Разработка комплексной системы защиты информации в организации "Агентство лесного хозяйства республики Марий Эл"
Содержание
Введение
1. Постановка задачи
2. Аналитическая часть
2.1 Исследование объекта защиты
2.1.1 Общая характеристика предприятия
2.1.2 Организационная структура
2.1.3 Обследование объекта
2.1.4 Категорирование помещений
2.2 Описание существующей АСОИ
2.3 Выявление угроз и каналов утечки информации
2.4 Анализ рисков
2.5 Модель нарушителя
2.6 Концепция безопасности
2.6.1 Цели и задачи системы безопасности
2.6.2 Принципы организации и функционирования системы безопасности
2.7 Обзор рынка программно-аппаратных средств защиты информации
2.7.1 Программно-аппаратные средства защиты информации от НСД
2.7.2 Средства организации защищеннного элдектронного документооборота
2.7.3 Межсетевые экраны и срендства создания частных виртуальных сетей
2.8 Обзор технических средств и систем безопасности
2.8.1 Пожарная сигнализация и противопожарная автоматика
2.8.2 Системы охранной сигнализации
3. Конструкторская часть
3.1 Конструкторские решения по защите информации в АСОИ
3.1.1 Защита информационных ресурсов от НСД
3.1.2 Организация защищенного электронного документооборота
3.1.3 Организация межсетевого экранирования и антивирусной защиты
3.1.4 Защита информации от утечки по каналам ПЭМИН
3.1.5 Обеспечение целостности даных при отключении электроэнергии
3.1.6 Прочие аспекты информационной безопасности
3.2 Конструкторские решения по созданию системы безопасности объекта
3.3 Организация службы безопасности
4. Безопасность жизнедеятельности
4.1 Анализ вредных и факторов при работе с ПЭВМ.
4.2 Освещение рабочего места
4.3 Микроклимат рабочей зоны оператора ПЭВМ
4.4 Воздействие шума на оператора ПЭВМ
4.5 Организация рабочего места оператора ПЭВМ
4.6 Безопасный уровень электромагнитных полей
4.7 Требования по электробезопасности и расчет заземления
4.8 Анализ чрезвычайных ситуаций
4.9 Режим работы оператора ПЭВМ
5. экономическая часть
5.1 Описание эффекта от внедрения системы защиты информации для ЛВС
5.2 Описание эффекта от внедрения системы безопасности объекта
5.3 Оценка качества разработки
5.4 Расчет стоимости разработки системы защиты в ЛВС организации
5.5 Расчет стоимости установки системы защиты в ЛВС организации
5.6 Расчет стоимости разработки системы безопасности объекта
5.7 Расчет стоимости установки системы безопасности объекта
5.8 Разработка организационных мероприятий на этапе внедрения системы
Заключение
Список использованных источников
Приложения
Сокращения и определения
АМДЗ - аппаратный модуль доверенной загрузки
АСОИ - автоматизированная система обработки информации
АПК - аппаратно-программный комплекс
АРМ - автоматизированное рабочее место
АС - автоматизированная система
АСОД - автоматизированная система обработки данных
БД - база данных
ИБП - источник бесперебойного питания
КК - криптографический комплекс
КПС - комплекс программных средств
ЛВС - локальная вычислительная сеть
МСЭ - межсетевой экран
НДВ - недокументированные возможности
ОИ - объект информатизации
ОС - операционная система
ПО - программное обеспечение
ПЭВМ - персональная электронно-вычислительная машина
ПЭМИН - побочные электромагнитные излучения и наводки
РД - руководящий документ
СЗИ - система защиты информации
СКЗИ - система криптографической защиты информации
СУБД - система управления базами данных
ТПР - типовое проектное решение
ТС - технические средства
УКЗД - устройство криптографической защиты данных
ЦУКС - центр управления криптографическими ключами
ЭМП - электромагнитное поле
ЭЦП - электронно-цифровая подпись- Encrypting File System, шифрующая файловая система
IDS - Intrusion Detection Systems, системы обнаружения вторжений
VPN - Virtual Private Network, виртуальные частные сети
Введение
Обеспечение информационной безопасности в последнее время входит в число наиболее самых критичных вопросов организации. От грамотного подхода к реализации защиты, в дальнейшем будет зависеть финансовое благополучие фирмы. Напротив халатное отношение к этому вопросу, может привести к экономическим потерям, связанным с утечкой информации и даже потерей доверия со стороны внешнего окружения(покупателей, компаньонов). Тут можно вспомнить ряд скандалов, связанных с утечкой конфиденциальной информации из информационных баз операторов сотовой связи, информационных баз МВД и таможни.
Для снижения вероятности утечки информации циркулирующей в АС, помимо организационно-правовых и технических средств защиты используются программно-аппаратные средства. Они призваны защитить информацию находящуюся в ЭВМ.
Сектор рынка отведённый продуктам в области информационной безопасности бурно развивается на протяжении последних 5 лет. Этот рост вызван небывалым спросом на подобные продукты. Что есть косвенное подтверждение повышения ценности информации, как продукта человеческой деятельности, и как следствие желания собственника защитить информацию, которая в наш век ценится на вес золота.
Рынок отечественных продуктов в области защиты информации, а в частности в области защиты от несанкционированного доступа, достаточно широк. Этот факт позволяет совершить осознанный выбор средства защиты.
Необходимость обеспечения защиты ценной и критичной важной информации ставит перед нашей организацией задачу проектирования системы комплексной защиты информации, неотъемлемым аспектом которой является защита с помощью программно-аппаратных средств.
1. Постановка задачи
Разработать комплексную систему защиты информации в организации «Агентство лесного хозяйства республики Марий Эл». Спроектированная система должна обеспечивать защиту информации от несанкционированного доступа к персональным ЭВМ, серверам баз данных и почтовым серверам, систему криптографической защиты информации с функцией ЭЦП, а также защиту информации при ее передаче по каналам связи. Рассмотреть защищенные Интернет технологии, межсетевые экраны, обеспечить учет и мониторинг IР-трафика, обнаружение и предупреждение атак.
Необходимо произвести анализ современной ситуации на рынке поставщиков услуг и разработчиков средств информационной безопасности и на его основе произвести выбор программно-аппаратных средств обеспечения информационной безопасности. Должен быть разработан комплекс организационных мер по защите информации, а также должно быть приведено экономическое обоснования внедрения предлагаемой комплексной системы защиты информации.
Система должна непрерывно обеспечивать сохранение целостности, доступности и конфиденциальности хранимой, обрабатываемой и передаваемой ею информации. Защита информации в системе должна быть комплексной (должны быть защищены все компоненты системы) и непрерывной (защита информация должна быть обеспечена на всех этапах ее существования).
2. Аналитическая часть
.1 Исследование объекта защиты
Разработку системы безопасности следует начинать с проведения на объекте аналитических работ: обследования объекта, выявления и анализа уязвимостей, разработки модели нарушителя и выбора контрмер (средств и систем безопасности). Для определения комплекса мероприятий и разработки технических предложений по организации охраны объекта с учетом типовых решений, обеспечивающих достаточную безопасность материальных и иных ценностей, проводится обследование объекта.
2.1.1 Общая характеристика предприятия
Агентство лесного хозяйства по Республике Марий Эл является территориальным органом Федерального агентства лесного хозяйства, осуществляющим функции по реализации государственной политики, оказанию государственных услуг и управлению государственным имуществом в сфере лесного хозяйства. Полное наименование - Агентство лесного хозяйства по Республике Марий Эл.
Агентство подчиняется Федеральному агентству лесного хозяйства.
Агентство руководствуется в своей деятельности Конституцией Российской Федерации, федеральными конституционными законами, федеральными законами, указами и распоряжениями Президента Российской Федерации, постановлениями и распоряжениями Правительства Российской Федерации, международными договорами Российской Федерации, законами и иными нормативными правовыми актами. Республики Марий Эл, нормативными правовыми актами Министерства природных ресурсов Российской Федерации, приказами и распоряжениями Федерального агентства лесного хозяйства, а также настоящим Положением.
Агентство осуществляет возложенные на него полномочия непосредственно или через лесхозы Федерального агентства лесного хозяйства, в том числе опытные и другие специализированные лесхозы, а также другие организации, находящиеся в подчинении Агентства.
Агентство осуществляет свою деятельность во взаимодействии с территориальными органами федеральных органов исполнительной власти, органами государственной власти Республики Марий Эл, органами местного самоуправления, общественными объединениями, организациями и гражданами.
2.1.2 Организационная структура
Агентство возглавляет руководитель, который назначается на должность Министром природных ресурсов Российской Федерации по представлению руководителя Федерального агентства лесного хозяйства.
Руководитель Агентства несет персональную ответственность за выполнение возложенных на Агентство функций.
Руководитель Агентства имеет двух заместителей, в том числе главного лесничего и заместителя по экономике и финансам, назначаемых руководителем Федерального агентства лесного хозяйства по его представлению. Количество заместителей устанавливается Федеральным агентством лесного хозяйства.
Руководитель Агентства:
·осуществляет руководство деятельностью Агентства, лесхозами другими организациями, находящимися в его подчинении, несет персональную ответственность за рациональное использование, охрану, защиту лесного фонда и воспроизводство лесов;
·утверждает по согласованию с Федеральным агентством лесного хозяйства структуру и штатное расписание Агентства в пределах установленных Федеральным агентством лесного хозяйства фонда оплаты труда и численности работников;
·определяет должностные обязанности заместителей руководителя Агентства и руководителей структурных подразделений; утверждает положения о структурных подразделениях Агентства;
·назначает на должность и освобождает от должности в установленном порядке работников Агентства (за исключением заместителей руководителя), заключает, изменяет и расторгает трудовые договоры с этими работниками;
·издает приказы по вопросам внутренней организации работы Агентства;
·решает в соответствии с законодательством Российской Федерации о государственной службе вопросы, связанные с прохождением федеральной государственной службы в Агентстве;
·подготавливает в установленном порядке предложения по созданию, реорганизации и ликвидации лесхозов и других организаций, находящихся в его подчинении;
·без доверенности распоряжается в установленном порядке средствами и имуществом Агентства, представительствует по делам Агентства в суде и арбитражном суде и других организациях, выдает доверенности без права дальнейшего передоверия по делам Агентства, совершает от имени Агентства все денежные операции в органах федерального казначейства и учреждениях банков.
Финансирование расходов на содержание Агентства осуществляется по смете, утверждаемой Федеральным агентством лесного хозяйства, за счет средств, предусмотренных в федеральном бюджете, и других источников в соответствии с законодательством Российской Федерации.
Агентство создается, реорганизуется и ликвидируется Федеральным агентством лесного хозяйства в установленном законодательством Российской Федерации порядке.
Агентство владеет федеральным государственным имуществом на праве оперативного управления и распоряжается этим имуществом в установленном законодательством Российской Федерации порядке.
Агентство ведет бухгалтерский учет финансово-хозяйственных операций в соответствии с законодательством Российской Федерации, составляет сводный периодический и годовой бухгалтерский отчеты, а также оперативно - статистическую отчетность и представляет их в Федеральное агентство лесного хозяйства и другие соответствующие органы в установленном порядке.
Агентство является юридическим лицом, имеет печать с изображением Государственного герба Российской Федерации, со своим наименованием и с наименованием Федерального агентства лесного хозяйства, другие необходимые печати, штампы и бланки установленного образца, счета, открываемые в соответствии с законодательством Российской Федерации.
2.1.3 Обследование объекта
Юридический адрес: 424004, Республика Марий Эл, г.Йошкар-Ола, ул.Комсомольская, д.85.
Режим работы объекта - одна смена, с 8.30 до 17.30 часов, обед с 12 до 13, суббота и воскресенье выходные. Общая численность рабочих и служащих составляет 43 человека. В рабочее время пропускной режим осуществляется вахтером, в нерабочее время охрана объекта осуществляется охранником. По праздничным дням организовано обязательное дежурство.
Объект расположен на первом этаже жилого пятиэтажного дома. Объект занимает площадь длиной , шириной . Здание находится в хорошем состоянии, тещин и разрушений конструкции не имеется. Толщина внешних стен здания - 60см, внутренних несущих - 40см, стеновых перегородок - 20 см. Материал стен - кирпич. Все окна с двойным стеклом, рамы стоят плотно, на всех окнах имеются решетки. Все двери одностворчатые, деревянные с обычным замком.
2.1.4 Категорирование помещений
Категорирование объектов само по себе не решает проблемы обеспечения безопасности и лишь позволяет установить степень потенциальной опасности и общие требования к системе физической защиты каждого конкретного объекта. В соответствии с РД 78.36.003-2002, все помещения любого объекта можно разделить условно (по виду и размещению в них ценностей) на четыре категории:
первая категория - помещения, где размещены товары, предметы и изделия особой ценности и важности, утрата которых может привести к особо крупному или невосполнимому материальному и финансовому ущербу, создать угрозу здоровью и жизни большого числа людей, находящихся на объекте и вне его, привести к другим тяжким последствиям.
Обычно к таким помещениям относятся: хранилища (кладовые) ценностей, склады хранения оружия и боеприпасов, помещения с постоянным хранением наркотических и ядовитых веществ, а также секретной документации и других, особо ценных и особо важных товарно-материальных ценностей;
вторая категория - помещения, где размещены ценные и важные товары, предметы и изделия, утрата которых может привести к значительному материальному и финансовому ущербу, создать угрозу здоровью и жизни людей, находящихся на объекте.
К таким помещениям можно отнести: спецархивы и спецбиблиотеки, сейфовые комнаты, помещения хранения табельного оружия, радиоизотопных веществ и препаратов, ювелирных изделий, предметов старины, искусства и культуры, денежных средств, валюты и ценных бумаг (главные кассы объектов);
третья категория - помещения, где размещены товары, предметы и изделия повседневного спроса и использования.
К таким помещениям относятся: служебные, конторские помещения, торговые залы и помещения промышленных товаров, бытовой техники, продуктов питания и т.п.;
четвертая категория - помещения, где размещены товары, предметы и изделия технологического и хозяйственного назначения.
К таким помещениям можно отнести: подсобные и вспомогательные помещения, помещения с постоянным или временным хранением технологического и хозяйственного оборудования, технической и конструкторской документации и т.п.
Исходя из вышеописанного, на данном объекте выделены помещения следующих категорий:
·второй категории - помещение под сервер, бухгалтерия, спецчасть, кабинет директора и главного лесничего;
·третьей категории - все остальные помещения кроме подсобных;
·четвертой категории - подсобные помещения;
Выводы:
Охрана объекта обеспечивается силами дежурящего вахтера, что не обеспечивает высокий уровень безопасности объекта. Отсутствие на объекте технических средств охраны не позволяет эффективно выполнять свои обязанности. Для выделенных (категорированных) помещений требуется усиленный режим охраны, при выборе технических средств требуется уделить особое внимание на выбор конкретных вариантов решения задачи охраны.
2.2 Описание существующей АСОИ
Автоматизированная система обработки информации на объекте представляет собой локальную вычислительную сеть стандарта Ethernet.
Коммуникации между сетевыми устройствами выполнены кабелем стандарта («витая пара»). Сетевые концентраторы с целью оптимизации кабельной системы расположены в рабочих кабинетах.
Количество автоматизированных рабочих мест (АРМ) в ЛВС составляет 27 шт. Рабочие станции работаю под управлением операционных систем Windows 98 и Windows XP.
Для хранения данных и организации к ним общего доступа в ЛВС используется файловый сервер и сервер баз данных, работающий под управлением операционной системы Windows 2000 Server.
Для выполнения работниками служебных обязанностей используется следующее прикладное программное обеспечение: АРМ Лесопользование, 1С бухгалтерия, MS Word 2000, MS Exel 2000, MS Internet Explorer 5.5, The Bat v. информация безопасность конструкторский защита
Антивирусная защита выполняется с помощью TrendMicro на ПЭВМ работающих под управлением операционной системы Windows XP и с помощью Inocul на ПЭВМ работающих под управлением Windows 98. Антивирусные базы регулярно обновляются через фирму «Автограф». Подключение к сети Интернет осуществляется через модем, роль межсетевого экрана выполняет TrendMicro.
Разграничение прав доступа к информационным ресурсам реализуется штатными средствами операционных систем. При этом используются политики групп пользователей. Разделение на группы производится согласно служебным обязанностям.
В организации выделены следующие группы пользователей:
·управленческий персонал
·работники финансового отдела
·кассиры
·прочие
В АСОИ предполагается обрабатывать персональные данные, финансовую информацию и некоторые другие сведения конфиденциального характера, более подробно изложенные в приложении № .
Данные о существующей автоматизированной системе обработки информации свидетельствуют о недостаточном уровне защиты информации с ограниченным доступом. Таким образом возникает задача совершенствования системы защиты информации, действующей на объекте информатизации.
2.3 Выявление угроз и каналов утечки информации
Так как в автоматизированной системе обработки данных организации обрабатывается информация представляющая большую ценность (государственная тайна, коммерческая и конфиденциальная информация), то можно предположить, что она может стать целью злоумышленников. Так же обрабатываемой и хранящейся информации могут угрожать непредумышленные действия пользователей, ошибки программного обеспечения, аппаратные сбои, стихийные бедствия и т.д.
По цели воздействия можно различить следующие виды угроз:
·угрозы нарушения конфиденциальности информации;
·угрозы нарушения целостности информации;
·угрозы нарушения работоспособности системы.
Под нарушением конфиденциальности информации понимается ее разглашение, то есть данная информация становится известна лицам, которые не должны иметь к ней доступ. Можно считать, что нарушение конфиденциальности имеет место при несанкционированном доступе к информации, хранящейся в системе или передаваемой из одной системы в другую. Под нарушением целостности информации, хранящейся в системе или передаваемой по каналу связи, понимают ее изменение или искажение, приводящее к нарушению ее качества или полному уничтожению. Угрозы нарушения работоспособности направлены на создание таких ситуаций, когда определенные преднамеренные действия либо снижают работоспособность системы обработки данных, либо блокируют доступ к некоторым ее ресурсам.
Все источники угроз безопасности информации в организации можно разделить на три основных группы:
·Угрозы, обусловленные действиями субъектов.
·Угрозы, осуществляемые техническими средствами.
·Угрозы, вызванные стихийными источниками.. Угрозы, обусловленные действиями субъектов, которые могут привести к нарушению безопасности информации в организации, подразделяются на внешние (одиночные злоумышленники или группы злоумышленников) и внутренние (сотрудники организации или специально внедренные агенты).
Виды угроз:
1. Кража:
·технических средств (винчестеров, ноутбуков, системных блоков);
·носителей информации (бумажных, магнитных, оптических и пр.);
·информации (несанкционированное чтение и/или копирование);
·средств доступа к защищаемой информации (ключи, пароли, ключевая документация и пр.).
2. Изменение (модификация):
·операционных систем;
·прикладных программ;
·информации (данных), отрицание факта отправки сообщений;
·паролей и правил доступа.
3. Уничтожение
·технических средств (винчестеров, ноутбуков, системных блоков);
·носителей информации (бумажных, магнитных, оптических и пр.);
·программного обеспечения (ОС, прикладного ПО)
·информации (файлов, данных)
·паролей и ключевой информации.
4. Несанкционированный перехват информации
·за счет ПЭМИН от технических средств;
·по акустическому каналу;
·при подключении к каналам передачи информации;
·за счет нарушения установленных правил доступа (взлом).
II. Угрозы, реализуемые с помощью различных технических средств, используемых в организации:
·непроверенные технические средства обработки информации (они могут содержать закладки);
·нелицензионные программные средства обработки информации (могут содержать дыры, через которые возможен доступ к защищаемой информации);
·вспомогательные средства (средства охраны, сигнализации);
·средства связи;
·сетей коммуникации (энергоснабжения, канализации, водоснабжения).
Виды угроз:
. Уничтожение или модификация (подмена)
·ПО, ОС, СУБД;
·конфиденциальной информации;
·информации при передаче по каналам связи и телекоммуникациям.
2. Нарушение нормальной работоспособности
·нарушение работоспособности системы обработки информации;
·нарушение работоспособности связи и телекоммуникаций;
·нарушение работоспособности программных средств обработки информации;
III. Угрозы, которые не поддаются прогнозированию и поэтому меры защиты должны применяться всегда.
Потенциальную угрозу составляют следующие стихийные источники:
·пожары;
·наводнения;
·другие стихийные бедствия.
Последствиями угроз являются исчезновение или уничтожение:
·технических средств обработки информации;
·носителей информации;
·информации при передаче по телекоммуникационным каналам;
·ПО, ОС, СУБД.
Под утечкой информации будем понимать безконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.
Канал утечки - путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к ней.
Каналы утечки:
. Электромагнитные
·радиоканалы
·низкочастотный канал
·сетевой (наводки)
·заземление
·линейные (канал связи)
2. Акустический
. Визуальный
. Информационный
·канал коммутируемых линий связи
·канал выделенной линии связи
·канал локальной сети
·канал терминальных и периферийных устройств.
·канал магнитных носителей информации
Основные причины утечки информации:
·несоблюдение персоналом норм и требований
·ошибки проектирования и реализации систем связи
·ведение противником технической и агентурной разведки
2.4 Анализ рисков
Разрабатываемая технология защиты информации должна отражать уязвимости организации к различным типам инцидентов с безопасностью и делать приоритетными инвестиции в области наибольшей уязвимости.
Наличие угрозы необязательно означает, что она нанесет вред. Чтобы стать риском, угроза должна использовать уязвимое место в средствах обеспечения безопасности системы.
Имеется два фактора, определяющих величину уязвимости.
Первый фактор - возможный ущерб - последствия нарушения безопасности того или иного элемента информации. Устранение последствий нарушения безопасности может потребовать значительных финансовых вложений, даже если пострадали не критические сервисы. Тем не менее, средства переноса риска (страхование или пункты в договорах) могут гарантировать, что даже финансовые потери не приведут к кризису организации. Необходимо также учитывать политические или организационные последствия реализации угроз безопасности.
Второй фактор - вероятность атаки или реальность возникновения угрозы - связан с частотой реализации той или иной угрозы и определяется на основании опыта атак на ЛВС организации, а также анализа слабых мест технической и организационной защиты.
Для разработки эффективной и недорогой системы защиты ниже выполнен анализ рисков, который определит необходимые затраты на средства обеспечения безопасности для выполнения требований политики безопасности.
Расчет риска происходит по следующей схеме:
Риск = Возможный ущерб * Вероятность атаки
Таблица 2.4.1
Определение возможного ущерба
Величина ущербаОписание ущерба от утечки0Раскрытие информации принесет ничтожный моральный и финансовый ущерб организации1Основные финансовые операции и положение на рынке не затронуты2Финансовые операции не ведутся в течение некоторого времени. За это время фирма терпит убытки. Но положение на рынке и число клиентов изменяется минимально3Значительные потери на рынке и в прибыли. От фирмы уходит часть клиентов4Потери значительные. Фирма теряет положение на рынке. Для восстановления требуются значительные финансовые вложения (займы)5Невосполнимый ущерб. Фирма прекращает свое существование
Таблица 2.4.2
Определение вероятности атаки
ВероятностьСредняя частота появления0Данный вид атаки отсутствует вообще1Реже, чем 1 раз в год2Около 1 раза в год3Около 1 раза в месяц4Около 1 раза в неделю5Ежедневно
Таблица 2.4.3
Определение риска
Наименование элемента информацииВиды угрозОценка ущербаОценка вероятностиРискКонфиденциальная информация, обрабатываемая и хранимая в головном центре1.Физическое проникновение в помещение + преодоление защиты от НСД, кража носителей3262. Перехват информации при передачи по каналам связи2333. Перехват ПЭМИН1334. Разглашение сотрудниками, занимающимися обработкой конфиденциальной информации3265. НСД посредством ЛВС со стороны сотрудников, не занимающихся обработкой конфиденциальной информации2246. Доступ злоумышленника извне к ресурсам ЛВС224Конфиденциальная информация, обрабатываемая и хранимая в структурных подразделениях1.Физическое проникновение в помещение + преодоление защиты от НСД, кража носителей224Наименование элемента информацииВиды угрозОценка ущербаОценка вероятностиРиск2. Перехват информации при передачи по каналам связи1333. Перехват ПЭМИН1224. Разглашение сотрудниками, занимающимися обработкой конфиденциальной информации2365. НСД посредством ЛВС со стороны сотрудников, не занимающихся обработкой конфиденциальной информации2246. Доступ злоумышленника извне к ресурсам ЛВС236Секретные ключи шифрования и ЭЦП пользователей, обрабатывающих конфиденциальную информацию1. Атака по ЛВС3392.Разглашение сотрудниками326База учетных записей, паролей пользователей ЛВС1. Атака по ЛВС извне2362. Попытки НСД сотрудниками1223. Разглашение сотрудниками122Пароли локальных пользователей1. Атака по ЛВС извне1112. Попытки НСД внутренних пользователей с целью повышения прав доступа1223. Разглашение сотрудниками133Используемые средства защиты1.Физическое проникновение в помещение и НСД к ресурсам 1112. Разглашение сотрудниками133Ключи к лицензионному ПО, информация о ПО, используемом организацией1.Физическое проникновение в помещение и НСД к ресурсам 1112. Разглашение сотрудниками 133Архивные данные организации.1. Физическое проникновение в помещение (доступ к документам на бумажных носителях и магнитным копиям)3132. Атака по ЛВС3263. Утрата в результате чрезвычайных обстоятельств212
На этапе анализа таблицы рисков задаются некоторым максимально допустимым риском, например значением 5. Сначала проверяется каждая строка таблицы на не превышение риска этого значения. Если такое превышение имеет место, значит, данная строка - это одна из первоочередных целей разработки политики безопасности. Затем производится сравнение удвоенного значения (в нашем случае 5*2=10) с интегральным риском (ячейка "Итого"). Если интегральный риск превышает допустимое значение, значит, в организации набирается множество мелких погрешностей в системе безопасности, которые в сумме не дадут предприятию эффективно работать. В этом случае из строк выбираются те, которые дает самый значительный вклад в значение интегрального риска и производится попытка их уменьшить или устранить полностью.
Суммарная величина риска, определенная в таблице 8, превышает значение, при котором состояние автоматизированной системы можно считать безопасным.
В пунктах, включающих доступ к ценной информации по ЛВС, физический доступ и НСД к ПЭВМ, кража, перехват при передаче по каналам связи риск значителен и его уменьшение будет стоить дешевле, чем возможные финансовые потери.
Для снижения вероятности угроз приоритетными направлениями в разработке системы безопасности должны быть:
1.управление доступом к информации и сервисам, включая требования к разделению обязанностей и ресурсов;
2.проверка и обеспечение целостности критически важных данных на всех стадиях их обработки;
.подтверждение подлинности документов с использованием электронно-цифровой подписи, защита от внесения несанкционированных дополнений и изменений;
.защита конфиденциальных данных от НСД, в том числе использование средств шифрования;
.защита конфиденциальных данных при передаче по каналам связи с использованием средств шифрования;
.обнаружение и предупреждение атак из INTERNET и внутренней сети;
.регистрация значительных событий в журнале для целей повседневного контроля или специальных расследований;
.резервное копирование критически важных данных;
.восстановление работы АС после отказов, особенно для систем с повышенными требованиями к доступности.
При формировании данных рекомендаций важными факторами явились эффективность защиты и финансовые соображения. После описания всех мер, планируемых к реализации, производится расчет экономической стоимости данной программы. В том случае, когда финансовые вложения в программу безопасности являются неприемлемыми или просто экономически невыгодными по сравнению с потенциальным ущербом от атак, производится возврат на уровень, где мы задавались максимально допустимым риском 5 и увеличение его на один или два пункта.
2.5 Модель нарушителя
Составим модель предполагаемого нарушителя. Согласно руководящему документу ГТК РФ Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации в качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами и частями АС (пользователь, обслуживающий персонал и программисты). И по уровню возможностей, предоставляемых ими нарушителям, производиться классификация последних. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего. Рассматриваемый нарушитель в своем уровне является специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты. Выделяется четыре уровня этих возможностей (Табл. 2.5).
Таблица 2.4.3
Возможности нарушителей
УровеньВозможности нарушителяПотенциальная группа нарушителейПервыйСамый низкий уровень возможностей - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информацииПользователи АС, имеющие непосредственный доступ к задачам (программам) и доступ с полномочиями, ограниченными на уровне операционной системы.ВторойСоздание и запуск собственных программ с новыми функциями по обработке информацииПользователи АС, имеющие к ним доступ и доступ с не ограниченными операционной системой полномочиями.ТретийУправление функционированием АС, т.е. воздействие на базовое программное обеспечение системы, на состав и конфигурацию ее оборудованияПользователи АС, наделенные полномочиями по управлению системными ресурсами (администраторы сети)ЧетвертыйВесь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав АС собственных технических средств с новыми функциями по обработке информацииОбслуживающий персонал, программисты АС. Специалисты сторонних организаций, осуществляющих поставку, монтаж и ремонт оборудования АС.
Учитывая все выше перечисленные угрозы информации в автоматизированной системе и модель нарушителя можно сделать вывод о том, что информация, обрабатываемая в рассматриваемой организации, подвержена указанным угрозам и нуждается в комплексной защите. Здесь можно выделить следующее:
·необходимо защитить хранящиеся и обрабатываемые данные от несанкционированного доступа к ним;
·необходимо обеспечить целостность и подлинность информации;
·необходимо обеспечить надежность функционирования системы обработки данных.
2.6 Концепция безопасности
Под безопасностью объекта понимается состояние защищенности интересов владельцев, руководства и клиентов, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.
Обеспечение безопасности является неотъемлемой составной частью деятельности объекта. Состояние защищенности представляет собой умение и способность объекта надежно противостоять любым попыткам криминальных структур или злоумышленникам нанести ущерб законным интересам объекта.
Объектами безопасности являются:
·персонал (руководство, сотрудники);
·финансовые средства, материальные ценности, технологии;
·информационные ресурсы (информация с ограниченным доступом, конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления);
·средства и системы информатизации (вычислительные сети различного уровня и назначения, технические средства передачи информации, вспомогательные технические средства и системы);
·технические средства и системы охраны и защиты материальных и информационных ресурсов.
Субъектами правоотношений при решении проблемы безопасности являются:
·Государство (Российская Федерация) как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов;
·Федеральное агентство лесного хозяйства Российской Федерации;
·Агентство лесного хозяйства республики Марий Эл как юридическое лицо, являющееся собственником финансовых, а также информационных ресурсов, составляющих конфиденциальную информацию;
· другие юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования объекта (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг в области безопасности, обслуживающий персонал, клиенты и др.);
·службы безопасности и частные охранно-детективные структуры.
Концепция определяет цели и задачи системы безопасности объекта, принципы ее организации, функционирования и правовые основы, основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.
2.6.1 Цели и задачи системы безопасности
Главной целью системы безопасности является обеспечение устойчивого функционирования объекта и предотвращение угроз его безопасности, защита законных интересов от противоправных посягательств, охрана жизни и здоровья персонала, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.
Другими целями концепции являются:
·обеспечение сохранности сведений конфиденциального характера;
·эффективное управление, сохранность и защита государственных информационных ресурсов;
·обеспечение правового режима использования документов, информационных массивов, баз данных, прикладных программных продуктов, обеспечение полноты, целостности, достоверности информации в системах обработки.
Задачами системы безопасности являются:
·прогнозирование и своевременное выявление, и устранение угроз безопасности персоналу и ресурсам объекта; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
·отнесение информации к категории ограниченного доступа, а других ресурсов - к различным уровням опасности и подлежащих сохранению;
·предотвращение утечки информации по техническим каналам;
·предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в системах информатизации;
·создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций в функционировании объекта;
·эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
·создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение сратегических целей объекта.
К основным направлениям обеспечения информационной безопасности относятся:
·разработка, создание и эксплуатация системы информационной безопасности;
·организационно-режимное обеспечение защиты сведений конфиденциального характера, а также информации, неправомерное использование которой может нанести экономический ущерб;
· обеспечение физической охраны объектов информатизации;
·предотвращение утечки по техническим каналам информации, обрабатываемой на объектах информатизации, а также передаваемой по каналам связи;
·исключение несанкционированного доступа к информационным ресурсам;
·предотвращение специальных программно-технических воздействий, вызывающих уничтожение, искажение информации или сбои в работе средств информатизации;
·обеспечении сохранности информационных ресурсов (резервное копирование, архивирование, использование источников бесперебойного питания, сейфов и т.д.);
·обеспечение безопасности информации при взаимодействии информационных и телекоммуникационных систем различных классов защищенности;
·обеспечение информационной безопасности при подключении автоматизированных систем к внешним информационным сетям;
·совершенствование организационно-штатной структуры подразделений, отвечающих за безопасность информации и регулярное повышение квалификации их сотрудников.
2.6.2 Принципы организации и функционирования системы безопасности
Основными принципами обеспечения информационной безопасности предприятия Агентства лесного хозяйства Республики Марий Эл являются:
·законность и доступность, предполагающие создание системы информационной безопасности на основе федерального законодательства в области защиты информации, других нормативных и правовых актов по информационной безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушении при работе с информацией. Принятые меры информационной безопасности не должны препятствовать доступу к информации в предусмотренных законодательством случаях;
·экономическая необходимость и целесообразность, заключающиеся в сопоставимости возможного ущерба и затрат, что предполагает адекватность уровня затрат на обеспечение защиты государственных информационных ресурсов и величине возможного ущерба от их утраты, утечки. искажения или блокирования;
·комплексность, предполагающая согласование и комплексное использование разнообразных мер, методов и средств защиты информации при построении целостной системы информационной безопасности.
2.7 Обзор рынка программно-аппаратных средств защиты информации
2.7.1 Программно-аппаратные средства защиты информации от НСД
Dallas Lock 6.0
Система «Dallas Lock 6.0» предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа в среде ОС WINDOWS 95 OSR2, WINDOWS 98, WINDOWS ME.
Система представляет собой программное средство защиты от НСД к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов.
СЗИ НСД Dallas Lock 6.0 обеспечивает защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через терминальный и сетевой вход а так же разграничение полномочий пользователей по доступу к ресурсам файловой системы.
Система предоставляет следующие возможности:
·В качестве средства опознавания пользователей служат индивидуальные пароли пользователей.
·Запрос пароля при входе на ПЭВМ инициируется до загрузки операционной системы. Загрузка операционной системы с жесткого диска осуществляется только после ввода личного пароля.
·Возможно ограничение круга доступных объектов (дисков, папок и файлов) компьютера. Используются два принципа контроля доступа:
- мандатный
дискреционный
·Обеспечивается ограничение доступа пользователей к компьютеру по дате и времени.
·Включает подсистему очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
·В электронных журналах фиксируются действия пользователей по работе на компьютере, в том числе в отдельном журнале фиксируются обращения пользователей к локальному и сетевым принтерам. В журнале входов фиксируются все события по входу на защищенный компьютер, в том числе все попытки несанкционированного входа.
·Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход СЗИ, предусмотрены модули для преобразования в «прозрачном» режиме. Данные могут преобразовываться с использованием нескольких алгоритмов - по выбору пользователя. Информация преобразовывается при записи и декодируется при чтении с носителя. При работе процесс преобразования незаметен для пользователя.
·Модули контроля целостности объектов компьютера обеспечивают контроль целостности : BIOS; Boot сектора; CMOS-памяти; MBR; контроль целостности файлов и папок при загрузке компьютера или при доступе. Также обеспечивает
·блокировку загрузки компьютера или запуска программ при выявлении изменений.
·Разграничение доступа к периферийным устройствам обеспечивается путем управления доступом к последовательным (COM) и параллельным (LPT) портам компьютера.
·Система позволяет осуществлять удаленное администрирование.
Система «Dallas Lock 6.0» имеет сертификат ГТК при Президенте РФ и соответствует 3-му уровню контроля отсутствия недекларированных возможностей и 4-му классу защищенности от НСД. Стоимость данного продукта 190$.
«Dallas Lock 7.0»
СЗИ «Dallas Lock 7.0» представляет собой программное средство защиты ПЭВМ, подключенного к ЛВС, от НСД в среде ОС Windows 2000/ХР. Комплекс сертифицирован по 3 уровню контроля отсутствия недекларированных возможностей и 4 классу защищенности и имеет сертификат Гостехкомиссии РФ №896 от 06.05.2004 г.
Программный комплекс обеспечивает:
·разграничение полномочий пользователей при работе на компьютере;
·опознавание пользователей посредством индивидуальных паролей;
·запрос пароля при входе на ПЭВМ инициируется до загрузки ОС. Загрузка ОС с ЖМД осуществляется только после ввода личного пароля;
·число зарегистрированных пользователей на каждом защищенном компьютере ограничивается размером свободного дискового пространства, (максимум - 8192). Один пользователь может быть зарегистрирован на нескольких ПЭВМ с разными полномочиями, что в пределах организации вполне может иметь место.
·возможна блокировка клавиатуры на время загрузки компьютера. Ограничение круга доступных объектов (дисков, папок и файлов) компьютера под любой файловой системой (FAT16, FAT32, NTFS4, NTFS5);
·реализовано два принципа контроля доступа: мандатный и дискреционный. Ограничение доступа пользователей к компьютеру можно организовать по дате - назначить пользователю дату начала и окончания работы на защищенном компьютере;
·интегрированы функции очистки остаточной информации, гарантирующие предотвращение восстановления удаленных данных;
·хорошо развита система аудита действий пользователей в электронных журналах, в том числе обращений пользователей к локальному и сетевым принтерам и попыток несанкционированного входа;
·обеспечение контроля целостности объектов компьютера.
Спектр-Z
Система защиты информации от НСД «Спектр-Z» в средствах вычислительной техники работает в операционной системе Windows95 и Windows98, не изменяя привычную технологию работ на СВТ.
Система предназначена для осуществления защиты конфиденциальной информации, обрабатываемой и хранимой на рабочей станции, как в однопользовательском, так и в многопользовательском режиме эксплуатации.
К основным особенностям системы можно отнести следующее:
·надежное функционирование во всех режимах ОС (DOS и GUI);
·идентификация и аутентификация пользователя;
·накопление, хранение и обработка информации в преобразованном виде;
·мандатный принцип контроля доступа;
·объединение пользователей в группы с общими файлами;
·объединение файлов в группы;
·контроль целостности программного обеспечения;
·создание виртуальных дисков для каждого пользователя;
·работа пользователя в привычной среде;
·индивидуальная и групповая настройка;
·сигнализация об изменении целостности эталонного состояния программного обеспечения рабочей станции и др.
В Системе реализован режим «прозрачной» защиты информации на базе надежных алгоритмов преобразования информации на уровне физического устройства, логического диска, отдельного файла.
Гостехкомиссия РФ сертифицировала данное средство и определило его принадлежность к 3-му классу защищенности для средств вычислительной техники и к классу 1В для автоматизированных систем. Стоимость данного продукта 166$.
Аккорд-NT/2000
Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа "Аккорд-NT/2000" - это простой и эффективный комплекс технических и программных средств, используя который можно надежно защитить от несанкционированного доступа информацию на ПЭВМ (в АС), функционирующих под управлением ОС Windows NT, Windows 2000, без переделки ранее приобретенных программных средств. Программно-аппаратный комплекс разработан ОКБ САПР.
Комплекс "Аккорд-NT/2000" работает на основе ПАК СЗ от НСД для ПЭВМ "Аккорд-АМДЗ" - аппаратного модуля доверенной загрузки, предназначенного для применения на IBM-совместимых ПЭВМ. "Аккорд-АМДЗ" самостоятельно выполняет идентификацию, аутентификацию пользователей, контроль целостности технических и программных средств (файлов общего, прикладного ПО и данных) ПЭВМ а также обеспечивает режим доверенной загрузки в различных операционных средах (MS DOS, Windows серию, OS/2, UNIX, LINUX).
Комплекс СЗИ НСД "Аккорд-NT/2000" v.2.0. позволяет надежно обеспечить:
·защиту от несанкционированного доступа к ПЭВМ (РС) путем идентификации пользователей по некопируемым уникальным ТМ-идентификаторам DS 1992-1996 ("Touch memory" - "Память касания") и их аутентификации по индивидуальному паролю, вводимым с клавиатуры. При этом обеспечивается защита от раскрытия индивидуального пароля пользователя;
·разграничение доступа к ресурсам АС (ПЭВМ), в том числе к внешним устройствам, управлением потоками информации в соответствии с уровнем полномочий пользователей, используя дискреционный и мандатный способы управления доступом пользователей к информационным ресурсам АС (ПЭВМ);
·защиту от несанкционированных модификаций программ и данных и различного рода проникающих разрушающих воздействий (ПРВ);
·контроль целостности конфигурации технических средств ПЭВМ, программ и данных с реализацией пошагового алгоритма контроля целостности;
·создание изолированной программной среды (ИПС) с исключением возможности несанкционированного выхода в ОС, загрузки с FDD и несанкционированного прерывания контрольных процедур с клавиатуры;
·ввод широкого перечня дополнительных защитных механизмов в соответствии с политикой информационной безопасности, принятой в организации (на предприятии, фирме и т.д.).
Защитные механизмы комплекса "Аккорд-NT/2000" v.2.0. реализованы в соответствии с требованиями РД. АС. Защита от НСД к информации. Классификация АС и требования по защите, Гостехкомиссия России, 1992.. И удовлетворяет следующим требованиям:
·Требование идентификации и аутентификации;
·Требование реализации дискреционного механизма разграничения доступа;
·Описание попыток НСД в среде Windows NT/2000;
·Требование по реализации мандатного принципа контроля доступа;
·Требование управления потоками информации;
·Требование регистрации событий;
·Требование целостности комплекса средств защиты (КСЗ);
·Требование очистки памяти.
Аккорд-NT/2000 сертифицирован Гостехкомиссией при Президенте РФ по уровню контроля отсутствия недекларированных возможностей" - по 3 уровню контроля, и в соответствии с "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" присвоен класс 1Б. Стоимость данного продукта 340$.
SECRET NET 4.0
Существует 2 варианта системы защиты информации Secret Net: автономный и сетевой.
Система защиты информации Secret Net версии 4.0 (автономный вариант) предназначена для защиты локальных ресурсов компьютера, не подключенного к сети, или рабочей станции локальной сети.
Автономный вариант системы не имеет средств сетевого централизованного управления защитой. Система Secret Net дополняет операционные системы семейства Windows9x (и MS DOS в режиме эмуляции) следующими возможностями (защитными функциями):
·запрос имени (персонального идентификатора) и пароля пользователя при входе в систему (при загрузке ОС);
·разграничение доступа пользователей к ресурсам компьютера с помощью механизмов избирательного и полномочного управления доступом;
·создание для любого пользователя ограниченной замкнутой среды программного обеспечения;
·автоматическое уничтожение данных на магнитных носителях при удалении файлов;
·возможность объединения пользователей в группы для упрощения управления их доступом к совместно используемым ресурсам (наборам данных и каталогам дисков);
·ведение системного журнала, в котором регистрируются события, имеющие отношение к безопасности системы;
·защита компьютера от проникновения и размножения вирусов; контроль целостности средств защиты, среды выполнения программ и самих прикладных программ;
·гибкие средства администрирования системы защиты с использованием механизма привилегий, позволяющего распределить административные функции между различными пользователями компьютера.
Отличительной особенностью системы Secret Net является возможность гибкого управления набором защитных средств системы. Пользователь, имеющий привилегии администратора безопасности, может активизировать на компьютере различные комбинации защитных механизмов системы, выбирая из них только необходимые и устанавливая соответствующие режимы их работы.
Возможны следующие варианты применения системы Secret Net (автономный вариант):
·для защиты информации, хранимой и обрабатываемой на автономном компьютере, работающем под управлением ОС семейства Windows9x;
·для защиты локальных ресурсов рабочей станции локальной вычислительной сети, работающей под управлением ОС семейства Windows9x;
·как комплексное средство защиты локальных ресурсов компьютера или рабочей станции сети, работающей под управлением ОС семейства Windows9x, используемое совместно с Электронным замком Соболь.
Система защиты информации Secret Net обеспечивает совместную работу с сертифицированными средствами криптографической защиты информации. Стоимость данного продукта Secret Net 4.0 (автономный вариант) 115$;
Система Secret Net (сетевой вариант) предназначена для организации защиты информации в локальных вычислительных сетях, построенных на основе операционных систем Windows NT и Windows9x. Она позволяет организовать эффективную защиту информации, циркулирующей в автоматизированной информационной системе предприятия.
Система Secret Net не подменяет собой защитные механизмы операционных систем, а дополняет их в части защиты рабочих станций и серверов сети, позволяя тем самым повысить защищенность всей автоматизированной информационной системы (автоматизированной системы обработки информации) в целом. Иначе говоря, система Secret Net является специализированным программно-техническим продуктом, дополняющим операционные системы функциями защиты от несанкционированного доступа (НСД) к различным ресурсам рабочих станций и серверов сети, который позволяет централизованно управлять этой защитой в рамках автоматизированной информационной системы предприятия.
Система защиты Secret Net (сетевой вариант) представляет собой реализацию новой технологии управления информационной безопасностью и позволяет:
·решать различные задачи по обеспечению информационной безопасности (сбор оперативных данных, контроль доступа в помещения и т.д.) в рамках единой системы управления безопасностью организации;
·реально объединить в единую систему различные средства обеспечения безопасности: средства криптографической защиты, средства анализа защищенности и оповещения о сетевых атаках, средства защиты от НСД;
·оперативно получать актуальную информацию о реальном состоянии защищенности информационной системы и оценивать ее соответствие требованиям, существующим в организации;
·значительно упростить управление доступом сотрудников организации к ресурсам информационной системы за счет унификации номенклатуры управляемых объектов и прав доступа.
Дополнительно к стандартным механизмам защиты, реализованным в ОС Windows9x и Windows NT система Secret Net обеспечивает:
·опознавание (идентификацию) пользователей при помощи специальных аппаратных средств (Touch Memory, Smart Card). Возможна организация криптографической аутентификации пользователя сервером безопасности;
·полномочное (мандатное) управление доступом пользователей к данным. Дополнительно к избирательному (дискреционному) управлению доступом, возможно также разграничение доступа к файлам (на локальных и удаленных дисках) в соответствии со степенью конфиденциальности содержащихся в них сведений и уровнем допуска пользователя;
·возможность подключения и использования средств криптографической защиты данных, передаваемых по сети, и данных, хранимых в файлах на внешних носителях (жесткие и гибкие магнитные диски и т.д.). Обмен данными между всеми или отдельными рабочими станциями сети может осуществляться в криптографически защищенном виде;
·централизованное оперативное управление доступом пользователей к совместно используемым ресурсам, как в одноранговой, так и в доменной сети;
·оперативный контроль работы пользователей сети. Оповещение администратора безопасности о событиях несанкционированного доступа. Централизованный сбор и анализ содержимого журналов регистрации;
·контроль целостности программ, используемых ОС и пользователем.
Стоимость данного продукта: Secret Net 4.0 (для Windows 9x сетевой вариант) 700$.
StrongDisk
StrongDisk имеет 2 варианта системы: автономный однопользовательский вариант и серверный вариант.
Криптографическая система защиты данных StrongDisk Pro (однопользовательский вариант) для Windows 95/98/NT/2000 является комплексным средством для защиты конфиденциальной информации, хранящейся на жёстком диске компьютера или на сменных носителях. Данный продукт используется как на рабочих станциях и домашних компьютерах, так и на ноутбуках. В состав StrongDisk Pro входят также такие утилиты, предназначенные для предотвращения утечки конфиденциальной информации из-за несовершенства операционной системы.позволяет создавать и использовать в рамках файловой системы Windows защищённые логические диски, содержащие закодированные данные, которые защищены паролем и внешним ключом от НСД. StrongDisk хранит закодированные данные в обыкновенных файлах, которые могут располагаться в любых каталогах на любых логических дисках, доступных Windows.реализует алгоритмы AES, Blowfish, tripleDES, CAST-128, Safer для преобразования данных. Преобразование данных происходит на лету.
StrongDisk так же включает ряд утилит:
·утилита Burner для затирания произвольных файлов без возможности восстановления, даже используя специальные технические средства;
·утилита для затирания всего свободного места на диске;
·затирание файла подкачки;
·защищенная папка TEMP для хранения временных файлов
Стоимость StrongDisk PRO продукта 110$.
Криптографическая система защиты данных StrongDisk Server (серверный вариант) для Windows NT/2000 является комплексным средством для защиты информации на сервере. Система позволяет создавать защищённые логические диски, которые защищены от НСД паролем и внешним ключом. Защищённый логический диск представляет собой обыкновенный файл, который может располагаться на любом доступном для Windows разделе жёсткого диска. Размер файла-образа ограничен свободным местом на диске и ограничениями размера файла для файловых систем.
Для предоставления пользователю доступа к защищённому диску используются стандартные средства Windows - Sharing. При этом никто не может получить доступ к конфиденциальной информации, пока на сервере не подключён соответствующий защищённый диск.не имеет подсистем идентификации и аутентификации пользователей, разграничения доступа к ресурсам системы, контроля целостности, поэтому, как средство защиты информации от НСД использоваться не может. Однако, он может использоваться как дополнение к какому-либо средству защиты информации от НСД, например к электронному замку «Соболь» или к программно-аппаратному комплексу «Аккорд».
Стоимость продукта StrongDisk SERVER (на 10 пользователей) 720$.
2.7.2 Средства организации защищенного электронного документооборота
«Верба - О»
Система криптографической защиты информации "Верба-О" разработана Московским отделением Пензенского научно - исследовательского электротехнического института. Представляет собой программный комплекс, предназначенный для защиты информации при ее хранении на дисках и (или) передаче по каналам связи.
СКЗИ "ВЕРБА-О" использует симметричные ключи шифрования (ГОСТ 28147-89) и асимметричные ключи для подписи (ГОСТ Р 34.10-94, ГОСТ Р 34.11-4, ГОСТ 28147-89). СКЗИ "ВЕРБА-О" использует принцип открытого распределения ключей шифрования и электронно-цифровой подписи. Для формирования ключей шифрования и электронно-цифровой подписи используются: автоматизированное рабочее место администратора безопасности АРМ АБ-С и ключевые блокноты типа АРМ АБ-О.
Библиотеки предоставляют возможность формирования и администрирования справочников открытых ключей, шифрования и ЭЦП соответственно и обеспечивают выполнение следующих функций при работе со справочниками:
·добавление и удаление открытого ключа;
·получение атрибутов открытого ключа по идентификатору и наоборот;
·контроль целостности справочника открытых ключей;
·контроль целостности открытого ключа.
Основные функции библиотеки:
·зашифрование/расшифрование файлов/блоков памяти;
·одновременное зашифрование файлов/блоков памяти в адрес множества абонентов;
·получение имитовставки для файла/блока памяти;
·формирование случайного числа заданной длины;
·формирование электронной цифровой подписи файла/блока памяти;
·проверку ЭЦП файла/блока памяти;
·удаление подписи;
·формирование до 255 ЭЦП для одних исходных данных;
·выработка значения хэш-функции файла/блока памяти.
Криптографические библиотеки в первую очередь предназначены для встраивания в прикладное программное обеспечение заказчика. Для этих целей в комплект поставки включается подробное описание функций и рекомендаций по построению защищенных систем. Вместе с тем МО ПНИЭИ и компании-партнеры успешно поставляют на рынок большое количество приложений, использующих СКЗИ "Верба" и "Верба-O". В их число входят: Автономное рабочее место, Криптографический сервер, Абонентские пункты различных модификаций.
В СКЗИ "Верба-О" ключевая система организована по принципу полной матрицы. Это означает, что формируется матрица, которая содержит все секретные ключи связи, и каждый j-ый абонент получает j-ую строку из этой матрицы, и использует i-ый элемент этой строки при зашифровании/расшифровании в качестве секретного ключа связи с i-ым абонентом.
Решаемые задачи:
·шифрование/расшифрование информации на уровне файлов;
·генерации электронной цифровой подписи (ЭЦП);
·проверки ЭЦП;
·обнаружение искажений, вносимых злоумышленниками или вирусами в защищаемую информацию.
Системные требования:DOS v5.0 и выше, Microsoft Windows 95/NT/2000/XP, UNIX (HP UX) IBM PC/AT; ОЗУ не более 155 Кбайт. Накопитель на гибком магнитном диске.
«КриптоПро CSP»
СКЗИ КриптоПро CSP разработан ООО "Крипто-Про" и ГУП НТЦ "Атлас" по техническому заданию, согласованному с ФАПСИ, в соответствии с криптографическим интерфейсом фирмы Microsoft - Cryptographic Service Provider (CSP).
СКЗИ КриптоПРО CSP предназначен для:
·авторизации и обеспечения контроля подлинности электронных документов при обмене ими между пользователями с применением электронной цифровой подписи (ГОСТ Р 34.10-94, ГОСТ Р 34.11-94);
·обеспечения конфиденциальности и контроля целостности информации посредством ее шифрования и имитозащиты (ГОСТ 28147-89);
·защиты программного обеспечения от несанкционированного доступа;
·управления ключевыми элементами системы в соответствии с регламентом средств защиты.
Основные характеристики:
Длина ключей шифрования:
·сессионный ключ для шифрования по ГОСТ 28147-89 - 256 бит;
·секретный ключ - 256 бит;
·открытый ключ - 1024 бита.
Длина ключей ЭЦП:
·секретный ключ - 256 бит;
·открытый ключ - 1024 бита
Типы ключевых носителей:
·электронный USB-ключ или смарт-карта eToken;
·дискета 3,5";
·процессорные карты MPCOS-EMV и российские интеллектуальные карты (РИК) с использованием считывателя смарт карт GemPlus GCR-410;
·таблетки Touch-Memory DS1993 - DS1996 с использованием устройств Аккорд 4+, электронный замок "Соболь" или устройство чтения таблеток Touch-Memory DALLAS;
·реестр Windows.
Основные функции, реализуемые КриптоПро CSP:
·генерация секретных (256 бит) и открытых (1024 бита) ключей ЭЦП и шифрования;
·формирование секретных ключей на различные типы носителей;
·возможность генерации ключей с различными параметрами;
·криптографическая защита информации. Система электронной цифровой подписи на базе асимметричного криптографического алгоритма;
·хеширование данных;
·шифрование данных;
·имитозащита данных;
·формирование электронной цифровой подписи;
·опциональное использование пароля (PIN-кода) для дополнительной защиты ключевой информации;
·реализация мер защиты информации пользователя от НСД.
Системные требования:Windows 9x/NT/Me/2000/XP, Internet Explorer 5.0 или выше
Также ООО "КРИПТО-ПРО" предлагает продукты:
·"КриптоПро TLS" - реализация протокола SSL (TLS) для сетевой аутентификации и защиты информации;
·ПАК "КриптоПро УЦ" - средство автоматизации деятельности удостоверяющих центров.
"Криптон-4"/"Криптон-4К/16"
Средства криптографической защиты информации "Криптон-4" и "Криптон-4К/16" работают в составе IBM PC совместимых компьютеров и предназначены для криптографической защиты данных. СКЗД "Криптон" рекомендован для защиты конфиденциальной и секретной информации в государственных и коммерческих структурах. Используемый криптографический алгоритм не накладывает ограничения на степень секретности защищаемой информации. СКЗД "Криптон-4К/16" полностью совместимо с СКЗД "Криптон-4", но имеет повышенные скоростные и надежностные характеристики, а также позволяет хранить ключи на таблетках touch memory.
СКЗД "Криптон" может применяться для организации защиты файлов электронных документов, содержащих информацию, составляющую государственную тайну.
СКЗД "Криптон-4" сертифицирован в ряде АРМ для защиты информации, составляющей гостайну. СКЗД "Криптон-4К/16" сертифицирован в составе СКЗИ CryptonArcMail на соответствие требованиям по безопасности по уровню "С".
В комплект поставки СКЗД входит также программа электронной цифровой подписи CryptonSign. Использование данной программы позволяет организовать систему электронного документооборота.
Реализованные криптографические алгоритмы:
·ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования
·ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования
·ГОСТ Р 34.10-94 Информационная технология. Kриптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе ассиметричного криптографического алгоритма
Алгоритм шифрования реализован аппаратно на основе специализированной БИС "Блюминг-1", а для СКЗД "Криптон-4К/16" - на базе новой СБИС "Блюминг-1К". Аппаратная реализация позволяет гарантировать целостность алгоритма криптографического преобразования. Использование СБИС также позволяет загружать ключи шифрования до загрузки операционной системы в регистры шифропроцессора и хранить их там в процессе обработки файлов без выгрузки в ОЗУ, что гарантирует сохранность ключей от несанкционированного доступа.
СКЗД "Криптон" имеет встроенный аппаратный датчик случайных чисел, что значительно повышает надежность ключей шифрования и электронной подписи. СКЗД "Криптон" имеет интерфейс к адаптеру смарт-карт SA-101 , что позволяет хранить ключи шифрования и электронной подписи на смарт-карте. Кроме того, СКЗД "Криптон-4К/16" имеет интерфейс к коннектору touch memory, что позволяет хранить ключи шифрования на таблетках touch memory.
Дополнительно для СКЗД "Криптон-4К/16" разработана система ограничения доступа к ПК - "Криптон-Замок", которая запрещает загрузку ПК без предъявления идентификатора пользователя.
Базовые возможности:
·тестирование компьютера для настройки устройства (при установке);
·создание и обслуживание ключевых систем пользователя;
·осуществление электронной подписи документов;
·шифрование файлы, группы файлов и диски.
Технические характеристики:
·Размерность ключа - 256 бит - ключ шифрования
·256 - секретный ключ ЭЦП
·512 - открытый ключ ЭЦП
·Отклонение распределения значений случайных чисел от равновероятного распределения, не более 0,0005
·Поддерживаемые типы смарт-карт - работающие по протоколу I2C, I2C ext c открытой памятью 2-64 Кбит
·Поддерживаемые типы touch memory - DS 1993 L-F5
·Питание (от компьютера) +5,+12 В
·Потребляемая мощность, не более 2 Вт
·Масса, не более 0,3 кг,
Системные требования:DOS 3.1 и выше, Microsoft Windows 95/NT/2000/XP; разъем шины ISA; пространство в области адресов BIOS компьютера объемом 16 Кбайт; программное прерывание 4Сh; порты ввода/вывода с адресами 338,33A,33C,33E,738,73A (hex) или 350,352,354,356,750,752 (hex).
VIPNet («Домен-К»)
Средства криптографической защиты информации "Домен-К" предназначены для формирования ключей шифрования и ключей электронной цифровой подписи (ГОСТ 34.10-94, ГОСТ 34.10-2001) шифрования и имитозащиты данных (ГОСТ 28147-89), обеспечения целостности и подлинности информации.
СКЗИ "Домен-К" могут использоваться в государственных и коммерческих структурах путем встраивания в прикладное программное обеспечение, обеспечивающее хранение, обработку и обмен конфиденциальной, служебной, коммерческой, персональных данных и другой информацией, не содержащей сведений, составляющих государственную тайну.
Технические характеристики:
·секретный ключ шифрования, секретный ключ ЭЦП и секретных ключей Диффи-Хелмана (секретных ключей для открытого распределения ключей) 256 битов;
·открытый ключ ЭЦП и открытый ключ для протокола Диффи-Хелмана - 1024 бита при использовании ГОСТ 34.10-94 и 512 бит для ГОСТ 34.10-2001.
Системные требования:Windows 95/98/ME/NT/2000/XP, Linux Red Hat 7.2, FreeBSD 4.4, на платформе Intel, и Solaris 8.
Базовой средой для использования СКЗИ "Домен-К" является пакет программ ViPNet.
Технология ViPNet предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети организации, взаимодействующей также и с внешними техническими средствами и информационными ресурсами.
В основе решений ViPNet - пакет программ, являющийся универсальным программным средством для создания виртуальных защищенных сетей (VPN) любой конфигурации, интегрированных с системой распределенных персональных и межсетевых экранов (МЭ).
Пакет программ ViPNet, сертифицированный Гостехкомиссией при Президенте России по классам 1В автоматизированных систем и 3 классу распределенных межсетевых экранов, без каких либо ограничений может быть использован государственными и коммерческими структурами для прозрачной защиты информации любых приложений и служб в локальных и глобальных сетях (включая Интернет).
Возможности:
·собственные защищенные службы реального времени;
·почтовая служба и автопроцессинг с процедурами электронной цифровой подписи;
·возможность встраивания криптографических функций в другие программы;
·специальные технологии подключения локальных сетей и удаленных пользователей к Интернет и другие свойства.
Решаемые задачи:
·построение инфраструктуры электронной цифровой подписи;
·интеграция мобильных и удаленных пользователей в корпоративную VPN;
·объединение нескольких локальных сетей в одну распределенную;
·организация защищенного Web хостинга и защищенного доступа к серверам приложений;
·защита встроенными сетевыми экранами информационных ресурсов клиентов VPN сети (рабочих станций, серверов, баз данных и приложений);
·защита TCP/IP трафика в сети, создаваемого любыми стандартными приложениями и программами работающими в ОС Win 95/98/Me/XP/NT/2000 и Linux, включая программы аудио- и видео-конференцсвязи и всевозможные платформы В2В;
·защищенный автопроцессинг и защита транзакций для платежных систем, документооборота, сети финансовой отчетности.
Технология ViPNet, основанная на использовании средств криптографической защиты информации (СКЗИ) "Домен-К", предоставляет два варианта интерфейса API для встраивания функций электронной цифровой подписи (ЭЦП) во внешние приложения:
·для "тонких" приложений, использующих Web-технологии;
·для "толстых" приложений.
Для встраивания функций ЭЦП в "тонкие" приложения, использующие Web-технологии, можно использовать COM-объект, предоставляющий три функции:
·подписать некоторую строку;
·проверить подпись подписанной строки;
·получить информацию о пользователе, подписавшем строку.
Для "толстых" приложений предпочтительно использовать более гибкий вариант API, позволяющий подписывать не только области памяти, но и файлы.
Формат сертификата открытых ключей подписи соответствует версии 3 международного стандарта X.509 и требованиям федерального Закона об ЭЦП.
Для встраивания функций ЭЦП во внешние приложения необходимо, прежде всего, установить определенное программное обеспечение (ПО) для Центра регистрации, Центра сертификации (Удостоверяющего центра), а также клиентское ПО.
2.7.3 Межсетевые экраны и средства создания частных виртуальных сетей
Межсетевые экраны
Межсетевые экраны бывают персональными и распределенными. Главное отличие персонального межсетевого экрана от распределенного одно - наличие функции централизованного управления. Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации.
Межсетевой экран должен обладать следующими функциями:
1.Не должен быть пассивной программой, которая только и делает, что блокирует входящий на компьютер трафик по заданным критериям, к которым обычно относятся адрес и порт источника. Чтобы защититься необходим инструмент, который позволит проводить более глубокий анализ каждого сетевого пакета, направленного на защищаемый узел. Таким инструментом является система обнаружения атак, которая в трафике, пропущенном через межсетевой экран, обнаруживает следы хакерской деятельности. Она не доверяет слепо таким разрешительным признакам, как адрес и порт источника. Как известно протокол IP, на основе которого построен современный Internet, не имеет серьезных механизмов защиты, что позволяет без труда подменить свой настоящий адрес, тем самым, делая невозможным отслеживание злоумышленника.
2.Защита от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских коней и заканчивая кражей или удалением всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.
.Механизм отслеживания злоумышленника (back tracing), реализованный в некоторых межсетевых экранах.
.Возможность удаленного обновления программного обеспечения персонального межсетевого экрана. В противном случае администратору приходилось бы самостоятельно посещать каждого из владельцев компьютера и обновлять его защитное ПО.
Обзор межсетевых экранов представленных на рынке России
1. BlackICE Firewall (разработчик компания Internet Security Systems)
BlackICE Firewall отвечает за блокирование сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предварительное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа "лишних" операций на обработку неразрешенного трафика. Настройка данного компонента может осуществлять как вручную, так и в автоматическом режиме. BlackICE Firewall работает напрямую с сетевой картой, минуя встроенный в операционную систему стек протоколов, что позволяет устранить опасность от использования многих известных уязвимостей, связанных с некорректной реализацией стека в ОС.
2. Symantec Enterprise Firewall (разработчик компания Symantec)
Межсетевой экран Symantec Enterprise Firewall, предназначенный для активной защиты информационных ресурсов предприятия на сетевом и прикладном уровнях, обеспечивает быстрое и безопасное подключение к Интернету. Благодаря строгому, основанному на стандартах подходу он защищает предприятия как от уже известных, так и от новых атак. В рамках единственной в своем роде гибридной архитектуры удалось объединить средства полного анализа трафика приложений модули-посредники (proxies) прикладного уровня, средства анализа состояний и технологию фильтрации пакетов. В результате система по умолчанию обеспечивает защиту от сложных комбинированных угроз и атак типа "отказ в обслуживании" (Denial of Service, DoS). Эта архитектура обеспечивает полный контроль данных, входящих в сеть предприятия и исходящих из нее, и в то же время предоставляет партнерам и клиентам защищенный бесперебойный доступ к корпоративным ресурсам. Кроме того, с помощью интегрированных в программное решение средств VPN, основанных на стандартах, можно устанавливать экономичные высокоскоростные подключения между филиалами, а также между центральным офисом предприятия и мобильными пользователями.
В продукте Symantec Enterprise Firewall предусмотрен современный алгоритм наилучшего совпадения, позволяющий сопоставлять правила доступа и попытки подключения к сети. Это помогает администраторам избежать случайного создания брешей в системе безопасности. В систему защиты также интегрированы средства обеспечения высокой доступности и балансировки нагрузки (High Availability/Load Balancing, HA/LB), что позволяет повысить масштабируемость программного обеспечения и предотвратить простои сети. Предусмотрена и возможность фильтрации веб-ресурсов по URL-адресам.
3. Symantec Enterprise VPN 7.0 (разработчик компания Symantec)
Symantec Enterprise VPN для операционных систем Windows® и Solaris® обеспечивает организациям защиту своих сетей за пределами брандмауера при помощи ProxySecured VPN сканирования на серверах и использования клиентской части программы Symantec Enterprise VPN (известной ранее как RaptorMobile) для создания персональных брандмауэров на рабочих местах. Будучи полностью интегрируемой и совместимой с существующими стандартами гибридной системой брандмауэр/VPN, это решение предоставляет возможность безопасного и высокоскоростного выхода в Интернет и позволяет корпоративным пользователем устанавливать надежные экономичные соединения, открывая не только быстрый и надежный доступ к информации для своих мобильных сотрудников, авторизованных партнеров, клиентов и удаленных офисов, но и путь к новым формам бизнеса. Разработанный как для предприятий оснащенных сетями сложнейшей архитектуры, так и для компаний, потребности которых ограничиваются электронной почтой и путешествиями по Интернету, Symantec Enterprise VPN является незаменимой составляющей системы безопасности в сегодняшнем мире электронных коммуникаций. Это единственный VPN-сервер, который использует ProxySecured сканирование всех IPSec-совместимых соединений для мониторинга входящих и исходящих потоков информации. Эта уникальная технология позволяет администраторам осуществлять более эффективный контроль обмена данными благодаря возможности наблюдения за трафиком на уровне (пользовательских) приложений, а не только в масштабах всей сети. А для усиления защиты на рабочих местах и предотвращении атак по сетевым IP-адресам, входящий в этот пакет интегрированный персональный брандмауэр обеспечивает возможность настраиваемой автоматической блокировки портов и другие функции, предназначенные для поддержания способности системы к самоукреплению и защиты всех потенциально уязвимых сетевых узлов. Symantec Enterprise VPN действует независимо от структурных особенностей брандмауэров, что позволяет легко внедрять его в существующие сети, включая и те, где уже установлены другие брандмауэры. Для осуществления более простого управления в клиентской части Symantec Enterprise VPN реализована возможность автоматического одношагового конфигурирования и установки связи, благодаря чему значительно облегчается задача распространения, инсталляции и технической поддержки VPN в случае большого числа пользователей. А средства централизованного удаленного управления дают администраторам возможность создавать и назначать политику доступа при использовании продукта в крупномасштабных и территориально разрозненных сетях.
4. Check Point Firewall-1 (Check Point Software Technologies)
Обеспечивает контроль доступа в сетях Интернет, Интранет, Экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей. FireWall-1 позволяет транслировать сетевые адреса (NAT) и сканировать потоки данных на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших.
FireWall-1 позволяет организации создать единую интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия. Продукт имеет и массу дополнительных возможностей, таких, как управление списками доступа аппаратных маршрутизаторов, балансировка сетевой нагрузки на серверы, а также элементы для построения систем повышенной надежности, которые также полностью интегрируются в глобальную политику безопасности. Работа Check Point FireWall-1 прозрачна для пользователей и обеспечивает рекордную производительность практически для любого IP протокола и высокоскоростной технологии передачи данных.
5. Z-2 (Инфосистема Джет)
Предназначен для защиты внутреннего информационного пространства корпоративных информационных систем (в том числе территориально-распределенных) при информационном взаимодействии с внешним миром в соответствии с принятой в Компании политикой информационной безопасности. МЭ Z-2 устанавливается на границе между защищаемой сетью Компании и внешними «открытыми» сетями либо между сегментами защищаемой сети (разного уровня конфиденциальности или служащих для решения различных задач и потому требующих изоляции) и осуществляет контроль входящих/исходящих информационных потоков на основе заданных правил управления доступом.
Основные возможности МЭ Z-2 по обеспечению информационной безопасности корпоративной информационной системы включают:
·Контроль входящих/исходящих информационных потоков на нескольких уровнях модели информационного обмена OSI/ISO;
·Идентификацию и аутентификацию пользователей с защитой от прослушивания сетевого трафика;
·Трансляцию сетевых адресов и сокрытие структуры защищаемой сети;
·Обеспечение доступности сетевых сервисов;
·Регистрацию запросов на доступ к ресурсам и результатов их выполнения;
·Обнаружение и реагирование на нарушения политики информационной безопасности
Средства построения виртуальных частных сетей VPN
1. VPN-1 Appliance (CheckPoint Software Technologies совместно с Nokia Inc).
Аппаратный межсетевой экран входящий в семейство VPN-1 для построения VPN. Имеет широкий спектр других возможностей, начиная с разграничения доступа к ресурсам и фильтрации трафика, и заканчивая маршрутизацией IP-протокола (при помощи протоколов RIP, OSPF, DVMRP, IGRP, BGP и VRRP). VPN-1 Appliance включает в себя межсетевой экран Firewall-1. При помощи него можно строить высокоэффективные и надежные защитные системы.
2. Аппаратно-программный комплекс «Континент». (НИП «Информ Защита»)
Предназначен для создания виртуальных частных сетей и обеспечения защиты информации, передаваемой по открытым каналам связи в корпоративных сетях, использующих протоколы семейства TCP/IP. Связь осуществляется за счет организации туннелей между специальными устройствами - криптошлюзами.
АПК «Континент» обеспечивает:
·эффективную защиту передаваемой информации
·полную "прозрачность" для конечных пользователей
·скрытие структуры защищаемых сетей
·защиту информационных систем от атак из внешней среды
·безопасный доступ к ресурсам сетей общего пользования.
3. VipNET
Пакет программ "Виртуальная защищенная сеть ViPNet" предоставляет возможность создания полностью защищенной от внешнего влияния и постороннего доступа информационной сети, которая через любые каналы связи, поддерживающие IP-протокол (телефонные с использованием служб удаленного доступа, выделенные, Интернет, локальные сети и др.) позволяет объединить все отделения, филиалы, отделы и конкретных лиц Вашей организации, Ваших партнеров в единую частную защищенную сеть. Сеть не требует специального оборудования, рассчитана на обычные IBM-совместимые компьютеры, любые локальные IP-сети, любые телефонные модемы или факс-модемы, любые выделенные или коммутируемые каналы. Программное обеспечение сети функционирует в операционной среде WINDOWS 98SE/ME/NT/2000/XP/Server 2003.
Пакет программ ViPNet предназначен для подготовки, передачи, хранения и обработки конфиденциальной информации, а в применении к IP-сетям является универсальным программным средством для создания виртуальных частных сетей (Virtual Private Network - VPN) любых конфигураций.
В пакете реализован комплекс программно-технических и организационных решений по защите информации и самой системы от несанкционированного доступа.
2.8 Обзор технических средств и систем безопасности
Современные системы физической защиты в корне изменили тактику охраны объектов. В таких системах нет необходимости в организации постовой службы на периметре объекта; вместо этого создаются дежурные тревожные группы, которые начинают немедленные действия по нейтрализации нарушителей после получения сигнала тревоги на центральном пульте управления системой физической защиты. В них сведено до минимума влияние человеческого фактора и достигается высокая эффективность защиты объекта при минимальном количестве личного состава сил охраны.
"Система физической защиты" представляет собой совокупность правовых норм, организационных мер и инженерно-технических решений, направленных на защиту жизненно-важных интересов и ресурсов предприятия (объекта) от угроз, источниками которых являются злоумышленные (несанкционированные) физические воздействия физических лиц - нарушителей (террористов, преступников, экстремистов и др.).
В этом едином комплексе задействованы люди (служба безопасности, силы охраны), и техника - комплекс инженерно-технических средств охраны или комплекс инженерно-технических средств физической защиты. От их четкого взаимодействия зависит эффективность системы физической защиты.
Современные системы физической защиты строятся на базе широкого применения инженерно-технических и программных средств и содержат следующие основные составные части (подсистемы):
·система контроля и управления доступом персонала;
·система охранной сигнализации;
·система телевизионного наблюдения;
·пожарная сигнализация и противопожарная автоматика.
При создании современных систем физической защиты, как правило, ставится также и задача защиты жизненно важных центров и систем объекта от непреднамеренных, ошибочных или некомпетентных действий персонала, которые по характеру возможного ущерба приближаются к НСД внешних нарушителей.
Дальнейшим развитием в обеспечении безопасности объектов на современном этапе является создание комплексных (интегрированных) систем безопасности и управления системами жизнеобеспечения объектов. По современной терминологии такие системы называют "Автоматизированные системы управления зданиями" или "Автоматизированные системы управления для "интеллектуальных зданий".
2.8.1 Пожарная сигнализация и противопожарная автоматика
Технические средства пожарной сигнализации состоят из следующих основных устройств: пожарных извещателей, пожарных приемно-контрольных приборов, пожарных приборов управления и пожарных оповещателей. Они объединяются в системы пожарной сигнализации и автоматического пожаротушения.
Пожарные извещатели служат для первичного обнаружения физических факторов, сопутствующих пожару, таких как тепло, дым, открытое пламя, и передачи тревожных извещений по шлейфам пожарной сигнализации на приемно-контрольные приборы или пульты пожарной сигнализации.
По способу обнаружения пожара извещатели делятся на тепловые, дымовые, извещатели пламени и ручные.
Тепловые извещатели недостаточно эффективны для раннего обнаружения пожара. Их применение оправдано только для тех объектов, где вероятность повышения температуры более высока, чем появление дыма или открытого пламени, а также там, где условия эксплуатации не позволяют применить извещатели другого типа.
Из последних отечественных моделей можно отметить тепловые пожарные извещатели ИП103-5 и ИП103-7. Эти извешатели выпускаются в нескольких модификациях, которые различаются как по конструкции, так и по температуре срабатывания.
Дымовые извещатели позволяют обнаружить пожар на ранней стадии развития. Это их главное преимущество перед тепловыми извещателями. Поэтому дымовые извещатели сейчас наиболее перспективны для применения на всех видах объектов.
Дымовые извещатели по зоне обнаружения делятся на точечные и линейные. Точечные извещатели имеют чувствительную зону внутри измерительной камеры извещателя. Принцип обнаружения основан на отражении оптического излучения от частиц дыма, попадающих в эту зону.
Линейные дымовые извещатели в качестве чувствительной зоны используют, как правило, луч света длиной до 100 м, который пересекает защищаемое помещение. Обнаружение пожара происходит при ослаблении оптического излучения дымом.
Отечественные предприятия выпускают следующие модели дымовых пожарных извещателей: ИП212-26, ИП212-5, ИП212-41, ИП212-43, ИП212-44, ИП212-34, ИП212-3, ИП212-4. Линейные дымовые пожарные извещатели применяются достаточно редко. В России серийно выпускается только одна модель - линейный дымовой оптико-электронный извещатель ИДПЛ.
Извещатели пламени реагируют на инфракрасное или ультрафиолетовое излучение открытого пожара. Область их применения достаточно ограничена. В основном это производственные объекты, места хранения ЛВЖ, бензоколонки и т.д. В качестве примера можно привести пожарный ультрафиолетовый извещатель пламени ИП329-2 "Аметист.
Особенностью ручных извещателей является то, что в действие их приводит человек, обнаруживший пожар. Этот тип извещателей применяется в местах постоянного присутствия людей, на лестничных пролетах, на путях эвакуации и т.д. Несмотря на достаточно широкую область применения, на рынке представлены в основном модели ИПР-ЗСУ, ИПРА и ИПР.
Приборы приемно-контрольные пожарные предназначены для приема тревожных извещений от пожарных извещателей, контроля пожарных шлейфов на обрыв и короткое замыкание, формирования тревожных извещений "Пожар" и "Неисправность", обеспечения оповещения о пожаре, а также для передачи этих извещений на пульт централизованного наблюдения, формирования сигналов включения систем противопожарной автоматики (пожаротушения, дымоудаления и др.).
Пожарные панели импортного производства ведущих фирм (Cerberus AG, Hochiki Corporation, System Sensor, Detection System, Effeff, Esser и др.) отличаются высоким качеством, множеством дополнительных функций и значительно более высокой ценой по сравнению с отечественными изделиями.
Серию современных специализированных для пожарной сигнализации приборов производит АО "Аргус-Спектр", г. Санкт-Петербург. Это приборы "Радуга", "Радуга-2А" и "Радуга-3". Приборы выполнены на новейшей электронной базе по технологии поверхностного монтажа.
"Радуга" предназначен для оснащения небольших объектов, таких как школы, детские сады, небольшие магазины и т.д. Прибор имеет 5 радиальных шлейфов сигнализации, в которые могут включаться различные типы пожарных извещателей. Выходы прибора позволяют управлять средствами оповещения и простой пожарной автоматикой, передавать сигналы на пульт централизованного наблюдения.
"Радуга-2А" предназначен для организации автономной или централизованной пожарной сигнализации как на небольших (до 10 - 20 помещений), так и на достаточно крупных (50 - 100 и более помещений) объектах. Прибор обеспечивает прием адресных извещений по 64 охраняемым зонам (помещениям) от автоматических и ручных пожарных извещателей, выдачу сигналов на пульт централизованного наблюдения и формирование групповых и адресных команд для устройств оповещения и пожарной автоматики (пожаротушение, дымоудаление и т.п.).
"Радуга-3" - является дальнейшим шагом в совершенствовании систем пожарной сигнализации и представляет собой аналогово-адресную систему. Две кольцевые сигнальные адресные линии позволяют обслуживать до 192 адресных устройств.
Пожарные оповещатели предназначены для оповещения о пожаре с помощью различных звуковых и световых сигналов. Для звуковой сигнализации применяются звуковые сирены различных типов. Для световой сигнализации применяются различные световые оповещатели, выполненные на основе ламп накаливания, светодиодов и импульсных газоразрядных источников света. Здесь можно отметить звуковые оповещатели "Свирель" и световые оповещатели "Маяк". Эти изделия отличаются тем, что работают от напряжения 12 и 24 В, экономичны, имеют малые габариты, хороший дизайн и высокие функциональные показатели.
Каждый прибор приемно-контрольный пожарный, о которых было сказано выше, имеет, как правило, выходы для управления средствами противопожарной автоматики и может использоваться для управления средствами пожаротушения. Однако для эффективного управления системами автоматического пожаротушения применяются специальные устройства - приборы пожарные управления. Эти приборы имеют мощные выходные цепи для управления исполнительными элементами установок пожаротушения, дополнительные выходы для управления системами дымоудалення. отключения вентиляции.
2.8.2 Системы охранной сигнализации
Системы охранной сигнализации своевременно оповестят Вас о несанкционированном проникновении на охраняемую территорию и сообщат об аварийных ситуациях. Кроме того, при проникновении внутрь вашего жилища или офиса система может сообщить вам о тревоге телефонным звонком на указанный заранее номер. Для съёма информации служат датчики (инфракрасные и радиоволновые датчики движения, магнитные датчики открытия дверей и окон, акустические датчики разбития стекла, датчики удара и т.д.), а базовым блоком - контрольные панели, на которые сводится вся информация от датчиков.
Правильно составленная спецификация на современном комбинированном оборудовании поможет предусмотреть все тревожные ситуации охраняемого объекта, и обезопасит Ваше имущество и персонал. Система с помощью специальных датчиков может отследить протечку воды и утечку газа, и по заранее введённой программе отдать команду исполнительным устройствам комплексной системы управления и охраны на выполнение того или иного действия (перекрыть кран, включить сирену и т.п.). Системы периметральной сигнализации берут под охрану не только помещение, но и прилегающую территорию по периметру.
Система охранной сигнализации - это совокупность совместно действующих технических средств для обнаружения нарушителя на охраняемых объектах, передачи, сбора, обработки и представления информации в заданном виде.
Основные компоненты систем охранной сигнализации:
·извещатели охранные;
·приборы приемно-контрольные охранные;
·системы передачи извещений, пульты централизованного наблюдения.
Извещатели предназначены для первичного обнаружения физических факторов проникновения нарушителя на объект. По способу обнаружения извещатели делятся на электроконтактные (магнитоконтактные), инфракрасные пассивные и активные, радиоволновые, ультразвуковые, звуковые разбития стекла, вибрационные.
"Аргус-Спектр" является ведущим производителем в России радиоволновых извещателей типа "Аргус-2", "Аргус-3", "Волна-5", комбинированных извещателей "Сокол-2", "Сокол-3". совмещенных "Сова-2", "Сова-3", извещателя разбития стекла "Арфа", ультразвукового извещателя "Эхо-А". По своим параметрам и дизайну эти изделия не уступают зарубежным аналогам и даже превосходят их в условиях российской специфики.
"Риэлта" производит серию инфракрасных пассивных извещателей под торговой маркой "Фотон". Извещатели разбития стекла "Стекло-2", "Стекло-2-1", "Стекло-3", вибрационные извещатели "Шорох-1", "Шорох-1-1", ультразвуковой объемный извещатель "Витрина".
Среди других предприятий, производящих извещатели, можно отметить МЗЭП, г. Москва (оптико-электронный линейный извещатель "Вектор-2", радиоволновой извещатель "Тюльпан-3"), РЗМКП, г. Рязань (магнитоконтактные извещатели), "Юмирс", г. Пенза (радиоволновые извещатели для охраны периметров "Радий-2"), СПЭК, г. С.-Петербург (оптико-электронные линейные извещатели для периметров "Вектор-СПЭК" и "СПЭК-7").
Приборы приемно-контрольные охранные являются одним из основных звеньев в системах охранной сигнализации. Основное назначение -прием информации от охранных извещателей и передача извещений на пульт централизованного наблюдения.
Основные требования и параметры определены в стандарте ГОСТ 26342, в котором также приводится классификация приборов приемно-контрольных по ряду параметров, наиболее важным из которых можно считать информационную емкость (количество охраняемых зон - шлейфов сигнализации):
·малой информационной емкости - до 5 шлейфов сигнализации;
·средней информационной емкости - от 6 до 50 шлейфов сигнализации;
·большой информационной емкости - свыше 50 шлейфов сигнализации.
По принципу приема сигналов от извещателей приборы приемно-контрольные, так же как и пожарные приборы, можно разделить на приборы с радиальными шлейфами и адресные.
АООТ "Радий" выпускает популярные приборы серии "Сигнал": одношлейфный "Сигнал-ВКП". 4-х шлейфные "Сигнал-ВК-4П". 4-х шлейфный со встроенным аккумулятором "Сигнал-ВК-4-05", 20-ти шлейфный "Снгнал-20".
Среди приборов большой информационной емкости можно отметить изделия "Дозор" ("Иста"). "Рубеж-07-3" (НПФ "Сигма-ИС"). Хотя эти приборы и классифицированы по своему названию как приборы приемно-контрольные, но по своим возможностям, структуре и характеристикам представляют собой основу для построения интегрированных систем.
Основное назначение систем передачи извещений - организация централизованной охраны объектов, распределенных на какой-либо территории. По виду каналов связи, которые наиболее часто используются для передачи информации, системы передачи извещений можно разбить на следующие группы:
·системы с переключением на период охраны линий городской телефонной сети;
·системы, передающие извещения с помощью высокочастотного уплотнения телефонных каналов по занятым на период охраны линиям городской телефонной сети;
·информаторные системы, использующие коммутируемые линии связи городской телефонной сети;
·системы, использующие радиоканал для передачи данных от объекта на пульт централизованного наблюдения.
Наибольшее распространение получили системы передачи извещений первого типа, как обеспечивающие меньшую стоимость охраны одного объекта. В настоящее время выпускаются системы «Фобос», «Фобос-А» (разработка и поставка НИЦ «Охрана»). Однако эти системы имеют определенный недостаток - телефонная связь с объектом на период охраны отключена.
Системы передачи извещений второго тип позволяют не отключать телефонную связь на период охраны, и поэтому в настоящее время этот тип систем считается более перспективным. Это системы «Фобос-ТР» (ЗАО «ЭП ЦНИТИ»), «Фобос-3» (АООТ «Радий»), «Ахтуба» (АО «Ахтуба-плюс»), «Атлас-20» (АО «Аргус-Спектр»), «Юпитер» (ТОО «Элеста»).
Информаторные системы передают извещение на пульт по телефонному каналу в режиме автодозвона. В России информаторные системы не получили широкого распространения в связи с тем, что существующее качество телефонной связи не обеспечивают необходимой надежности и скорости доставки тревожных сообщений.
Широкое применение радиосистем сдерживается в основном высокой стоимостью аппаратуры, необходимостью получения разрешения на радиочастоты, а также факторами, связанными с особенностями использования радиоканала ( влияние помех, условий прохождения радиосигналов, открытости радиоканала и т.д.). Однако необходимость охраны нетелефонизированных объектов приводит к перспективности внедрения радиосистем. В настоящее время из отечественных радиосистем широко применяются: «Струна-3, ЗМ»; «Струна-5»; «Иртыш-3Р».
Пульт централизованного наблюдения является составной частью систем передачи извещений и предназначен для индикации тревожных извещений, поступающих с охраняемых объектов и отображения информации о состоянии объектов.
Таким образом, современные системы передачи извещений представляют собой аппаратно-программный комплекс, обеспечивающий прием и обработку информации от систем различных типов и разных производителей.
Комплекс средств автоматизации деятельности оперативного персонала пункта централизованной охраны разработан и поставляется НИЦ "Охрана". Комплекс предназначен для автоматизации деятельности оперативного персонала при работе с различными системами передачи извещений ("Фобос", "Фобос-А", "Фобос-ТР", "Фобос-3", "Центр-КМ", "Нева-ЮМ", "Виста-501", РСПИ "Струна-3") и обеспечивает автоматизацию процесса анализа тревожных и аварийных ситуаций, ведения информационной, графической и звуковой баз данных.
Аппаратно-программный комплекс ПРИТОК-А (ООО "Охранное бюро "Сократ") предназначен для автоматизации деятельности ПЦО. В состав системы может входить от 1 до 10 автоматизированных рабочих мест, объединенных в локальную одноранговую сеть, и контроллеры для обеспечения работы комплекса с системами передачи извещений "Фобос", "Нева-10", "Нева-ЮМ", "Центр-КМ", "Центр-М", "Комета-К", "Юпитер", "Атлас-2М", "Струна 3, ЗМ" и др.
Охранная сигнализация в комплексе с системами теленаблюдения создадут надёжный щит от злоумышленников и форс-мажорных ситуаций.
3. Конструкторская часть
.1 Конструкторские решения по защите информации в АСОИ
3.1.1 Защита информационных ресурсов от НСД
Основными критериями при выборе средств защиты информационных ресурсов рабочих станции и серверов можно назвать их стоимость и наличие сертификатов соответствия требованиям РД Гостехкомиссии.
Исходя из сравнительных характеристик средств защиты от НСД, можно выделить комплекс «Спектр-Z», который имеет сертификат Гостехкомиссии на соответствие 3 классу защищенности для СВТ и классу 1В для АС. Таким образом, данный комплекс можно применять для защиты конфиденциальной информации при сравнительно низкой стоимости.
Система «Спектр-Z» предназначена для осуществления защиты конфиденциальной информации, обрабатываемой и хранимой на рабочей станции, как в однопользовательском, так и в многопользовательском режиме эксплуатации.
Система обладает высокими потребительскими свойствами, а именно:
·надежное функционирование во всех режимах ОС (DOS и GUI);
·качественным уровнем защиты информации;
·высоким быстродействием.
Система обеспечивает полноту функций защиты при работе с широким спектром прикладного программного обеспечения.
В системе реализован режим «прозрачной» защиты информации на базе надежных алгоритмов преобразования информации на уровне физического устройства, логического диска, отдельного файла.
Ориентировочная цена системы «Спектр-Z» - 80$ США.
Существенный недостаток описанной системы - возможность функционирования только в операционных системах Windows 9x. Для АРМ, работающих под управлением операционных систем Windows 2000/XP, целесообразно установить комплекс защиты информации от НСД Dallas Lock 7.0.
Система Dalla Lock 7.0 представляет собой программное средство защиты от НСД к информации в персональном компьютере с возможностью подключения аппаратных идентификаторов. Система предназначена для защиты компьютера, подключенного к локальной вычислительной сети, от несанкционированного доступа в среде ОС WINDOWS 2000, XP.
Dallas Lock 7.0 обеспечивает многоуровневую защиту локальных ресурсов компьютера:
·защиту информации от несанкционированного доступа на ПЭВМ в ЛВС через терминальный и сетевой вход;
·разграничение полномочий пользователей по доступу к ресурсам файловой системы;
·защита данных путем преобразования диска (кодирования);
·Dallas Lock 7.0 обладает встроенной возможностью печати грифов конфиденциальности на любых документах;
·возможность использования системы защиты на мобильных компьютерах (Notebook);
·разграничение доступа при сетевом взаимодействии;
·сетевое администрирование, включая удаленную настройку и просмотр журналов
Запрос пароля при входе на ПЭВМ инициируется до загрузки операционной системы. Загрузка операционной системы с жесткого диска осуществляется только после ввода личного пароля.
СЗИ Dallas Lock 7.0 включает подсистемы очистки остаточной информации, которая гарантирует предотвращение восстановления удаленных данных.
Для защиты от загрузки компьютера и доступа к информации, хранящейся на локальных дисках, в обход СЗИ, предусмотрены модули для кодирования в «прозрачном» режиме. Данные могут кодироваться с использованием нескольких алгоритмов - по выбору пользователя.
Информация кодируется при записи и раскодируется при чтении с носителя.
При работе процесс кодирования незаметен для пользователя.
Программный комплекс имеет сертификат соответствия требованиям руководящих документов Гостехкомиссии России по 3-му уровню контроля отсутствия недекларированных возможностей и 4-му классу защищенности от НСД.
Ориентировочная стоимость комплекса 120 долларов США.
3.1.2 Организация защищенного электронного документооборота
Основное внимание должно быть уделено организации защищенного электронного документооборота между Агентством и сервером органа Федерального Казначейства (УФК) по республике Марий Эл.
Организация электронного документооборота между сервером, установленном в УФК, и клиентом, установленном в Агентстве, обеспечивает обмен информации о проведенных операциях по учету поступлений в бюджетную систему Российской Федерации, а также документов о возврате (зачете) плательщикам излишне (ошибочно) перечисленных в бюджет платежей и документов об уточнении вида и принадлежности поступлений.
Система электронного документооборота (СЭД) предназначена для защищенной, гарантированной доставки электронных документов между участниками бюджетного процесса.
Внедрение СЭД должно обеспечить:
·сокращение времени доставки документов между участниками бюджетного процесса;
·возможность отслеживать порядок и сроки прохождения документов в органах ФК;
·поддержку одновременной работы многих пользователей с одним и тем же документом, предотвращение его потери и утраты;
·сокращение времени поиска нужных документов;
·быстрое создание документов из уже существующих.
Подсистема «СЭД. Доставка электронных документов» построена на клиент-серверной технологии. Сервер устанавливается в органе ФК, каждый сервер имеет набор клиентов. Доставка электронных документов осуществляется между сервером и клиентом.
Функционал оператора АП представляет собой рабочее место пользователя на клиенте СЭД с доступным ему функционалом Администратора поступлений.
Полностью функциональность оператора АП представляет собой программный комплекс, состоящий из нескольких программ:
·рабочего места оператора;
·системы электронно-цифровой подписи и шифрации (ЭЦП);
·транспортной системы, осуществляющей связь клиент СЭД - сервер СЭД УФК.
В органе администратора поступлений клиент СЭД (АП) взаимодействует с автоматизированной системой (АС) и УФК посредством обмена документами в виде текстовых файлов.
Между АС АП - клиентом СЭД (АП) - сервером СЭД (УФК) - АС УФК осуществляется обмен следующими документами:
·«Уведомление администратора поступлений в бюджет об уточнении вида и принадлежности платежа»;
·«Распоряжения администраторов поступлений в бюджет о возврате поступлений плательщику»;
·«Платежное поручение на возврат (возмещение) поступлений»;
·«Информация о поступлениях в бюджетную систему Российской Федерации, в том числе о поступлениях в бюджет, минуя счета органов Федерального казначейства»;
·«Выписка из Сводного реестра поступлений и выбытий»;
·«Приложение к выписке из сводного реестра поступлений и выбытий»;
·«Извещение о направлении дополнительных поступлений»;
·«Приложение к извещению о направлении дополнительных поступлений»;
·«Ведомость учета внебанковских операций»;
·«Уведомление о непринятых к обработке документах».
В территориальном органе администратора поступлений, устанавливается клиент СЭД, настраивается функционал АП, обеспечивающий организацию ЭД между АС АП и клиентом СЭД.
Общая структура внутреннего документооборота АП представлена на Схема 1.
Схема 1. Внутренний документооборот АП.
В АС АП выгружаются все входящие с сервера УФК документы для последующей обработки, а также могут быть загружены исходящие документы для последующей отправки на сервер УФК.
Между сервером, устанавливающемся в УФК, и клиентом, установленном у АП, должен быть обеспечен электронный документооборот о проведенных операциях по учету поступлений в бюджетную систему Российской Федерации, а также документов о возврате (зачете) плательщикам излишне (ошибочно) перечисленных в бюджет платежей, документов об уточнении вида и принадлежности поступлений.
Общую структуру документооборота Клиент АП - Сервер УФК представлена на Схема 2.
Схема 2. Документооборот Клиент АП - Сервер УФК.
Между клиентом АП и сервером УФК осуществляется обмен следующими документами:
·Передача ЭД «Уведомление администратора поступлений в бюджет об уточнении вида и принадлежности платежа» от АП до УФК;
·Передача ЭД «Распоряжения администраторов поступлений в бюджет о возврате поступлений плательщику» от АП до УФК;
·Передача ЭД «Платежное поручение на возврат (возмещение) поступлений» от АП до УФК;
·Передача ЭД «Информация о поступлениях в бюджетную систему Российской Федерации, в том числе о поступлениях в бюджет, минуя счета органов Федерального казначейства» от АП до УФК;
·Передача ЭД «Выписка из Сводного реестра поступлений и выбытий» от УФК до АП;
·Передача ЭД «Приложение к выписке из сводного реестра поступлений и выбытий» от УФК до АП;
·Передача ЭД «Извещение о направлении дополнительных поступлений» от УФК до АП;
·Передача ЭД «Приложение к извещению о направлении дополнительных поступлений» от УФК до АП;
·Передача ЭД «Ведомость учета внебанковских операций» от УФК до АП;
·Передача ЭД «Уведомление о непринятых к обработке документах» от УФК до АП.
3.1.3 Организация межсетевого экранирования и антивирусной защиты
В качестве комплексной защиты, обеспечивающей антивирусную защиту и межсетевое экранирование предлагается использовать на рабочих станциях Trend Micro InterScan VirusWall.Micro InterScan VirusWall - это решение для антивирусной защиты интернет-шлюзов, фильтрации спама и нежелательных данных. Данная система фильтрует электронную почту и другие поступающие из Интернета данные на уровне интернет-шлюза, не позволяя вирусам и спаму проникать в корпоративную сеть.VirusWall оснащается интуитивно понятным интерфейсом единой панелью управления. В InterScan VirusWall встроенная система борьбы со спамом и фильтрации содержимого интернет-ресурсов.
Тщательная проверка данных, передаваемых по протоколу SMTP, обеспечивает защиту внутренних почтовых серверов от вирусов и спама. InterScan VirusWall осуществляет проверку почты, принимаемой и по протоколу POP3.
InterScan VirusWall - это высокопроизводительный эвристический механизм борьбы со спамом, обладающий обширными базами образцов спама и списками доверенных адресов электронной почты, обеспечивая высокую точность распознавания и низкое число ложных срабатываний. Эффективные функции фильтрации данных позволяют блокировать или маркировать спам, передаваемый по протоколам SMTP и POP3.Micro InterScan VirusWall проверяет на наличие вирусов все загружаемые из Интернета данные, не позволяя сотрудникам случайно занести в корпоративную систему вирус в процессе работы с внешним почтовым ящиком или загрузки файлов. Данное решение также осуществляет проверку используемого на веб-страницах кода (в частности, сценариев и апплетов Java), а также фиксирует адреса посещаемых сайтов, облегчая реализацию корпоративной политики безопасности.
Для защиты файлового сервера целесообразно использовать ServerProtect for Microsoft Windows.предназначен для тщательной антивирусной проверки серверов, оперативного поиска и удаления вирусов, содержащихся в файлах и архивах, до того, как они попадут к конечному пользователю.
Панель управления, реализованная в виде приложения для Windows , позволяет централизованно контролировать процесс борьбы с эпидемиями, выполнять поиск вирусов, обновлять файлы сигнатур, рассылать уведомления и производить удаленную установку приложений.
Пакет ServerProtect совместим с серверными платформами Microsoft Windows 2003, Microsoft Windows 2000, Microsoft Windows NT и Novell NetWare.
Сочетание технологий обнаружения вирусов, основанных на использовании наборов правил и распознавании сигнатур, позволяет повысить эффективность работы ServerProtect.
Разработанные Trend Micro технологии удаления макровирусов и вредоносных сценариев обеспечивают дополнительную защиту.
Процесс поиска вирусов и прочего вредоносного кода осуществляется ServerProtect на уровне ядра с использованием интерфейсов прикладного программирования Microsoft и Novell, что позволяет свести к минимуму снижение производительности системы.
Для повышения скорости сканирования и минимизации нагрузки на сервер используется многопоточный сканирующий механизм.
Панель управления ServerProtect, реализованная в виде Windows-приложения, позволяет централизованно управлять всеми серверами, расположенными на одной площадке. Администратор может устанавливать программы и файлы обновления на все серверы одновременно, а также в режиме реального времени отслеживать информацию о состоянии серверов.
Администраторы также могут использовать панель управления Trend Micro Control Manager, доступ к которой осуществляется через Интернет. Данное решение Trend Micro предназначено для централизованного управления антивирусными системами, обеспечивающими защиту распределенных сетей.for Microsoft Windows является одним из ключевых компонентов Стратегии защиты предприятий Trend Micro (Trend Micro Enterprise Protection Strategy), позволяющей использовать для борьбы с гибридными вирусами службы профилактики эпидемий Outbreak Prevention Services и службы устранения нанесенного ущерба Damage Cleanup Services.
Эффективность антивирусного сканера напрямую зависит от частоты обновления его базы данных. ServerProtect можно настроить таким образом, чтобы он автоматически загружал новые сигнатуры вирусов и обновления сканирующего механизма, а затем распространял их по указанным серверам.
В ServerProtect используется механизм фрагментарного обновления (incremental update), позволяющий загружать только сигнатуры новых вирусов, добавленные за время, прошедшее с момента последнего обновления базы данных. Эта функция позволяет сократить время загрузки обновлений и снизить создаваемую данной процедурой нагрузку на каналы передачи данных.обеспечивает сбор истории вирусной активности по всем серверам в единый протокол, данные из которого затем можно экспортировать в какое-либо внешнее приложение для подробного анализа.также может уведомлять определенный круг лиц о вспышках вирусов и других событиях.
Для рассылки уведомлений администраторы могут использовать самые разнообразные средства: внутреннюю и внешнюю электронную почту, пейджеры, принтеры, прерывания SNMP или журнал событий Windows.
3.1.4 Защита информации от утечки по каналам ПЭМИН
Одним из каналов утечки информации могут являться побочные электромагнитные излучения и наводки (ПЭМИН). Данный вид угрозы может оказаться одним из наиболее уязвимых мест системы защиты информации, но имея ввиду то, что для осуществления перехвата информации по каналам ПЭМИН необходима специальная дорогостоящая аппаратура, вероятность реализации угрозы крайне мала.
В связи с этим на объекте информатизации каналы ПЭМИН целесообразно закрывать организационно-техническими мерами, такими как применение шифрования при передаче по каналам связи, использование заземляющего контура с малым сопротивлением, расположенного в пределах контролируемой зоны и охрана территории.
3.1.5 Обеспечение целостности данных при отключении электроэнергии
Довольно часто отключения электроэнергии имеют аварийный характер, и потому неожиданны для пользователя. Результатом сбоя подачи электроэнергии могут быть потеря несохраненных данных. Для этого на каждом АРМ, обрабатывающем важную информацию, предполагается использование источников бесперебойного питания (ИБП). На рабочих станциях ИБП должны обеспечивать возможность сохранения данных пользователем и корректного завершения работы. Для серверов предполагается использование ИБП большей емкости (обеспечивающих работу серверов при отключении электроэнергии до 8 часов, т.е. в течение рабочего дня), так как аварийная остановка серверов может привести не только к потере данных, но и к тому, что может быть парализована работа не только самого объекта информатизации, но и его подчиненных отделов.
3.1.6 Прочие аспекты информационной безопасности
Для предотвращения НСД к информации, хранящейся на файловом сервере, следует использовать не один, а два файловых сервера - для раздельного хранения открытой и конфиденциальной информации. При этом необходимо с помощью средств межсетевого экрана запретить все сетевые соединения с сервером, на котором хранится конфиденциальная информация, с АРМ сотрудников, не имеющих допуска к информации ограниченного доступа.
В целях уменьшения вероятности несанкционированного доступа к информации целесообразно ограничить доступ персонала к сетевому оборудованию и программно-аппаратным средствам защиты. Поэтому сетевое оборудование и средства программно-аппаратной зашиты информации рекомендуется размещать в помещениях, где обеспечивается физическая защита с применением технических средств защиты (сигнализации, СКД и пр.).
Для предотвращения фактов НСД по вине сотрудников на объекте информатизации разрабатываются инструкции пользователям и администратору безопасности АС, а также инструкция по работе с конфиденциальными документами.
3.2 Конструкторские решения по созданию системы безопасности объекта
Охранно-пожарная и тревожная сигнализация
Системы OПС и ТС включают в себя:
·ПКУ С2000 - пулы контроля и управления, центральное устройство, обеспечивающее контроль состояния, сбор информации с приборов, индикацию тревог, управление системой;
·С2000-КДЛ - контроллер двухпроводной линии;
·С2000АР8 - адресный расширитель;
·С2000СП1 - исполнительный релейный блок;
·С2000СП2 - адресный блок управления исполнительными устройствами;
·С2000-БИ - прибор индикации состояния охранных разделов;
·РИП12 исп.01 - резервированный источник питания;
·Астра-6, Астра-8, Астра-С, ИО102-20, ИО102-16/2, Грань-2М,
Аргус-3 - охранные извещатели;
·ИП212-4СБ, ИП-ЗСУ - пожарные извещатели;
·ИО 101 -2/3 - тревожные извещатели;
·Октава- 12В- светозвуковой оповещатель.
Приборы С2000-КДЛ, С2ООО-АР8, С2000СП1, С2000СП2 установлены в помещениях под потолками на высоте не менее 2,5 м.
Приборы С2000-КИ, С2000, установлены на посту охраны. Па посту охраны ведется круглосуточное дежурство.
Приборы С2000-КДЛ, С2000БИ, C2000CП1 и пульт ПКУ С2000 объединяются в систему через интерфейс RS-485. В системе пульт занимает место центрального контроллера, собирающего информацию с подключенных приборов о состоянии приборов и шлейфов сигнализации, а также управляет работой исполнительных устройств.
Адресные устройства С2000-АР8 и С2000СП2 подключены к двухпроводной линии связи (ДПЛС) С2000-КДЛ.
Охранные и пожарные извещатели включены в контролируемые цепи адресных расширителей.
Спец. Часть оборудуется:
Проводом НВМ 0,12-02 мм блокируются стены, пол и потолок комнаты, извещатель СМК (ИО-102-20) установлен на входную дверь. Извещатели подключены на адресный расширитель в комнате службы безопасности.
Также установлен извещатель Астра-6, подключенный на адресный расширитель в комнате службы безопасности.
Во всех помещениях установлены дымовые пожарные извещатели ДИП-4СБ; охранные извещатели ИО-102-16/2 (геркон), блокирующие окна и двери на открывание; охранные извещатели Астра-С, блокирующие оконные проемы на разбитие. Ручные пожарные извещатели ИП-ЗСУ установлены на пути эвакуации у лестничных клеток на первом и втором этажах. В бухгалтерии и кабинетах руководства установлены совмещенные охранные извещатели Астра-8, размещенные на расстоянии не менее 2,5 метра от оконного проема на потолке во избежание сработки ИК-канала на внешние (уличные) факторы. Данный тип извещателя хорошо вписывается в интерьер и не вызывает особого внимания у посетителей.
Светозвуковые оповещатели установлены на пути эвакуации над входом на лестничную клетку на первом этаже.
Средства тревожной сигнализации также установлены в комнатах бухгалтерии, кабинетах руководства (кнопки с фиксацией).
Все средства охранно-пожарной и тревожной сигнализации разрешены к применению и имеют соответствующие сертификаты.
Электропитание.
В аварийных ситуациях (при пропадании напряжения сети переменного тока) для обеспечения работоспособности аппаратуры питание комплекса технических средств сигнализации следует осуществлять от источников резервного питания РИП 12 сер.01 на 12 V. Источники резервного питания при централизованном питании технических средств сигнализации установить в помещении охраны.
Резервное электропитание осуществляется не менее 24 ч. Электропитание осуществляется от промышленной сети 220 В, 50 Гц. Резервное питание осуществляется от резервированных источников питания со встроенными аккумуляторами.
Монтажные работы следует производить в следующем порядке:
·проверка работоспособности оборудования;
·подготовка материалов и рабочих мест;
·прокладка шлейфов охранно-пожарной сигнализации;
·прокладка линий интерфейсов, шин питания 12В, исполнительно- информационных цепей;
·маркировка проводов -№ ШС прибора;
·обработка концов проводов, прозвонка и установка контактных извещателей;
·монтаж ПКП концентраторов, коммутационных устройств, источников питания;
·установка приборов, Увещателей и устройств оповещения;
·проверка, наладка и программирование системы.
Для устройства системы сигнализации прокладывается кабельная сеть, состоящая из участков разделенных соединительными коробками. Вся кабельная сеть прокладывается под потолком в коробах на высоте не менее 2,5 м.
Для прокладки используется двух, четырех проводной одножильный кабель с двойной изоляцией. При открытой параллельной прокладке расстояние между проводами, кабелями шлейфа сигнализации, соединительными линиями и силовыми осветительными проводами должно быть не менее 0.5 м. Открытую прокладку проводов и кабелей выполнить на высоте не менее 2 м от уровня пола или площадки обслуживания.
3.3 Организация службы безопасности
Служба безопасности (СБ) является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю предприятия. Как показывает практика, только на предприятиях, где проблемы безопасности находятся под постоянным контролем руководителя предприятия, достигаются наиболее высокие результаты.
Деятельности СБ регламентируется «Положением о службе безопасности».
Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности. При этом руководитель СБ должен обладать максимально возможным кругом полномочии, позволяющим ему влиять на другие подразделения и различные области деятельности предприятия, если этого требуют интересы безопасности.
Организационно служба безопасности состоит из следующих структурных единиц:
·инженерно-техническая защита;
·защита информации в ЛВС;
·организация режима и охраны.
Основной задачей инженерно-технической защиты является обеспечение безопасности деятельности предприятия с помощью технических средств, определение границ охраняемой (контролируемой) территории (зоны), определение технических средств, используемых для передачи, приема и обработки конфиденциальной информации в пределах охраняемой (контролируемой) территории (зоны);
Задачами защиты информации в ЛВС являются:
·организация работ по защите документальных материалов;
·разработка и организация защиты автоматизированных систем обработки информации и электронного документооборота;
·распределение между пользователями необходимых реквизитов защиты;
·обучение пользователей автоматизированных систем правилам безопасной обработки информации;
·принятие мер реагирования на попытки НYCL нарушения правил функционирования системы защиты;
·тестирование системы защиты и контроль за ее функционированием;
·устранение слабостей в системе защиты и совершенствование механизмов обеспечения безопасности.
В организацию режима и охраны входят:
·определение перечня сведений конфиденциального характера, организация и осуществление мер по обеспечению их безопасности;
·разработка системы предотвращения несанкционированного допуска и доступа к сведениям конфиденциального характера и разработка соответствующих инструкций;
·организация и поддержание пропускного режима, организация прохода сотрудников и посетителей в различные зоны доступа;
·организация охраны режимных помещений;
·организация личной охраны руководителей и ведущих сотрудников;
·наблюдение за обстановкой вокруг и внутри объекта;
·контролирование работоспособности элементов охраны и защиты в повседневных и в особых условиях (стихийные бедствия, поломки, аварии, беспорядки и т.п.)
4. Безопасность жизнедеятельности
В данном разделе дипломного проекта будет выполнен анализ вредных факторов при работе пользователей с ПЭВМ, спроектировано оптимальное рабочее место, разработана инструкция по работе пользователей с ПЭВМ.
Безопасность жизнедеятельности (БЖД) - это комплекс мероприятий, направленных на обеспечение безопасности человека в среде обитания, сохранение его здоровья, разработку методов и средств защиты путем снижения влияния вредных и опасных факторов до допустимых значений, выработку мер по ограничению ущерба в ликвидации последствий чрезвычайных ситуаций мирного и военного времени.
Изучение и решение проблем, связанных с обеспечением здоровых и безопасных условий, в которых протекает труд человека - одна из наиболее важных задач в разработке новых технологий и систем производства. Изучение и выявление возможных причин производственных несчастных случаев, профессиональных заболеваний, аварий, взрывов, пожаров, и разработка мероприятий и требований, направленных на устранение этих причин позволяют создать безопасные и благоприятные условия для труда человека.
4.1 Анализ вредных факторов при работе с ПЭВМ
При работе с персональным компьютером может проявиться ряд вредных факторов и опасностей, к числу которых относятся:
·неблагоприятные климатические условия
·недостаточная освещенность рабочего места
·повышенный уровень электромагнитных и электростатических полей
·переутомление работающих
·опасность поражения электрическим током
·опасность возникновения пожара.
·воздействие вредных излучений от монитора и от компьютера;
·ненормированный уровень шума;
·неэргономичность рабочего места и другие факторы
Кроме того, работа с компьютером характеризуется значительным умственным напряжением и нервно-эмоциональнойнагрузкой операторов, высокой напряженностью зрительной работы и достаточно большой нагрузкой на мышцы рук при работе с клавиатурой ЭВМ. Большое значение имеет рациональная конструкция и расположение элементов рабочего места, что важно для поддержания оптимальной рабочей позы человека-оператора.
Для предотвращения возникновения перечисленных опасностей необходимо соблюдать меры безопасности при работе с персональным компьютером.
Безопасность жизнедеятельности при работе со средствами вычислительной техники обеспечивается ГОСТами Системы стандартов безопасности труда (ССБТ) и Санитарно-эпидемиологическими правилами и нормативами СанПиН 2.2.2/2.4.1340-03 "Гигиенические требования к персональным электронно-вычислительным машинам и организации работы".
4.2 Освещение рабочего места
Помещения с ПЭВМ должны иметь естественное и искусственное освещение. Естественное освещение должно осуществляться через светопроемы, ориентированные преимущественно на север и северо-восток и обеспечивать коэффициент естественной освещенности (КЕО) не ниже 1.2% в зонах с устойчивым снежным покровом и не ниже 1.5% на остальной территории. Рабочие места пользователей ПЭВМ по отношению к световым проемам должны располагаться так, чтобы естественный свет падал сбоку, преимущественно слева.
Недостаточность освещения приводит к напряжению зрения, ослабляет внимание, приводит к наступлению преждевременной утомленности. Чрезмерно яркое освещение вызывает ослепление, раздражение и резь в глазах.
Неправильное направление света на рабочем месте может создавать резкие тени, блики, дезориентировать работающего. Все эти причины могут привести к несчастному случаю или профзаболеваниям, поэтому столь важно обеспечить правильное освещение.
Согласно СанПин 2.2.2/2.4.1340-03 в производственных и административно-общественных помещениях, в случаях преимущественной работы с документами, следует применять системы комбинированного освещения.
Освещенность на поверхности стола в зоне размещения рабочего документа должна быть 300 - 500 лк. Освещение не должно создавать бликов на поверхности экрана. Освещенность поверхности экрана не должна быть более 300 лк.
Яркость светящихся поверхностей (окна, светильники и др.), находящихся в поле зрения, должна быть не более 200 кд/м2.
Следует ограничивать отраженную блесткость на рабочих поверхностях (экран, стол, клавиатура и др.) за счет правильного выбора типов светильников и расположения рабочих мест по отношению к источникам естественного и искусственного освещения, при этом яркость бликов на экране ПЭВМ не должна превышать 40 кд/м2 и яркость потолка не должна превышать 200 кд/м2.
Показатель ослепленности для источников общего искусственного освещения в производственных помещениях должен быть не более 20.
Яркость светильников общего освещения в зоне углов излучения от 50 до 90 градусов с вертикалью в продольной и поперечной плоскостях должна составлять не более 200 кд/м2, защитный угол светильников должен быть не менее 40 градусов.
Светильники местного освещения должны иметь не просвечивающий отражатель с защитным углом не менее 40 градусов.
В качестве источников света при искусственном освещении должны применяться преимущественно люминесцентные лампы типа ЛБ. При устройстве отраженного освещения в производственных и административно-общественных помещениях допускается применение металлогалогенных ламп мощностью до 250Вт. Допускается применение ламп накаливания в светильниках местного освещения.
Общее освещение следует выполнять в виде сплошных или прерывистых линий светильников, расположенных сбоку от рабочих мест, параллельно линии зрения пользователя при рядном расположении мониторов. При периметральном расположении компьютеров линии светильников должны располагаться локализовано над рабочим столом ближе к его переднему краю.
Для освещения помещений с ПЭВМ следует применять светильники серии ЛПОЗ6 с зеркализованными решетками, укомплектованные высокочастотными пускорегулирующими аппаратами. Допускается применять светильники серии ЛП036 без ВЧПРА только в модификации "Кососвет", также светильники прямого света-П, преимущественно прямого света-Н, преимущественно отраженного света-В. Применение светильников без рассеивателей, и экранирующих решеток не допускается.
Для обеспечения нормируемых значений освещенности в помещениях использования ПЭВМ следует проводить чистку стекол оконных рам и светильников не реже двух раз в год и проводить своевременную замену перегоревших ламп.
4.3 Микроклимат рабочей зоны оператора ПЭВМ
Для обеспечения безопасных климатических условий в помещениях, где работа на ПЭВМ является основной, должны обеспечиваться оптимальные параметры микроклимата.
Микроклимат производственных помещений - это климат внутренней среды этих помещений, который определяется действующими на организм человека сочетаниями температуры, влажности и скорости движения воздуха.
В санитарных нормах установлены величины параметров микроклимата, создающиекомфортные условия. Эти нормы устанавливаются в зависимости от времени года, характера трудового процесса и характера производственного помещения (см. табл. 4.3.)
Таблица 4.3.
Параметры микроклимата для помещений, где установлены компьютеры.
Период годаПараметр микроклиматаВеличина Холодный Температура воздуха в помещении Относительная влажность Скорость движения воздуха22…24 0С 40…60% до 0,1 м/с Теплый Температура воздуха в помещении Относительная влажность Скорость движения воздуха23…25 0С 40…60% до 0,1 м/с
Для создания и поддержания в помещении независимо от наружных условий оптимальных значений температуры, влажности, чистоты и скорости движения воздуха, в холодное время года используется водяное отопление, в теплое время года помещение проветривается (кондиционеры).
4.4 Воздействие шума на оператора ПЭВМ
Шум ухудшает условия труда, оказывая вредное действие на организм человека. Под воздействием шума снижается концентрация внимания, нарушаются физиологические функции, появляется усталость в связи с повышенными энергетическими затратами и нервно-психическим напряжением, ухудшается речевая коммутация. Все это снижает работоспособность человека и его производительность, качество и безопасность труда.
В табл. 4.4. указаны предельные допустимые значения уровней звукового давления в октавных полосах частот и уровня звука, создаваемого ПЭВМ.
Таблица 4.4.
Допустимые значения уровней звукового давления в октавных полосах частот и уровня звука, создаваемого ПЭВМ.
Уровни звукового давления в октавных полосах со среднегеометрическими частотамиУровни звука в дБА31,5 Гц63 Гц125 Гц250 Гц500 Гц1000 Гц2000 ГЦ4000 ГЦ8000 ГЦ86 дБ71 дБ61 дБ54 дБ49 дБ45 дБ42 дБ40 дБ38 дБ50
Уровень шума, создаваемый вентиляторами блока питания и процессора не превышает 40 дБА и постоянен в течение всего рабочего дня (колебания незначительны). Также источником шума является принтер, но уровень шума, возникающий при его работе, также соответствует нормам.
Согласно СанПиН 2.2.2/2.4.1340-03, эквивалентный уровень звука не должен превышать 50 дБА, что в нашем случае выполняется.
Для снижения уровня шума стены и потолок помещений, где установлены компьютеры, могут быть облицованы звукопоглощающими материалами.
4.5 Организация рабочего места оператора ПЭВМ
Проектирование рабочих мест, снабженных видеотерминалами, относится к числу важных проблем эргономического проектирования в области вычислительной техники.
Расстояние между рабочими столами с видеомониторами (от тыла одного видеомонитора до экрана другого) должно быть не менее 2.0 м, а расстояние между боковыми поверхностями видеомониторов - не менее 1,2м.
Рабочий стул (кресло) должен быть подъемно-поворотным и регулируемым по высоте и углам наклона сиденья и спинки, а также расстоянию спинки от переднего края сиденья, регулировка каждого параметра должна быть независимой, легко осуществляемой и иметь надежную фиксацию. Правильная высота сиденья: площадь сиденья на 3 см ниже, чем подколенная впадина. Рекомендуемая высота сиденья над уровнем пола должна быть в пределах 400-550 мм. Поверхность сиденья рекомендуется делать мягкой, а передний край закругленным.
Правильная установка рабочего стола:
при фиксированной высоте - лучшая высота - 72 см;
рекомендуется возможность регулирования высоты рабочей поверхности в пределах 680-760 мм.
стол должен обеспечивать необходимый простор для рук по высоте, ширине и глубине; предпочтительно применение специализированного компьютерного стола;
в области сиденья не должно быть ящиков стола.
Расположение клавиатуры не должно приводить к напряжению рук. Уровень клавиатуры - чуть выше колен, таким образом, чтобы предплечья были параллельны полу. Из современных моделей клавиатур рекомендуется выбрать клавиатуру с разворотом 2х блоков относительно друг друга, и с "горбом". Для избежания неблагоприятных воздействий на суставы кистей рук целесообразно применять подставки для рук и клавиатуры. Если клавиатура выше 1.5 см желательно использовать подлокотники.
Расположение документа для чтения.
Документ для чтения должен находиться на одном уровне с дисплеем, сбоку от видеотерминала или между монитором и клавиатурой, клавиатурой и пользователем и т.п. Когда видеотерминал имеет низкое качество изображения, расстояние от глаз до экрана делают больше (около 700 мм), чем расстояние от глаза до документа (300-450 мм). При высоком качестве изображения на видеотерминале расстояние от глаз пользователя до экрана, документа и клавиатуры может быть равным.
Рабочая поза пользователя.
Нога должна стоять большую часть времени на полу полной ступней. Благоприятно использование опоры для ног. Рука должна и локтем, и запястьем лежать на чем-нибудь. В том случае, если пользователь сидит за двумя столами, составленными углом, положение рук при печати на клавиатуре наиболее хорошее. При работе мышью, рука всегда должна касаться стола и локтем, и запястьем, и предплечьем. Требования к правильной рабочей позе пользователя видеотерминала следующие:
шея не должна быть наклонена более чем на 20 градусов;
плечи должны быть расслаблены, локти - находиться под углом 80-100 градусов, а предплечья и кисти рук - в горизонтальном положении;
положение туловища и головы прямое;
руки и ноги - согнуты чуть больше, чем под прямым углом;
клавиатура и дисплей примерно на одинаковом расстоянии для глаз: при постоянных работах - 50 см, при случайных работах - до 70 см.
4.6 Безопасный уровень электромагнитных полей
Электромагнитные поля, характеризующиеся напряженностями электрических и магнитных полей, наиболее вредны для организма человека. Основным источником этих проблем являются мониторы с электронно-лучевыми трубками.
При повышенном уровне напряженности электромагнитных полей следует сократить время работы за компьютером, делать пятнадцатиминутные перерывы в течение полутора-двух часов работы.
На настоящий момент в России действуют законодательные акты, гарантирующие соответствие мониторов нормам безопасности, гармонизированным с международными нормативами: ГОСТ Р 50948-96 «Дисплеи. Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности» и СанПиН 2.2.2/2.4.1340-03.
Предельно допустимые уровни электромагнитного потока приведены в табл. 4.6.
Таблица 4.6.
Допустимые уровни ЭМП, создаваемых ПЭВМ на рабочих местах
Наименование параметровВДУНапряженность электрического поляв диапазоне частот 5 Гц - 2 кГц25 В/мв диапазоне частот 2 кГц - 400 кГц2,5 В/мПлотность магнитного потокав диапазоне частот 5 Гц - 2 кГц250 нТлв диапазоне частот 2 кГц - 400 кГц25 нТлНапряженность электростатического поля15 кВ/м
Для снижения воздействия всех видов излучения рекомендуется применять мониторы с пониженным уровнем излучения (ТСО-99, 1CU-2003), устанавливать защитные экраны, а также соблюдать регламентированные режимы труда и отдыха.
4.7 Требования по электробезопасности и расчет заземления
В настоящее время на предприятиях имеет место высокий уровень производственного электротравматизма.
Одним из наиболее простых и эффективных способов защиты человека от поражения электрическим током при работе с электроустановками является их заземление с помощью различного вида заземляющих устройств.
В соответствии с ГОСТ 12.1.0300-81 Системы стандартов безопасности труда, ПЭВМ подлежат обязательному заземлению, причем сопротивление заземляющего контура не должно превышать 4 Ома (для электроустановок до 1000 В).
Во время работы нельзя открывать системный блок компьютеров, а также любые работающие периферийные устройства. Не рекомендуется также подключать и/или отключать периферийные устройства от работающих ПЭВМ. При работе с персональным компьютером запрещается пользоваться неисправными розетками, соединительными проводами с поврежденной электроизоляцией, а также подключать компьютер в незаземленную электросеть.
Расчет заземления.
Ниже приведен проверочный расчет сопротивления заземляющего контура, установленного в рассматриваемой в данном проекте организации. Исходные данные для расчета:
·Напряжение в сети 220 В переменного тока;
·Климатическая зона - III;
·Вид грунта - супесь;
·Вид заземлителей - трубчатый;
·Расстояние от поверхности земли до заземлителя h - 2 м.
·Высота заземлителей Нз - 2,5 м.;
·Диаметр заземлителей D - 0,028 м.;
·Количество заземлителей n - 40.
Расчетное сопротивление грунта ?р:
?р = ? * Кп= 200 * 1,6 = 320 Ом/м,
где ? - удельное сопротивление грунта (для супеска р=200 Ом / м);
Кп - повышающий коэффициент климатической зоны (для III климатической зоны К„ равен 1,6);
Сопротивление растеканию тока в земле одного заземлителя
Rз = 0.36*( ?р /Нз)*(lg(2 Нз/D) + 0.5lg((4t+ Нз)/(4t-4 Нз))) ,
где t - расстояние от поверхности земли до середины заземлителя t = h + Нз/2
Рассчитанное сопротивление растеканию тока в земле одного заземлителя R3 равно 120,2 Ом.
Общее сопротивление заземляющего устройства
Ro = R3/n = 120.2/40 = 3.005 Ом.
Полученное значение сопротивления заземляющего устройства (3 Ом) меньше предельно допустимого (4 Ом), следовательно, требования, предъявляемые к заземляющим устройствам для электроустановок с напряжением до 1000 В, выполняются.
4.8 Анализ чрезвычайных ситуаций
Среди чрезвычайных ситуаций наиболее вероятной является пожар.
Пожарная безопасность - состояние объекта, при котором исключается возможность пожара, а в случае его возникновения предотвращается воздействие на людей опасных факторов пожара и обеспечивается защита материальных ценностей. Общие требования к пожарной безопасности нормируются ГОСТ 12.1.004-91.
Пожарная безопасность обеспечивается системой предотвращения пожара и системой пожарной защиты. Во всех служебных помещениях имеются извещатели системы оповещения о пожаре (детекторы дыма, температурные датчики), а также «План эвакуации людей при пожаре», регламентирующий действия персонала в случае возникновения очага возгорания и указывающий места расположения пожарной техники.
Опасными факторами, повышающими вероятность возникновения очага возгорания, являются: большая протяженность и скрытость монтажа электропроводки, значительное количество офисной техники и наличие кухонных бытовых приборов, питающихся от сети напряжением 220 В.
Как известно пожар может возникнуть при взаимодействии горючих веществ, окисления и источников зажигания.
Горючими компонентами являются: бумажные документы, строительные материалы для акустической и эстетической отделки помещений, перегородки, двери, полы, изоляция кабелей и др.
Источниками зажигания могут быть электронные схемы от ПЭВМ, приборы, применяемые для технического обслуживания, устройства электропитания, где в результате различных нарушений образуются перегретые элементы, электрические искры, способные вызвать загорания горючих материалов.
В современных ПЭВМ очень высокая плотность размещения элементов электронных схем. В непосредственной близости друг от друга располагаются соединительные провода, кабели. При протекании по ним электрического тока выделяется значительное количество теплоты. При этом возможно оплавление изоляции. Для отвода избыточной теплоты от ПЭВМ служат системы вентиляции и кондиционирования воздуха. При постоянном действии эти системы представляют собой дополнительную пожарную опасность.
К средствам тушения пожара, имеющимся на предприятии, относится углекислотный огнетушитель (ОУ-8), достоинством которого является высокая эффективность тушения пожара, сохранность электронного оборудования, диэлектрические свойства углекислого газа, что позволяет использовать огнетушители даже в том случае, когда не удается обесточить электроустановку сразу.
4.9 Режим работы оператора ПЭВМ
Для того чтобы избежать переутомляемости пользователей ПЭВМ необходимо правильно организовать режим труда и отдыха, в соответствии с видом и категорией трудовой деятельности работающих.
При выполнении в течение рабочей смены работ, относящихся к разным видам трудовой деятельности, за основную работу с ПЭВМ следует принимать такую, которая занимает не менее 50% времени в течение рабочей смены или рабочего дня.
Продолжительность обеденного перерыва определяется действующим законодательством о труде и Правилами внутреннего трудового распорядка предприятия (организации, учреждения).
Для обеспечения оптимальной работоспособности и сохранения здоровья профессиональных пользователей, на протяжении рабочей смены должны устанавливаться регламентированные перерывы.
Время регламентированных перерывов в течение рабочей смены следует устанавливать в зависимости от ее продолжительности, вида и категории трудовой деятельности.
Продолжительность непрерывной работы с ПЭВМ без регламентированного перерыва не должна превышать 2 часов.
При 8-ми часовой рабочей смене и работе на ПЭВМ регламентированные перерывы следует устанавливать через 2 часа от начала рабочей смены и через 2 часа после обеденного перерыва продолжительностью 15 минут каждый.
В случаях возникновения у работающих с ПЭВМ зрительного дискомфорта и других неблагоприятных субъективных ощущений, несмотря на соблюдение санитарно-гигиенических, эргономических требований, режимов труда и отдыха, следует применять индивидуальный подход в ограничении времени работ с ПЭВМ, коррекцию длительности перерывов для отдыха или проводить смену деятельности на другую, не связанную с использованием ПЭВМ.
Выводы
В соответствии с принятыми нормами в помещении оператора обеспечивается минимальный уровень шума, созданы удобные и правильные рабочие места, соблюдены требования технической эстетики и требования к ЭВМ. Достаточное освещение рабочего места достигается правильным выбором и расположением осветительных приборов. Расчет заземления показал что требования, предъявляемые к заземляющим устройствам, выполняются. В целом безопасность жизнедеятельности в данном помещении соответствует общепринятым нормам, пользователям ПЭВМ обеспечены комфорт и благоприятные условия труда.
5. Экономическая часть
Экономическая часть дипломного проекта содержит стоимость разработки и внедрения системы, описание эффекта от внедрения разработки, заключающегося в уменьшении рисков, а также организационные мероприятия по внедрению разработки.
Решение задач оценки эффективности защиты дополнительно осложняется тем, что в любой системе защиты главное звено - человек, а общая теория человеко-машинных систем, ее методы, подходы и терминология переживают стадию становления. Многие понятия о деятельности человека трактуются неоднозначно, а иногда - противоречиво. Кроме того, трудности математического плана заключаются в формализации решаемых задач зашиты, выборе критериев качества и соответствующих методов решения. Под эффективностью систем зашиты информации будем понимать эффективность ее использования в качестве активного средства в операции обеспечения конфиденциальности обработки, хранения и передачи информации. При этом оценка эффективности операции заключается в выработке оценочного суждения относительно пригодности заданного способа действий специалистов по защите информации или приспособленности средств зашиты к решению задач.
Оптимальным будет решение, которое в предполагаемых условиях лучшим образом удовлетворяет условиям рассматриваемой задачи. Оптимальность решения достигается путем наиболее рационального распределения ресурсов, затрачиваемых на решение проблемы защиты. Потенциальный нарушитель, стремящийся рационально использовать предоставленные ему возможности, не будет тратить на выполнение несанкционированных действий больше, чем он предполагает выиграть. Следовательно, необходимо поддерживать цену нарушения сохранности информации на уровне, превышающем ожидаемый выигрыш.
5.1 Описание эффекта от внедрения системы защиты информации для ЛВС
В процессе проектирования и реализации систем зашиты информации немаловажное значение имеют экономические аспекты проблемы. К сожалению, нет систем защиты, полностью гарантирующих сохранность информации. Степень надежности тем выше, чем больше усилий и средств будет вложено в решение задач. Однако такая зависимость не является прямо пропорциональной в полной мере.
Для каждого типа угроз может быть предпринята одна или несколько мер противодействия. В связи с неоднозначностью выбора мер противодействия необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации зашиты.
Мера противодействия будет приемлема с экономической точки зрения, если ее эффективность, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию.
Говоря об эффективности системы защиты информации, необходимо понимать, что ни одна такая система в принципе не может гарантировать полной информационной безопасности. По этой причине для оценки качества внедряемых средств защиты и организационных предприятий применяют анализ рисков. В качестве основного критерия в данном случае является интегральный показатель рисков.
Ниже приведена таблица рисков для автоматизированной системы обработки информации до внедрения системы защиты информации и после него.
После внедрения системы обеспечения информационной безопасности в ЛВС риски сократились более чем в 2 раза, следовательно, полученный эффект весьма значителен.
Таблица 5.1
Соотношение рисков до и после внедрения системы защиты
Описание угрозыРиск до внедрения системыРиск после внедрения системыКопирование информации на незарегистрированный носитель информации31Утрата носителя информации41Разглашение информации лицам, не имеющим права доступа к защищаемой информации42Передача информации по открытым линиям связи63Передача носителя информации лицу, не имеющему доступа к ней42Дефекты, сбои, отказы, аварии ТС и систем ОИ42Дефекты, сбои и отказы программного обеспечения ОИ42Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации: несанкционированное изменение информации 4 4Несанкционированное копирование информации42Подключение к техническим средствам и системам ОИ40Использование закладочных устройств30Маскировка под зарегистрированного пользователя60Использование дефектов программного обеспечения ОИ42Использование программных закладок42Применение программных вирусов62Хищение носителя с защищаемой информацией 42Доступ к защищаемой информации с применением средств радиоэлектронной разведки33Доступ к защищаемой информации с применением средств визуально-оптической разведки20ИТОГО (интегральный показатель)7330
5.2 Описание эффекта от внедрения системы безопасности объекта
Оценить прямой экономический эффект от реализации проекта по обеспечению информационной безопасности практически невозможно, гак как в его назначение изначально не входит получение прибыли от инвестиций. Рекомендуемая система рассматривалась как средство снижения риска организации.
Системы охраны предназначены для обеспечения необходимого уровня безопасности, для защиты материальных и информационных ценностей, обеспечения безопасного функционирования. Обеспечение экономической безопасности государственных объектов в настоящее время приобретает особую актуальность. Преступники, получив в свое распоряжение высокотехнологическое оборудование, создают угрозу обширных техногенных катастроф в масштабах целых государств. Терроризм, преступность, аварии, катастрофы, стихийные бедствия и другие причины возникновения чрезвычайных ситуаций в последние годы все более существенно влияют на снижение уровня безопасности государства и населения.
Внедряя систему безопасности, объект повышает уровень безопасности, что, несомненно, можно рассматривать как первый шаг к продуктивному развитию объекта в занимаемой нише на рынке и повышению доверия к данному объекту, а, следовательно, и к росту материальных доходов. В настоящее время на рынке средств и систем безопасности преобладают производители компонент, т.е. составных частей, необходимых для построения систем охраны. Полностью готовых систем «под ключ», охватывающих все сферы обеспечения безопасности, нет. В основном представлены системы, решающие определенный вид задач безопасности. Безусловно, есть продукты, совмещающие или рассчитанные на двойное применение, но это не решает задачу построения надежной системы безопасности, работающей как одно целое. Поэтому сейчас задача обеспечения безопасности решается объединением разных систем на программном или аппаратном уровне. Эффект от такого подхода иногда выгоден и по экономическим соображениям: продукт совмещающий в себе множество аспектов безопасности иногда стоит дороже, чем две системы, которыми можно добиться тех же результатов. Возможно, со временем появятся такие системы, реализующие несколько задач, по низкой цене и без расходов на частое обслуживание, но в данное время доступных и надежных таких систем нет.
В данной работе спроектирована система безопасности, которая включает в себя охранно-пожарную и тревожную сигнализацию. Также выработаны рекомендации по организации службы безопасности. Эффект от введения разработанной системы очень высок: повышается уровень безопасности, повышается авторитет у объекта с точки зрения доверия и уверенности в сохранности материальных и иных ценностей, расположенных на объекте.
5.3 Оценка качества разработки
Для оценки качества разработки выведем основные показатели качества, наиболее важных для данной системы с позиции пользователя.
1.Расширяемость системы - возможность наращивания, расширения.
2.Информативность - полнота предоставляемой информации о состоянии безопасности.
.Понятность - понимание предоставляемой информации.
.Надежность - гарантия длительной работоспособности.
.Удобство эксплуатации - удобство управления и обслуживания.
.Восстанавливаемость - возможность восстановления системы после сбоев.
.Заменяемость - возможность замены компонентов на аналоги без потерь в качестве.
.Интеграция - степень интеграции, возможность интеграции с другими системами (системы жизнеобеспечения и т.п.).
.Человеческий фактор - невозможность пользователя своими ошибочными действиями снизить эффективность системы.
.Полнота решаемых задач - степень выполнения системой поставленных задач.
Качество системы определяется как сумма параметров анализируемой системы деленная на произведение количества параметров и оптимальное значение:
К = ? рi / n*рнорм ,где
- номер параметра;- количество параметров (в нашем случае 10)
Рнорм - оптимальное значение этого параметра, равно 10-баллам.
Рi - параметр анализируемой системы, определяется по 10-бальной шкале.
Оценим основные показатели спроектированной системы и занесем их в таблицу 5.3:
Таблица 5.3
Показатель качестварi1. Расширяемость системы92. Информативность103. Понятность94. Надежность85. Удобство эксплуатации86. Восстанавливаемость97. Заменяемость108. Интеграция99. Человеческий фактор710.Полнота решаемых задач9
Рассчитаем коэффициент качества К :
К = (9+10+9+8+8+9+10+9+7+9)/(10*10) = 0,88
Как видно из расчетов, качество разработанной системы высокое (0,88), принимая во внимание, что максимальное значение коэффициента качества равно 1.
5.4 Расчет стоимости разработки системы защиты в ЛВС организации
При расчете стоимости разработки проекта в первую следует выявить виды затрат, возникающих при проектировании комплексной системы защиты информации в ЛВС организации.
Разработка системы связана с тремя основными группами затрат:
·Материальные расходы;
·Расходы на оплату труда;
·Социальные отчисления;
·Амортизационные отчисления;
·Прочие прямые расходы.
Ниже приведен расчет данных затрат, исходя из следующих данных:
1.В процессе разработки проекта участвуют 2 инженера (заработная плата ЗП 10000 руб./мес исходя из тарифной сетки Агентства лесного хозяйства респ. Марий Эл);
2.Срок разработки СР - 1,5 месяца (33 рабочих дня) согласно ТЗ;
.Процент отчислений на дополнительную зар. плату ПД - 10%;
.Процент отчислений на социальное страхование ПС - 26,2%;
.Стоимость электроэнергии СЭ - 2,006 руб/кВт
.Использовалась следующая вычислительная техника:
·2 компьютера (стоимость СТ1 - 25000 руб, время занятости в проекте КТ1 - 80% срока разработки, срок полезного использования СЭТ1 - 5 лет, энергопотребление ЭТ1 - 0,2 кВт/ч)
·принтер (стоимость СТ2 - 7000 руб, время занятости в проекте КТ2 - 2% срока разработки, срок полезного использования СЭТ2 - 5 лет энергопотребление ЭТ2 - 0,1 кВт/ч);
7.Было отпечатано 300 листов печатного текста при стоимости одного листа 1,0 руб.
Таблица 5.4.1
Затраты на разработку проекта
Наименование статьи расходов Расчет затратРазмер затрат (руб)Материальные расходыРасходные материалы300*1300Основная заработная плата исполнителейЗаработная плата инженеров2*СР*К*ЗП=2*1,5*1*1000030000Дополнительная заработная плата исполнителейДополнительная заработная плата инженеров30000*ПД = 30000*0,133900Общий фонд заработной платы:33900Социальное страхованиеОтчисления на социальное страхование33900*ПС = 33900*0,2628881,8Амортизация используемой техникиАмортизация используемого компьютера2*СТ1*(СР/СЭТ1 в мес)= 2*25000*(1,5/(5*12))1250Амортизация используемого принтераСТ2*(СР/СЭТ2 в мес)= 7000*(1,5/(5*12))175Сумма затрат на амортизацию техники:1425Расходы на электроэнергиюРасходы на электроэнергию (компьютер)2*ЭТ1*СЭ*Д*СР*КТ1= 2*0,2*2,006*(8*33)*0,8169,47Расходы на электроэнергию (принтер)ЭТ2*СЭ*Д*СР*КТ2= 0,1*2,006*(8*33)*0,021,06Сумма затрат на электроэнергию:170,53Прочие прямые расходы(ФЗП + ПС + МЗ + АМТ)*0,08= (33900+8881,8+300+1425)*0,083560,54Накладные расходыФЗП*1,2 = 33000*1,239600ИТОГО87837,87
5.5 Расчет стоимости установки системы защиты в ЛВС организации
В процессе установки системы безопасности объекта участвовал инженер, заработная плата ЗП4 - 8000 рублей.
Для расчета стоимости установки следует учесть следующие данные:
Срок установки СУ - 7 дней.
Длительность рабочего дня Д - 8 часов.
Процент отчислений на дополнительную заработную плату ПД- 13%
Процент отчислений на социальное страхование ПС - 26,2%
Таблица 5.5.1
Затраты на установку системы защиты в ЛВС
НаименованиеРасчетЗатраты, руб.Основная заработная плата исполнителейЗар. плата инженераСУ*ЗП3 = 8000*0.32400Дополнительная заработная плата исполнителейДоп. зар. плата монтажника-наладчика2400*ПД = 2400*0.13 312Социальное страхованиеОтчисления от зар. платы монтажника-наладчика(2400+312)*ПС = 2712*0.262710.54ИТОГО3422.54
Таблица 5.5.2
Затраты на программно-аппаратные продукты
Программно-аппаратные продукты:ЦенаКоличествоРазмер затрат (руб.)СЗИ от НСД «Dallas Lock 7.0»36001450400СЗИ от НСД «Спектр - Z»24001228800ИТОГО 79200
Таким образом, стоимость установки системы защиты информации в ЛВС организации составила 82622.54 руб.
Общая стоимость разработки и установки системы защиты информации в ЛВС организации составила 87837,87 + 82622.54 = 170460,41 руб.
5.6 Расчет стоимости разработки системы безопасности объекта
В процессе разработки проекта участвовало 2 человека:
1.Руководитель проекта - Заработная плата ЗП1 - 15000 руб/мес, выделенное время на разработку К1 - 3% от общего времени.
2.Инженер по системам безопасности - Заработная плата ЗП2 - 8000 руб/мес, выделенное время па разработку К2 - 100% от общего времени.
Также в процессе разработки использовался компьютер с принтером:
Компьютер. Стоимость СТ1 - 25000 руб, время занятости в проекте КТ1 - 80% срока разработки, срок полезного использования СЭТ1 - 5 лет, энергопотребление ЭТ1 - 0,2 кВт/ч
Принтер. Стоимость СТ2 - 7000 руб. время занятости в проекте КТ2 -2% срока разработки, срок полезного использования СЭТ2 - 5 лет, энергопотребление ЭТ3 - 0,1 кВт/ч
Для расчета стоимости разработки следует учесть следующие данные:
Стоимость электроэнергии СЭ - 2,006 руб/кВт
Срок разработки СР - 2 месяца (44 рабочих дня)
Длительность рабочего дня Д - 8 часов.
Процент отчислений на дополнительную заработную плату ПД- 13%
Процент отчислений на социальное страхование ПС - 26,2%
Таблица 5.6
Затраты на разработку проекта
НаименованиеРасчетЗатраты, руб.Материальные расходыРасходные материалы300*1300Основная заработная плата исполнителейНаименованиеРасчетЗатраты, руб.Зар. плата руководителяСР*К1*ЗП1 = 2*0,03*15000900Зар. плата инженераСР*0,5*К2*ЗП2 = 2*1*0,5*80008000Сумма основной заработной платы исполнителей:8900Дополнительная заработная плата исполнителейДоп. зар. плата руководителя и инженера(900+8000)*ПД = 8900*0,13 1157Общий фонд заработной платы:10057Социальное страхованиеОтчисления на социальное страхование(900+8000+1157)*ПС = 10057*0,2622634,94Амортизация используемой техникиАмортизация используемого компьютераСТ1*(СР/СЭТ1 в мес.)= 25000*(2/(5*12))833,33Амортизация используемого принтераСТ2*(СР/СЭТ2 в мес.)= 7000*(2/(5*12))233,33Сумма затрат на амортизацию техники:1066,66Расходы на электроэнергиюРасходы на электроэнергию (компьютер)ЭТ1*СЭ*Д*СР*КТ1 = 0,2*2,006*(8*44)*0,8112,98Расходы на электроэнергию (принтер)ЭТ2*СЭ*Д*СР*КТ2 = 0,1*2,006*(8*44)*0,021,41Сумма затрат на электроэнергию:114,39Прочие прямые расходы(ФЗП + ПС + МЗ +АМТ)*0,08= (10057+2634,94+300+1066,66)*0,081124,69Накладные расходыФЗП*1,2 = 10057*1,212068,4ИТОГО27366,08
Стоимость разработки системы безопасности объекта составляет 27366,08 руб.
5.7 Расчет стоимости установки системы безопасности объекта
В процессе установки системы безопасности объекта участвовал монтажник-наладчик, заработная плата ЗП3 - 8000 рублей.
Для расчета стоимости установки следует учесть следующие данные:
Срок установки СУ - 15 дней.
Длительность рабочего дня Д - 8 часов.
Процент отчислений на дополнительную заработную плату ПД- 13%
Процент отчислений на социальное страхование ПС - 26,2%
Таблица 5.7.1
Затраты на установку системы безопасности
НаименованиеРасчетЗатраты, руб.Заработная плата исполнителейЗар. плата монтажника-наладчикаСУ*ЗП3 = 8000*0.54000Дополнительная заработная плата исполнителейДоп. зар. плата монтажника-наладчика4000*ПД = 4000*0.13520Социальное страхованиеОтчисления от зар. платы монтажника-наладчика(4000+520)*ПС = 4520*0.2621184.24ИТОГО5704.24
Таблица 5.7.2
Затраты на оборудование системы безопасности
НаименованиеКол-во, штЦена ед., рубСт-ть, рубПКУ C2000141404140Блок индикации С2000-БИ136483648Контроллер С2000-КДЛ118241824Адресный расширитель С2000-АР89146013140Исполнительный релейный блок С2000-СП1215503100НаименованиеКол-во, штЦена ед., рубСт-ть, рубАдресный блок управления С2000-СП21912912Блок резерв. Питания РИП 12 исп. 01420008000Охранный извещатель Астра-81193610296Охранный извещатель Астра-С185409720Охранный извещатель ИО102-16/22115315Пожарный извещатель ИП212-4СБ183606480Пожарный извещатель ИП-3СУ2192384Транспортные расходы = МЗ*0,16196ИТОГО68155
Обучение персонала производится организацией инсталлятором. Срок обучения эксплуатации системы - 30 часов в течение 5 дней, стоимость обучения- 10000 рублей.
Стоимость установки системы безопасности объекта составляет 68155 + 5704,24 = 73859,24 руб.
Общая стоимость разработки и установки системы безопасности объекта, а также обучения персонала составляет 27366,08 + 73859,24 + 10000 = 111225,32 руб.
5.8 Разработка организационных мероприятий на этапе внедрения системы
Согласно ГОСТ Р 51583-2000. "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения." стадия ввода в действие включает в себя следующие этапы:
·Подготовка АСЗИ к вводу в действие
·Подготовка персонала
·Комплектация АС поставляемыми изделиями (программными и техническими средствами)
·Строительно-монтажные работы
·Пуско-наладочные работы
·Проведение предварительных испытаний
·Проведение опытной эксплуатации
Разработка, внедрение и эксплуатация АС осуществляется в отрасли или на отдельном предприятии в соответствии с организационно-распорядительной проектной документацией, учитывающей конкретные условия функционирования АС различного уровня и назначения:
1.Положение о порядке организации и проведения в отрасли (на предприятии) работ по защите информации в АС;
2.Инструкция по защите информации, обрабатываемой в АС отрасли (на предприятии или в подразделениях предприятия);
.раздел «Положения о разрешительной системе допуска к документам и сведениям на предприятии», определяющий особенности системы допуска в процессе разработки и функционирования АС;
.приказы, указания, решения о создании соответствующих подразделений разработчиков, о формировании группы обследования, о создании экспертных комиссий;
.о назначении лиц, ответственных за эксплуатацию вычислительной системы, баз данных АСЗИ;
.о назначении уполномоченных служб безопасности и т.д.;
.проектная документация различных стадий создания CPB.
Для подготовки СЗИ к вводу в действие, проводятся такие мероприятия, как:
8.Разработка требований к организационным мерам по защите информации.
9.Реализация проектных решений по организационной структуре СЗИ на АС и процесса.
.Разработка требований к организационным мерам по защите информации:
Организационные меры по защите конфиденциальной информации изложены в «Специальных требованиях и рекомендациях по технической защите конфиденциальной информации (СТР-К)» и другой нормативно-методической документации.
Разработка требований к организационным мерам по защите информации включает:
·требования к организации охраны и физической защиты помещения АС,
·требования к организации доступа субъектов к АС.
Реализация проектных решений по организационной структуре системы защиты информации АС и процесса включает в себя:
·организацию охраны и физической защиты помещений АС. Организация охраны должны исключать НСД к ТС обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
·разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой в АС информации;
·выполнение других мероприятий, специфичных для конкретной АС и конкретных направлений защиты информации.
Для проведения этих мероприятий оформляется эксплуатационная
документация, такая как:
·план организационно-технических мероприятий по подготовке АС к внедрению средств и мер защиты информации;
·приказы, указания и решения:
·на проектирование АС,
·о назначение ответственных исполнителей,
·на проведение работ по защите информации.
В ходе работ по внедрению могут возникать определенные трудности,
такие как:
·несогласие руководства объекта с затратами на оснащение системой безопасности;
·невыполнение поставщиками своих обязанностей по срокам поставки;
Заключение
Расчет затрат на внедрение ведется с учетом того, что программно-аппаратные средства защиты поставляются разработчиками средств, и почтовые расходы входят в стоимость программно-аппаратных продуктов. Как показал анализ затрат на внедрение системы защиты информации в ЛВС, основную часть расходов составляет стоимость программно-аппаратных средств защиты. Следует отметить, что эта сумма может сильно варьироваться в зависимости от величины поставки (особенно это свойственно программным средствам), сумма затрат на внедрение может уменьшиться весьма значительно.
Что касается системы безопасности, то основная часть расходов -оборудование. Его стоимость зависит от выбранного поставщика, т.к. если закупать оборудование у одной организации, то стоимость может также сократиться.
Стоимость внедрения комплексной системы информационной безопасности составляет: 170460,41 + 111225,32 = 281685,73 руб.
Решение возникших трудностей с руководством может быть следующим. Следует убедить руководство, что в случае реализации угроз, потери могут составлять значительно большую сумму, учитывая, что на восстановление утерянных материальных и информационных ресурсов и работоспособности уйдет много времени.
Заключение
Целью представленного дипломного проекта являлась разработка комплекса мер по обеспечению информационной безопасности на объекте информатизации.
Защита информации - весьма сложная, требующая комплексного, системного подхода проблема. В связи с этим в дипломном проекте проведено тщательное аналитическое исследование данной предметной области, в ходе которого были выявлены угрозы информационной безопасности и составлены модели потенциальных нарушителей с точки зрения физической и технической защиты объекта информатизации и с точки зрения обеспечения информационной безопасности в ЛВС организации.
На основе проведенного аналитического исследования были предложены конструкторские решения по оснащению объекта информатизации охранно-пожарной сигнализацией и программно-аппаратными средствами защиты информации для компонентов вычислительной сети организации.
В ходе дипломного проектирования также были предложены организационные меры обеспечения информационной безопасности, базирующиеся на пакете разработанных документов для данного объекта информатизации.
Таким образом, в данном дипломном проекте изложен комплекс мер, охватывающий физическую охрану объекта, техническое, программно-аппаратное и нормативно-правовое обеспечение информационной безопасности. На основании вышесказанного можно сделать вывод, что цели, поставленные перед дипломным проектированием, были достигнуты, а задачи выполнены.
Список использованных источников
1.Доценко С.М., Шпак В. Ф. Комплексная информационная безопасность объекта: от теории к практике.
2.Зегжда Д. П., Ивашко А. М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000. - 452 с.
.Корт С.С. Теоретические основы защиты информации: Учебное пособие. - М.: Гелиос АРВ, 2004. - 240 с., ил.
.Милославская Н.Г., Толстой А.И. Интрасети: доступ в Internet, защита: Учебное пособие для вузов. - М.: ЮНИТИ-ДАНА, 2000. - 527 с.
.Романец Ю.В. Тимофеев П.А. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. Москва "Радио и связь", 2001г.
.Сёмкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И. Основы организационного обеспечения информационной безопасности объектов информатизации: Учебное пособие. - М.: Гелиос АРВ, 2005. - 192 с.
.Шпеник М., Следж О. Руководство администратора баз данных Microsoft SQL Server 2000.: Пер. с англ. - М.: Издательский дом "Вильямс", 2001. - 928 с.
.Ярочкин В.И. Информационная безопасность: Учебник для вузов. - М.: Академический проект; Фонд "Мир", 2003. - 640 с.: ил.
.Астахов А. Разработка и внедрение эффективных политик информационной безопасности [Текст]/А. Астахов // Директор информационной службы. 2004, №1.
.Филиппова Ирина. Выбор по расчету. Расчет совокупной стоимости владения проектов по обеспечению информационной безопасности [Текст]/И. Филиппова //CIO. Руководитель информационной службы. - 2003, №11 (20).
.Шуксто А. Физическая защита информации [Текст]/А. Шуксто // Мир Internet. 2002, №6.
.Закон Российской Федерации "Об информации, информатизации и защите информации" от 25.01.95
.Руководящий документ Гостехкомиссии РФ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации".
.Руководящий документ Гостехкомиссии. "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации" (решение Председателя Гостехкомиссии России от 30 марта 1992г.).
.СанПиН 2.2.2/2.4.1340-03 "Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организации работы".
.Федеральный закон от 10 января 2002 г. №1-ФЗ "Об электронной цифровой подписи"
.http://svk.sanet.ru/ Сравнение антивирусных средств
.http://www.infosec.ru/press/pub/ Статьи по информационной безопасности
.www.cisco.com Web-узел компании Cisco Systems
.www.kaspersky.ru Сайт лаборатории Касперскрго
.www.zastava.ru VPN ЗАСТАВА 3.3. Основные технические характеристики программных продуктов.
Больше работ по теме:
Диплом
Разработка компьютерных игр
Диплом
Разработка корпоративного сайта для ООО "Семейная аптека"
Диплом
Разработка локальной вычислительной системы компании ООО "Карнавал"
Диплом
Разработка мероприятий по наладке и эксплуатации устройства числового программного управления "Маяк-221"
Диплом
Предмет: Информационное обеспечение, программирование
Тип работы: Диплом
Новости образования
22 Июля 2016 16:26
Более 70 представителей крупных вузов АСЕАН подтвердили участие в форуме во Владивостоке
22 Июля 2016 12:51
Абызов: публикация первичных статсведений снизит бюрократическую нагрузку на школы
22 Июля 2016 11:53
В Чечне свыше 200 школьников сдали ЕГЭ с результатом свыше 90 баллов - министр
22 Июля 2016 05:36
Замглавы Минобрнауки РФ: задача сократить число людей с высшим образованием не стоит
21 Июля 2016 20:19
КОНТАКТНЫЙ EMAIL: [email protected]
Скачать реферат © 2017 | Пользовательское соглашение
ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ