168504 (768046), страница 8
Текст из файла (страница 8)
оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;
высокую подготовленность и защищенность персонала (нарядов) контрольно- пропускных пунктов.
Система мер (режим) сохранности ценностей и контроля должна предусматривать:
строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения финансов);
максимальное ограничение посещений режимных зон лицами, не участвующими в работе;
максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;
организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности;
организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон;
обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;
соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;
организацию тщательного контроля на каналах возможной утечки информации;
оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.
Система мер возврата утраченных материальных и финансовых ресурсов слагается из совместных усилий объектовых служб безопасности и государственных органов охраны правопорядка и безопасности.
На объектовую службу безопасности возлагается:
обнаружение противоправного изъятия финансовых средств из обращения или хранения;
оперативное информирование правоохранительных органов о событиях и критических ситуациях;
возможность установления субъекта и время акции;
проведение поиска возможного "схрона" утраченных средств в районе объекта.
Дальнейший поиск и возврат пропавших ресурсов организуется в установленном порядке через соответствующие органы правопорядка и безопасности.
Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.
При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:
защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий.
В рамках указанных направлений технической политики обеспечения информационной безопасности необходима:
реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;
ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;
разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;
криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;
снижение уровня акустических излучений;
электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
активное зашумление в различных диапазонах;
противодействие оптическим и лазерным средствам наблюдения;
проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;
предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.
Защита информационных ресурсов от несанкционированного доступа должна предусматривать:
обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;
персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;
очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;
целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.
Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы) для каких действий или для какого вида доступа может предоставить и при каких условиях, и которая предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
Положение о персональной ответственности реализуется с помощью:
росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).
Условие надежности хранения реализуется с помощью:
хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;
выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;
использования криптографического преобразования информации в автоматизированных системах.
Правило разграничения информации по уровню конфиденциальной реализуется с помощью:
предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.
Система контроля за действиями исполнителей реализуется с помощью:
организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;
регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;
сигнализации о несанкционированных действиях пользователей.
Очистка памяти осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно- технических средств и организационных мероприятий.
Защита информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН).
Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до предела, определяемого "Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН", при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.
Первый способ реализуется выбором системно-технических и конструкторских решений при создании технических средств ЭВТ в "защищенном исполнении", а также рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.
Второй способ реализуется в основном за счет применения активных средств защиты в виде "генераторов шума" и специальной системы антенн.
Защита информации в линиях связи.
К основным видам линий связи, используемых для передачи информации, можно отнести проводные (телефонные, телеграфные), радио и радиорелейные, тропосферные и космические линии связи.
При необходимости передачи по ним конфиденциальной информации основным направлением защиты информации, передаваемой по всем видам линий связи, от перехвата, искажения и навязывания ложной информации является использование крипто-логического преобразования информации, а на небольших расстояниях, кроме того, использование защищенных волоконно-оптических линий связи.
Для защиты информации должны использоваться средства криптографической защиты данных гарантированной стойкости для определенного уровня конфиденциальности передаваемой информации и соответствующая ключевая система, обеспечивающая надежный обмен информацией и аутентификацию (подтверждение подлинности) сообщений.
Безопасное использование технических средств информатизации.
Одним из методов технической разведки и промышленного шпионажа является внедрение в конструкцию технических средств информатизации закладных устройств перехвата, трансляции информации или вывода технических средств из строя.
В целях противодействия такому методу воздействия на объекты информатики, для технических средств информатизации, предназначенных для обработки конфиденциальной информации, в обязательном порядке проводится проверка этих средств, осуществляемая специализированными организациями с помощью специальных установок и оборудования, как правило, в стационарных условиях в соответствии с установленными требованиями.
Защита речевой информации при проведении конфиденциальных переговоров.
Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения закладных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами.
В связи с интенсивным внедрением в деятельность КБ автоматизированных систем организационно-финансового управления, технического и другого назначения, используемых для обработки конфиденциальной информации, для учета финансовых средств, локальных, региональных и глобальных вычислительных сетей и интеграции в них значительных по объему и важных по содержанию информационных ресурсов, проблеме безопасности информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи, следует уделить особое внимание.
Обеспечение качества в системе безопасности.
Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно- технических и методических документов по безопасности, утвержденных федеральными органами государственного управления в соответствии с их компетенцией и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.
В соответствии с требованиями этой НТД должны проводиться предпроектное обследование и проектирование информационных систем, заказ средств защиты информации и контроля, предполагаемых к использованию в этих системах, аттестация объектов информатики, а также контроль защищенности информационных ресурсов.
Управление системой экономической безопасности коммерческого банка
Действующие в настоящее время и разрабатываемые законодательные и иные нормативные акты предусматривают право КБ на выработку собственной концепции системы безопасности и создания соответствующей службы как системы исполнительных органов, реализующей эту концепцию.
Исходя из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности КБ, целесообразно выделить следующие основные направления деятельности КБ по обеспечению его безопасности:
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
