 500 лк. Освещение не должно создавать бликов на поверхности экрана. Освещенность поверхности экрана не должна быть более 300 лк.

5. Ниже приводятся рекомендации по организации рабочего места и работе с документами:

Экран должен находиться от глаз на расстоянии 600 - 700 мм. Должна предусматриваться возможность регулирования экрана по высоте, по наклону и в левом и правом направлениях. Положение экрана – на уровне глаз или немного ниже, таким образом, чтобы шейные мышцы не напрягались. Рекомендуется использование плоских 17" мониторов (оптимальное разрешение – 1024х768). Согласно СанПиН 2.2.2/2.4.1340-03 частота развертки монитора должна быть не менее 75 Гц при всех режимах разрешения экрана. Изображение на экране должно быть в удобной для восприятия цветовой гамме, шрифты - контрастными и достаточного размера. Не рекомендуется устанавливать вплотную к монитору аудиоколонки и источники бесперебойного питания, т.к. эти устройства являются источником наводок, что сказывается на качестве изображения.

Монитор должен удовлетворять следующим характеристикам:

- Яркость белого поля - не менее 35 кд/кв.м;

- Неравномерность яркости рабочего поля - не более +-20%;

- Контрастность (для  монохромного режима) - не менее 3:1;

- Временная нестабильность изображения (мелькания) - не должна фиксироваться;

- Пространственная нестабильность изображения (дрожание) - не более 2х10(-4L), где L - проектное расстояние наблюдения, мм.

При фиксированной высоте рабочего стола - лучшая высота 720 мм. Рекомендуется возможность регулирования высоты рабочей поверхности в пределах 680-760 мм. На рабочем столе должен обеспечиваться необходимый простор для рук по высоте и ширине; предпочтительно применение специализированного компьютерного стола. Расположение клавиатуры не должно приводить к напряжению рук. Уровень клавиатуры - чуть выше коленей, таким образом, чтобы предплечья были параллельны полу. Из современных моделей клавиатур рекомендуется выбрать клавиатуру с разворотом 2х блоков относительно друг друга. Во избежание неблагоприятных воздействий на суставы кистей рук целесообразно применять подставки для рук и клавиатуры.

Документ для чтения должен находиться на одном уровне с дисплеем, сбоку от видеотерминала или между монитором и клавиатурой, клавиатурой и пользователем и т.п. Когда видеотерминал имеет низкое качество изображения, расстояние от глаз до экрана делают больше (около 700 мм), чем расстояние от глаза до документа (300-450 мм). При высоком качестве изображения на видеотерминале расстояние от глаз пользователя до экрана, документа и клавиатуры может быть равным.

  1.  Расчет искусственного освещения

Расчет освещения производится для кабинета администратора безопасности площадью 6,1 м2, ширина которой 1,82 м, длина 3,4 м, высота – 2,82 м, в комнате один встроенный потолочный светильник Люмсвет 771/Милано с четырьмя люминесцентными лампами Philips TL-D Super 80 18W/827 G13, световой поток которых F = 1350 Лк. Система освещения – общее равномерное. Расстояние от светильника до стены по длине стены l2 = 1,7м, по ширине l= 0,9 м.

Рассчитаем необходимое количество светильников и сравним полученный результат с тем, что есть. Для этого воспользуемся методом коэффициента использования светового потока.

Характеристика выполняемой работы – разряд зрительной работы IV, подразряд зрительной работы – «в» (контраст – большой, фон – светлый). Минимальная освещённость при системе общего освещения 200 лк.

Расстояние от потолка до рабочей поверхности:

Так как используется светильник с люминисцентными лампами, то расстояние от потолка до светильника:

Расстояние высоты подвески светильника над рабочей поверхностью:

Расстояние высоты подвески светильника над полом:

Коэффициент наивыгоднейшего светотехнического расположения светильников  = 1,4. Рассчитываем расстояние между светильниками:

Расстояние от стен до крайних рядов светильников:

Количество горизонтальных рядов по ширине помещения:

Проверяем полученный результат:

Находим общее количество светильников:

Количество светильников в одном ряду:

Проверяем полученный результат:

Таким образом, количество рядов и количество светильников в одном ряду полностью совпадают с тем, что есть в помещении: один светильник.

Выбор типа и мощности ламп

Определяем коэффициенты отражения света от потолка и от стен.

Состояние потолка свежепобеленный п = 0,7; состояние стен оклеены светло-зелеными обоями с = 0,4.

Вычисляем показатель помещения:

Устанавливаем коэффициент использования светового потока:

Определяем расчетный световой поток одной лампы:

Учитывая найденные выше значения, выбираем тип лампы – Philips TL-D Super 80 18W/827 G13.

Определяем фактическую освещенность:

Рассчитываем мощность осветительной установки:

Паспорт осветительной установки

Тип светильника: Встраиваемый светильник Люмсвет 771/Милано

Тип лампы:  Philips TL-D Super 80 18W/827 G13

Мощность лампы, Вт: 18

Количество светильников, шт: 1

Высота подвески светильника над рабочей поверхностью, м

по длине помещения: 1,97

по ширине помещения: 1,97

Освещенность, создаваемая осветительной установкой, лк: 300,5

Мощность, потребляемая осветительной установкой, кВт: 0,072.

  1.  Вывод

В данной части дипломного проекта были рассмотрены вопросы, связанные с воздействием опасных и вредных производственных факторов на инженеров-программистов, операторов ПЭВМ, произведен анализ помещения, где расположено рабочее место администратора безопасности СКУД, и условий его работы, а также разработан комплекс мероприятий, направленных на улучшение условий труда.

Был проведен проверочный расчет искусственного освещения. В ходе проведенного анализа удалось установить, что используемая система освещения соответствует требованиям нормативной документации.


ЗАКЛЮЧЕНИЕ

Целью представленного дипломного проекта являлась разработка комплекса мер по защите биометрических ПДн.

Защита ПДн - весьма сложная, требующая комплексного, системного подхода проблема. В связи с этим в дипломном проекте проведено тщательное аналитическое исследование данной предметной области, в ходе которого были выявлены угрозы ПДн и составлена модель вероятного нарушителя с точки зрения физической и технической защиты ПДн.

На основе проведенного аналитического исследования были предложены решения по оснащению объекта программно-аппаратными средствами защиты ПНд для ИСПДн СКУД организации. Доработана СКУД с помощью биометрических считывателей отпечатков пальцев. В ходе дипломного проектирования также были предложены организационные меры обеспечения безопасности ПДн, базирующиеся на пакете разработанных документов для данного предприятия. Также была рассмотрена физическая защита помещений от несанкционированного доступа.

Таким образом, в данном дипломном проекте изложен комплекс мер, охватывающий программно-аппаратное и нормативно-правовое обеспечение безопасности ПДн. На основании вышесказанного можно сделать вывод, что цели, поставленные перед дипломным проектированием, были достигнуты, а задачи выполнены.

В завершение хотелось бы подчеркнуть, что обеспечение безопасности персональных данных является не правом организации, а ее обязанностью, установленной законом «О персональных данных» и регламентированной рядом подзаконных актов. Данный блок нормативных правовых актов призван реализовать конституционные права граждан на неприкосновенность их частной жизни, личную и семейную тайну, закрепленные в ст. 23 Конституции Российской Федерации. Несоблюдение организацией требований по обеспечению безопасности персональных данных может повлечь не только ущерб для самой организации, но, в первую очередь, привести к нарушению конституционных прав граждан, повлечь за собой череду гражданско-правовых исков со стороны физических лиц, чьи права могут оказаться нарушенными, и, даже привлечение к административной или уголовной ответственности.


СПИСОК ЛИТЕРАТУРЫ

  1.  Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
  2.  Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
  3.  Приказ ФСТЭК № 55 ФСБ РФ № 86 Министерство информационных технологий и связи РФ № 20 от 13 февраля 2008 г. «Об утверждении порядка классификации информационных систем персональных данных».
  4.  Специальные требования и рекомендации по технической защите конфиденциальной информации (Утверждены приказом Гостехкомиссии России от 30.08.2002 № 282).
  5.  Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК РФ 14 февраля 2008г
  6.  Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК РФ 15 февраля 2008г
  7.  СанПиН 2.2.2/2.4.1340-03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы».
  8.  РД 78.36.006–2005 «Выбор и применение технических средств охраны и средств инженерно-технической укрепленности для оборудования объектов».
  9.  ГОСТ 12.1.004-91. ССБТ. Пожарная безопасность. Общие требования.
  10.  Ярочкин, В. И. Информационная безопасность: Учебник для студентов вузов - 3-е изд. / В. И. Ярочкин – М.: Трикста, 2009г. – 544 с.
  11.  Торокин, А. А. Инженерно-техническая защита информации: Учебное пособие для студентов, обучающихся по специальностям в обл. информ. безопасности / А. А. Торокин. — М.: Гелиос АРВ, 2005. — 960 с.
  12.  Расчет естественного освещения: Методические указания к выполнению практических работ и дипломного проектирования для студентов всех специальностей очной и заочной формы обучения. – Изд. 4-е, переработанное. /Сост. Т.Н. Мазуркина, О.А. Глухов, Н.А. Филина. – Йошкар-Ола: МарГТУ, 2010 г. – 52 с.
  13.  Ярочкин, В. И. Информационная безопасность: Учебник для студентов вузов - 3-е изд. / В. И. Ярочкин – М.: Трикста, 2009г. – 544 с.
  14.  Шульмин, В. А. Экономическое обоснование в дипломных проектах: Учебное пособие / В. А. Шульмин, Т. С. Усынина. – Йошкар-Ола: МарГТУ, 2004. -164 с
  15.  Ушаков, И. П. Организационно-экономическое обоснование курсового и дипломного проектов: учеб. пособие / И. П. Ушаков. - Йошкар-Ола: МарГТУ, 2004. - 87 c.
  16.  Баймакова, И.А. Обеспечение защиты персональных данных: методическое пособие / И.А. Баймакова, А. В. Новиков, А. И. Рогачев, А. Х Хыдыров. – М.: 1С-Паблишинг, 2010. – 216 с.
  17.  Ворона, В. А. Системы контроля и управления доступом / В. А. Ворона, В.А. Тихонов. - М.: Горячая линия - Телеком, 2010. – 272 с.
  18.  ГОСТ Р ИСО/МЭК ТО 19795-3-2009 Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях
  19.  ГОСТ Р 51241 – 2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний
  20.  РД Гостехкомиссии России. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
  21.  Код безопасности. СЗИ от НСД Secret Net. [Электронный ресурс] – Режим доступа: http://www.securitycode.ru/products/secret_net/
  22.  Информационные технологии в бизнесе. КСЗИ Панцирь-К. [Электронный ресурс] – Режим доступа: http://www.npp-itb.spb.ru/
  23.  Страж NT. Система защита информации. [Электронный ресурс] – Режим доступа: http://www.guardnt.ru/strazh30.html
  24.  Центр защиты информации. Конфидент. [Электронный ресурс] – Режим доступа: http://www.confident.ru/isc/index.php?id=34
  25.  ОКБ САПР. ПАК СЗИ НСД Аккорд. [Электронный ресурс] – Режим доступа: http://www.accord.ru/accords.html
  26.  Официальный сайт компании "Лаборатория Касперского". [Электронный ресурс] – Режим доступа: http://www.kaspersky.ru;
  27.  Официальный сайт антивируса ESET NOD32 в России. [Электронный ресурс] – Режим доступа: http://www.esetnod32.ru;
  28.  Официальный сайт антивируса Dr.Web. [Электронный ресурс] – Режим доступа: http://www.drweb.com/
  29.  ITV. Система контроля и управления доступом [Электронный ресурс] – Режим доступа: http://www.itv.ru/products/intellect/
  30.  Биометрическая идентификация: биометрические считыватели и СКУД Sagem. [Электронный ресурс] – Режим доступа: http://www.sagem-biometrics.ru/news/ma-200.ahtm
  31.  Считыватели и карты доступа HID. [Электронный ресурс] – Режим доступа: http://www.hid.ru/news/biometric-reader_rwklb575.ahtm
  32.  Smartec. Контроль доступа. [Электронный ресурс] – Режим доступа: http://smartec-security.ru/news/biometric-reader.htm
  33.  "БИОМЕТРИЧЕСКИЕ СКД". ZKSoftware F702S. [Электронный ресурс] – Режим доступа: http://www.biometricacs.com/catalog_F702s.php


ПРИЛОЖЕНИЯ

PAGE   \* MERGEFORMAT 119


 

А также другие работы, которые могут Вас заинтересовать

31982. Автоматизированная система управления корректировки химсостава сырьевого шлама в потоке в условиях ОАО «Себряковцемент» 1.01 MB
  Автоматизация производственных процессов занимает одно из ведущих мест в комплексе технических средств, способствует повышению производительности труда и улучшению качества продукции во всех отраслях промышленности, в том числе и в промышленности строительных материалов. Наиболее высокий уровень автоматизации отмечен
31983. График планово предупредительных ремонтов, который обеспечивает минимальное количество простоев на ремонты 424.5 KB
  В ходе эксплуатации выполнено большое число мероприятии по модернизации оборудования и совершенствования технологии. На данный момент в колесобандажном цехе проходит очередной этап реконструкции оборудования который является составной частью общей программы комбината. За время реконструкции на участке было смонтировано в общей сложности около 15 тысяч тонн технологического оборудования доставленного в КБЦ из Германии Швейцарии Сербии России. В 1941 году стан был демонтирован для того чтобы освободить место для прибывающего...
31984. ОПТИМИЗАЦИЯ РАБОТЫ ОТДЕЛА КАДРОВ ФЕДЕРАЛЬНОГО ГОСУДАРСТВЕННОГО БЮДЖЕТНОГО ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «МАГНИТОГОРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ» 493.5 KB
  ТЕОРЕТИЧЕСКИЕ ОСНОВЫ РАБОТЫ СЛУЖБЫ КАДРОВ 1. Нормативноправовая регламентация работы службы кадров учреждения высшего профессионального образования 1. Общая характеристика службы кадров.
31985. Инженерно-геологические условия площадки: геолого-литологическое строение, гидрогеологические условия, физико-механические свойства грунтов и получить другую информацию, необходимую для технически обоснованных решений при проектировании оснований и фундам 538 KB
  Перечень графических и текстовых приложений: инженерногеологическая карта геологотехнический наряд план расположения проектных выработок схема грунтоноса ГВ2. Инженерногеологическая изученность территории. Инженерногеологические условия района.
31986. Экологические проблемы, связанные с геологоразведочными работами на месторождениях флюорита 19.76 MB
  Типизация флюоритового оруденения Горного Алтая 2. Промышленные типы месторождений флюорита Горного Алтая39 2. Оценка природных геохимических аномалий территории Горного Алтая. В пределах Горного Алтая известны месторождения флюорита промышленного типа.
31987. МЕТОДИКА ОБУЧЕНИЯ ИНФОРМАЦИОННОМУ МОДЕЛИРОВАНИЮ УЧАЩИХСЯ СТАРШИХ КЛАССОВ НА ОСНОВЕ ПРИМЕНЕНИЯ ИССЛЕДОВАТЕЛЬСКИХ ЗАДАЧ 772.5 KB
  Под исследовательской деятельностью понимается деятельность учащихся связанная с решением творческой исследовательской задачи с заранее неизвестным решением в отличие от практикума служащего для иллюстрации тех или иных законов природы и предполагающая наличие основных этапов характерных для исследования в научной сфере нормированную исходя из принятых в науке традиций: постановку проблемы изучение теории посвященной данной проблематике подбор методик исследования и практическое овладение ими сбор собственного материала его анализ...
31988. Физическое лицо – предприниматель: вопросы правового регулирования в РФ 567.5 KB
  Правовое регулирование деятельности предпринимателя 33 2. Понятие предпринимательской деятельности 33 2. Практика российского хозяйствования показывает что наиболее распространенными формами предпринимательской деятельности в настоящее время являются такие как: индивидуальная предпринимательская деятельность без образования юридического лица частное предприятие общество с ограниченной ответственностью акционерное общество. Как показывает мировой опыт чем больше возможностей для расширения своей деятельности у класса предпринимателей тем...
31990. Выявление особенностей заключения и содержания договора на оказание туристских услуг 158 KB
  В отличие от неорганизованной туристской поездки регламентируемой множеством разнообразных гражданскоправовых договоров заключаемых туристом с исполнителями отдельных услуг для осуществления организованной туристской поездки достаточно заключения одного договора по туристскому обслуживанию с лицом которое принимает на себя обязательство по предоставлению туристского обслуживания. Цель моей дипломной работы является в выявлении особенностей заключения и содержания договора на оказание туристских услуг. Указанная цель конкретизируется в...