Техническое обеспечение безопасности банка

Техническое обеспечение безопасности должно базироваться:

  • - на системе стандартизации и унификации;
  • - на системе лицензирования деятельности;
  • - на системах сертификации средств защиты;
  • - на системе сертификации ТС и ПС объектов информатизации;
  • - на системе аттестации защищенных объектов информатизации. Основными составляющими обеспечения безопасности ресурсов КБ

являются:

  • • система физической защиты (безопасности) материальных объектов и финансовых ресурсов;
  • • система безопасности информационных ресурсов.

Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:

  • - систему инженерно-технических и организационных мер охраны;
  • - систему регулирования доступа;
  • - систему мер (режима) сохранности и контроль вероятных каналов утечки информации;
  • - систему мер возврата материальных ценностей (или компенсации).

Система охранных мер должна предусматривать: многорубежность построения охраны (территории, здания, помещения) по нарастающей к наиболее ценной оберегаемой конкретности; комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;

надежную инженерно-техническую защиту вероятных путей несанкционированного вторжения в охраняемые пределы; устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;

высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителя; самоохрану персонала.

Система регулирования доступа должна предусматривать: объективное определение «надежности» лиц, допускаемых к банковской деятельности;

максимальное ограничение количества лиц, допускаемых на объекты КБ;

установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;

четкое определение порядка выдачи разрешений и оформление документов для входа (въезда) на объект;

определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;

оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;

• высокую подготовленность и защищенность персонала (нарядов) контрольно-пропускных пунктов.

При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:

  • 1) защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
  • 2) защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий.

В рамках указанных направлений технической политики обеспечения информационной безопасности необходима:

  • • реализация разрешительной системы допуска исполнителей к работам, документам и информации конфиденциального характера;
  • • ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, обрабатывается (хранится) информация конфиденциального характера;
  • • разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
  • • учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за доступом;
  • • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
  • • снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств и информационных систем;
  • • снижение уровня акустических излучений;
  • • электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
  • • активное зашумление в различных диапазонах;
  • • противодействие оптическим и лазерным средствам наблюдения;
  • • проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;
  • • предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.

Защита информационных ресурсов от несанкционированного доступа должна предусматривать:

  • 1) обоснованность доступа, когда исполнитель должен иметь соответствующую форму допуска для ознакомления с документацией;
  • 2) персональную ответственность в том, что исполнитель должен отчитываться за сохранность доверенных документов;
  • 3) надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
  • 4) разграничение информации но уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях, информационных массивах) с более низким уровнем конфиденциальности, предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
  • 5) контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;
  • 6) очистку оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;
  • 7) целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды.

Положение о персональной ответственности реализуется с помощью:

  • • росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
  • • индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
  • • проверки подлинности (аутентификации) исполнителей на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

Условие надежности храпения реализуется с помощью:

  • - хранилищ конфиденциальных документов, оборудованных техническими средствами охраны;
  • - выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;
  • - использования криптографического преобразования информации в автоматизированных системах.

Очистка памяти осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и мероприятий.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >