Безопасность банковской деятельности

Автор работы: Пользователь скрыл имя, 11 Декабря 2011 в 10:11, реферат

Краткое описание

По инициативе Ассоциации российских банков группой специалистов подготовлена Концепция безопасности коммерческого банка. В этом документе на основе анализа накопленного опыта в рассматриваемой сфере определены цели, задачи и принципы построения надежной защиты кредитной организации от внутренних и внешних угроз, указаны основные направления создания такой системы, даны рекомендации по разработке программы безопасности банка.

Содержимое работы - 1 файл

безоп банк деяьт.docx

— 54.27 Кб (Скачать файл)

    Система мер (режим) сохранности  ценностей и контроля должна предусматривать:

    • строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения финансов);
    • максимальное ограничение посещений режимных зон лицами, не участвующими в работе;
    • максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;
    • организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности;
    • организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон;
    • обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;
    • соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;
    • организацию тщательного контроля на каналах возможной утечки информации;
    • оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.

    Система мер  возврата утраченных материальных и  финансовых ресурсов слагается из совместных усилий объектовых служб безопасности и государственных органов охраны правопорядка и безопасности.

    На  объектовую службу безопасности возлагается:

    • обнаружение противоправного изъятия финансовых средств из обращения или хранения;
    • оперативное информирование правоохранительных органов о событиях и критических ситуациях;
    • возможность установления субъекта и время акции;
    • проведение поиска возможного "схрона" утраченных средств в районе объекта.

    Дальнейший  поиск и возврат пропавших  ресурсов организуется в установленном  порядке через соответствующие  органы правопорядка и безопасности.

    Система обеспечения  безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических  средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.

    При этом основными  направлениями реализации технической  политики обеспечения информационной безопасности в этих сферах деятельности являются:

    • защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
    • защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий.

    В рамках указанных  направлений технической политики обеспечения информационной безопасности необходима:

    • реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;
    • ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;
    • разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
    • учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;
    • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
    • снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;
    • снижение уровня акустических излучений;
    • электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
    • активное зашумление в различных диапазонах;
    • противодействие оптическим и лазерным средствам наблюдения;
    • проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;
    • предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.

    Защита  информационных ресурсов от несанкционированного доступа должна предусматривать:

    • обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;
    • персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
    • надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
    • разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
    • контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;
    • очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;
    • целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.

    Требование  обоснованности доступа реализуется  в рамках разрешительной системы  допуска к работам, документам и  сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и  сведения (носители информации, информационные массивы) для каких действий или  для какого вида доступа может  предоставить и при каких условиях, и которая предполагает определение  для всех пользователей автоматизированных систем информационных и программных  ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

    Положение о персональной ответственности  реализуется с помощью:

    • росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
    • индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
    • проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

    Условие надежности хранения реализуется с помощью:

    • хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;
    • выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;
    • использования криптографического преобразования информации в автоматизированных системах.

    Правило разграничения  информации по уровню конфиденциальной реализуется с помощью:

    • предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.

    Система контроля за действиями исполнителей реализуется с помощью:

    • организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;
    • регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;
    • сигнализации о несанкционированных действиях пользователей.

    Очистка памяти осуществляется организационными и  программными мерами, а целостность  автоматизированных систем обеспечивается комплексом программно- технических средств и организационных мероприятий.

    Защита  информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН).

    Основным  направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала  к помехе до предела, определяемого "Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН", при котором восстановление сообщений становится принципиально  невозможным. Решение этой задачи достигается  как снижением уровня излучений  информационных сигналов, так и увеличением  уровня помех в соответствующих  частотных диапазонах.

    Первый  способ реализуется выбором системно-технических  и конструкторских решений при  создании технических средств ЭВТ  в "защищенном исполнении", а также  рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.

    Второй  способ реализуется в основном за счет применения активных средств защиты в виде "генераторов шума" и  специальной системы антенн.

    Защита  информации в линиях связи.

    К основным видам линий связи, используемых для передачи информации, можно отнести  проводные (телефонные, телеграфные), радио  и радиорелейные, тропосферные и  космические линии связи.

    При необходимости  передачи по ним конфиденциальной информации основным направлением защиты информации, передаваемой по всем видам линий  связи, от перехвата, искажения и  навязывания ложной информации является использование крипто-логического  преобразования информации, а на небольших  расстояниях, кроме того, использование  защищенных волоконно-оптических линий  связи.

    Для защиты информации должны использоваться средства криптографической защиты данных гарантированной  стойкости для определенного  уровня конфиденциальности передаваемой информации и соответствующая ключевая система, обеспечивающая надежный обмен  информацией и аутентификацию (подтверждение  подлинности) сообщений.

    Безопасное  использование технических  средств информатизации.

    Одним из методов  технической разведки и промышленного  шпионажа является внедрение в конструкцию  технических средств информатизации закладных устройств перехвата, трансляции информации или вывода технических  средств из строя.

    В целях  противодействия такому методу воздействия  на объекты информатики, для технических  средств информатизации, предназначенных  для обработки конфиденциальной информации, в обязательном порядке  проводится проверка этих средств, осуществляемая специализированными организациями  с помощью специальных установок  и оборудования, как правило, в  стационарных условиях в соответствии с установленными требованиями.

Информация о работе Безопасность банковской деятельности