Как создать систему безопасности компании

Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

1. Заручиться поддержкой руководства.

Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

Организация защиты информации на практике ведется одним из способов: «снизу вверх» либо «сверху вниз».

Подход «снизу вверх» наиболее распространен. В данном случае инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. Подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. Такой подход малоэффективен, так как высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер.

Подход «сверху вниз» предполагает вовлеченность топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. Данный подход считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведется оценка рисков. Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства.

На первом этапе следует заручиться поддержкой руководства, а в организации работ придерживаться подхода «сверху вниз».

2. Определить состав рабочей группы.

Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

3. Определить риски.

После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

• идентифицировать информационные активы, представляющие ценность;
• провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
• провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
• провести анализ источников угроз;
• проанализировать сами угрозы;
• оценить возможный ущерб;
• подготовить отчет для презентации руководству.

После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

4. Принять организационные меры.

На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

5. Выбрать и внедрить меры и средства защиты информации.

На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

6. Довести информацию до заинтересованных лиц.

Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

7. Провести мониторинг и оценку.

После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

Станислав Шиляев, руководитель проектов по информационной безопасности компании «СКБ Контур»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Источник

Как создать эффективную систему безопасности? Рекомендации для Заказчика

Создание технического решения и проекта системы безопасности начинается с разработки Технического задания (ТЗ), включающего в себя исходные данные и общие требования к комплексной системе безопасности, состоящей из подсистем видеонаблюдения, сигнализации, контроля и управления доступом, охраны периметра и их сочетаний.

Разработка технического задания начинается с определения потенциальных угроз и уязвимостей объекта и расстановки приоритетов защиты. Составить техническое задание (ТЗ) Заказчик может самотоятельно, либо привлечь для этого специализированную организацию. Техническое задание может быть использовано для организации конкурса или заказа работ по проектированию системы безопасности у выбранного подрядчика.

Предварительное Техническое задание (ТЗ) должно включать в себя следующую информацию:

1. Общие сведения об объекте

Данные о размещении и габаритах объекта, его характере, назначении, а также иные сведения, позволяющие предварительно оценить необходимую степень его укрепленности, и, как следствие, подобрать соответствующие технические средства защиты.

2. Планы объекта, экспликация и техническая укрепленность

Планы объекта с экспликацией строений и помещений, оборудуемых системами безопасности — видеонаблюдения, сигнализации и контроля доступа, охраны периметра — являются основной составляющих предварительного ТЗ.

В комплект планов объекта должны быть включены:

• поэтажные планы защищаемых объектов и зданий,
• при необходимости установки уличных систем — общий план территории.

Экспликация должна однозначно определять назначение зданий и помещений.

При создании системы охранной сигнализации на планах полезно обозначить средства дополнительной технической укрепленности: решетки, бронированные или упрочненные окна, бронированные противопожарные двери и т.п.

Для определения необходимых и дополнительных элементов технической укрепленности ряда объектов целесообразно, в том числе, воспользоваться нормативным документом МВД России о требованиях к системе охранной и тревожной сигнализации или воспользоваться помощью представителей вневедомственной охраны для составления акта обследования объекта по его технической укрепленности.

3. Список потенциальных угроз

Список потенциальных уязвимостей объекта, составленный Заказчиком, — важная информация, исходя из которой осуществляется принципиальная разработка технического решения и задания на проектирование. По ним предварительно определяется перечень систем, составляющих комплексную систему безопасности объекта – видеонаблюдение, автоматизированные проходные и шлагбаумы, сигнализация, охрана периметра и т.п.

4. Подразделения охраны объекта

Данный вопрос является особенно важным для разработки системы для промышленных предприятий и объектов коммерческой недвижимости, так как исходя из принятого решения строится вся стратегия охраны, определяется количество постов охраны и выбирается соответствующее оборудование.

Возможны три основных варианта решения данного вопроса:

• Охрана с использованием подразделений вневедомственной охраны;
• Охрана с использованием частной охранной фирмы;
• Охрана с использованием собственных подразделений охраны.

Принципиальными с точки зрения построения системы безопасности – видеонаблюдения, контроля доступа, сигнализации и охраны периметра объекта — являются следующие моменты:

• При использовании сторонних организаций и подразделений охраны обязательным является планирование системы передачи извещений на пост центрального наблюдения
• Подразделения вневедомственной охраны предъявляют повышенные требования к технической укрепленности, которые регламентированы нормативными документами и накладывают ограничения при подборе технических средств систем безопасности
• При привлечении частной охранной фирмы, а также организации собственных подразделений охраны, как правило, целесообразны дополнительные меры для повышения контроля работы охранников, которые, в свою очередь, влияют общую стоимость строительства системы безопасности и стоимость владения ею.

5. Ожидаемый состав технических средств охраны

Желательно, чтобы были указаны основные системы безопасности, которые он хотел бы установить на объекте – системы видеонаблюдения, контроля доступа, сигнализации и охраны периметра или их сочетания.

Для новых объектов строительства существует перечень систем, функционирование которых является обязательным для сдачи объекта в эксплуатацию. Этот перечень определяется назначением строящегося объекта и действующими нормами и правилами в строительстве, а также внутренними регламентирующими документами организации-собственника объекта.

Как правило, для сдачи в эксплуатацию объекта необходимо создание ряда безусловно необходимых подсистем, без которых сдача объекта в эксплуатацию невозможна, таких как система автоматической пожарной сигнализации , система речевого оповещения и оповещения о пожаре, Система автоматического пожаротушения, система охранно-тревожной сигнализации.

Установка других систем определяется внутренними регламентирующими документами и пожеланиями Заказчика:

Система контроля доступа (СКД, СКУД)

Система контроля доступа (СКД, СКУД) используется для организации пропускного режима и контроля перемещения сотрудников и посетителей по территории охраняемого объекта. Обычно в такой системе в качестве идентификаторов используют уникальные электронные ключи (карты, брелоки и т.п.) и/или коды, однако на некоторых объектах необходима установка более сложных систем, как то системы идентификации по отпечаткам пальцев, форме ладоней, сетчатке глаза, голосу и т.п.).

Системы контроля и управления доступом (СКД, СКУД) часто также используются в целях учета рабочего времени.

Система охранного телевизионного наблюдения (видеонаблюдение, СТН)

Система охранного телевизионного наблюдения (видеонаблюдение, СТН) –обычно является средством выявления и идентификации угрозы для сотрудников службы охраны, либо средством фиксации обстановки для последующего анализа.

Современные функции систем видеонаблюдения, такие как встроенные детекторы движения и распознавание образов (номеров автотранспорта, лиц, оставленных предметов, фактов пересечения границ установленных зон движущимися объектами и т.п.) позволяют расширить функции системы видеонаблюдения, наделив ее некоторыми функциями других охранных систем, и тем самым создать комплексную систему безопасности с резервированием функций, обладающую высокой надежностью.

Система сбора и обработки информации (ССОИ) и централизованного управления

Система сбора и обработки информации (ССОИ) и централизованного управления. Данные системы — эффективное средство, облегчающее работу сотрудников охраны (особенно на крупных объектах), а руководству — контроль за работой охранников.

Данные, поступающие от подсистем безопасности, собираются единой компьютерной платформой (интегрированной системой охраны), предварительно обрабатываются для более удобного восприятия человеком и перераспределяются в соответствии с заданным сценарием. Системы ведут полный протокол работы, что позволяет позднее воссоздать все зафиксированные события до, после и во время расследуемого инцидента.

ССОИ значительно снижают требования к численности охраны, и одновременно повышают качество ее работы, то есть их установка имеет высокую экономическую эффективность.

Система оперативной связи (СОС) подразделений охраны

Система оперативной связи (СОС) подразделений охраны — является необходимой для координации действий охранников. Как правило, функции такой системы выполняет радиоканальная система связи.

Система бесперебойного питания подсистем безопасности (СБП)

Система бесперебойного питания подсистем безопасности (СБП) — от нее зависит работа всех подсистем безопасности в чрезвычайных ситуациях, при отключении централизованного электропитания.

Выбор Подрядчика

Правильный выбор Подрядчика является важным решением при создании системы безопасности объекта. От выбора подрядчика зависит функциональность и стоимость системы, ее соответствие установленным требованиям, сроки проведения работ и надежность полученной системы безопасности.

Самым распространенным способом выбора Подрядчика является проведение конкурса.

Способы проведения конкурса могут быть различны. Выбор способа проведения конкурса зависит от общего объема предполагаемых работ и платежеспособности Заказчика.

Самая простая схема проведения конкурса — это рассылка конкурсантам технического задания и выбор победителя исходя из полученных предложений и обоснований. Такая схема очень экономична, и оправдана при небольших или средних объемах проектных или строительно-монтажных работ, либо для предварительного формирования бюджета строительства более крупных систем. При таком подходе Заказчик может оценить клиентоориентированность компаний-подрядчиков, оперативность их реагирования, а также, в большинстве случаев – их ценовую политику.

На что обратить внимание при рассмотрении предложений?

1. Основные технические решения

К основным техническим решениям относятся решения, непосредственно влияющие на функциональные свойства строящейся комплексной системы безопасности. Такие решения определяют также и максимально возможные технические характеристики системы и возможности ее расширения.

Оценка и сравнение качества примененных в предложениях основных технических решений имеет высокий приоритет при выборе Подрядчика, так как оценка стоимости различных предложений имеет смысл только в контексте схожих технических решений.

Важную роль также играет соответствие представленных технических решений современным требованиям и используемые в них технологии. Использование современных технологий и оборудования является залогом того, что разработанное решение и установленная комплексная система безопасности будет оставаться актуальной в течение ближайших лет, и не потребует существенных капиталовложений в ее обслуживание и модернизацию.

2. Опыт работы подрядчика

Опыт работы Подрядчика в области решения вопросов безопасности имеет также очень важное значение. Отсутствие такого опыта может повлечь серьезные стратегические ошибки, способные повлиять как на функциональность полученной системы, так и на стоимость и сроки выполнения работ.

В то же время «богатый» опыт в виде устоявшихся или устаревших стереотипов может не позволить внедрить на вашем объекте наиболее современную систему безопасности.

3. Надежность Подрядчика

Надежность Подрядчика является важнейшим показателем. Как бы ни был хорошо составлен договор в случае неисполнения обязательств Подрядчиком по любой из причин Заказчик все равно может потерпеть убытки.

Надежность косвенно подтверждается общим сроком работы фирмы и отзывами Заказчиков и партнеров фирмы.

4. Качество работы Подрядчика

Качество проведенных работ – гарантия успешной работы системы после сдачи в эксплуатацию.

О качестве работы Подрядчика достаточно хорошо говорит наличие, состав и качество документации, выпускаемой Подрядчиком. Если есть возможность, то желательно ознакомиться с пакетом проектной и эксплуатационной документации для какого-либо уже реализованного проекта.

Безусловно будет интересна информация, полученная во время посещения действующего объекта, аналогичную систему безопасности которого реализовывал данный Подрядчик.

5. Стоимостные показатели

Одной из основных задач конкурса является определение общей стоимости работ.

Не целесообразно сравнивать общие стоимости предложений, так как очевидно, что функционально все предложения различны.

Основным показателем для сравнения должна быть интегрированная величина цена-качество. Данная величина зависит от технических решений и полноты спецификаций. Общая ценовая политика подрядчика может быть определена исходя из цен на совпадающие позиции.

Полнота спецификаций

Это очень важный показатель, т.к. часто выигрывают конкурсы компании, которые «забывают» по незнанию, невнимательности или умышленно указать ряд затрат и в результате получают минимальные суммы и высокие показатели цена-качество.

В интересах Заказчика тщательно проконтролировать наличие необходимых позиций в спецификациях и при необходимости их сразу подкорректировать с конкурсантами.

Ниже перечислен список основных затрат, который должен быть учтен при составлении спецификаций в конкурсных предложениях на проектирование и строительство комплексных систем безопасности:

• Затраты на проектные работы включая затраты на согласование;
• Затраты на закупку оборудования, материалов, разрешений (например на пользование радиочастотами);
• Транспортные и складские расходы;
• Затраты на проведение строительных, монтажных и пусконаладочных работ включая затраты на аренду помещений, техники, и пр.;
• Командировочные расходы;
• Затраты на пользование коммунальными услугами (электроэнергия, тепло, канализация, вывоз мусора и пр.);
• Затраты на надзор за проведением работ со стороны заинтересованных организаций (например, надзор со стороны вневедомственной охраны;
• Затраты на поверку произведенных работ в органах надзора;
• Затраты на выпуск исполнительной и эксплуатационной документации;
• Затраты на гарантийное обслуживание.

Особое внимание следует обратить на полноту спецификации оборудования, которая должна включать в себя следующие основные позиции:

• Основное системообразующее оборудование (видеокамеры, мониторы, компьютеры, извещатели, приемо-контрольные приборы, коммутаторы, программное обеспечение, считыватели, турникеты и т.д.);
• Конструктивы для монтажа и установки оборудования (шкафы, стойки, боксы, опоры, кронштейны, ящики, панели и пр.) для размещения и подключения оборудования;
• Кроссовое оборудование (кроссовые панели, розетки данных, шнуры);
• Силовое оборудование, оборудование заземления и бесперебойного питания (силовые щитки, рубильники, автоматы, силовые розетки, источники питания, источники бесперебойного питания, батареи, фильтры и пр.);
• Материалы для монтажа линий связи (кабель, кабельные каналы (короба), лотки, трубы, коробки, муфты, тросы, общие расходные материалы).

6. Заявленные сроки выполнения работ

Заявленные сроки выполнения работ, в случае, если они заявлены Подрядчиком чрезвычайно сжатыми, обычно не учитывают возможность возникновения непредвиденных ситуаций, либо могут повлиять на качество выполнения работ, поэтому рекомендуем относиться с осторожностью к подрядчикам, называющим слишком сжатые сроки реализации проекта.

Слишком сжатые заявленные сроки также могут говорить о неопытности Подрядчика и, как следствие, о его неспособности оценить реальные сроки выполнения работ.

О компании «Тэк.С.А — Технологии с Интеллектом»

Компания «Тэк.С.А.» предоставляет полный спектр услуг сетевой и системной интеграции. Деятельность компании направлена на обеспечение нового качества, эффективности и конкурентоспособности бизнеса заказчиков на базе передовых информационных технологий.

Интеллектуальную основу компании составляет команда высоко компетентных аналитиков, архитекторов, проектировщиков и инженеров.

Специальные предложения:

Предпроектное обследование — бесплатно

Предпроектная оценка потенциальных угроз и выявление основных уязвимостей объекта выполняется бесплатно.

Источник