Управление на сигурността - e-dnrs · • Защита срещу...
TRANSCRIPT
Физическа сигурност
Проф. д-р Димитър Димитров
Ръководител Катедра “Национална и регионална сигурност” УНСС
www.e-dnrs.org
Управление на сигурността
проф. д-р Димитър Панайотов Димитров,
Ръководител Катедра “Национална и
регионална сигурност”, УНСС
ПРЕГОВОР
• Ръководител на катедра (от 2007)
• член на Академичния Съвет на УНСС
(от 2007).
• Член на Комисията по етика на УНСС
(от януари 2012),
• член на Комисията на УНСС по
количествените изисквания (от
декември 2014 г.).
Катедра „Национална и регионална сигурност“
www.e-dnrs.org
Мотивация
УСПЕХ
Базово понятие за сигурност.
• Състояние на цялостност, независимост, неуязвимост, устойчивост и стабилност по отношение на фактори от външния и вътрешен контекст
• Способност за съхраняване при неблагоприятни промени на контекста и запазване на възможностите за развитие.
• Способност за справяне със заплахите и рисковете, и запазване или подобряване на състоянието.
• Баланс между рискове и способности за тяхното управление, вкл. контрол.
• Способност за управление на риска • Кличко, Кубрат Пулев, Багата
Характеристики на
сигурността • Неделима
• Каскадиращ ефект
• Струва пари
• Проблем в един елемент- проблем в
цялата система
• Динамична
• Субективна, зависи от гледната точка
• Сложна система
• Видео Неваляшка
• Ванька встанька
• Видео Физическа сигурност
Крадец на бижута в Тайланд
Логика на презентацията
• Активи
• Заплахи
• Вероятността за
сбъдване
• Уязвимости
• Последици
= РИСК
Що е то риск
• Къде е по-голям риска
от земетресения –
• България
• Япония
• Хаити
A 7.0-magnitude earthquake hit Haiti on Jan. 12 2010 causing systemic
damage to the nation's capital Port-au-Prince and immeasurable loss of
life. The fallout of this natural disaster is widespread, affecting as much
as a third of the Caribbean nation's population, or roughly 2 million
people.
Риск
• Рискът е функция на Заплахата,
Вероятността за сбъдване,
Уязвимостта, Въздействието
Определение за риск
• Разликата между настоящото
състояние и 100 %-вата сигурност
ние сме тук
0 % сигурност 100 %
сигурност Разходите за увеличаване на сигурността имат експоненциален характер
РИСК
1. Актуалност и определение
• Физическа сигурност
• Наредба № 3 по ЗЗКИ
• Физическа сигурност на корпорацията
• Определение – Система от мерки,
средства и способи за защита на
персонала, инфраструктурата,
собствеността и информацията на
фирмено равнище
Политика
• „политика“ означава, че
организацията е формулирала
определени принципи, към
които да се придържа и
декларира публично, че се
ангажира с тях.
• Пример с дисциплината КС
Политика по Физическа
сигурност 1
• Отговаряща на минималните стандарти за сигурност
• С включване на висшето ръководство по периодични прегледи и мониторинг
• Определена от критичността на активите и тяхната стойност
• Включваща ограничен достъп само за определен персонал
• Идентификация на персонала и посетителите
Политика по Физическа
сигурност 2
• Специални процедури за сигурност
• Точно определени функции на мениджъра по
сигурността
• Система за докладване на инциденти
• Правила за работа с класифицирана
информация
• Контрол на доставките
• Зони за сигурност
• Анализ на текущата информация
Активи - Определение
• Нещо ценно, което изисква защита.
Ценността може за бъде измервана с
парични или непарични измерители.
• Кое е най-ценното в тази аудитория?
Колко струва човешкият
живот?
Активите включват:
• Хардуер – компютри, терминали, сървъри, принтери, скенери, комуникации, дискове и др.
• Софтуер
• Хора, в т.ч. Персонал
• Клиенти
• Доставчици
• Посетители
• Сгради
• Съоръжения
Активите включват: продължение
• Инфраструктура
• Репутация, имидж
• Данни (информация) – на носител,
онлайн, резервни копия
• Документи
• Друга собственост на фирмата
• Околната среда
• Заплаха – Дейност, носител (агент) или
ситуация (умишлена, неумишлена или с
природен характер) с определен потенциал
да причини щети (загуби) на дейност, процес,
мисия, активи, персонал, околна среда.
• Уязвимост – Слабо място или пролука в
системата или елементи на системата, което
може да позволи причиняването на щети на
дейност, процес, мисия, активи, персонал,
околна среда (т.е. ахилесова пета)
Сигурността
като концепция
„Крепост“
Видове заплахи
• В зависимост от посоката, от която
идват – вътрешни и външни
• По произход – с бележката, че някои
от се припокриват, могат да са
взаимнозависими и взаимосвързани
• Мерките също могат да се препокриват,
имат комплексен характер
• Известно припокриване на Safety и
Security
Заплахи: По произход
• Природни
• Лошо време
• Силен вятър, дъжд, студ, жега
• Земетресения
• Урагани
• Цунами
• Градушки
• Сняг
• Поледица
Safety или Security
• Свлачища
• Наводнения
• Горски и полски пожари
• Паразити
• Заразни болести
• Епидемии
• Светкавици
• Мъгла
• Кучета, други диви животни
• Видео
Началото на трагедията, наводнението в
гр.Варна, Аспарухово, ул.Моряшка 2014 г.
Техногенни
• Обгазяване, задимяване
• Химикали, отрови
• Други замърсявания, разливи
• Пожари
• Срутвания
• Свлачища
• Опасна работна среда
• Радиация
• Опасни ремонтни работи
• Спиране на ток, вода, електричество, телефони, отопление
• Проблеми с охлаждане/загряване
• Транспортни инциденти
Социални заплахи
• Бунтове, блокади
• Стачки
• Протести
• Въстания
• Насилие на работното място и около него
• Висока престъпност
• Корупция
• Сексуално насилие
• Дискриминация
• Рекет
• Видео Anti-burglary Commercial
Военно- политически,
етнически и религиозни
• Война
• Въоръжени конфликти
• Бежанци
• Шпионаж
Спомени от Пакистан
• Снимки
• Видео
Медии
• Вестници, радио, телевизии,
фотографи, репортери, Интернет медии
Пример
• Фалшиви слухове за една българска
банка, разпространени чрез блогове,
сайтове, други медии
Тероризъм
• Бомби
• Заплахи
• Отвличания
• Проникване
• Убийства
• Зарази
• Замърсяване
• Откупи
Престъпни икономически
заплахи
• Кражби на ценности
• Измами – на банки, на клиенти
• Подправяне на документи – фалшиви пари, фактури, болнични
• Подкупи
• Неотчитане на оборота
• Продажба на информация
• Кражба на интелектуална собственост (планове, чертежи, прототипи, софтуер, други авторски произведения)
• Икономически шпионаж
• Черен PR
Заплахи, свързани с
използването на компютърни,
информационни и
комуникационни технологии
• Вируси
• Троянски коне
• Хакери, кракери
• Атаки
• Спам
• Сривове в системата – Интернет, бази данни, комуникации
Не правете това в къщи!
If you open = US$ 10 Billion
• Липса на резервни копия
• Социално инженерство
• Кражба на компютърна идентичност
• Неоторизиран достъп с всички последици
• Заглушаване
• Подслушване
• Наблюдение
Човешки фактор
• Недобросъвестни клиенти и служители
• Лошо обучение, лош подбор
• Грешки в изпълнението на работните операции
• Лоша поддръжка
• Безгрижност
• Лоша хигиена
• Самонадеяност
• Любопитство
• Апатия
• Битови инциденти и заболявания
• Неспазване на процедурите за сигурност ( пароли, достъп, идентификация, охрана и други)
Спомени от Пакистан
• Кражба на идентичност или фалшива идентичност
• Кражба на квалифициран персонал
• Лош анализ и оценка на риска
• Липса на система за докладване и идентификация на заплахите
• Липса на политики и процедури
• Неадекватно поведение в резултат на употреба на лекарства, наркотици, алкохол, психични проблеми, нетрадиционно сексуално поведение, пристрастяване към хазарт, семейни проблеми и други, които дават възможност за изнудване
Въздействие
• Икономическата оценка на
въздействието е равна на:
• Разходите по временното
заместване,плюс
• Разходите за постоянна замяна, плюс
• Разходи от пропуснати ползи, плюс
• Други разходи
• минус Застраховката
• Видео Monkey Bodyguard
Риск
• Рискът е функция на Заплахата,
Вероятността за сбъдване,
Уязвимостта, Въздействието
Бележки по риска
• Има различни видове риск
• В зависимост от заплахата
• Количествен и качествен риск
• Различни методи за оценка на риска
• Различни методи за изчисляване на вероятности
• Проблеми при измерването на въздействието
• върху конкретния актив
• върху корпорацията
• върху заобикалящата я среда Пример с цистерна нафта без контрол на достъпа
• Заплахата – как се изчислява силата на заплахата, какъв потенциал и възможности има за осъществяване на тази заплаха
• Информацията при анализа на риска понякога се променя много бърза – нови вируси, пробиви, тероризъм и други
Определение за риск
• Разликата между настоящото
състояние и 100 %-вата сигурност
Как се извършва оценката
на риска
• Въпросници
• Интервюта
• Писмени анализи
• Историческа информация
• Посещения на място
• Съответствие с поставени стандарти и нормативна уредба
Особености при оценката
• Нужда от добра експертиза
• Нужда от надеждна информация
• Разходи по оценката
• Комплексност и системност
Кой извършва анализа и
оценката на риска
• На практика всички
• Висшето ръководство (политика, процедури, заповеди, разпореждания, контрол, реакция, включване, разпределение на отговорностите)
• Вътрешни експерти
• Външни експерти
• Персонала
• Проучвания сред клиентите и партньорите
• При особени случаи (например класифицирана информация) - специализирани държавни органи – ДКСИ, ДАНС
Ключови регулации
(нормативна уредба)
• Свързана с охраната и безопасността на
труда
• Противопожарна безопасност
• Кодекс на труда
• Свързана с опазването на околната среда и водите
• Транспортни регулации
• Сеизмични изисквания
• Държавни Изисквания за защита на информацията (ЗЗКИ)
• Корпоративна политика и правила
Ключови регулации
(нормативна уредба)
• Изисквания към сградите
• Банкова сигурност – офиси, печатане на пари, анализ на риска- специална уредба
• Свързана с охранителната дейност
• Стандарти ИСО 9001-2000 и ИСО 17799
• Закон за контрол над взривните вещества, огнестрелните оръжия и боеприпасите
• Друга релевантна нормативна уредба
Методи за оценка на риска
• Матрица на риска
• Сценарийно планиране - ШЕЛ
• Изследване на опасностите HAZOP (hazard
and operability study)
• Анализ на дървото на грешките/отказите
(може и графично представяне)
• Експертни оценки
• Конкретната величина на оценката на риска
предопределя и начина за защита
Методически насоки за управление на риска на корпорацията
(анализ, оценка и мерки за намаляване на риска при
корпоративната сигурност) при физическата сигурност
1.Изброяват се всички видове активи в таблична форма
2.Разглеждат се всички видове заплахи и вероятностите за тяхното сбъдване
3.Прави се оценка за уязвимостта на активите
4.Прави се оценка на въздействието
5.Прави се оценка на риска по активи. - Количествена (доста сложно) и качествена по определена скала – висок, среден и нисък риск
Методически насоки за управление на риска на корпорацията
(анализ, оценка и мерки за намаляване на риска при
корпоративната сигурност) при физическата сигурност
Така получените оценки на риска за отделните активи са динамични, те могат да се променят в зависимост от нова информация за заплахите.Затова при постъпване на нова информация, правителствени предупреждения или периодично при прегледи тези оценки могат да се променят.
6. Идентификация на активите с висок риск и с критичен характер за нашата корпорация (фирма)
7. Мерки за намаляване на риска – анализ Разходи - ползи
Матрица на риска (физическа
сигурност - (на примера на цар Крез)
Активи
(примерни)
Запла
хи
Оценка на
Уязвимост
Въздейст
вие
Оценка
на
риска
Идентифи
кация на
активи с
висок риск
и критичен
х-р за нас
Мерки за
намалява
не на
риска
Царската
хазна
Дворец
Библиотека
и архиви
Пожар
кражб
и
висока огромно висок ХХХХ 1.Забрана
за четене
със
свещи
Харем
…….
• За да се избегнат грешки, в някои
области са изготвени предварително
зададени нива на риска и съответно
мерки за защита. Например в банковите
офиси, противопожарната охрана,
правителствени сгради, банките,
ядрената енергетика, други опасни
производства
Анализ “разходи ползи” –
основни стъпки
• Организация на анализа и подбор на експерти
• Определяне на целите на анализа, допусканията и ограниченията. Определяне на критерии за избор. Документиране на алтернативите
• Определяне на разходите по алтернативи
• Определяне на ползите по алтернативи
• Съпоставяне на разходи и ползи
• Анализ на чувствителността и неопределеността
• Оценка и ранжиране на алтернативите. Избор на алтернатива.
• Документиране на анализа и проверка за валидност на резултатите
Необходима е и известна доза творчество при прилагането на анализа
Мерки за защита при
физическата сигурност
• Специфични фактори
• Защита в дълбочина
Мерки за физическа сигурност по
Наредба 3 • Зони за сигурност
• Защитно осветление
• Алармена система против проникване
• Контрол на физическия достъп
• Защита срещу подслушване, осъществявана с или без технически средства
• Защита срещу неправомерно визуално наблюдение
• Осъществяване на визуално наблюдение с или без използване на технически средства
• Сили за реагиране
• Пожарогасителна или пожароизвестителна система
Фактори с които съобразяваме
мерките по Физическата
сигурност • Географско разположение – пътища,
транспорт
• Изисквания за достъп
• Разположение на сградите
• Вътрешни пространства
• Разположение на офисите
• Възможности или необходимост от охрана
• Защита на ел. Инсталации, ВиК, парно и други инфраструктури
• Естеството на работата (по важните се защитават повече
Зони за сигурност
• По ЗЗКИ – І клас и ІІ клас
• І клас – с пряк достъп до
класифицирана (чувствителна)
информация
• ІІ клас – с непряк достъп до
класифицирана (чувствителна)
информация
Сигурността
като концепция
„Крепост“
Минимални стандарти по периметъра на зоните за
сигурност _ задължителни за всички, включително
и за наемателите)
• Паркиране
• Контрол на паркинга
• Контрол на близките зани за паркиране
• Указателни знаци срещу непозволено спиране
• Идентификационни процедури при паркиране- карти, пропусквателен режим и др.
• Подходящо осветление
• Видеонаблюдение
• Видеозапис
• Указателни табели, посочващи че се извършва видеонаблюдение
• Осветление
• Осветление с възможности за работа при авария
• Физически бариери
• Бетонни или стоманени прегради
• Паркинг бариери
• Видео NEC Face recognition(1)
• Бош видео
Минимални стандарти при влизане в
зоната за сигурност
• Изпращане приемане на пратки
• Преглед на процедурите
• Контрол на пратките и куриерите
• Контрол на достъпа
• Оценка на сградите и съоръженията с оглед на задълженията на охраната
• Охранителни патрули
• Алармена система против проникване
• Противопожарна и пожароизвестителна система
• Входове / изходи
• Апаратура за проверка на багаж, лични вещи и хора
• Шпионки на входните врати
• Интеркоми за връзка с посетители отвън (домофони)
• Контрол на входа с видеонаблюдение
• Сигурни ключалки
• Специални стъкла – усилени, армирани, бронирани
Минимални стандарти за сигурност
вътре в зоната за сигурност
• Идентификация на служителите и посетителите
• Снимкова идентификация
• Система за проверка и контрол на посетителите
• Звено, което издава идентификационните карти
• Сгради и съоръжения
• Предотвратяване на неоторизиран достъп до сгради и съоръжения
• аварийно захранване на алармени системи, радиовръзки, компютри и видеонаблюдение
• решетки и преграждане на всички видове отвори, прозорци и входове
• Планове за евакуация
• Преглед на съществуващите планове
• Периодични учения
• Тренировки и обучение
• План за сигурност (физическа сигурност)
• На персонала
• На охраната
• Събиране на информация
• Връзка с полицейски и други правоохранителни органи
• Процедури за получаване и разпространение на информация
• Обединение и контакти с други фирми и асоциации
• Защита срещу подслушване
• Пасивно (намаляване на електромагнитните излъчвания, криптиране на информацията, звукоизолиране в зони клас І и ІІ)
• Активно – техническа или физическа проверка за подслушване
• Мерки срещу видеонаблюдение
• Щори, пердета, специални стъкла и други
• Осигуряване на технически защитени зони срещу подслушване и наблюдение
Синтис ООД
Според създателите – устройството представлявало на практика най-мощният
подобен заглушител в света. То се произвежда за държава от Африка и е
използвано за защита на американския президент Барак Обама по време на
посещението му на континента. Производствената му цена варира между 450 и
650 хил. евро.
• Презентация Siemens
• Том Круз - Мисията невъзможна 4
Режим Фантом
Благодаря за вниманието!
Въпроси?