Комплексна система захисту науково-дослідної лабораторії
Оскільки комерційна таємниця, що охороняється законом, не може існувати поза суб'єктами господарювання, а відносини, що складаються між суб'єктами у зв’язку з комерційною таємницею, нерозривно пов’язані зі сферою господарювання (підприємництва), сукупність правових норм, що регулюють ці відносини, слід вважати інститутом господарського права. Інститут комерційної таємниці суб'єктів… Читати ще >
Комплексна система захисту науково-дослідної лабораторії (реферат, курсова, диплом, контрольна)
Вступ
Безпека підприємства являє собою складну систему з двох основних частин: загрози безпеки діяльності підприємства та захист від цих загроз. Рівень захищеності суб'єктів підприємництва повинен бути фактично однаковим для надійного захисту, адже якщо один з суб'єктів буде значно менше захищеним ніж інші, це може призвести до руйнування систем безпеки в цілому. Вирішенням такої проблеми може стати комплекс, що включатиме в себе не тільки запобігання загроз, а й забезпечення безпеки системи в цілому.
На сьогодні, найбільш ефективними заходами, використання яких доцільно в першу чергу, являють собою створення засобів захисту від розкрадання носіїв інформації та забезпечення їх надійності в експлуатації. Такі засоби захисту призначені для того, щоб запобігти або зменшити до прийнятного рівня наслідки від шкідливих впливів на процес діяльності науково-дослідної лабораторії.
Для визначення заходів щодо забезпечення необхідного рівня захищеності передбачає визначення складу, структури та розміщення приміщень та засобів захисту інформації, при яких забезпечується необхідний рівень захищеності від реального спектру загроз безпеки. Завдання системи захисту інформації на підприємстві повинно проводитися на основі кількісних показників, повно і достовірно відображають рівень інформаційної безпеки підприємства.
В даному курсовому проекті створюється комплексна система захисту науково-дослідної лабораторії.
1. Аналіз об'єкту інформатизації, що захищається
1.1 Характеристика об'єкту інформатизації
захист контроль охоронний сигналізація
Завданням даного курсового проекту є проектування комплексної системи захисту науково-дослідної лабораторії.
Галузь наукових досліджень включає в себе такі функції як проведення прикладних досліджень за замовленнями вітчизняних та закордонних підприємств, установ, організацій, фізичних осіб та ініціативних НДР щодо вирішення актуальних завдань науково-технічного розвитку, організація роботи щодо укладання договорів із вітчизняними та закордонними замовниками для створення науково-технічної продукції, проведення внутрішньої та зовнішньої експертної оцінки проектів для виконання наукових досліджень, надання науково-технічних послуг, маркетингових досліджень, розробка бізнес-пропозицій і бізнес-планів для впровадження наукових досліджень у виробництво, забезпечення державної реєстрації науково-дослідних робіт, визначення переліку науково-дослідних робіт, перспективних для впровадження в регіоні та галузі, своєчасності і достовірності звітності та здійснення авторського нагляду за впровадженням результатів завершених наукових досліджень.
Здійснення робіт лабораторії щодо правової охорони в Україні та за її межами об'єктів інтелектуальної власності, оформлення матеріалів заявок на об'єкти промислової власності та авторського права. Організаційно-методичне керівництво захистом об'єктів, що складають комерційну таємницю або конфіденційну інформацію, від недобросовісної конкуренції, забезпечення відповідності вимогам державних стандартів засобів і методів вимірювання, що застосовуються при виконанні наукових досліджень в університеті, науково-технічної, конструкторської та технологічної документації, технічних умов та інших нормативних документів. Організація та проведення технічного обслуговування і періодичної перевірки засобів вимірювань.
В залежності від характеру, складності та обсягу виконаних робіт і складається організаційна структура лабораторій.
Структура організації науково-дослідної лабораторії включає у себе такі підрозділи та відповідні їм приміщення:
— відділ держбюджетних науково-дослідних робіт (перший відділ);
— патентного-ліцензійний відділ (другий відділ);
— відділ науково-технічної інформації (третій відділ);
— технічний відділ (четвертий відділ) Цифрові ЕОМ складають основу цетра.
Науково-дослідні лабораторії складаються за наукових груп, які призначенні для організації роботи за тематикою, за поданням наукових керівників тем згідно з діючим штатним розписом і фактичним фінансуванням видатків.
Керівниками таких груп є доктори і кандидати наук, які відповідають за результативність та своєчасність виконання досліджень, розв’язання комплексних задач у сфері наукового, технологічного розвитку, впровадження та використання в Україні наукових і науково-практичних результатів.
Технологічний процес обробки інформації в лабораторії - це сукупність операцій, що виконуються у визначеному порядку над інформацією з моменту її надходження у лабораторію до моменту одержання готових результатів, видаваних замовнику.
Ефективність використання ЕОМ являється досить доцільним, адже вони мають:
— високу продуктивність;
— надійність;
— простоту у обслуговування і експлуатації;
— гнучкість і автономність використання;
— наявність розвинутого програмного забезпечення;
— діалоговий режим роботи тощо.
1.2 Опис об'єкту інформатизації
Науково — дослідна лабораторія знаходиться на 1-ому поверсі залізобетонного будинку з підвалом, який находиться на межі контрольованої зони. Технічний паспорт, який включає в себе відомості про об'єкт та технічні засоби, представлені у таблиці 1.1
Таблиця 1.1 — Технічний паспорт об'єкту та технічних засобів
Найменування об'єкту | Науково-дослідна лабораторія | |
Поверх (поверхів в багатоповерховій будівлі) | 1-й поверх залізобетонного будинку з підвалом, котрий знаходиться на межі контрольованої зони | |
Наявність кімнат з неконтрольованим доступом | 4 з неконтрольованим доступом | |
Порядок доступу в приміщення | Усі кімнати здаються під охорону по завершенню робочого дня | |
Наявність інших підприємств | На даному поверсі інших підприємств немає | |
Лабораторія займаючись своєю діяльністю використовує 1 сервер, 20 комп’ютерів, на 10 з яких обробляється інформація комерційного характеру. Використовується комп’ютерна мережа, що з'єднує 4 кімнати в одну мережу з виходом в Інтернет.
Рисунок 1.1 — План об'єкту
1.3 Інформація, що складає комерційну таємницю
Комерційною таємницею є інформація, яка є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію.
Комерційною таємницею можуть бути відомості технічного, організаційного, комерційного, виробничого та іншого характеру, за винятком тих, які відповідно до закону не можуть бути віднесені до комерційної таємниці.
Серед ознак інформації, яку можливо віднести до комерційної таємниці, можна виділити: відсутність загальновідомості, відсутність загальнодоступності, комерційна цінність.
Легальне визначення комерційної таємниці міститься у ст. 505 Цивільного кодексу України: інформація, що є секретною в тому розумінні, що вона в цілому чи в певній формі та сукупності її складових є невідомою та не є легкодоступною для осіб, які звичайно мають справу з видом інформації, до якого вона належить, у зв’язку з цим має комерційну цінність та була предметом адекватних існуючим обставинам заходів щодо збереження її секретності, вжитих особою, яка законно контролює цю інформацію.
Поняття комерційної таємниці слід розглядати і визначати у зв’язку з більш загальною категорією інформації і менш загальною, похідною від неї категорією конфіденційної інформації.
За критерієм правового режиму комерційну таємницю слід віднести до конфіденційної інформації, яка, у свою чергу, за критерієм режиму доступу є видом інформації з обмеженим доступом. Таким чином, комерційна таємниця — це вид конфіденційної інформації і різновид інформації з обмеженим доступом.
Комерційній таємниці повністю властиві всі ознаки інформації як самостійного виду об'єктів прав суб'єктів господарювання, і разом з тим — специфічні ознаки, що відрізняють її від інших видів і різновидів інформації. Виходячи з легального визначення комерційної таємниці в ст. 505 ЦК України, відповідно до українського законодавства (як і законодавства багатьох країн), комерційній таємниці властиві такі ознаки.
По-перше, інформація має дійсну або потенційну комерційну цінність унаслідок її невідомості третім особам.
По-друге, до інформації, що складає комерційну таємницю, немає вільного доступу на законній підставі. Згідно зі ст. 505 ГК України абсолютна таємність інформації не потрібна. Інформацію слід вважати секретною, поки вона не стає загальновідомою або легкодоступною особам, які належать до тих кіл, які звичайно пов’язані з подібною інформацією.
По-третє, прийняття власником інформації заходів щодо охорони її секретності. До них можуть бути віднесені різноманітні заходи технічного, організаційного та юридичного характеру, спрямовані на те, щоб захистити інформацію від несанкціонованого доступу третіх осіб. При визначенні того, чи були прийняті належні, адекватні заходи для збереження комерційної таємниці, слід враховувати ті зусилля і грошові кошти, що були витрачені її законним володільцем для розробки секретної інформації, цінність цієї інформації для нього та його конкурентів, сферу дії тих заходів, що були прийняті законним володільцем для збереження цієї інформації в таємниці, а також простоту або складність одержання цієї інформації законним чином іншими особами. Комерційна таємниця і банківська таємниця розрізняються за двома основними критеріями: за рівнем визначення відомостей, що складають таємницю, та правовим оформленням такого визначення.
Склад відомостей, що складають комерційну таємницю, визначається самостійно суб'єктом господарювання (за винятком тих, які відповідно до законодавства не можуть складати комерційну таємницю), у той час як коло відомостей, що складають банківську таємницю, визначений Законом. Відповідно, обсяг і коло відомостей, що складають комерційну таємницю, різний у різних суб'єктів господарювання, на відміну від відомостей, що складають банківську таємницю, який є однаковим для всіх банків. Для оформлення правового режиму комерційної таємниці необхідне закріплення його на рівні локальних актів, у той час як банківська таємниця не вимагає спеціального оформлення на локальному рівні. Суб'єкт господарювання самостійно визначає коло осіб, які мають право доступу до комерційної таємниці. Що ж стосується банківської таємниці, то коло осіб, які мають право її одержувати, встановлюється законом і не може бути розширене або звужене банком. Разом з тим банківська таємниця не виключає існування комерційної таємниці самого банку як самостійного суб'єкта господарських відносин, що, однак, не може бути включена до банківської таємниці. Категорія «комерційна таємниця» є одним з важливих понять господарського права, тому що її володільцями є суб'єкти господарювання і вона необхідна для здійснення господарської діяльності. Комерційна таємниця суб'єктів господарювання знаходиться в господарському обігу та є об'єктом відносин, що підлягають правовому регулюванню. Комерційна таємниця як юридично значущий вид інформації є об'єктом суспільних відносин щодо її використання і захисту, що через врегулювання правом набувають характеру правовідносин. Виділення комерційної таємниці як самостійного об'єкта прав суб'єктів господарювання обумовлено як її комерційною значущістю, цінністю та участю в обігу, так і необхідністю її захисту.
З урахуванням специфічних ознак комерційної таємниці можна дати таке її визначення: комерційна таємниця — це будь-яка комерційно цінна конфіденційна інформація, що охороняється суб'єктом господарювання і доступ до якої обмежений з метою захисту прав та законних інтересів її володаря від неправомірного доступу до неї, розголошення або використання.
Оскільки комерційна таємниця, що охороняється законом, не може існувати поза суб'єктами господарювання, а відносини, що складаються між суб'єктами у зв’язку з комерційною таємницею, нерозривно пов’язані зі сферою господарювання (підприємництва), сукупність правових норм, що регулюють ці відносини, слід вважати інститутом господарського права. Інститут комерційної таємниці суб'єктів господарювання — це сукупність правових норм, які регулюють відносини, що виникають у процесі реалізації права суб'єкта господарювання на комерційну таємницю, у тому числі віднесення інформації до комерційної таємниці, визначення режиму її конфіденційності, порядку одержання, зберігання, використання комерційної таємниці іншими особами. Відсутність загальнодоступності полягає в тому, що порядок отримання цієї інформації та доступ до неї не є вільним. Для визначення ознаки відсутності загальнодоступності визначено, що дана інформація не є доступною іншим особам.
Відповідно до чинного законодавства комерційна та службова таємниці є різновидами конфіденційної інформації, тому її також віднесемо до конфіденційної у даній лабораторії.
Службову інформацію складають відомості, які отримуються працівником під час виконання своїх трудових функцій. Особами, які зобов’язані дотримуватись обов’язку не розголошувати службову таємницю, є працівники підприємства, які перебувають з ним у трудових відносинах.
Проте задля оптимізації збереження необхідного обсягу відомостей, службова інформація в належному порядку віднесена до комерційної таємниці, а особи, які допущені до її використання, повинні не розголошувати ці відомості та утримуватися від протиправних дій щодо такої інформації.
Також в якості комерційної таємниці захищається інформацію про клієнтів.
Заходи щодо охорони комерційної таємниці мають різний характер, зокрема закріплення за працівниками обов’язку не розголошувати певну інформацію, наявність в договорах з контрагентами положень щодо неприпустимості розголошення визначеної інформації.
Однак, для забезпечення схоронності комерційної таємниці необхідно забезпечити її визначення та фіксацію, оскільки у разі виникнення питання, чи є інформація комерційною таємницею, обов’язково виникне необхідність визначення того, чи визнавали сторони цю інформацію конфіденційною.
На підприємстві розроблено та затверджено положення щодо порядку використання комерційної таємниці [1, 2].
В переліку інформація, яка є комерційною таємницею, визначена описово з наведенням характеристик, яким відповідає дана інформація, і залежно від того, чи підпадає інформація під наведені характеристики, особа, яка користується цією інформацією, має ідентифікувати цю інформацію як комерційну таємницю.
Окрім того, визначено, хто має право використовувати дану інформацію, в якому порядку її отримувати, яким чином має забезпечуватись її зберігання. Визначення даних положень допоможе у разі необхідності встановити, чи належним чином особою було отримано інформацію та в разі необхідності - чи було порушено особою порядок отримання та зберігання інформації.
Також у трудовому договорі з працівником зазначається, що йому заборонено поширювати інформацію про розмір його заробітної плати.
Для такої інформації визначено окремий порядок розкриття такої інформації. Так, наприклад, установчі документи товариства не можуть бути комерційною таємницею, проте не всі особи мають право знайомитися з цими документами. Так, відповідно до ст. 10 Закону України «Про господарські товариства» учасники товариства мають право одержувати інформацію про діяльність товариства. На вимогу учасника товариство зобов’язане надавати йому для ознайомлення річні баланси, звіти товариства про його діяльність, протоколи зборів. Зрозуміло, що підприємство не буде розкривати дану інформацію будь-яким особам, які не є учасниками товариства. Тому визначено такого роду інформацію не як комерційну таємницю, а як конфіденційну інформацію, що зобов’язує працівників підприємства не розголошувати дану інформацію.
1.4 Політика інформаційної безпеки
Інформаційні технології все більш наполегливо проникають в усі сфери людської діяльності, вірніше, людство все більш сміливо інтегрується з інформаційними технологіями. Тому, особливо актуальною є проблема забезпечення інформаційної безпеки (ІБ).
Проте сама по собі інформаційна безпека є достатньо абстрактним поняттям. Має бути деякий додаток ІБ, тобто необхідні систематизація і правила, що дозволяють зробити технології ІБ застосовними до реального середовища, де і повинна бути забезпечена безпека інформаційного простору. Тому й виникає поняття політики інформаційної безпеки.
При розгляді питань безпеки інформації в компютерних системах (КС) завжди говорять про наявність деяких бажаних станів системи. Ці бажані стани описують захищеність системи. Поняття захищеності принципово не відрізняється від інших властивостей технічної системи, наприклад надійної роботи.
Особливістю поняття захищеність є його тісний зв’язок з поняттям загроза (те, що може бути причиною виведення системи із захищеного стану).
Отже, виділяються три компоненти, що пов’язані з порушенням безпеки системи:
— загроза — зовнішнє, відносно системи, джерело порушення властивості захищеність;
— об'єкт атаки — частина системи, на яку діє загроза;
— канал дії - середовище перенесення зловмисної дії.
Інтегральною характеристикою, яка об'єднує всі ці компоненти, є політика безпеки (ПБ) — якісний (або якісно-кількісний) вираз властивостей захищеності в термінах, що представляють систему. Опис ПБ повинен включати або враховувати властивості загрози, об'єкта атаки та каналу дії.
За означенням, під ПБ інформації розуміється набір законів, правил, обмежень, рекомендацій тощо, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.
Термін політика безпеки може бути застосований до організації, КС, операційної системи (ОС), послуги, що реалізується системою (набору функцій) для забезпечення захисту від певних загроз, і т. ін. Чим дрібніший об'єкт, щодо якого вживається цей термін, тим конкретніші й формальніші стають правила.
ПБ інформації в КС є частиною загальної ПБ організації і може успадковувати, зокрема, положення державної політики у сфері захисту інформації. Для кожної системи ПБ інформації може бути індивідуальною і залежати від конкретної технології обробки інформації, що реалізується, особливостей ОС, фізичного середовища та багатьох інших чинників.
Частина ПБ, яка регламентує правила доступу користувачів і процесів до ресурсів комп’ютерної системи (КС), становить правила розмежування доступу.
Розробка і підтримка ПБ майже завжди означає досягнення компромісу між альтернативами, які обирають власники цінної інформації для її захисту. Отже, будучи результатом компромісу, ПБ ніколи не задовольнить усі сторони, що беруть участь у захисті інформації.
Водночас, вибір ПБ — це остаточне рішення: що добре й що погано в поводженні з цінною інформацією. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Тоді цілком природним критерієм якості системи захисту інформації (СЗІ) стає такий: «побудована СЗІ вдала, якщо вона надійно підтримує виконання правил ПБ, і, навпаки, СЗІ невдала, якщо вона ненадійно підтримує ПБ».
Такий розв’язок проблеми захищеності інформації і проблеми побудови СЗІ дає змогу залучити до теорії захисту точні математичні методи, тобто доводити, що певна СЗІ в заданих умовах підтримує ПБ. Саме в цьому полягає суть доказового підходу щодо захисту інформації, який дозволяє говорити про гарантовано захищену систему.
Сенс гарантованого захисту в тому, що за додержання вихідних умов заздалегідь виконуються всі правила ПБ. Термін гарантований захист уперше зустрічається в стандарті міністерства оборони США на вимоги до захищених систем.
Зважаючи на технічні та програмно-апаратні проблеми, що виникають при організації захисту в захищених АС, у багатьох випадках належний рівень захищеності досягається за рахунок вдало реалізованої ПБ, причому іноді ПБ може залишитися майже єдиним засобом забезпечення захисту. Тому розробка, дослідження та правильнее застосування ПБ є надзвичайно актуальною проблемою сучасних СЗІ.
Побудова ПБ — це зазвичай такі кроки:
— в інформацію вноситься структура цінностей і проводиться аналіз ризику;
— визначаються правила для будь-якого процессу користування певним видом доступу до елементів інформації, які мають певну оцінку цінностей.
Однак реалізація цих кроків є дуже складним завданням. Результатом помилкового або бездумного визначення правил ПБ здебільшого є руйнування цінності інформації без порушення ПБ. Тобто при незадовільній ПБ навіть надійна СЗІ може бути прозорою для зловмисника.
ПБ може бути викладена як на описовому рівні, так і за допомогою певної формальної мови. Вона є необхідною (а іноді й достатньою) умовою безпеки системи.
Формальний вираз політики безпеки називають моделлю ПБ. Основна мета створення ПБ інформаційної системи й опису її у вигляді формальної моделі - це визначення умов, яким має підпорядковуватися поведінка системи, вироблення критерію безпеки і проведення формального доведення відповідності системи цьому критерію при додержанні встановлених правил і обмежень. На практиці це означає, що тільки уповноважені користувачі можуть отримати доступ до інформації і здійснювати з інформацією тільки санкціоновані дії.
Незважаючи на те що створення формальних моделей вимагає суттєвих витрат, вони складні для розуміння і вимагають певної інтерпретації для застосування в реальних системах. Слід констатувати той факт, що формальні моделі потрібні, тому що тільки за їх допомогою можна довести безпеку системи, спираючись на об'єктивні й незаперечні постулати математичної теорії. Загальним підходом щодо всіх моделей є поділ множини сутностей, що становлять систему, на множини суб'єктів і об'єктів, хоча самі визначення понять об'єкт і суб'єкт у різних моделях можуть істотно відрізнятися. Взаємодії в системі моделюються встановленням відношень певного типу між суб'єктами та об'єктами.
Множина типів відношень визначається у вигляді набору операцій, які суб'єкти можуть здійснювати над об'єктами. Усі операції в системі контролюються певним спеціально призначеним для цього суб'єктом і забороняються або дозволяються відповідно до правил ПБ.
ПБ задається у вигляді правил, відповідно до яких мають виконуватися всі взаємодії між суб'єктами та об'єктами. Взаємодії, що призводять до порушень цих правил, припиняються засобами контролю доступу й не можуть бути здійснені.
Для підвищення ефективності використання політику безпеки доцільно оформляти не єдиним документом, а у вигляді декількох документів, що спростить їх використання та впровадження. Основну сукупність цих документів складають:
— Цілі і завдання політики безпеки
— Обов'язки в області інформаційної безпеки
— Правила інформаційної безпеки
— Забезпечення фізичної безпеки
— Загальні вимоги до управління та використання КС
— Антивірусний захист КС
— Управління та експлуатація криптографічних систем в КС
— Правила безпеки при використанні зовнішніх ресурсів (Internet)
— Правила впровадження програмного забезпечення
— Правила безпеки при використанні електронної пошти
— Впровадження та супровід політики безпеки
— Зобов'язання виконання політики безпеки
— Порядок впровадження та контролю виконання політики безпеки
— Порядок перегляду політики безпеки.
Порядок впровадження і контролю виконання політики безпеки:
1. Тестування і ефективність правил:
— на даному етапі правила, охоплюють процеси збору статистики і складання звітів;
— керівництво має заохочувати проведення навчання з питань безпеки, щоб кожен співробітник організації розумів правила безпеки та їх вплив на виробничі процеси;
— включити положення про звичайні заходи, що використовуються для тестування правил на їх ефективність.
2. Публікація документів правил:
— регламентувати публікацію документів і записати вимоги щодо повідомлення про терміни публікації;
— вказати, хто буде відповідати за цю роботу.
3. Моніторинг, засоби управління і міри покарання:
— визначення прав організації зі спостереження;
— правила управління стверджують право організації на впровадження алгоритмів, дозволяють вбудувати в систему певні засоби управління. Крім того, необхідно визначити склад осіб, які будуть займатися адмініструванням і тестуванням;
— затвердити розроблені інструкції з призначенням покарань. Вони не повинні викликати запитань про те, чи має організація право застосовувати заходи покарання при порушеннях правил безпеки;
— правила повинні охоплювати незаконну діяльність, здійснювану
— внутрішніми користувачами та зовнішніми зловмисниками.
4. Обов’язки адміністраторів:
— ці правила охоплюють питання адміністративного узгодження і впровадження, які не входять в сферу адміністративного управління;
— визначають порядок розриву трудового угоди з організацією;
— встановлюють коло осіб, які несуть відповідальність за своєчасне анулювання права доступу, звільнення ресурсів, виділених користувачеві, виявлення в призначених для користувача ресурсах порушень безпеки та інших помилок, а також за архівне зберігання призначених для користувача файлів і інших даних.
5. Міркування по реєстрації подій:
— перевірка журналів аудиту, які створюються в системі і в основних додатках;
— в журналах фіксуються всі операції, які користувачі виконують у системі або мережі, а також фіксуються всі помилкові і успішні спроби доступу до системи;
— правила реєстрації досить складні, оскільки неможливо скласти загальну формулювання, що підходить для будь-якої конфігурації системи. Напевно, непрактично реєструвати кожну операцію, виконувану в комп’ютерній системі, але необхідно забезпечити підтримку сервісних систем, що обслуговують бази даних;
— описати порядок обробки інформації з журналів;
— правила поновлення журналів можуть змінюватися залежно від роду діяльності організації, а також від різновиду журналів.
6. Звітність про порушення безпеки.
— звіти про інциденти можуть приходити з декількох джерел. Проблеми з захистом виявляють адміністратори, і для того, щоб користувачі могли фіксувати порушення, вони повинні мати правила, що визначають, як це робити:
— встановлюються вимоги щодо звітності для адміністраторів і користувачів,
— в правила роботи з відкритими широкодоступними звітами включаємо методи розділення інформації, яку інформацію вважати достовірною, а яку перевіряти,
— після повідомлення про інцидент збираються відповідні дані, і застосовуються правові санкції, що базуються на цьому повідомленні. Достатньо складно повідомити про те, що щось сталося. Якщо в ході розслідування інциденту встановлено, що потрібно застосувати міри покарання, які можуть обмежуватися дисциплінарними заходами або застосуванням заходів передбачених законодавством, то в правилах описані вимоги по обробці цих доказів.
2. Розробка комплексної системи захисту інформації
2.1 Системи контролю і управління доступом на об'єкті
Система контролю управління доступом є необхідною складовою частиною комплексів забезпечення безпеки. Система контролю доступу (СКД) — представляє набір програмно-технічних засобів, які виконують завдання контролю і управління відвідуванням і окремими його частинами, а також контроль за переміщенням персоналу і часом перебування.
Основні завдання системи контролю доступу — це запобігання несанкціонованого проникнення на територію, що охороняється, розмежування доступу до окремих приміщень, облік часу перебування, збір, аналіз і зберігання інформації про дії співробітників і відвідувачів. Контроль управління доступом забезпечує збереження інформації і матеріальних цінностей, а також служить для безпеки відвідувачів об'єкту і персоналу (системи контролю доступом, контроль управління доступом).
Система контролю доступу повинна виконати такі дії:
— читання даних з певного носія (наприклад, електронна карта) або безпосереднє введення інформації з панелі;
— передача зчитаних даних на контролер, який в простіших варіантах може бути вбудований в прочитану панель або бути у вигляді окремого комп’ютера. У контролері зберігається інформація про режим роботи, конфігурації, права доступу до приміщень;
— порівняння отриманої інформації з інформацією в базі;
— система приймає рішення на допуск або на блокування, переводить приміщення в режим охорони, включає сигнал тривоги і так далі При позитивному рішенні посилається сигнал на електричний замок.
Виходячи з цих завдань системи контролю доступом складається з таких блоків: пристрій ідентифікації, контроллер, виконавчий пристрій. А вже залежно від рівня безпеки, який повинна надати СКД, вибираються відповідні пристрої. Складніші системи контролю і управління доступом виконують не лише функції допуску або не допуску, а і веде детальну статистику «хто, куди, скільки часу».
До даної групи входять такі пристрої: замки, що замикають пристрої, домофони, електронні ключі, зчитувачі, турнікети, прохідні, системи ідентифікації, шлагбауми.
Крім усіх вище наведених можливостей, СКД дозволяє управляти різними пристроями, генерувати звіти, зберігати базу даних працівників.
Системи контролю і управління доступом пройшли тривалий еволюційний шлях від простих кодонабірних пристроїв, керуючих дверним замком, до складних комп’ютерних систем, що охоплюють комплекси будівель, віддалених один від одного.
Сучасні системи контролю і управління доступом по своїх можливостях можуть забезпечити необхідний рівень охорони на крупних об'єктах, що містять сотні точок доступу і тисячі користувачів. Крім цього, системи служать основою для побудови інтегрованих систем безпеки, об'єднуючих охоронну і пожежну сигналізацію, засоби відео контролю і ін.
Розрізняють два основні класи систем контролю доступом: автономні та мережеві.
Автономні СКД — інформація не передається на центральний пункт охорони і не контролюється операторами.
На рисунку 2.1 зображено автономну систему контролю доступом де: 1 — датчик відкриття дверей; 2 — блок живлення; 3 — електромагнітний (електромеханічний) замок; 4 — зовнішній світло діод; 5 — кнопка відкриття замку; 6 — зовнішній зумер; 7 — зчитувач.
Рис. 2.1 — автономна систем контролю доступом Така система виконує функцію тільки обмеження доступу в певні приміщення як якщо б ви користувалися звичайним механічним замком і ключем, але значно полегшує і прискорює процес проходу через двері, а також спрощує процес тиражування ключів, роль яких виконують картки або брилки, виконані на базі електронних чіпів.
Мережеві СКД — відбувається обмін з центральним пунктом охорони для управління виконавчими пристроями.
Мережеві СКД більш складні системи, включають в себе один або кілька комп’ютерів, від двох і більше контролерів об'єднаних в одну мережу (звідси і назва «Мережеві») можуть контролювати доступ, ґрунтуючись на розклад робочих графіків. Система може складати протокол всіх подій: проходів користувача через певні двері в певний час, спроб несанкціонованого доступу і так далі.
Програмне забезпечення дозволяє отримувати різні види звітів про події, які відбувалися в системі за певний час. Також, різні системиконтролю доступу можуть мати великий набір додаткових функцій, таких як: захист від несанкціонованого проникнення в приміщення шляхом передачі карти доступу іншій особі, графічне представлення на моніторі комп’ютера плану об'єкту, що охороняється з відображенням тривожних ситуацій, а також можуть бути інтегровані з відеоспостереженням і охоронною сигналізацією.
На рисунку 2.2 зображена мережева система контролю доступу.
Рис. 2.2 — мережева систем контролю доступу Також можна розглядати універсальні системи контролю доступу. Універсальні СКД — можуть працювати як автономному режимі, так і мережевому. Якщо відбувається збій центрального пристрою управління, то перемикається на автономний режим.
Використаємо для контролю і управління доступом на підприємстві систему управління доступом SDK-Z2USB MF. Даний SDK-Z2USB MF призначений для швидкого освоєння розробниками програмного забезпечення всіх нюансів роботи з виробом «Z2 USB MF» і зниження сумарних витрат на інтеграцію вироби в цільову систему споживача. SDK містить всі необхідні для складання працюючого макета для інтеграції з цільовою системою.
Система керування доступом відповідає основним вимогам політики інформаційної безпеки для даного об'єкту. Дану систему можна буде модифікувати (покращити) у майбутньому.
2.2 Системи відеоспостереження
Відеоспостереження — система передачі інформації з відеокамер, телевізійних камер на обмежену кількість моніторів та/або записуючих пристроїв.
Сьогодні на ринку України існують найрізноманітніші системи відеоспостереження. Системи відеоспостереження характеризуються пристроєм запису, і масштабами самого периметра відеоспостереження, і кількістю камер.
Умовно системи відеоспостереження можна поділити на дві категорії. Перша, це система відеоспостереження з використанням відеореєстратора, а другий, з використанням відеосервера. Видеорегистратор, це повноцінний записує «магнітофон», який не вимагає ніяких дополнітеольних дій для роботи. Все що вам потрібно робити, так це включити його налаштувати деякі параметри, пов’язані із зображенням, і все.
Системи відеоспостереження, що використовують відео сервер вимагає деяких знань в області комп’ютерів. Вам потрібно підібрати правельний комп’ютер під плату відеозахоплення, встановити її, налаштувати програму і т.д. Видеосервер, як показує досвід, більш схильний до яких-небудь збоїв в роботі, тому, що окрім як записувати відеосигнал, на ньому зазвичай люблять пограти співробітники, зайти в інтернет і т.д. За цим якщо у вас не жорстка дисцыплина, краще встановити систему відеоспостереження з використанням відеореєстратора.
За якістю запису і відображення відеосигналу відео сервер відрізняється від відеореєстратора. Видеосервер, який за ціною може пріравніватся до відеореєстратора, перевищує його якістю. Тоість при рівних цінах відео сервер виходить краще. При виборі системи відеоспостереження потрібно визначити цілі цієї системи відеоспостереження.
Перш за все потрібно зрозуміти, що конкретно ви хочете бачити. Від якості картинки, яку ви будите бачити на екрані, і яка буде запісиватся, залежатиме і ціна системи відеоспостереження. Ціна може перевищувати і в два і в три рази, залежно від того, що вам потрібно бачити. Ціна всієї системи відеоспостереження повністю залежати від завдань і цілей, які необхідно вирішити. Потрібно спочатку враховувати всі ці моменти, також слід не забувати про дистанцію. Тоість про відстань між камерами, і точкою прийому, відеореєстратори. Відстань має велике значення, оскільки якісні кабелю, які здатні проводити сигнал більше кілометра, коштують не мало.
Телевізійні засоби спостереження утворюють так звану систему замкнутого телебачення або відеоконтролю, в якій передача відеосигналів від телевізійних камер до моніторів проводиться в межах контрольованої (охороняється) зони, як правило, по кабелях.
У нашому випадку система відеоконтролю включає такі основні засоби:
— передавальні телевізійні камери;
— пристрої відображення відеоінформації - монітори;
— пристрої обробки відеоінформації;
— пристрої реєстрації інформації;
Функції системи відеоконтролю доповнюються процедурою автоматичного виявлення руху, що істотно підвищує ефективність його виявлення при спостереженні.
Для лабораторії використано безпровідну систему відеоспостереження. Її основними перевагами є:
— компактність. Використання Wi-Fi технології ніяким чином не впливає на розміри відеокамер, просто замість кабелю буде встановлена невеличка антена.
— мобільність. Оскільки тепер немає обмежень в довжині кабелю, а є тільки дальністю передачі сигналу (досягає до 100 м в зоні прямої видимості без перешкод), то розмістити камеру можна в будь якому куточку приміщення чи за його межами. І не потрібно тратити час на монтаж кабелів.
— Зручність у використанні. Завдяки спеціальному програмному забезпеченню не потрібно тратити багато часу на процес налаштування.
— практичність. В домашніх умовах можна підключити відеокамери відразу до Wi-Fi маршрутизатора і виконувати як запис відео на вінчестер, так і перегляд відео в режимі он-лайн.
В лабораторії використано бездротову систему відеоспостереження Danrou KCM-6370DRх4. Складається з 4-х передавачів і багатоканального приймача відеосигналу. Призначений для організації бездротового відеоспостереження преміум класу для 4-х камер. Працює система за наступним принципом: провідні камери підключається до передавача відеосигналу за допомогою BNC портів. Відео з камери передається на передавач, а передавач в свою чергу транслює цифровий зашифрований відеосигнал по радіоканалу. Цифровий приймач приймає сигнал одночасно з 4х камер, розшифровує і передає через BNC портів відео в режимі квадратура на відеореєстратор, телевізор або професійний монітор.
Зашифрований відеосигнал захищений від несанкціонованого доступу.
Завдяки використанню бездротової технології, Ви можете встановити систему відеоспостереження без збитку інтер'єру. Цифровий спосіб передачі відеоданих забезпечує ідеальну якість картинки та звуку. Максимальна відстань між передавачами і приймачем — 300 метрів при прямої видимості. Рухаючись сигнал на 100% захищений від усіляких перешкод, картинка завжди чітка.
Новітня цифрова технологія дозволяє передавати відео зі швидкістю 5 Мб/с. Зашифрований відеосигнал захищений від несанкціонованого доступу Дана пропускна здатність дозволяє передавати відеосигнал високої якості.
Швидкість передачі відео становить 30 кадрів / с — безпрецедентна плавність відео на сьогоднішній день.
Дозвіл переданого відео — D1 (NTSC: 720 Ч 480, PAL: 720 Ч 576). Подібним якістю не може похвалитися жодна бездротова система відеоспостереження.
Сигнал захищений технологією шифрування AES. Дана технологія забезпечує 100% конфіденційність інформації. Для дешифрування такого сигналу майже неможливе.
Завдяки новітній технології бездротова цифрова передача не впливає на якість Wi-Fi, і Bluetooth мереж, а так само інших мереж в частоті 2,4 ГГц.
Використовувана бездротова технологія абсолютно безпечна для здоров’я.
Система працює на частоті 2,4 ГГц, яка загальнодоступна і не вимагає ліцензії на використання.
Підтримується сучасний формат стиснення відео MPEG4.
Дозволяють передавати відео в дозволі D1 NTSC: 720 Ч 480, 360 Ч 240 або PAL: 720 Ч 576, 360 Ч 288.
Підтримується передача звуку, аудіо стискається сучасною технологією G.721.
Присутній 1 порт під аудіо-вхід з портом RCA, завжди зможемо легко і зручно підключити камеру зі звуком.
Пульт ДУ допоможе на відстані керувати монітором, якщо прикріпити його на стіну, або просто розташувати у віддаленому місці.
Робоча напруга: 12 В. Струм в режимі бездіяльності / тривоги: 145/350 мА.
Ціна на бездротова система відеоспостереження Danrou KSR-7004D становить 6763.50 грн.
Система відеоспостереження відповідає основним вимогам політики інформаційної безпеки для даного об'єкту.
2.3 Системи охоронно-пожежної сигналізації
Система охоронно-пожежної сигналізації представляє собою складний комплекс технічних пристроїв, які слугують для своєчасного виявлення пожежі та несанкціонованого проникнення в охороняючи зону. Як правило, охоронно-пожежна сигналізація інтегрується в комплекс, об'єднуючий системи безпеки та інженерні системи будівлі, забезпечуючи точної адресною інформацією системи оповіщення, пожежегасіння, димовидалення, контролю доступу та ін.
В залежності від масштабу задач, які вирішує охоронно-пожежна сигналізація, в її склад входить устаткування трьох основних категорій:
— Устаткування централізованого управління охоронно-пожежною сигналізацією (наприклад, центральний комп’ютер, з встановленим на ньому програмним забезпеченням для управління охоронно-пожежною сигналізацією; в невеликих системах охоронно-пожежної сигналізації задачі централізованого управління виконує охоронно-пожежна панель).
— Устаткування збору і обробки інформації з датчиків охоронно-пожежної сигналізації: прилади приймально-контрольні (панелі).
— .Сенсорні прилади — датчики та оповіщувачі охоронно-пожежної сигналізації.
Інтеграція охоронної та пожежної сигналізації в складі єдиної системи охоронно-пожежної сигналізації здійснюється на рівні централізованого моніторингу і управління. При цьому системи охоронної і пожежної сигналізації адмініструються незалежними один від одного постами управління, які зберігають автономність в складі системи охоронно-пожежної сигналізації. На невеликих об'єктах охоронно-пожежна сигналізація управляється прймально-контрольними приладами.
Приймально-контрольний прилад здійснює живлення охоронних і пожежних оповіщувачі по шлейфам охоронно-пожежної сигналізації, прийом тривожних оповіщень від оповіщувачі, формує тривожні повідомлення, а також передає їх на станцію централізованого спостереження.
Система охоронної сигналізації в складі охоронно-пожежної сигналізації виконує задачі своєчасного оповіщення служби охорони щодо факту несанкціонованого проникнення чи спроби проникнення людей в будинок чи його окремих частин з фіксацією дати, місця і часу порушення рубежу охорони.
Система пожежної сигналізації призначена для своєчасного виявлення місця спалаху вогню і формування управляючих сигналів для системи оповіщення щодо пожежі і автоматичного пожежогасіння.
Вітчизняні нормативні документи по пожежній безпеці строго регламентують перелік будівель і споруд, що підлягають оснащенню автоматичною пожежною сигналізацією. В даний час весь перелік організаційно-технічних заходів на об'єкті під час пожежі має одну головну мету — врятування життя людей. Тому на перше місце виходять завдання раннього виявлення спалаху і оповіщення персоналу. Рішення цих задач покладене на пожежну сигналізацію, основні функції якої сформульовані в наступному визначенні.
Пожежна сигналізація (по ГОСТ 26 342–84) — це отримання, обробка, передача і представлення в заданому вигляді споживачам за допомогою технічних засобів інформації про пожежу на об'єктах, що охороняються.
Основні функції пожежної сигналізації забезпечуються різними технічними засобами. Для виявлення пожежі слугують оповіщувачі, для обробки і протоколювання інформації і формування сигналів тривоги, що управляють, — приймальний-контрольна апаратура і периферійні пристрої. Охоронна сигналізація для лабораторії базується на обладнанні відомої польської фірми Satel. Охоронна сигналізація Satel CA-10 LS призначена для запобігання та виявлення несанкціонованого проникнення в приміщення і являє собою комплекс технічних пристроїв, основними компонентами якого є оповіщувачі (датчики виявлення) і пульт-концентратор. Сучасна сигналізація контролює і сповіщає про руйнування скла, перекриттів, стін, розтині вікон і пересування людей всередині приміщень.
Satel CA-10 LS прилад приймально-контрольний охоронно-пожежний 10−16 зон, 6 виходів, 4 групи, RS-232, тел. комун-р, клавіатура. Ціна такого приладу становить 975 грн.
Пожежна сигналізація виявляє загоряння та передає сигнал тривоги черговому персоналу і на пульт спостереження для швидкої локалізації пожежі.
Виявляють осередок загоряння і передають сигнал про нього на пульт управління сповіщувача. В науково-дослідній лабораторії встановлено сповіщувачі комбіновані.
Отже, DX-60 Plus — це модель сповіщувача охоронного комбінованого, який по всім характеристикам підходить для використання у лабораторії.
Ціна такої моделі сповіщувача становить 720 грн.
Його основними технічними характеристиками є:
— площа детекції 18×18 м
— висота установки 1.5−2.4 м
— час тривоги 2.0 ± 0.5 сек
— напруга живлення 9.5−18 В
— споживаний струм не більше 40 мА
— радіочастотне випромінювання тривоги до 30 В / м
— діапазон робочих температур −10… +50° С
— габаритні розміри 70×125×49 мм
— маса 150 г.
Система охоронно-пожежної сигналізації відповідає основним вимогам політики інформаційної безпеки для даного об'єкту та сертифікована на території України.
2.4 Системи пожежогасіння
Системи пожежогасіння призначені для запобігання, обмеження розвитку, гасіння пожежі, а також захисту від пожежі людей і матеріальних цінностей.
Пожежа — це неконтрольований процес горіння, який може відбуватися з різних причин: це коротке замикання, перевантаження електроустаткування і електричних мереж, самозаймання сільськогосподарських продуктів і будівельних матеріалів, статичні розряди електрики, необережне і недбале поводження з вогнем, підпали. Автоматична пожежогасіння призначене для виявлення і ліквідації пожежі. В якості вогнегасної речовини використовуються вода, піна низької, середньої або високої кратності, інертні гази, хладон, вуглекислий газ, аерозоль.
За видом вогнегасного засобу автоматичні системи пожежогасіння розділяють на:
— водяні системи пожежогасіння;
— пінні системи пожежогасіння;
— газові системи пожежогасіння;
— порошкові системи пожежогасіння;
— аерозольні установки гасіння пожежі;
Системи газового пожежогасіння призначені для виявлення спалаху на всій контрольованій площі приміщень, подачі вогнегасного газу і сповіщення про пожежу. На відміну від аерозольного, порошкового, водяного і пінного гасіння газове пожежогасіння не викликає корозії і пошкоджень устаткування, що захищається. Установки газової пожежогасіння використовують для захисту приміщень з широким діапазоном температур навколишнього середовища в інтервалі: від -40° до +50°C. Системи газового пожежогасіння використовують для ліквідації пожеж і спалаху електроустаткування, що знаходиться під напругою. Газові установки пожежогасіння використовують для захисту об'єктів наступних категорій:
— Серверні приміщення;
— Складські приміщення;
— Телевізійне устаткування;
— Технологічні установки;
— Приміщення з чутливим електронним устаткуванням;
— Захист культурних цінностей;
Одним з найнадійніших засобів для вирішення цих завдань є системи автоматичного пожежогасіння, які на відміну від систем ручного пожежогасіння і систем керованих оператором приводяться в дію пожежною автоматикою за об'єктивними свідченнями і забезпечують оперативне гасіння вогнища спалаху без участі людини.
Мною було запропоновано використовувати станцію пожежогасіння WILO. Це автоматична установка водопостачання на базі самовсмоктуючого, одноступінчатого горизонтального насоса, що працює в режимі всмоктування або подачі.
Пряме фланцеве з'єднання мотора однофазного або трифазного струму. Для однофазного струму з вбудованою термічним захистом мотора, окремим вимикачем і кабелем для підключення 2 м із штекером з захисним контактом. При трифазному виконанні без кабелю для підключення. Готова до під'єднання з мембранним баком, манометром і реле тиску.
Запропонована до використання станція пожежогасіння WILO HWJ 202 EM 20L коштує 2208 грн., і вона повністю відповідає всім встановленим нормам.
2.5 Комплексний захист корпоративної мережі
Одним з декількох основних етапів створення комплексного захисту корпоративної мережі є організаційні заходи захисту.
Досягнення високого рівня безпеки неможливо без прийняття належних організаційних заходів. З одного боку, ці заходи повинні бути спрямовані на забезпечення правильності функціонування механізмів захисту і виконуватися адміністратором безпеки системи. З іншого боку, керівництво організації, що експлуатує засоби автоматизації має регламентувати правила автоматизованої обробки інформації, включаючи і правила її захисту, а також встановити міру відповідальності за порушення цих правил.
Основні функції служби полягають в наступному:
— формування вимог до системи захисту в процесі створення АС;
— участь у проектуванні системи захисту, її випробування і приймання в експлуатацію;
— планування, організація та забезпечення функціонування системи захисту інформації в процесі функціонування АС;
— розподіл між користувачами необхідних реквізитів захисту;
— спостереження за функціонуванням системи захисту і її елементів;
— організація перевірок надійності функціонування системи захисту;
— навчання користувачів і персоналу АС правилам безпечної обробки інформації;
— контроль за дотриманням користувачами і персоналом АС встановлених правил пророщення з захищається інформацією в процесі її автоматизованої обробки;
— реалізація заходів при спробах несанкціонованого доступу до інформації і при порушеннях правил функціонує системи захисту.
Організаційно-правовий статус служби захисту визначається наступним чином:
— служба захисту повинна підкорятися тій особі, яка в лабораторії несе персональну відповідальність за дотримання правил поводження з інформацією, що захищається;
— штатний склад служби захисту не повинен мати інших обов’язків, пов’язаних з функціонуванням КС;
— співробітники служби захисту повинні мати право доступу до всіх приміщень, де установлено апаратура КС і право припиняти автоматизовану обробку інформації при наявності безпосередньої загрози для захищається інформації;
— службі захисту інформації повинні забезпечуватися всі умови, необхідні для виконання своїх функцій.
За статистикою 99 відсотків загроз, що вражають комп’ютери, приходять з Інтернету. Це робить шлюз важливою точкою безпеки мережі. Захист встановлений у цьому пункті значно знизить ризик потенційних проблем, перед тим як вони дістануться внутрішньої мережі.
Інтернет-загрози можуть бути поділені на дві групи:
— Загрози мережі (недозволені з'єднання, вторгнення, викрадення даних…)
— Загрози контенту (віруси, хробаки, шпигуни, спам…).
Це різноманіття можливих загроз створює нагальну потребу для адміністраторів мережі мати рішення, здатне об'єднати весь захист в одному простому у використанні інтерфейсі. А також рішення, за допомогою якого можна централізувати управління безпекою в критичній точці мережі - інтернет-з'єднанні.