11. Централизация управления. Предполагает самостоятельное функционирование системы безопасности по единым правовым, организационным, функциональным и методологическим принципам и централизованным управлением деятельностью системы безопасности.
Существующие правовые условия обеспечения банковской безопасности в основном позволяют государственным и иным правоохранительным и охранным структурам организовывать противостояние противоправным посягательствам на банковскую безопасность в различных ее аспектах.
Успешное и эффективное решение задач обеспечения безопасности конкретного банка достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников линейных подразделений и служб, в том числе и службы безопасности. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с Устава коммерческого банка и кончая функциональными обязанностями каждого сотрудника. Необходимым условием обеспечения безопасности банка является совокупность правил входа (выхода) лиц в помещения банка, вноса (выноса) документов, денежных средств и материальных ценностей.
Техническое обеспечение безопасности должно базироваться:
на системе стандартизации и унификации;
на системе лицензирования деятельности;
на системах сертификации средств защиты;
на системе сертификации ТС и ПС объектов информатизации;
на системе аттестации защищенных объектов информатизацией.
Основными составляющими обеспечения безопасности ресурсов КБ являются:
система физической защиты (безопасности) материальных объектов и финансовых ресурсов;
система безопасности информационных ресурсов.
Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:
систему инженерно-технических и организационных мер охраны;
систему регулирования доступа;
систему мер (режима) сохранности и контроль вероятных каналов утечки информации;
систему мер возврата материальных ценностей (или компенсации).
Система охранных мер должна предусматривать:
многорубежность построения охраны (территории, здания, помещения) по нарастающей к наиболее ценной оберегаемой конкретности;
комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
надежную инженерно-техническую защиту вероятных путей несанкционированного вторжения в охраняемые пределы;
устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;
высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителя;
самоохрану персонала.
Система регулирования доступа должна предусматривать:
объективное определение "надежности" лиц, допускаемых к банковской деятельности;
максимальное ограничение количества лиц, допускаемых на объекты КБ;
установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;
четкое определение порядка выдачи разрешений и оформление документов для входа (въезда) на объект;
определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;
оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;
высокую подготовленность и защищенность персонала (нарядов) контрольно- пропускных пунктов.
Система мер (режим) сохранности ценностей и контроля должна предусматривать:
строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения финансов);
максимальное ограничение посещений режимных зон лицами, не участвующими в работе;
максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;
организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности;
организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон;
обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;
соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;
организацию тщательного контроля на каналах возможной утечки информации;
оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.
Система мер возврата утраченных материальных и финансовых ресурсов слагается из совместных усилий объектовых служб безопасности и государственных органов охраны правопорядка и безопасности.
На объектовую службу безопасности возлагается:
обнаружение противоправного изъятия финансовых средств из обращения или хранения;
оперативное информирование правоохранительных органов о событиях и критических ситуациях;
возможность установления субъекта и время акции;
проведение поиска возможного "схрона" утраченных средств в районе объекта.
Дальнейший поиск и возврат пропавших ресурсов организуется в установленном порядке через соответствующие органы правопорядка и безопасности.
Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.
При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:
защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий.
В рамках указанных направлений технической политики обеспечения информационной безопасности необходима:
реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;
ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;
разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;
криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;
снижение уровня акустических излучений;
электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
активное зашумление в различных диапазонах;
противодействие оптическим и лазерным средствам наблюдения;
проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;
предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.
Защита информационных ресурсов от несанкционированного доступа должна предусматривать:
обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;
персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;
очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;