Защита информации должна быть основана на системном подходе. Системный подход заключается в том, что все средства, используемые для обеспечения информационной безопасности должны рассматриваться как единый комплекс взаимосвязанных мер. Одним из принципов защиты информации является принцип «разумной достаточности», который заключается в следующем: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты информации, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.
Для анализа защищенности информации выбрана нефтебаза, так как она является объектом критически важной инфраструктуры.
На нефтебазе осуществляются основные и вспомогательные операции. К основным выполняемым операциям относятся:
- Прием нефтепродуктов, доставляемых на нефтебазу в ж/ цстернах.
- Хранение светлых нефтепродуктов в резервуарах;
- Отгрузка в автотранспорт оптовых партий нефтепродуктов для потребителей;
К вспомогательным операциям:
-Ремонт технологического оборудования, производственных зданий и сооружений;
-Эксплуатация энергетических установок и транспортных средств.
Защиту информации можно условно разделить на защиту: от потери и разрушения; от несанкционированного доступа.
Виды возможных угроз:
- подверженность физическому искажения или уничтожению;
- возможность несанкционированной модификации;
- возможность несанкционированного получения информации лицами, для которых она не предназначалась.
Характер происхождения угроз:
-промышленный шпионаж;
-злоумышленные действия уголовных элементов;
- плохое психофизиологическое состояние сотрудников;
- недостаточная качественная подготовка сотрудников.
Классы каналов несанкционированного получения информации.
По классификации КНПИ объект относится ко второму классу.
Источники появления угроз:
- снятие информации с устройств электронной памяти;
- установка закладных устройств в СОИ;
-ввод программных продуктов, позволяющих злоумышленнику получать информацию;
- копирование информации с технических устройств отображения (фотографирование с мониторов и др.);
- использование технических средств оптической разведки (биноклей, подзорных труб);
- выведывание информации у обслуживающего персонала за пределами объекта.
Возможные причины нарушения целостности информации.
Субъективные преднамеренные:
-диверсия,
-хищение, подмена носителей, уничтожение информации;
-ввод в компьютерные системы разрушающих программных средств.
Субъективные непреднамеренные:
- отказы обслуживающего персонала (гибель, длительный выход из строя).
- сбои людей (временный выход из строя).
- ошибки людей.
Объективные непреднамеренные:
- отказы аппаратуры, программ, систем питания и жизнеобеспечения;
- сбои аппаратуры, программ, систем питания и жизнеобеспечения;
- стихийные бедствия (наводнения, землетрясения, ураганы).
- несчастные случаи.
Потенциально возможные злоумышленные действия:
- внедрение в компьютерные системы разрушающих программных средств.
- несанкционированное физическое проникновение на территорию объекта;
- промышленный шпионаж;
- ввод программных продуктов, позволяющих злоумышленнику получать информацию;
Приоритет |
Виды угроз |
Субъекты угрозы |
|||
Стихия |
Нару-шитель |
Злоумышлен- ник |
|||
На территории |
Вне территории |
||||
1 |
Травмы и гибель людей |
+ |
+ |
+ |
+ |
2 |
Повреждение оборудования |
+ |
+ |
+ |
|
3 |
Ввод в компьютерные системы разрушающих программных средств |
+ |
+ |
+ |
|
4 |
Повреждение инженерных сетей |
+ |
+ |
+ |
+ |
5 |
Несанкционированное изменение технологического процесса |
+ |
+ |
+ |
|
6 |
Дезорганизация функционирования предприятия |
+ |
+ |
||
7 |
Хищение материальных ценностей |
+ |
|||
8 |
Устное разглашение конфиденциальной информации |
+ |
|||
9 |
Несанкционированный съем информации |
+ |
+ |
||
10 |
Нарушение правил эксплуатации средств защиты |
+ |
+ |
Определить класс защищенности автоматизированной системы
Согласно «Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации, Решение председателя Гостехкомиссии России от 30 марта 1992 г.»
Нефтебаза относится к классу 1Д. Так как представленная автоматизированная система многопользовательская, в ней одновременно обрабатывается и хранится информация разных уровней конфиденциальности, и не все пользователи имеют право доступа ко всей информации.
Подсистема управления доступом: осуществляет идентификацию и проверку подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Подсистема регистрации и учета: осуществляет регистрацию входа (выхода) субъектов доступа в систему (из системы). Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.
В параметрах регистрации указываются:
-дата и время входа (выхода) субъекта доступа в систему;
-результат попытки входа: успешная или неуспешная – несанкционированная;
-идентификатор (ФИО, должность) субъекта, предъявленный при попытке доступа;
-проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала;
-учет защищаемых носителей проводиться в журнале с регистрацией их выдачи.
Подсистема обеспечения целостности: обеспечивает целостность программных средств системы защиты информации от несанкционированного доступа (СЗИ НСД), обрабатываемой информации, а также неизменность программной среды.
При этом:
- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;
- целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и хранения защищаемой информации;
- осуществляться физическая охрана устройств и носителей информации, предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
- проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;
- в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.
Согласно приложения №1 к Постановление Правительства РФ от 05.05.2012 г. N458 для любой категории опасности объекта ТЭК требуется дополнительное ограждение.
В данной работе ушли от реализации данного требование путем создания двух рубежей охраны, что экономически выгоднее и не на каждом участке объекта технически возможно возведения дополнительного ограждения.
Первый рубеж это вибрационные извещатели.
Второй рубеж это извещатели охранные радиоволновые линейные.
Для решения задач охраны объекта применены следующие системы:
- Периметральная система охраны (ПСО);
- Телевизионной системы охранного наблюдения (ТСОН);
- Система контроля и управления доступом (СКУД).
ПСО строится на базе оборудования компании Болид, Forteza и Trezor. Периметральные приборы подключаются к адресным расширителям в распределительных коробках, которые в свою очередь подключены к приемным приборам на КПП по адресной линии ДПЛС. Линия ДПЛС имеет обратную ветку, что гарантирует ее резервирование.
В точках расположения распределительных коробок имеются светозвуковые оповещатели, срабатывающие при обнаружении проникновения и обозначающие место нарушения периметра.
Оборудование ПСО подключается на рабочую станцию оператора охраны на КПП.
Блоки ПСО расположены на территории нефтебазы. Станция ПСО располагается в шкафу на КПП нефтебазы. Система строится на основе двух рубежей охраны:
- Вибрационные извещатели Трезор V2;
- Лучевые приборы на основе FMW.
Вибрационный извещатель TREZOR-V предназначен для обнаружения нарушителя, преодолевающего заграждение путем перелаза, разрушения или подкопа (при укладке чувствительного кабеля в грунт). Применяется на металлических заграждениях: из сварной (ССЦП) или витой (рабица) металлической сетки, колючей проволоки или ленты (АКЛ, Егоза), тонких металлических листах (профлист). Для фиксирования подкопа чувствительный кабель укладывается в грунт вблизи контролируемого заграждения
Колебания заграждения воспринимаются кабельным чувствительным элементом (КЧЭ-V) изделия, закрепленном на заграждении, преобразуются в электрические сигналы, поступающие в блок электронный (БЭ) изделия. В соответствии с заложенным алгоритмом обработки информации и настройкой, осуществляемой с помощью пульта управления (ПУ-V) изделия, в БЭ вырабатывается сигнал тревоги, поступающий в систему сбора и обработки информации (ССОИ) системы охранной сигнализации.
Светодиодная индикация, облегчающая настройку и контроль работоспособности извещателя.
Лучевые извещатели относится к группе двухпозиционных радиолучевых средств обнаружения, состоящих из приемника и передатчика.
ТСОН охватывающий наружный периметр нефтебазы.
Система видеонаблюдения создана на основе IP-видеокамер RVi-IPC43L (2.7-12) (фиксированные для наружного видеонаблюдения, RVi-IPC31S (2.8-12). Скоростная купольная PTZ камера для наблюдения за ж/д въездом) и видеосерверов в корпусе SuperMicro с установленным программно-аппаратным комплексом видеоконтроля ITV "Интеллект".
В комплексе ITV "Интеллект" реализовано:
Расписание:
Неограниченное количество временных зон. Учитываются как рабочие, так и выходные и праздничные дни.
Звуковое оповещение:
Настраиваемое звуковое оповещение на каждое событие по каждому объекту. Возможность настройки звукового оповещения как на любой один, так и на оба динамика.
Ограничение доступа в настройки
Три уровня доступа к настройкам структуры системы и свойствам объектов.
1. Администратор распределенной системы. Пароль единый для всей распределенной системы.
2. Администратор локальной системы.
3. Оператор локальной системы.
Администратор распределенной системы - полные права локального и удаленного администрирования системы. Управление правами локальных администраторов и операторов систем.
Администратор локальной системы права локального администрирования системы. Управление правами операторов локальной системы.
Оператор локальной системы. Пароль устанавливается на конфигурацию системы. Неограниченное количество пользователей, операторов системы.
Конфигурация системы - на каждый объект системы устанавливается тип доступа для работы с каждым объектом, входящим в систему (компьютер, камера, микрофон и т.д.), конфигурирование (администратор локальной системы), управление, мониторинг, запрет объекта.
Количество камер - общее в распределенной системе до 10000. На один компьютер до 64, но не более 400 fps совокупно.
Количество плат - до 4 однотипных в один компьютер.
Отображение - до 64 камер на один компьютер в одном виртуальном экране. Количество виртуальных экранов не ограничено. Отображение видео ведется через Windows
В состав системы ТСОН входят:
- стационарные сетевые уличные IP-видеокамеры RVi-IPC43L (2.7-12);
- стационарная сетевая купольная IP-видеокамера RVi-IPC31S (2.8-12);
- сетевой коммутатор с 24 портами SFP/155M + 2 портами 1000М/SFP Combo «NSGate DAS-24G»;
- сетевой коммутатор с 16 портами 10/100BASE-TX (8 портов с поддержкой PoE) и 2 комбо-портами 10/100/1000BASE-T/SFP "Dlink DES-1018P";
- промышленные коммутаторы с 5 портами 10/100/BASE-TX серии «NSGate NIS-3200-005T»;
- промышленные коммутаторы с 4 портами 10/100Base-TX + 1 100Base-FX два волокна, 1310 нм, SC, SM, 20км серии «NSGate NIS-3200-104F-S»;
- промышленные коммутаторы с 7 портами 10/100Base-TX + 1 100Base-FX два волокна, 1310 нм, SC, SM, 20км серии «NSGate NIS-3200-107F-S»;
- 155 Mps трансиверы оптические, двухволоконные (Dual Fiber SFP), для одномодового оптоволокна «NSGate SF-S01-I»;
- Видеосервера на базе комплектации Supermicro
- Удаленные рабочие места
- промышленные источники питания с резервированием «СКАТ 1200»;
-источники бесперебойного питания АРС SUA1500RMI2U
- элементы прокладки, коммутации кабельных линий и установки линейной аппаратуры (короба, монтажные коробки, разъемы и т. п.).
Для наблюдения за периметром и прилегающей территорией нефтебазы применены стационарные сетевые IP-видеокамеры «RVi-IPC43L» с встроенными термокожухами. Телекамеры устанавливаются по периметру нефтебазы на опоры или на строения. Высота от планировочной отметки земли до телекамеры составляет 3000мм.
Для наблюдения за проходящими через КПП применена стационарная сетевая купольная видеокамера «RVi-IPC31DNL». Видеокамера устанавливается на потолке помещения КПП.
Все проектируемые камеры располагаются вне взрывоопасных зон. Периметральные камеры имеют встроенную ИК подсветку для улучшения видимости в темное время суток.
Информация с видеокамер через ЛВС выводится на видеосервер. Для повышения надежности предусмотрено резервирование сервера. Для управления системой предусмотрена KVM-консоль, клавиатура, монитор - LCD 19”, манипулятор мышь, размещенные также в шкафу ВН №1 в серверном помещении.
К серверу подключен УРМ (также резервируемый), расположенный на посту охраны. К УРМ подключен монитор 42”.
Для ручного управления купольными поворотными видеокамерами используется пульт управления « RVi-NKB». Пульт способен управлять несколькими поворотными купольными камерами по сетевому интерфейсу.
СКУД предназначена для решения задач безопасности и организации
пропускного режима на территории нефтебазы.
СКУД обеспечивает:
-автоматический и автоматизированный контроль и управление доступом на территорию нефтебазы владельцев "электронных ключей" (карт);
-защиту от доступа посторонних лиц на территорию;
-разграничение доступа сотрудников и посетителей на территорию, в том числе и по времени;
фотоидентификацию;
-получение информации службой охраны и тревожных событиях;
В системе отсутствуют ограничения на ее последующее расширение.
Оборудованию системой контроля и управления доступом подлежит дверь в контрольно-пропускной пункт.
СКУД включает в себя следующее оборудование:
-интерфейсный модуль AIM-2SL;
-интерфейсный модуль AIM-4SL;
-контроллер AAN-32S;
-считываетли PW-101E-G-W -2шт.;
-видеодомофон PVD-407C;
-вызывная панель PVD-104CM2(-WL);
-замок электромагнитный AL-300;
Организация прохода осуществляется с помощью интерфейсного блока AIM-2SL. К интерфейсному блоку подключаются замок, 2 считывателя, кнопка "Выход", датчик контроля двери. Интерфейсный блок поддерживает 2 режима работы автоматический и ручной.
При автоматическом режиме команда на разблокирование преграждающего устройства формируется интерфейсным блоком по результатам сравнения кодовой комбинации, полученной считываетелем от ключа-идентификатора, с кодовой комбинацией, хранящейся в базе данных интерфейсного блока. При совпадении кодовых комбинаций интерфейсный блок разрешает проход, в противном случае преграждающее устройство остается закрытым.
В ручном режиме дежурный самостоятельно, при помощи кнопки "выход", подключенной к интерфейсному блоку, разблокирует преграждающее устройство.
При ручном режиме работы идентификация проходящего осуществляется через видеодомофон установленный на посту охраны. Вызывная панель устанавливается снаружи, рядом с защищаемой дверью.
Вне зависимости от режима работы интерфейсный блок автоматически фиксирует все события в журнале с привязкой по времени, в том числе и отказы в проходах.
Список литературы:
Доктрина информационной безопасности Российской Федерации, утвержденная Президентом Российской Федерации 9 сентября 2000 г. № Пр-1895.
Постановление Правительства РФ от 05.05.2012 г. N458 «Об утверждении Правил по обеспечению безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса»
Стратегия развития информационного общества в Российской Федерации, утверждённая Президентом Российской Федерации 07.02.2008 № Пр-212.
Федеральный закон Российской Федерации от 28 декабря 2010 г № 380 - ФЗ "О безопасности"
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите и информации»
«Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утверждено постановлением Совета Министров – Правительства Российской Федерации от 15.09.1993 г. № 912-51.
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».
Специальные требования и рекомендации по технической защите конфиденциальной информации. Утвержден приказом Гостехкомиссии России от 30 августа 2002 г. № 282.
Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании».
Федеральный закон РФ от 29 июля 2004 г № 98-ФЗ «О коммерческой тайне».
Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, Решение председателя Гостехкомиссии России от 30 марта 1992 г.
Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения, Решение председателя Гостехкомиссии России от 30 марта 1992 г.
Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации, Решение председателя Гостехкомиссии России от 30 марта 1992 г.
Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации, Решение председателя Гостехкомиссии России от 30 марта 1992 г.
Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники, Решение председателя Гостехкомиссии России от 30 марта 1992 г.