Реферат: Концепция безопасности банка общие положения

КОНЦЕПЦИЯ БЕЗОПАСНОСТИ БАНКА


1. ОБЩИЕ ПОЛОЖЕНИЯ


Концепция безопасности банка представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты банковского дела от противоправных действий и недобросовестной конкуренции. Под безопасностью Банка понимается состояние защищенности интересов владельцев, руководства и клиентов Банка, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.

Обеспечение безопасности является неотъемлемой составной частью деятельности Банка. Состояние защищенности представляет собой умение и способность Банка надежно противостоять любым попыткам криминальных структур или недобросовестных конкурентов нанести ущерб его законным интересам.

Объектами безопасности являются:

персонал (руководство, ответственные исполнители, сотрудники);

финансовые средства,

материальные ценности,

новейшие технологии;

информационные ресурсы (информация с ограниченным доступом, составляющая коммерческую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления)

Субъектами правоотношений при решении проблемы безопасности являются:

государство (Российская Федерация) как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны;

Центральный Банк Российской Федерации, осуществляющий денежно-кредитную политику страны;

Банк как юридическое лицо, являющееся собственником финансовых, а также информационных ресурсов, составляющих служебную, коммерческую и банковскую тайну;

другие юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования Банка как внутри страны, так и во внешнефинансовых связях (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг в области безопасности, обслуживающий персонал, клиенты и др.);

служба безопасности Банка и частные охранно-детективные структуры.

Концепция определяет цели и задачи системы безопасности, принципы ее организации, функционирования и правовые основы, виды угроз безопасности и ресурсы, подлежащие защите, а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.


^ 2. ЦЕЛИ И ЗАДАЧИ СИСТЕМЫ БЕЗОПАСНОСТИ


Главной целью системы безопасности является обеспечение устойчивого функционирования Банка и предотвращение угроз его безопасности, защита его законных интересов от противоправных посягательств, охрана жизни и здоровья персонала, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.

^ Другими целями системы безопасности являются:

формирование целостного представления о системе безопасности Банка и взаимоувязка различных элементов этой системы, определение путей реализации мероприятий, обеспечивающих необходимый уровень надежной защищенности объектов;

повышение имиджа Банка и роста прибыли за счет обеспечения высокого качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

^ Задачами системы безопасности являются:

прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам Банка; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развитию;

отнесение информации к категории ограниченного доступа (государственной, служебной, банковской и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов - к различным уровням уязвимости (опасности) и подлежащих сохранению;

создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании Банка;

эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;

создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение стратегических целей Банка.


^ 3. ПРИНЦИПЫ ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ

СИСТЕМЫ БЕЗОПАСНОСТИ


Организация и функционирование системы безопасности должны соответствовать следующим принципам:

1. Комплексность:

обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;

обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;

способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования Банка.

Комплексность достигается:

обеспечением соответствующего режима и охраны Банка;

организацией специального делопроизводства с ориентацией на защиту коммерческих секретов и банковской тайны;

мероприятиями по подбору и расстановке кадров;

широким использованием технических средств безопасности и защиты информации;

развернутой информационно-аналитической и детективной деятельностью.

Комплексность реализуется совокупностью правовых, организационных и инженерно-технических мероприятий.

2. Своевременность - упреждающий характер мер обеспечения безопасности.

Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирование финансовой обстановки, угроз безопасности Банка, а также разработку эффективных мер предупреждения посягательств на законные интересы.

3. Непрерывность - считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для этого к легальным и нелегальным методам.

4. Активность. Защищать интересы Банка необходимо с достаточной степенью настойчивости, широко используя маневр силами и средствами обеспечения безопасности и нестандартные меры защиты.

5. Законность. Предполагает разработку системы безопасности на основе федерального законодательства в области банковской деятельности, информатизации и защиты информации, частной охранной деятельности и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.

6. Обоснованность. Используемые возможности и средства защиты должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам.

7. ^ Экономическая целесообразность и сопоставимость возможного ущерба и затрат на обеспечение безопасности (критерий "эффективность - стоимость"). Во всех случаях стоимость системы безопасности должна быть меньше размера возможного ущерба от любых видов риска.

8. Специализация. Предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами службы безопасности Банка, его функциональных и обслуживающих подразделений.

9. ^ Взаимодействие и координация. Означает осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, сторонних специализированных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными объединениями и взаимодействия с органами государственного управления и правоохранительными органами.

10. Совершенствование. Предусматривает совершенствование мер и средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта.

11. ^ Централизация управления. Предполагает самостоятельное функционирование системы безопасности по единым правовым, организационным, функциональным и методологическим принципам и централизованным управлением деятельностью системы безопасности.


^ 4. ОБЪЕКТЫ ЗАЩИТЫ


К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:

персонал Банка (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих банковскую и коммерческую тайну, работники внешнеэкономических служб и другие);

финансовые средства, валюта, драгоценности;

информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;

средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио и оптической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);

материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);

технические средства и системы охраны и защиты материальных и информационных ресурсов.

Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска.

Наибольшую уязвимость представляют финансовые и валютные средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.


^ 5. ОСНОВНЫЕ ВИДЫ УГРОЗ ИНТЕРЕСАМ БАНКА


5.1 В общем плане к угрозам безопасности личности относятся:

похищения и угрозы похищения сотрудников, членов их семей и близких родственников;

убийства, сопровождаемые насилием, издевательствами и пытками;

психологический террор, угрозы, запугивание, шантаж, вымогательство;

нападение с целью завладения денежными средствами, ценностями и документами.

Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде:

взрывов;

обстрелов из огнестрельного оружия;

минирования, в том числе с применением дистанционного управления;

поджогов;

нападения, вторжения, захватов, пикетирования, блокирования;

повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных:

технологические аварии, пожары.

Цель подобных акций:

нанесение серьезного морального и материального ущерба;

срыв на длительное время нормального функционирования;

вымогательство значительных сумм денег или каких-либо льгот (кредиты, отсрочка или погашение платежей и т.п.) перед лицом террористической угрозы.

5.2 Угрозы финансовым ресурсам проявляются в виде:

невозврата кредитных ссуд;

мошенничества со счетами и вкладами клиентов, а также со средствами Банка;

подложных платежных документов и пластиковых карт;

хищения финансовых средств из касс и инкассаторских машин.

Осуществление угроз финансовым ресурсам может быть произведено:

нарушением технологии обработки банковской информации при ее приеме и передаче через внешние каналы связи (работа через SWIFT и SPRINT);

нарушением технологии обработки платежных документов на всех этапах проведения и исполнения платежей;

нарушением управления корреспондентскими счетами Банка;

нарушением правил установления и доведения до исполнителей распорядительных документов (таких как курсов обмена валют, подтверждения или отказа от сделок и т.д.)

злоупотреблениями со стороны клиентов и сотрудников Банка при работе с пластиковыми картами.

5.3 Угрозы информационным ресурсам проявляются в виде:

разглашения конфиденциальной информации;

утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера;

несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований;

разрушения или несанкционированной модификации информации;

блокирования или разрушения технических средств приема, передачи, обработки и хранения информации.

Осуществление угроз информационным ресурсам может быть произведено:

путем неофициального доступа и съема конфиденциальной информации;

путем подкупа лиц, работающих в Банке или структурах, непосредственно связанных с его деятельностью;

путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения;

путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;

через переговорные процессы между Банком и иностранными или отечественными фирмами, используя неосторожное обращение с информацией;

через отдельных сотрудников Банка, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную либо личную заинтересованность;

случайным или преднамеренным нарушением работоспособности технических средств приема, передачи, хранения и обработки информации

бесконтрольным изготовлением, размножением и уничтожением информации, включая копирование на отчуждаемые носители информации (магнитные, оптические, бумажные или любые другие).


^ 6. ПРАВОВЫЕ ОСНОВЫ СИСТЕМЫ БЕЗОПАСНОСТИ


Правовые основы безопасности коммерческого Банка определяют соответствующие положения Конституции Российской Федерации, Закон "О безопасности", федеральные законы "О Центральном Банке Российской Федерации", "О банках и банковской деятельности" и другие нормативные акты.

Правовая защита персонала Банка, материальных и экономических интересов Банка и его клиентов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов, законов Российской Федерации о прокуратуре, о федеральной службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.

Защиту имущественных и иных материальных интересов и деловой репутации Банка призваны обеспечивать также гражданское, гражданско-процессуальное и арбитражное и арбитражно-процессуальное законодательство.

Правовую основу безопасности Банка с клиентами составляют законодательные акты, регулирующие возможность применения различных способов обеспечения исполнения обязательств. Гражданский кодекс РФ позволяет применять удержание, залог, поручительство и банковскую гарантию. Наиболее надежным способом обеспечения выполнения кредитных обязательств является залог. Правовое регулирование залоговых отношений осуществляется при помощи ряда законодательных актов и норм, их которых наиболее важными являются ГК РФ (ст. 334-358), Закон РФ "О залоге" от 29.05.92 N 2872-1, Гражданский процессуальный кодекс РФ (ст. 399-405), Временное положение о согласовании залоговых сделок (утверждено распоряжением Госкомимущества РФ от 21.04.94 N 890-р), Основные положения о залоге недвижимого имущества - ипотеке (одобрено распоряжением заместителя Председателя СМ РФ от 22.12.93 N 96-рз).

Обеспечение информационной безопасности в банковской системе регулируется законами Российской Федерации: "О банках и банковской деятельности", "О государственной тайне", "Об информации, информатизации и защите информации". Важное значение в этом деле имеют указы Президента Российской Федерации "О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 08.05.93 N 644, "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.95 N 334, "О создании Государственной технической комиссии при Президенте Российской Федерации" от 05.01.92 N 9.

При практическом решении задач обеспечения безопасности банковской деятельности необходимо опираться также и на следующие правовые нормативные акты:

постановление Правительства РСФСР от 05.12.91 N 35 "О перечне сведений, которые не могут составлять коммерческую тайну";

"Положение о сертификации средств защиты информации", утвержденное постановлением Правительства Российской Федерации от 26.06.95 N 608 "О сертификации средств защиты информации";

Положение о государственной системе защиты информации от ИТР и от утечки по техническим каналам, утвержденное постановлением Правительства РФ от 15.09.93 N 912-51;

"Положение о государственном лицензировании деятельности в области защиты информации", утвержденное совместным решением Гостехкомиссии и ФАПСИ при Президенте Российской Федерации от 27.04.94 N 10.

Существующие правовые условия обеспечения банковской безопасности в основном позволяют государственным и иным правоохранительным и охранным структурам организовывать противостояние противоправным посягательствам на банковскую безопасность в различных ее аспектах.

Успешное и эффективное решение задач обеспечения безопасности Банка достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников подразделений и служб, в том числе и службы безопасности. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с Устава Банка и кончая функциональными обязанностями каждого сотрудника. Необходимым условием обеспечения безопасности Банка является совокупность правил входа (выхода) лиц в помещения банка, вноса (выноса) документов, денежных средств и материальных ценностей.


^ 7. ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ БАНКА


Техническое обеспечение безопасности должно базироваться:

на системе стандартизации и унификации;

на системе лицензирования деятельности;

на системах сертификации средств защиты;

на системе сертификации ТС и ПС объектов информатизации;

на системе аттестации защищенных объектов информатизации.

Основными составляющими обеспечения безопасности ресурсов Банка являются:

система физической защиты (безопасности) материальных объектов и финансовых ресурсов;

система безопасности информационных ресурсов.

Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:

систему инженерно-технических и организационных мер охраны;

систему регулирования доступа;

систему мер (режима) сохранности и контроль вероятных каналов утечки информации;

систему мер возврата материальных ценностей (или компенсации).

Система охранных мер должна предусматривать:

многорубежность построения охраны (территории, здания, помещения) по нарастающей к наиболее ценной оберегаемой конкретности;

комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;

надежную инженерно-техническую защиту вероятных путей несанкционированного вторжения в охраняемые пределы;

устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;

высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителя;

самоохрану персонала.

Система регулирования доступа должна предусматривать:

объективное определение "надежности" лиц, допускаемых к банковской деятельности;

максимальное ограничение количества лиц, допускаемых на объекты Банка;

установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;

четкое определение порядка выдачи разрешений и оформление документов для входа (въезда) на объект;

определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;

оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного(в том числе силового) проникновения посторонних лиц;

высокую подготовленность и защищенность персонала (нарядов) контрольно-пропускных пунктов.

Система мер (режим) сохранности ценностей и контроля должна предусматривать:

строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения финансов);

максимальное ограничение посещений режимных зон лицами, не участвующими в работе;

максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;

организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности;

организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон;

обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;

соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;

организацию тщательного контроля на каналах возможной утечки информации;

оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.


Система мер возврата утраченных материальных и финансовых ресурсов слагается из совместных усилий объектовых служб безопасности и государственных органов охраны правопорядка и безопасности.

На объектовую службу безопасности возлагается:

обнаружение противоправного изъятия финансовых средств из обращения или хранения;

оперативное информирование правоохранительных органов о событиях и критических ситуациях;

возможность установления субъекта и время акции;

проведение поиска возможного "схрона" утраченных средств в районе объекта.

Дальнейший поиск и возврат пропавших ресурсов организуется в установленном порядке через соответствующие органы правопорядка и безопасности.

^ Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.

При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:

защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;

защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий.

В рамках указанных направлений технической политики обеспечения

информационной безопасности необходима:

реализация разрешительной системы допуска исполнителей (пользователей)к работам, документам и информации конфиденциального характера;

ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;

разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;

учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;

криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;

снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;

снижение уровня акустических излучений;

электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;

активное зашумление в различных диапазонах;

противодействие оптическим и лазерным средствам наблюдения;

проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;

предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.

Защита информационных ресурсов от несанкционированного доступа должна предусматривать:

обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;

персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;

надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;

разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;

контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;

очистку (обнуление, исключение информативности) оперативной памяти, буферов, магнитных и иных носителей информации при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;

целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.

Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы) для каких действий или для какого вида доступа может предоставить и при каких условиях, и которая предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление,

выполнение) с помощью заданных программно-технических средств доступа.

Положение о персональной ответственности реализуется с помощью:

росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;

индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;

проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, смарт карт, цифровой подписи как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

Условие надежности хранения реализуется с помощью:

хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;

выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;

использования криптографического преобразования информации в автоматизированных системах.

Правило разграничения информации по уровню конфиденциальной реализуется с помощью:

предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.

Система контроля за действиями исполнителей реализуется с помощью:

организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;

регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;

сигнализации о несанкционированных действиях пользователей.

Очистка носителей информации осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и организационных мероприятий.

^ Защита информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН).

Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до предела, определяемого "Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН", при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.

Первый способ реализуется выбором системно-технических и конструкторских решений при создании технических средств ЭВТ в "защищенном исполнении", а также рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.

Второй способ реализуется в основном за счет применения активных средств защиты в виде "генераторов шума" и специальной системы антенн.

^ Защита информации в линиях связи.

К основным видам линий связи, используемых для передачи информации, можно отнести проводные (телефонные, телеграфные), оптические и радио линии связи.

При необходимости передачи по ним конфиденциальной информации основным направлением защиты информации, передаваемой по всем видам линий связи, от перехвата, искажения и навязывания ложной информации является использование криптографического преобразования информации, а на небольших расстояниях, кроме того, использование защищенных волоконно-оптических линий связи.

Для защиты информации должны использоваться средства криптографической защиты данных не ниже временной стойкости для определенного уровня конфиденциальности передаваемой информации и соответствующая ключевая система, обеспечивающая надежный обмен информацией и аутентификацию (подтверждение подлинности) сообщений.

^ Защита речевой информации при проведении конфиденциальных переговоров.

Исходя из возможности перехвата речевой информации при проведении

разговоров конфиденциального характера с помощью внедрения закладных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами.

В связи с интенсивным внедрением в деятельность Банка автоматизированных систем организационно-финансового управления, технического и другого назначения, используемых для обработки конфиденциальной информации, для учета финансовых средств, локальных и корпоративных вычислительных сетей и интеграции в них значительных по объему и важных по содержанию информационных ресурсов, проблеме без