Організаційний принцип побудови Єдиної Системи Безпеки
Початковий етап.
Необхідно визначитися з кількістю рівнів безпеки системи.
Варіант класичний, 3-х рівневий: об'єкт-регіон-центр. Такий варіант побудови системи має недолік у вигляді «проміжного» рівня системи - регіон. Недолік полягає в додаткових затримках і складнощі синхронізації подій підсистеми об'єкт-регіон з центром. Також не можна виключити і помилки (зловживання), обумовлені людським фактором.
Більш прогресивною, на наш погляд, є 2-х рівнева система безпеки (об'єкт-центр), в якій всі підсистеми безпеки мають однаковий рівень і об'єднані в ЄСБ через Головний центр. Такий принцип організації ЄСБ добре узгоджується з сучасною моделлю інформаційної системи типу «клієнт-сервер», яку можна закласти в основу побудови ЄСБ. Всі події спеціалізованих підсистем безпеки фіксуються й обробляються в єдиній базі даних ЄСБ. У цьому випадку оповіщення та доступ до інформації (часткової або повної - відповідно до регламенту) про події в ЄСБ можуть отримувати підрозділи департаменту безпеки на своїх робочих місцях в залежності від своїх повноважень. Вся інформація накопичується і обробляється в Центрі Обробки Даних (ЦОД) ЄСБ. Рекомендується забезпечити незалежність роботи ЦОД ЄСБ від ЦОД інформаційної системи, оскільки саме в завдання департаменту безпеки входить обслуговування всіх систем ЄСБ.
Об'єкти системи безпеки.
До кожного об'єкту безпеки можуть застосовуватися різні за своїми характеристиками підсистеми захисту і контролю Для проектування ЄСБ необхідно сформулювати вичерпний перелік об'єктів системи безпеки. Наприклад:
- Транспортний засіб - автомобіль, вагон ...
- Території
- Будівлі
- Приміщення
- Робоче місце або ділянка виробничого процесу
- Зберігання та облік ТМЦ
- Інформаційні системи, що підлягають захисту
- ...
Для кожного типу об'єкта ЄСБ необхідно визначити:
- Основні загрози безпеки об'єкта
- Засоби і методи захисту від загроз, у тому числі технічні та організаційно-охоронні.
- Суб'єкт департаменту безпеки, який повинен реагувати на загрозу
- Спосіб об'єднання (підключення) підсистеми безпеки в ЄСБ.
Основною складністю є об'єднання спеціалізованих підсистем безпеки в ЄСБ. Тільки після аудиту основних загроз і вибору засобів і методів захисту від них та оцінки їх економічної ефективності можна приступати до створення ЄСБ.
1. Транспортное средство – автомобиль, вагон…
Основні загрози:
- невідоме місцезнаходження
- порушення маршруту руху, зрив графіка поставок вантажу
- перевитрата палива, фальсифікація водіями даних в чеках на паливо
- невиправдані затримки й неіснуючі штрафи ДАЇ
- фізична загроза водію або транспортному засобу
- простій транспортного засобу на складі
Засоби захисту від загроз:
- системи GPS/GPRS моніторингу
- системи RFID (радіопозначки) маркувння транспорта, груза та водіїв
2. Територіальный об'єкт.
Основні загрози:
- несанкціоноване проникнення на територію, що охороняється
- несанкціоноване вивезення ТМЦ
Засоби захисту від загроз:
- cистеми охорони периметра
- cистеми контролю и управління доступом (СКУД) на в'їздах
- системи автоматичних шлагбаумів та ворiт
- системи відеоспостереження
- системи огляду транспорту
- охоронне освітлення
- периметральне огородження
- охоронна сигналізація
3. Будівлі.
Основні загрози:
- несанкціоноване проникнення в будівлю
- несанкціоноване винесення ТМЦ
- протиправні посягання на будівлю
Засоби захисту від загроз:
- системи контролю та управління доступом (СКУД) на в'їздах / входах
- системи напівзростових та / або повнозростових турнікетів
- системи відеоспостереження
- системи огляду транспорту/людей
- охоронне освітлення
- охоронно-пожежна сигналізація
4. Приміщення.
Основні загрози:
- несанкціоноване проникнення в приміщення
- несанкціоноване винесення ТМЦ
- протиправні посягання
Засоби захисту від загроз:
- системи контролю та управління доступом (СКУД) на в'їздах / входах
- системи відеоспостереження
- системи огляду людей
- антикрадіжні системи
- охоронне освітлення
- охоронно-пожежна сигналізація
5. Робоче місце або ділянка виробничого процесу.
Основні загрози:
- несанкціоноване винесення ТМЦ
- протиправні посягання
- помилки персонала
Засоби захисту від загроз:
- Системи відеоспостереження із засобами аналізу зображення
- Антикрадіжні системи
6. Збереження та облік ТМЦ (склад).
Основні загрози:
- несанкціоноване вивезення / винесення ТМЦ
- протиправні посягання (псування, пересортиця ...)
- помилки персоналу
- порушення графіка поставки і збільшення часу простою транспорту
7. Інформаційні системи (ІС).
Основні загрози:
- несанкціонований доступ до інформації
- порушення цілісності даних
- порушення доступності даних
Засоби захисту від загроз:
- системи аутентифікації доступу
- відмовостійкі системи обробки та збереження даних
- проектування інформаційної системи з високим рівнем доступності
- побудова комплексної системи захисту інформації або спеціалізованих підсистем інформаційної безпеки