Исследование способов аутентификации на основе биометрических данных

В современном мире высоких технологий, когда информатизация коснулась большинства сфер жизнедеятельности человека, появилась потребность в защите информации от возможных нежелательных действий из вне.

Уязвимость информации растет быстро, каждый день появляются новые угрозы и совершенствуются старые методы и технологии, с помощью которых появляется возможность несанкционированного доступа к закрытой информации.

Тема защиты помещений, хранилищ, а также других различных, важных для организаций, видов информации актуальна как никогда прежде, так как любая информация, находящаяся на территории организации или в её сети, – ценный ресурс, который привлекает злоумышленников или конкурентов с целью завладеть какими-либо ценностями компании, тем самым нанеся ей вред, в следствии чего организация нуждается в постоянной защите.

Целью данной дипломной работы является разработка системы защиты помещения, содержащего дорогостоящую технику, с использованием систем контроля и управления доступом, содержащих биометрические датчики, которые контролируют правомерность доступа.

Для достижения цели необходимо решить следующие задачи:

• изучить теоретические аспекты обеспечения безопасности помещений с использованием систем контроля учета доступа;
• изучить возможные риски угроз проникновения в помещение с указанными системами защиты;
• определить нормативно-правовую базу;
• дать характеристику существующим системам контроля доступа, содержащих биометрические датчики;
• определить систему, которая будет использоваться в организации для защиты помещения;
• составить технологию внедрения СКУД на территории организации.

Объект исследования: помещение для хранения дорогостоящей техники.

Предмет исследования: процессы защиты от проникновений в помещение, содержащее дорогостоящую технику.

В первой главе выпускной квалификационной работы описаны теоретические аспекты и основные процессы информационной безопасности, описаны и проклассифицированы возможные риски информационной безопасности в помещениях, определена нормативно-правовая база обеспечения защиты информации.

Во второй главе выпускной квалификационной работы описаны и проанализированы существующие системы и методы обеспечения защиты складского помещения.

В третьей главе выпускной квалификационной работы проведено специальное обследование складского помещения, определена технология внедрения для организации, а также была выбрана система контроля и управления доступом.

1                   ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ И ОСНОВНЫЕ ПРОЦЕССЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1            ОБЩАЯ ХАРАКТЕРИСТИКА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В ПОМЕЩЕНИЯХ

Одним из основных помещений, которое нуждается в системе контроля учета доступа является склад для хранения дорогостоящей техники. В данных помещениях часто находится техника, которая принадлежит организации и нуждается в защите от несанкционированного доступа, так как данные предметы могут стать целью кражи, либо использования данных устройств не по назначению.

Склад – это корпоративное пространство, которое может быть оснащено высокотехнологичными системами защиты от несанкционированного доступа.

С течением времени и ростом влияния информационных технологий в жизни человека, также совершенствуются и способы несанкционированного доступа к помещениям, содержащим важные для организации технические устройства, либо какую-либо информацию. В связи с этим появляется потребность для защиты помещений организаций, которые являются важным ресурсом для практически любой компании.

Эксплуатация злоумышленником всевозможных несовершенств информационной безопасности предприятия порождает за собой возникновение рисков информационной безопасности.

Информационная безопасность — практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Это универсальное понятие применяется вне зависимости от формы, которую могут принимать данные [8, 9].

Риск информационной безопасности – это потенциальная возможность использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации.

Для предотвращения возникновения подобных рисков необходимо совершенствование информационной безопасности предприятия и мероприятий по защите информации [11].

Защита информации – это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные [8, 19].

Система защиты информации — это комплекс организационных и технических мер, направленный на обеспечение информационной безопасности предприятия [8, 20].

1.2            РИСКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ПОМЕЩЕНИЯХ ОРГАНИЗАЦИИ

Управление доступом к информационным системам и ресурсам всегда останется одной из важнейших задач обеспечения информационной безопасности для любой организации. Правильно выстроенная система управления доступом позволяет существенно снизить риски получения «излишних» прав доступа, связанных с этим, рисков несанкционированных действий, утечек информации, внедрения вредоносных программ и других негативных действий.

Система управления доступом к информационным системам и ресурсам должна своевременно предоставлять пользователям только необходимый доступ, а сам процесс управления доступом должен быть понятным и контролируемым.

Большинство современных организаций живут весьма динамично: меняются бизнес-процессы, открываются новые направления деятельности, появляются новые законодательные требования. Все это приводит к изменению должностных обязанностей работников, появлению новых прав доступа у персонала, его ротации. Очевидно, для организации доступа к информационным системам такая динамика должна оказывать не последнее влияние [15].

В данном случае на помощь приходят системы контроля и управления доступом, они давно появились на российском рынке и на данный момент способны создавать целые цепочки из устройств, которые контролируют доступ к определенным помещениям, ресурсам и т.п.

Контролируемая зона (КЗ) – это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Главенствующей причиной утечки информации и кражи устройств служит бесконтрольный перенос технических устройств и документации за территорию контролируемой зоны.

Несовершенство принятых в организации норм по защите информации, а также отсутствие надлежащего исполнения уже принятых норм могут явиться основной причиной утечки информации за пределы КЗ.

Несоблюдение правил обращения с техническими средствами, документацией, либо другими материалами, содержащими конфиденциальную информацию, могут повлечь за собой утечку важных данных.

Таким образом, значительная доля обстоятельств и факторов, создающих предпосылки и возможность утечки конфиденциальной информации, возникает из-за недоработок глав компаний и их работников.

1. Федеральный закон от 29.06.2015 № 162-ФЗ «О стандартизации российской федерации» статья 26// ГОСТ Р 56545-2015, ГОСТ Р 56546-2015
2. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»
3. Федеральный закон от 27.12.2002 №184-ФЗ "О техническом регулировании"
4. Федеральный закон от 29.07.2004 №98-ФЗ "О коммерческой тайне"
5. Федеральный закон от 06.04.2011 №63-ФЗ "Об электронной подписи"
6. Федеральный закон от 04.05.2011 №99-ФЗ " О лицензировании отдельных видов деятельности "
7. Баранова, Е.К. Информационная безопасность и защита информации: Учебное пособие / Е.К. Баранова, А.В. Бабаш. - М.: Риор, 2018. - 400 c.
8. Ворона В.А., Тихонов В. А. Системы контроля и управления доступом. - М.: Горячая линия- Телеком, 2010. - 272 е.: ил.
9. Москвитин, Г.И. Комплексная защита информации в организации / Г.И. Москвитин. - М.: Русайнс, 2017. - 400 c.
10. Andress, J. The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice. — Syngress, 2014. — 240 p.
11. Преимущества и недостатки биометрической системы аутентификации. [Электронный ресурс]. – Режим доступа: https://worldvision.com.ua/preimushchestva-i-nedostatki-biometricheskoy-sistemy-autentifikatsii/, свободный.
12. Системы учета доступа для предприятий. [Электронный ресурс]. –Режим доступа: https://www.biotime.ru/advantages/access_control/, свободный.
13. Система контроля и управления доступом. Принцип действия. [Электронный ресурс]. – Режим доступа: http://www.intersyst.ru/solutions/165/460/, свободный.
14. Принцип функционирования СКУД. [Электронный ресурс]. – Режим доступа: http://asupro.com/building/control/principle-operation-acs.html, свободный.
15. Современные способы управления доступом, как часть управления безопасностью. [Электронный ресурс]. – Режим доступа: https://lib.itsec.ru/articles2/sys_ogr_dost/sovremennye-sposoby-upravleniya-dostupom-kak-chast-zadachi-upravleniya-bezopasnostyu, свободный.
16. Биометрические СКУД: современное решение традиционных задач. [Электронный ресурс]. – Режим доступа: http://lib.secuteck.ru/articles2/sys_ogr_dost/biometricheskii_ckyd_page120, свободный.
17. Особенности применения биометрии при построении современной СКУД. [Электронный ресурс]. – Режим доступа: http://lib.secuteck.ru/articles2/sys_ogr_dost/osobennosti-primeneniya-biometrii-pri-postroenii-sovremennoy-skud, свободный.
18. Угрозы информационной безопасности. [Электронный ресурс]. – Режим доступа: https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/ugrozy-informatsionnoj-bezopasnosti/, свободный.
19. Защита информации [Электронный ресурс]. – Режим доступа: https://utmagazine.ru/posts/9798-zaschita-informacii/, свободный.
20. Комплексный подход к организации системы защиты информации на предприятии: основные вопросы и технологии [Электронный ресурс]. – Режим доступа: https://www.epam-group.ru/about/newsroom/in-the-news/2009/kompleksnyy-podhod-k-organizacii-sistemy-zaschity-informacii-na-predpriyatii-osnovnye-voprosy-i-tehnologii/, свободный.
21. Организационные и организационно-технические мероприятия [Электронный ресурс]. – Режим доступа: http://dehack.ru/metod_infbezop/org_tech_mp//, свободный.
22. Внутриобъектовый и пропускной режим [Электронный ресурс]. - Режим доступа: https://www.legis-s.ru/clients/articles/vnutriobektovyy-i-propusknoy-rezhim/, свободный.