Добавлен: 25.10.2023
Просмотров: 966
Скачиваний: 28
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
ГЛАВА 1. СИСТЕМА КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ
1.1 Анализ обрабатываемой информации и классификация ИСПДн
2.1 Организационные мероприятия по защите ПДн в ИСПДн СКУД машиностроительного завода
2.2 Физические мероприятия по защите информации в ИСПДн
2.3 Система охранно-пожарной сигнализации
ГЛАВА 3. БИОМЕТРИЧЕСКИЕ ИДЕНТИФИКАТОРЫ С СКУД
3.1 Обзор рынка биометрических считывателей
- Локальная вычислительная сеть (ЛВС) СКУД
Посредством локальной вычислительной сети обеспечивается объединение автоматизированных рабочих мест (АРМ) и серверов.
ЛВС СКУД обеспечивает объединение АРМ и сервера для циркуляции информации между центральной проходной, проходной №2, бюро пропусков, серверной и корпусами предприятия. Связь обеспечивается через коммутаторы в корпусах с помощью оптоволоконного кабеля, между проходными, бюро пропусков, корпусами с помощью витой пары. ЛВС СКУД не связана с общей локальной сетью завода с целью повышения безопасности, нет выхода в интернет.2
К автоматизированным рабочим местам относятся:
- АРМ администратора безопасности (одно рабочее место);
Он необходим для настройки параметров системы и определения сценариев поведения систем в зависимости от возможных ситуаций. Также определяются права доступа к ресурсам системы операторов и пользователей и т.д. АРМ состоит из системного блока, монитора, клавиатуры, мыши, и источника бесперебойного питания.
- АРМ бюро пропусков (2 рабочих места).
Происходит работа с базой данных работающих, командированных и посетителей: оформление постоянных, временных и разовых пропусков, внесение и корректировка их персональных данных. Оснащается оборудованием по изготовлению пропусков: принтер, цифровая фотокамера.
- АРМы контролеров проходных (2 рабочих места - центральная заводская проходная, 1 рабочее место - вторая проходная);
Производится контроль прохода работающих через точки доступа проходных (заводских и цеховых). При этом контролером осуществляется фотоидентификации (сравнение с фотографией владельца пропуска, появляющейся из базы данных при считывании пропуска) персонала, проходящего через проходную. При отрицательном результате фотоидентификации проход персонала через проходную может быть заблокирован контролером АРМ.
- АРМ корпусов находятся в коммуникационных помещениях. (5 рабочих мест);
Производится контроль прохода с помощью контроллера. Также производится видеозапись. Видеоархив хранится на видеосерверах.
На АРМ установлена операционная система Windows XP Professional, Windows 7 Professional. На сервере установлена операционная система Microsoft Windows 2003 Server.
В состав СКУД, в соответствии с задачами дипломного проекта, должны входить биометрические идентификаторы. Они необходимы для упорядочения допуска людей в режимные помещения и позволяют достичь таких целей, как:
- обеспечение санкционированного прохода сотрудников;
- предотвращение бесконтрольного проникновения лиц, не имеющих разрешение на проход;
Выбор и внедрение биометрических идентификаторов описаны в конструкторской и технологической частях данного дипломного проекта.
Анализ обрабатываемой информации и классификация ИСПДн
В СКУД циркулирует информация (идентификационный признак), на основе которой происходит идентификация пользователей СКУД. На основе федерального закона №152-ФЗ «О персональных данных» данная информация относится к персональным данным. Под персональными данными сотрудников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника, а также сведения о фактах, событиях и обстоятельствах жизни сотрудника, позволяющие идентифицировать его личность. Необходимо отметить, что до внедрения биометрических идентификаторов, ИСПДн СКУД ОАО «ММЗ» классифицировалась по классу К3. Определим, какая информация циркулирует в ИСПДн, включая биометрические данные. На основе этого проведем классификацию данной системы.3
В соответствии с приказом от 13 февраля 2008 года «Об утверждении порядка проведения классификации информационных систем персональных данных», персональные данные разделяются на четыре основные категории:
- категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; *
- категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нём дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
- категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
- категория 4 - обезличенные и (или) общедоступные персональные данные.
В ИСПДн СКУД машиностроительного завода обрабатываются ПДн 2 категории:
- Ф.И.О.;
- паспортные данные;
- занимаемая должность;
- биометрические данные;
- фотография.
Для классификации ИСПДн СКУД ОАО «ММЗ», в соответствие с ФЗ №152, кроме категории ПДн необходимо проанализировать следующие исходные данные:
- объём обрабатываемых ПД (количество субъектов, персональные данные которых обрабатываются в ИС);
- заданные владельцем информационной системы характеристики безопасности персональных данных, обрабатываемых в ИС;
- структура информационной системы;
- наличие подключений ИС к сетям связи общего пользования и (или) сетям международного информационного обмена;
- режим обработки ПД;
- режим разграничения прав доступа пользователей информационной системы;
- местонахождение технических средств ИС.
В ИСПДн СКУД машиностроительного завода одновременно обрабатываются персональные данные около 5000 субъектов персональных данных, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. ИСПДн представляет собой комплекс автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа, не имеющий подключения к сетям международного информационного обмена. В ИСПДн используется многопользовательский режим обработки персональных данных с разграничением прав доступа. Следовательно, ИСПДн СКУД машиностроительного завода можно присвоить класс К2.4
1.2 Классификация АС
С целью повышения безопасности информации необходимо использовать комплексную защиту, которая включает в себя средства от НСД. Для того, чтобы внедрить программно-аппаратные средства от НСД необходимо определить класс АС.
На основании руководящего документа «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» необходимыми исходными данными для проведения классификации конкретной АС являются:
- перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
- перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
- матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
- режим обработки данных в АС.
В СКУД имеются различные категории пользователей и обслуживающего персонала, которые обладают разными полномочиями по доступу к АРМ, обрабатывающим ПДн.
Доступ к информационным ресурсам, содержащим ПДн, осуществляется сервер согласно таблице разграничения прав доступа для каждого пользователя. Нагляднее всего это демонстрирует матрица доступа.
Следовательно, автоматизированная система обработки конфиденциальной информации «Система контроля и управления доступом» является многопользовательской с разными правами доступа. На основании этого АС «СКУД» можно присвоить класс 1Г.
Модель нарушителя
Модель нарушителя представляет собой некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе.
Определим нарушителей для ИСПДн СКУД ОАО «ММЗ» в соответствие с документом «Базовая модель угроз безопасности ПДн» от 15.02.2008 года.
Нарушители по данному документу классифицируются на внешних и внутренних. Внутреннего нарушителя в свою очередь можно разделить на несколько групп:
1. Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступ к ПДн.
2. Зарегистрированный пользователь информационных ресурсов, имеющий ограниченные права доступа к ПДн ИСПДн с рабочего места
3. Пользователь информационных ресурсов, осуществляющие удаленный доступ к ПДн по ЛВС.
4. Зарегистрированный пользователь с полномочиями системного администратора ИСПДн.
5. Зарегистрированный пользователь с полномочиями администратора безопасности ИСПДн.
6. Программисты - разработчики прикладного ПО и лица, обеспечивающие его сопровождение в ИСПДн.
7. Программисты - разработчики прикладного ПО и лица, обеспечивающие поставку, сопровождение в ИСПДн.
8. Другие категории лиц в соответствии с оргштатной структурой ИСПДн.
Внешними нарушителями в нашей системе могут быть:
- криминальные структуры;
- внешние субъекты (физические лица);
- конкуренты (конкурирующие организации);
- недобросовестные партнеры.
К внутренним нарушителям можно отнести: программистов, обслуживающих ПО СКУД «Интеллект»; работников бюро пропусков, которые непосредственно вводят ПДн в СКУД; работников охраны, имеющие доступ к ПДн на КПП, администратора сети, обслуживающий нормальное функционирование ЛВС; другие работники, имеющие доступ в КЗ, но не имеющие доступ к ПДн.5
Определим к какой категории каждый нарушитель относится.
Работники, имеющие доступ в КЗ, но не имеющие доступ к ПДн. Данный нарушитель может производить съем информации с помощью ПЭМИН. Данного нарушителя не берем во внимание, так как предотвращение съема информации по ПЭМИН является темой отдельно дипломного проекта.
Охрана и администратор сети относятся к первой категории и имеют санкционированный доступ к ИСПДн, но не имеют доступа к ПДн.
Лицо этой категории, может:
- иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;
- располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
- располагать именами и вести выявление паролей зарегистрированных пользователей;
Работники бюро пропускного режима относятся ко второй категории. Это зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.
Лицо этой категории:
- обладает всеми возможностями лиц первой категории;
- знает, по меньшей мере, одно легальное имя доступа;
- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
- располагает конфиденциальными данными, к которым имеет доступ.