Аналитическое обоснование (1209933), страница 4
Текст из файла (страница 4)
При определении перечня средств защиты видеоинформации учитывалось, что в соответствии с требованиями приказа ФСТЭК № 21 для обеспечения 3-го уровня защищенности персональных данных применяются:
-
средства вычислительной техники не ниже 5 класса;
-
системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена.
Перечень рекомендуемых средств защиты видеоинформации представлен в таблице 5.1.
Таблица 5.1 – Перечень рекомендуемых средств защиты видеоинформации
| Тип СЗИ | Наименование СЗИ | № и срок действия сертификата | Производитель СЗИ |
| Система защиты информации от НСД | Dallas Lock 8.0-С | № 2945, 06.09.2019 | ООО «КОНФИДЕНТ» |
| Программно-аппаратный комплекс доверенной загрузки | СДЗ Dallas Lock | № 3666, 25.11.2019 | ООО «КОНФИДЕНТ» |
| Средство антивирусной защиты | Kaspersky Endpoint Security 10 | № 3025, 05.12.2019 | ЗАО «Лаборатория Касперского» |
| Средство резервного копирования | Veeam Backup & Replication 8.0 | № 3482 23.12.2018 | Veeam Software |
Ниже приведены характеристики предлагаемых к использованию средств защиты видеоинформации, обрабатываемой в системе видеонаблюдения.
Система защиты информации от несанкционированного доступа Dallas Lock 8.0-С сертифицирована по 2 уровню контроля НДВ, по 3 классу СВТ, по 3 классу РД МЭ по ТСКН. Система содержит подсистему управления доступом, подсистему контроля устройств, подсистему преобразования информации, подсистему гарантированной зачистки информации, подсистему идентификации и аутентификации, подсистему регистрации и учёта, подсистему администрирования (локального, удаленного и централизованного управления), подсистему контроля целостности, подсистему восстановления после сбоев, подсистему межсетевого экранирования, подсистему обнаружения вторжений. Система защиты от НСД обеспечивает:
-
защиту информации от несанкционированного доступа на персональных компьютерах, портативных и мобильных компьютерах (ноутбуках и планшетных ПК), серверах (файловых, контроллерах домена и терминального доступа), работающих как автономно, так и в составе ЛВС;
-
дискреционный и мандатный принципы разграничения доступа к информационным ресурсам и подключаемым устройствам;
-
аудит действий пользователей – санкционированных и без соответствующих прав, ведение журналов регистрации событий;
-
контроль съемных носителей, сертифицированных в соответствии с требованиями к средствам контроля съемных машинных носителей информации;
-
контроль целостности файловой системы, программно-аппаратной среды и реестра;
-
объединение защищенных ПК для централизованного управления механизмами безопасности;
-
приведение АС, ГИС, АСУ ТП и систем обработки ПДн в соответствие законодательству РФ по защите информации;
-
возможность интеграции с продуктами компании АО «Лаборатория Касперского».
Программно-аппаратный комплекс доверенной загрузки СДЗ Dallas Lock сертифицирован на соответствие ТСДЗ и обеспечивает:
-
идентификацию и аутентификацию пользователя до выполнения действий по загрузке операционной системы или администратора до выполнения действий по управлению СДЗ;
-
двухфакторную аутентификацию пользователей при совместном использовании СДЗ с аппаратными идентификаторами;
-
автоматическое прохождение идентификации и аутентификации в штатной операционной системе после успешного прохождения авторизации и выполнения загрузки с использованием СДЗ;
-
контроль целостности загружаемой операционной системы, блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды (операционной системы);
-
блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;
-
блокировку пользователя при выявлении попыток обхода СДЗ;
-
автоматическую регистрацию событий, относящихся к безопасности компьютера и СДЗ, в соответствующих журналах аудита. Предоставляет возможность защищенного от несанкционированного уничтожения или модификации записей журнала аудита;
-
реагирование на обнаружение событий, указывающих на возможное нарушение безопасности;
-
недоступность ресурсов СДЗ из штатной операционной системы после завершения работы СДЗ;
-
контроль состава компонентов аппаратного обеспечения ПК, основываясь на их идентификационной информации. Блокирует загрузку операционной системы при обнаружении несанкционированного изменения состава аппаратных компонентов СВТ;
-
выполнение перезагрузки ПК при выявлении попыток обхода СДЗ.
Программный продукт «Kaspersky Endpoint Security 10 для Windows» сертифицирован на соответствие требованиям САВЗ и обеспечивает надежную защиту от вредоносного ПО. В новой версии программного продукта добавлена возможность контроля доступа программ к устройствам аудио- и видеозаписи, значительно снижено влияние программы на систему в основных пользовательских сценариях, в события об обнаружении угроз добавлен идентификатор антивирусных баз, на которых произошло обнаружение.
Средство резервного копирования Veeam Backup & Replication 8.0 сертифицировано на соответствие РД НДВ по 4 уровню и ТУ. Основное достоинство Veeam Backup & Replication для использования в системе видеонаблюдения - автономность работы программного обеспечения, не требующего соединения с интернетом. Это позволяет развернуть решение в системах, изолированных (в силу требований обеспечения информационной безопасности) от интернета. ПО обеспечивает множество функциональных возможностей для эффективного использования резервных копий, организацию тестовой среды, идентичной рабочей, для снижения рисков развертывания; использование технологий мгновенного восстановления и репликаций не только при возникновении различных аварий, но и в целях тестирования; проверку виртуальной машины в резервной копии «вживую».
6 Рассмотрение необходимости привлечения специализированных организаций для организации системы защиты видеоинформации
Управление ДВЖД является филиалом ОАО «РЖД», имеющего лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» и положением «О лицензировании деятельности по технической защите конфиденциальной информации», утвержденным постановлением Правительства Российской Федерации от 03.02.2012 № 79 (лицензия № 0265 от 01.10.2004, срок действия – бессрочно).
В структуре Управления ДВЖД действует Хабаровский информационно-вычислительный центр - структурное подразделение главного вычислительного центра – филиала ОАО «РЖД», который также имеет лицензию на указанный вид деятельности (лицензия № 0265прил от 01.10.2004, срок действия – бессрочно).
В соответствии с данной лицензией организация имеет право осуществлять следующие виды работ и услуг:
а) контроль защищенности конфиденциальной информации от утечки по техническим каналам;
б) контроль защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
в) сертификационные испытания на соответствие требованиям по безопасности информации продукции, используемой в целях защиты конфиденциальной информации;
г) аттестационные испытания и аттестацию на соответствие требованиям по защите информации;
д) проектирование в защищенном исполнении;
е) установку, монтаж, испытания, ремонт средств защиты информации.
Подразделения Управления ДВЖД, выполняющие функции обеспечения информационной безопасности, – Хабаровский информационно-вычислительный центр – структурное подразделение главного вычислительного центра – филиала ОАО «РЖД» и Дальневосточный региональный центр безопасности – структурное подразделение ОАО «РЖД» обладают достаточным объемом трудовых, финансовых, материальных и технических ресурсов для проведения работ по организации системы защиты видеоинформации, обрабатываемой в системе видеонаблюдения. Специалисты подразделений имеют необходимую квалификацию в области информационной безопасности и проходят периодическую переподготовку (повышение квалификации) в соответствии с программами послевузовского профессионального образования.
На основании вышеизложенного сделан вывод об отсутствии необходимости привлечения специализированных организаций для организации системы защиты биометрических персональных данных, обрабатываемых в системе видеонаблюдения Управления ДВЖД, а также для проведения приемочных испытаний системы защиты видеоинформации и аттестации системы видеонаблюдения по требованиям защиты видеоинформации.
7 Финансовые затраты на разработку и внедрение технического решения по созданию системы защиты видеоинформации
Для реализации технического проекта по созданию системы защиты видеоинформации необходимо наличие у организации определенных финансовых ресурсов. Финансовые ресурсы представляют собой денежные средства, которые имеются в распоряжении организации и предназначены для обеспечения ее эффективной деятельности, выполнения финансовых обязательств и экономического стимулирования сотрудников.
В целях определения потребности в финансовых ресурсах на реализацию технического решения по созданию системы защиты видеоинформации проведен расчет производственных затрат по отдельным статьям расходов, которые дали возможность оценить в денежной форме объем инвестиций, связанный с обеспечением безопасности защищаемого объекта.
Производственные затраты – это производственное потребление ресурсов, совокупность которых составляет производственную себестоимость продукции (работ, услуг). Производственные затраты делятся на прямые, непосредственно относящиеся к проекту (прямые материальные затраты, прямые расходы по оплате труда с отчислениями на социальные нужды) и накладные расходы, которые косвенным образом соотносятся с проектом.
Планирование производственных затрат и оценка стоимости проекта носят подготовительный характер и используются для оценки экономической целесообразности проекта.
Общая стоимость производственных затрат на разработку и внедрение технического решения по созданию системы защиты видеоинформации определена по формуле [5]:
З = Зс + Зо + Оз + Зп,
где З – общая стоимость производственных затрат,
Зс – затраты на приобретение средств защиты,
Зо – затраты на оплату труда сотрудников,
Оз – отчисления от заработной платы,
Зп – накладные расходы.
Эффективность технического решения оценивается в течение расчетного периода, охватывающего временной интервал от начала разработки проекта и до окончания его внедрения. Расчетный период определен на основании экспертной оценки.
Исходные данные для определения расчетного периода:
-
продолжительность рабочего дня составляет 8 часов;
-
количество рабочего времени при 40-часовой рабочей недели в соответствии с производственным календарем в 2017 году составляет 1973 часа,
-
количество рабочих дней при пятидневной рабочей неделе с двумя выходными днями в 2017 году составляет 247 рабочих дней,
Расчетный период разбит на отдельные этапы (таблица 7.1).
Таблица 7.1 – Этапы расчетного периода на разработку и внедрение технического решения
| Этапы расчетного периода на разработку и внедрение технического решения | Затраченное время (час.) | Затраченное время (дни) | |
| Разработка | Разработка заключения по результатам аудита системы видеонаблюдения | 64 | 8 |
| Разработка модели угроз | 80 | 10 | |
| Разработка аналитического обоснования | 64 | 8 | |
| Разработка технического задания | 80 | 10 | |
| Разработка технического проекта | 88 | 11 | |
| Внедрение | Приобретение, установка и настройка средств защиты на рабочих местах | 56 | 7 |
| Обучение специалистов | 16 | 2 | |
| Проведение предварительных и приемочных испытаний | 8 | 1 | |
| Аттестация по требованиям защиты | 8 | 1 | |
| Разработка и утверждение актов ввода в эксплуатацию | 32 | 4 | |
| ИТОГО | 496 | 62 | |
Продолжительность рабочего периода, рассчитанного в часах, составила Тч = 496 часов, в том числе: на разработку технического решения Тч1 = 376 часов, на его внедрение Тч2 = 120 часов.
Продолжительность рабочего периода, рассчитанного в днях, составила Тд = Тч/8 = 496/8 = 62 дня, в том числе: на разработку технического решения Тд1 = Тч1/8 = 376/8 = 47 дней, на его внедрение Тд2 = Тч2/8 = 120/8 = 15 дней.
Продолжительность рабочего периода в месяцах составила
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
