Построение комплексной системы защиты информации на предприятии ООО «Увидел-Победил»

1. Курсовой проект

Построение комплексной
системы защиты информации
на предприятии
ООО «Увидел-Победил»

2. Введение

Предмет исследования – комплексная система защиты информации
на ООО «Увидел-Победил». Построение комплексной системы защиты
информации на предприятии сложный процесс, во многом зависящий
от правильного понимания деятельности организации, формы
собственности, внутренних процессов, размеров и тд. Исходными
данными для курсового проектирования служит некоторый вариант
задания отражающий в себе характеристики исследуемого объекта.
Цели курсового проекта:
Спроектировать комплексную систему защиты информации на
конкретном предприятии, отвечающую требованиям надзирающих
органов и обладающую свойствами комплексности, системности и
достаточности;
Оценить эффективность спроектированной системы.

3. Решаемые задачи

1. Провести анализ объекта информатизации
2. Разработать комплекс организационной документации:
Перечень сведений конфиденциального характера;
Политику информационной безопасности;
Положение о коммерческой тайне;
Инструкцию по организации охраны и пропускного режима;
Частную модель угроз.
3. Разработать подсистемы технической защиты информации:
Подсистему контроля и управления доступом
Подсистему видеонаблюдения;
Подсистему охранной и пожарной сигнализаций;
Подсистему защиты от утечки по техническим каналам;
Подсистему защиты корпоративной сети.
4. Провести анализ эффективности системы в целом

4. ГЕНЕРАЛЬНЫЙ ПЛАН ПРЕДПРИЯТИЯ

5. Оценка рисков. Частная модель угроз

6. Разработка подсистемы контроля и управления доступом

Объекты, подлежащие оснащению системой контроля и
управления доступа:
Бухгалтерия
Серверная
Кабинет директора
Отдел разработки(в количестве 4 помещений)
Переговорная

7. Оборудование СКУД

Интегрированная система безопасности
Исполнительные
механизмы
(двери,
турникеты).
Аудиодомофоны
Сетевые считыватели MF-Sec-reader
Средства идентификации (бесконтактные
карты MIFARE™ Classic 1K)
Источники резервного питания
замки,
смарт-

8. Интегрированная система безопасности состоит из:

Сетевой контроллер доступа. К сетевым контроллерам
доступа подключается необходимое дополнительное
оборудование: считыватели, интерфейсные модули и тд.
Сетевой охранный контроллер. Контроллеры работают в
составе интегрированной, расширяя ее охранные
функции. Служит для сопряжения СКУД и системы ОПС.
Интерфейс сопряжения с ПК. Служит для подключения
ИСБ к ПК.
Программное обеспечение (Модуль бюро пропусков,
Модуль подготовки и печати пластиковых карт, Модуль
интеграции с подсистемами видеонаблюдения,Модуль
интеграции с подсистемами охранно - пожарной
сигнализации)

9. Функции СКУД

Учет сотрудников и посетителей предприятия
Разграничение физического доступа в помещение
регистрацию и протоколирование тревожных и текущих событий;
управление работой преграждающего устройства по командам
оператора;
задание временных режимов действия идентификаторов;
автоматический контроль исправности средств, входящих в систему, и
линий передачи информации;
установку режима свободного доступа с пункта управления при
аварийных ситуациях и чрезвычайных происшествиях;
блокировку прохода по точкам доступа командой с пункта управления.

10. Система видеонаблюдения

Система видеонаблюдения предназначена для наблюдения
за периметром базы, въездами и выездами автомобильного и
железнодорожного транспорта, прохода персонала и посетителей
и предотвращения доступа посторонних лиц (нарушителей) на
территорию объекта.

11. Система телевизионного наблюдения включает в себя:

3 корпусные видеокамеры День/Ночь, в уличном кожухе с нагревателями, объектив
6.0~50.0мм, с ИК - подсветкой типа MDC-6220TDN-35H;
10 корпусных видеокамер День/Ночь, в уличном кожухе с нагревателями, объектив
3.5~16.0мм с ИК - подсветкой типа MDC-6220TDN-36H;
2 уличные управляемые видеокамеры День/Ночь, в уличном корпусе с нагревателями типа
PS-301P(V2);
1 купольную поворотную IP-камеру День/Ночь, в уличном корпусе с нагревателями типа
МDS-i301;
16-канальный видеорегистратор типа MDR-16800;
сетевой видеорегистратор, 8 цифровых каналов, типа MDR-i0008;
беспроводную точку доступа типа NanoStation 2;
LCD мониторы 19’’ и 22” типа Acer;
персональный компьютер типа РС level 3 Core 2 Duo E7500;
устройства грозозащиты;
устройства усиления сигнала;
источники бесперебойного питания типа SKAT UPS 1000 и Black Star 400 Plus;
источники питания типа ББП-12/3 и БП-24-5.

12. Экономическая эффективность КСЗИ

Входные данные:
Экспертные оценки меры риска;
Чистая прибыль организации за годовалый период;
Сметы расходов на ввод в действие КСЗИ по каждой
подсистеме;
Сметы расходов на обслуживание системы.
Затраты на ввод в действие:
СКУД – 346 254 рубля;
Видеонаблюдение – 73 776 рублей;
Защита корпоративной сети – 100 192 рубля;
Итого – 700 000 рублей.

13.

Затраты на обслуживание систем:
СКУД – 50 000 рублей;
Видеонаблюдение – 20 000 рублей;
Охранно-пожарная сигнализация – 5 000 рублей;
Защита от утечки по техническим каналам – 15 000
рублей;
Защита корпоративной сети – 55 800 рублей;
Итого – 146 000 рублей в год.
Общие затраты в расчёте на год – 146 000 +
70 000 = 216 000 рублей при расчёте на год.
Чистая прибыль организации – 1 миллион рублей.
Сумма эквивалентного ущерба угроз
безопасности определяется исходя из частной
модели угроз, и равна – 6 710 000 рублей.

14.

Система признана эффективной по трём
критериям:
суммарный годовалый ущерб системе при
отсутствии защитных мер равен 6 710 000,
неприемлем для организации таких размеров;
затраты на ввод в действие и обслуживание
КСЗИ составляют 3% от эквивалентной меры
ущерба;
затраты на ввод в действие и эксплуатацию
системы составляют около 20% от чистой
прибыли организации.

15. Заключение

В курсовом проекте была разработана комплексная система
защиты информации на предприятии ООО «Увидел-Победил». При
разработке КСЗИ были учтены особенности организации, такие как её
небольшой размер, но большое количество обрабатываемой
конфиденциальной информации. С учётом этих особенностей были
приняты следующие решения:
использовать требования стандарта ГОСТ Р 27001-2006, а также
сертифицировать СМИБ по требованиям этого стандарта;
использовать рекомендательные стандарты серии ISO 27 000 для
разработки организационной документации и системы обработки
рисков;
совместить политику безопасности с политикой информационной
безопасности и политикой менеджмента безопасности предприятия;
совместить инструкцию по охране и инструкцию по пропускному
режиму, и использование их в качестве основополагающих документов
в этом направлении (без частных политик в этой области);

16.

сделать положение о коммерческой тайне основополагающим
документом стратегического уровня по режиму коммерческой тайны;
включить в частную модель угроз безопасности методику оценки
рисков, и неформальную модель нарушителя;
использовать в качестве пропусков смарт-карты;
использовать базовые постоянные пропуска сотрудников для доступа в
некоторые особо охраняемые отделы;
делегировать силовую охрану объекта группе быстрого реагирования;
использовать встроенные системы windows для организации защиты от
НСД к информации;
совместить автоматизированную систему обработки КТ и ИСПДн, и
принять меры по защите общей системы, а также, множество других
организационных и конструкторских решений.
По результату работы, с учётом выводов о эффективности
системы, можно рекомендовать СКЗИ на внедрение во
вспомогательные процессы производства с частными доработками.