Техническое обеспечение безопасности банка

Техническое обеспечение безопасности должно базироваться:

• — на системе стандартизации и унификации;
• — на системе лицензирования деятельности;
• — на системах сертификации средств защиты;
• — на системе сертификации ТС и ПС объектов информатизации;
• — на системе аттестации защищенных объектов информатизации. Основными составляющими обеспечения безопасности ресурсов КБ

являются:

• • система физической защиты (безопасности) материальных объектов и финансовых ресурсов;
• • система безопасности информационных ресурсов.

Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:

• — систему инженерно-технических и организационных мер охраны;
• — систему регулирования доступа;
• — систему мер (режима) сохранности и контроль вероятных каналов утечки информации;
• — систему мер возврата материальных ценностей (или компенсации).

Система охранных мер должна предусматривать: многорубежность построения охраны (территории, здания, помещения) по нарастающей к наиболее ценной оберегаемой конкретности; комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;

надежную инженерно-техническую защиту вероятных путей несанкционированного вторжения в охраняемые пределы; устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;

высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителя; самоохрану персонала.

Система регулирования доступа должна предусматривать: объективное определение «надежности» лиц, допускаемых к банковской деятельности;

максимальное ограничение количества лиц, допускаемых на объекты КБ;

установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;

четкое определение порядка выдачи разрешений и оформление документов для входа (въезда) на объект;

определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;

оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;

• высокую подготовленность и защищенность персонала (нарядов) контрольно-пропускных пунктов.

При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:

• 1) защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
• 2) защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий.

В рамках указанных направлений технической политики обеспечения информационной безопасности необходима:

• • реализация разрешительной системы допуска исполнителей к работам, документам и информации конфиденциального характера;
• • ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, обрабатывается (хранится) информация конфиденциального характера;
• • разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
• • учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за доступом;
• • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
• • снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств и информационных систем;
• • снижение уровня акустических излучений;
• • электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
• • активное зашумление в различных диапазонах;
• • противодействие оптическим и лазерным средствам наблюдения;
• • проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;
• • предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.

Защита информационных ресурсов от несанкционированного доступа должна предусматривать:

• 1) обоснованность доступа, когда исполнитель должен иметь соответствующую форму допуска для ознакомления с документацией;
• 2) персональную ответственность в том, что исполнитель должен отчитываться за сохранность доверенных документов;
• 3) надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
• 4) разграничение информации, но уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях, информационных массивах) с более низким уровнем конфиденциальности, предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
• 5) контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;
• 6) очистку оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;
• 7) целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды.

Положение о персональной ответственности реализуется с помощью:

• • росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
• • индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
• • проверки подлинности (аутентификации) исполнителей на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

Условие надежности храпения реализуется с помощью:

• — хранилищ конфиденциальных документов, оборудованных техническими средствами охраны;
• — выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;
• — использования криптографического преобразования информации в автоматизированных системах.

Очистка памяти осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и мероприятий.