Защита информации предприятия

- если сеть общего пользования используется для передачи конфиденциальной информации, то такая передача должна осуществляться с применением сертифицированных средств криптозащиты;

- взаимодействие с сетью общего пользования должно осуществляться через специальный шлюз;

- доступ сотрудников Банка к сети общего пользования должен быть строго регламентирован.

Защита на уровне ПК является защитой рабочего места пользователя и одним из основных элементов комплексной защиты для однозначной идентификации «пользователь -- рабочее место».

Средства защиты ПК должны обеспечивать:

- идентификацию и аутентификацию пользователя;

- защиту системного и прикладного программного обеспечения, в том числе сетевого, от реконфигурации;

- невозможность изменения системных параметров компьютера, инсталляцию программного обеспечения, копирование данных на съемные носители информации;

- отсутствие программ - вирусов и программ - закладок;

- запрет на применение считывающих устройств с внешних носителей информации, исключение делается для пользователей, имеющих разрешение Управления экономической безопасности;

- невозможность физического доступа к аппаратным ресурсам ПК;

- ведение системного журнала по основным событиям.

На каждом рабочем месте должны быть зарегистрированы только два пользователя - непосредственно пользователь и администратор. Администратор может входить в систему для реконфигурации только в локальном режиме.

Конфигурирование и управление средствами защиты осуществляет Департамент информационных технологий. Контроль средств защиты выполняет Управление экономической безопасности.

В настоящее время криптозащита является единственно надежным средством защиты конфиденциальной информации при передаче по каналам связи. В каждой системе Банка используется, как правило, штатное программно-аппаратное средство криптозащиты. Порядок применения конкретных систем криптозащиты изложен в инструкциях пользователей подсистем.

Помещения для размещения технических средств криптографической защиты информации должны находиться в зоне безопасности. Под зоной безопасности понимается территория банка, в которой имеют право находиться только работники банка, имеющие в неё допуск. Рекомендуется использование автоматизированной системы контроля и учёта доступа в помещение с регламентацией санкционированного права допуска.

Управление средствами криптозащиты осуществляют соответствующие должностные лица в каждой подсистеме. Контроль и учет использования средств криптозащиты осуществляет Управление экономической безопасности.

Главной задачей средств контроля является своевременное обнаружение и регистрация ситуаций, которые в соответствии с установленными факторами риска могут быть расценены как угрозы Банку. Контроль включает в себя:

1.Регистрацию событий в целях профилактики информационной безопасности или же тех событий, которые могут быть расценены как угроза;

2.Выдачу соответствующих сообщений на консоль оператора или/и протоколирование параметров событий в системном журнале.

Средства управления предназначены для оперативной реакции со стороны администраторов безопасности систем на различные, в т.ч. и кризисные ситуации, а также для настройки основных параметров системы. Основными функциями управления являются:

-защита от НСД;

-ликвидация аварийных ситуаций;

-конфигурирование программно-аппаратных средств подсистем;

-регистрация пользователей и распределение ресурсов.

Организационные меры являются основным элементом, связывающим в единое целое средства и меры защиты, контроля и управления, а также правила их использования и применения. К организационным мерам относятся также разработка руководящих и нормативных документов, контроль за их выполнением. Основой организации защиты и контроля систем и сетей является «Политика информационной безопасности МОРСКОГО АКЦИОНЕРНОГО БАНКА».

«Политика информационной безопасности МОРСКОГО АКЦИОНЕРНОГО БАНКА» - руководящий документ, описывающий основные положения и принципы реализации концепции информационной безопасности. Политика разрабатывается в целях:

- определения общих правил обработки информации;

- определения целей и общих принципов защиты информации, факторов риска и уязвимых мест систем;

- определения на некоторый момент времени состава всех информационно-вычислительных систем, программных и аппаратных средств, их конфигурацию, средств защиты, контроля и управления;

- определения обязанностей пользователей и персонала систем по защите информации.

2.9 Организациябезотказной работы

Для обеспечения безотказной работы и восстановления автоматизированных систем и сетей в случаях аварий, стихийных бедствий и других кризисных ситуаций, предусматриваются соответствующие меры и средства. Они составляют основу «Плана обеспечения безотказной работы и восстановления сетей и систем МОРСКОГО АКЦИОНЕРНОГО БАНКА».

Для обеспечения безотказной работы и восстановления сетей и систем помимо организационных мер используется специальное оборудование и процедуры:

1.Бесперебойное электропитание - наиболее важный элемент обеспечения безотказной работы. Оно обеспечивается путем установки системы перехода на резервное питание при выходе из строя основного, установкой источников бесперебойного питания, дающих возможность системе функционировать до прибытия сотрудников эксплуатационных служб и устранения аварии электропитания.

2. Резервное копирование и хранение программ и данных на внешних носителях - основной способ их сохранения. Резервное копирование может быть полным (копии со всех данных) и выборочным (копии наиболее важных данных). Способ и периодичность резервного копирования определяется для каждой системы индивидуально. Целесообразно хранить несколько поколений данных и на каждую копию иметь дубликат, который должен храниться отдельно от основной копии в специальном оборудованном защищенном помещении Банка на значительном удалении от действующей системы.

3.Резервирование аппаратных ресурсов - применяется для обеспечения восстановления работоспособности системы при отказах аппаратных средств. Основным критерием использования резервных ресурсов является критичность по отношению к жизнедеятельности Банка и экономическая целесообразность. Наиболее уязвимыми элементами системы являются серверы, используемые для работы систем, и каналы связи. В связи с этим целесообразно применять отказоустойчивые серверы, в которых конструктивно резервируются и дублируются наиболее критичные элементы. Для наиболее важных систем необходимо использовать «холодный резерв» - второй комплект оборудования. Для обеспечения функционирования систем при обмене данными по внешним сетям, необходимо предусмотреть резервирование каналов связи и коммуникационного оборудования, в том числе разных поставщиков телекоммуникационных услуг (провайдеров).

Помимо мер по предотвращению возникновения кризисных ситуаций, необходимо предусмотреть организационные мероприятия для устранения их последствий, которые включают в себя:

- локализацию области воздействия фактора риска;

- уведомление соответствующих должностных лиц о факте возникновения кризисной ситуации;

- предотвращение расширения кризисной ситуации, при необходимости выведение из эксплуатации системы, комплексов или отдельных компонентов;

- обеспечение безотказной работы, оперативную корректировку параметров системы, удаление или выведение из эксплуатации пораженных элементов системы, загрузку копий программного обеспечения и/или переход на резервное оборудование;

- полное устранение причин кризисной ситуации;

- восстановление аппаратных, программных и информационных элементов систем;

- расследование причин кризисной ситуации, пересмотр плана защиты (при необходимости).

Для определения действий в кризисных ситуациях в целях обеспечения безотказной работы и восстановления функционирования систем разрабатывается «План обеспечения безотказной работы и восстановления сетей и систем МОРСКОГО АКЦИОНЕРНОГО БАНКА». План должен содержать следующие сведения:

1.Общие положения:

- цели плана;

- классы кризисных ситуаций с указанием основных факторов риска, их вызывающих;

- перечень ответственных лиц и порядок их уведомления о факте возникновения кризисной ситуации;

- приоритетность действий администрации и персонала Банка в случае возникновения кризисной ситуации;

- условия пересмотра плана.

2. Описание средств и процедур обеспечения безотказной работы и восстановления:

- средства обеспечения бесперебойного электропитания;

- правила и процедуры резервирования и резервного копирования системного и прикладного программного обеспечения, наборов и баз данных с указанием периодичности копирования, носителя резервной копии, срока восстановления, ответственного за резервное копирование и хранение копий, места хранения;

- резервные аппаратные ресурсы системы (включая каналы связи) с указанием местонахождения, основных характеристик, срока ввода в эксплуатацию;

- средства и меры, позволяющие удостовериться в целостности и доступности резервных копий и ресурсов.

3. План мероприятий:

- уведомление определенных ответственных лиц (согласно перечню) о факте возникновения кризисной ситуации;

- локализация и описание нарушения;

- немедленная реакция на нарушение - действие пользователей и персонала в момент обнаружения нарушения;

- возобновление обработки после устранения нарушения и первичного восстановления, либо после переключения на резервную систему;

- полная проверка системы на предмет отсутствия причин, ведущих к возникновению кризисной ситуации;

- полное восстановление функционирования системы - удаление и замена поврежденных компонентов системы, проверка целостности и доступности программных и аппаратных средств, данных, возобновление обработки в полном объеме;

- оценка ущерба от нарушения, расследование причин возникновения кризисной ситуации.

Кризисные ситуации, не предусмотренные Планом обеспечения безотказной работы и восстановления, считаются случайными и отвечающими допустимому уровню риска. Реакция сотрудников СБ, а также сотрудников подразделений на такие ситуации определяется Планом обеспечения безотказной работы и восстановления.

Кризисные ситуации, возникающие в результате несоответствия технической документации поставленному в Банк продукту (оборудованию, программному обеспечению), рассматриваются как случайные угрозы, ответственность за которые несет разработчик. Для минимизации воздействия недокументированных свойств принимаются следующие меры:

- разработка ПО для обработки информации ограниченного распространения проводится сотрудниками ДИТ или привлечёнными Российскими компаниями по согласованию с УЭБ;

- до заключения договоров с разработчиками на поставку ПО сторонами должны быть подписаны соглашения о соблюдении режима конфиденциальности, куда вносится пункт об ответственности за недокументированные свойства разработок;

- по всем системам имеются договоры поддержки с фирмами-производителями или распространителями;

- периодическая проверка состояния системного и прикладного ПО на предмет диагностики штатного состояния.

Надежность средств защиты, контроля и управления, призванных обеспечить информационную безопасность, определяется на основе технических и эксплуатационных характеристик средств, внесённых в документацию и подтвержденных тестированием.

2.10 Защита речевой информации

Основной целью защиты конфиденциальной речевой информации является предотвращение несанкционированного съёма информации по всевозможным каналам, которые могут иметь естественный характер или создаваться преднамеренно.

Защита речевой информации представляет собой процесс, организуемый и поддерживаемый в Банке с целью предупреждения ее утечки. Непосредственные работы по защите речевой информации проводит Управление экономической безопасности .

Возможными каналами утечки речевой информации являются:

- естественный акустический канал;

- умышленное или неумышленное разглашение сотрудниками Банка сведений, отнесённых к коммерческой тайне;

- естественный визуальный канал;

- виброакустический канал;

- радиолинии телефонной связи;

- линии проводной телефонной связи;

- радиолинии;

- побочные утечки от технических средств обработки информации;

- проводные линии.

Каналы утечки могут быть естественные и искусственные. Естественные каналы существуют в Банке и для трансляции снимаемых сигналов не требуются какие-либо «закладные» технические средства. Искусственные каналы (с использованием внедренных технических устройств) создаются преднамеренно.

Противодействие утечке речевой информации представляет собой систему мер, направленную на выявление естественных и искусственных каналов утечки и предотвращению утечки по этим каналам. Противодействие должно носить непрерывный и плановый характер.

Меры противодействия утечки речевой информации делятся на административные и организационно-технические. Административные меры:

-разработка инструкций по защите коммерческой тайны при проведении деловых встреч и переговоров, ведении телефонных разговоров и контроль их выполнения;

- проведение категорирования служебных помещений Головной организации Банка, филиалов и дополнительных офисов;

-разработка нормативных документов по порядку проведения обследований служебных помещений и технических средств на предмет определения естественных и искусственных каналов утечки;

- обеспечение режима доступа в служебные помещения.

Организационно-технические меры:

-проведение специальных обследований служебных помещений и технических средств;

- приобретение специальных технических средств обнаружения каналов утечки и их закрытия, организация учета и контроля их использования;

-проведение специальных обследований строящихся и ремонтируемых зданий и помещений;

- оборудование категорированных помещений специальными средствами защиты от утечки информации;

- оборудование служебных помещений средствами разграничения доступа.



2.11 Защита информации на материальных носителях

Защите подлежат сведения, составляющие коммерческую тайну Банка, находящиеся на материальных носителях (бумажных, магнитных, оптических, чиповых картах и т.п.). Защита коммерческой тайны представляет собой процесс, организуемый и поддерживаемый в Банке с целью предупреждения несанкционированного доступа к охраняемой информации и исключения ее уничтожения, разглашения и утечки через различные каналы.

Защита коммерческой тайны предусматривает:

- обязанности лиц, допущенных к таким сведениям;

- систему допуска сотрудников к коммерческой тайне;

- порядок определения информации, содержащей коммерческую тайну, и сроков ее действия;

- систему допуска сотрудников Банка, частных и командированных лиц к сведениям, составляющим коммерческую тайну;

- порядок работы с документами, содержащими сведения, составляющие коммерческую тайну;

- принципы организации и проведения контроля за обеспечением установленного порядка при работе со сведениями, составляющими коммерческую тайну;

- обеспечение сохранности документов, дел и изданий с грифом конфиденциальности;

- ответственность должностных лиц и персонала за разглашение сведений и утрату документов, содержащих коммерческую тайну.

Система защиты коммерческой тайны Банка основывается на:

- повседневной деятельности подразделений, отвечающих за обеспечение защиты коммерческой тайны;

- строгий выполнений требований положений, приказов, распоряжений, других нормативных и распорядительных документов, по обеспечению безопасности коммерческой тайны;

- применением специальных технических и программных средств защиты информации;

- контролем за выполнением требований нормативных документов.

В соответствии с «Перечнем сведений, составляющих коммерческую тайну МОРСКОГО АКЦИОНЕРНОГО БАНКА», информации, отнесённой к коммерческой тайне на общих основаниях, специальный гриф не присваивается. Документам, содержащим информацию ограниченного распространения, гриф «Конфиденциально» может быть присвоен на стадии его создания должностным лицом, подписывающим документ (начальником отдела/управления) с обязательным последующим подтверждением присвоенного грифа со стороны Председателя Правления Банка. Гриф «Конфиденциально» также может быть присвоен входящему документу вышеуказанными должностными лицами Банка.

К коммерческой тайне Банка допускаются сотрудники, личные и деловые качества которых обеспечивают их способность хранить коммерческую тайну, и только после подписания сотрудником письменного обязательства по сохранению коммерческой тайны. Допуск сотрудников к коммерческой тайне Банка подтверждается Управлением экономической безопасности после проведения соответствующей процедуры.

Сотрудники Банка могут получать разрешение на доступ к сведениям, составляющим коммерческую тайну Банка с грифом "Конфиденциально", только в пределах своих должностных обязанностей и в объемах, необходимых им для выполнения полученного от руководства Банка задания.

Общий перечень штатных должностей, согласно которым сотрудники имеют право доступа к документам с грифом «Конфиденциально», разрабатывается Комиссией Банка по защите коммерческой тайны на основании предложений руководителей структурных подразделений, одобренных курирующими Заместителем Председателя Правления, и утверждается Председателем Правления Банка.

Руководители подразделений и Управление экономической безопасности обязаны обеспечить систематический контроль за допуском к сведениям, составляющим коммерческую тайну, только тех сотрудников, которым они необходимы для выполнения служебных обязанностей.

Организация и практическая работа по ведению делопроизводства с документами, содержащими коммерческую тайну, производится в соответствии с «Инструкцией по конфиденциальному делопроизводству в МОРСКОМ АКЦИОНЕРНОМ БАНКЕ». Сотрудники банка, работающие с документами, содержащими коммерческую тайну, действуют в рамках своих полномочий, определённых в должностных инструкциях.

Объектами делопроизводства являются документы, магнитные и оптические носители (дискеты, магнитные ленты, магнитооптические диски, оптические диски и т.п.), содержащие сведения, составляющие коммерческую тайну, а также парольно-ключевые и криптографические материалы, используемые при работе с шифровальными средствами, применяемыми в Банке.

Отсутствие грифа на носителях информации, содержащих коммерческую тайну, означает, что документ содержит сведения общего характера и предполагает, что автор документа и руководитель, подписывающий (утверждающий) документ, предусмотрели все возможные последствия от необоснованной передачи документа в другие подразделения Банка и несут за это ответственность.

На документах, содержащих сведения с грифом «Конфиденциально», проставляется номер экземпляра. Все операции с такими документами (прием, рассылка, уничтожение, размножение и т.д.), отражаются в учетных формах отдельно от учёта другой служебной информации. Размножение документов с грифом «Конфиденциально», производится только с письменного разрешения Председателя Правления Банка.

Снятие или снижение грифа конфиденциальности с документа производится руководителем, подписавшим (утвердившим) документ, по истечении установленного срока действия грифа, либо при корректировке «Перечня сведений, составляющих коммерческую тайну Банка».

Снятие грифа конфиденциальности с информации, владельцем которой на договорных началах или в соответствии с законодательством является сторонняя организация, разрешается после письменного согласия этой организации.

Вся поступающая в Банк корреспонденция, имеющая гриф конфиденциальности, принимается ответственными сотрудниками Административно-кадрового отдела Банка, которым поручена работа с этими материалами. Полученная корреспонденция не вскрывается и передаётся далее по назначению. Руководитель, получивший конфиденциальный документ, адресует его конкретным исполнителям с учетом пределов их полномочий и требования распространения такой информации.

Рассылка конфиденциальных документов производиться Административно-кадрового отдела Банка на основании подписанных Руководством Банка сопроводительных писем с указанием учетных номеров отправляемых экземпляров. Пересылка пакетов с конфиденциальными документами может осуществляться через органы спецсвязи или фельдсвязи. При необходимости, допускается доставка конфиденциальных документов нарочным из числа сотрудников Банка, допущенных к работе с такими документами.

Дискеты, магнитные ленты, магнитно-оптические диски, оптические диски (далее магнитные носители), содержащие сведения, составляющие коммерческую тайну, подлежат обязательному учету в Управлении экономической безопасности Банка. Парольно-ключевые и криптографические материалы подлежат обязательной регистрации и учету в Управлении экономической безопасности.

При работе с документами и магнитными носителями, содержащими коммерческую тайну, сотрудники Банка обязаны следить как за сохранностью самих документов и носителей, так и за сохранностью содержащейся в них информации (не допускать несанкционированного ознакомления с документами посторонних лиц, в том числе сотрудников Банка).

Хранение документов с информацией, отнесённой к коммерческой тайне Банка, должно осуществляться таким образом, чтобы исключить возможность ознакомления с ними лиц, не имеющих права доступа к ним. Хранение документов с грифом «Конфиденциально» разрешается исполнителям только в металлических шкафах или сейфах.

Конфиденциальные документы выдаются в Отделе административно-кадровой работы Банка исполнителям под роспись в журнале учета. Выдача конфиденциальных документов представителям сторонних организаций осуществляется по письменному указанию уполномоченного на это руководителя Банка.

Исполненные конфиденциальные документы в течение календарного года подшиваются в дела. Дела с исполненными документами за прошедший календарный год сдаются для хранения в архив. Дела из архива могут выдаваться исполнителям по письменному запросу должностного лица в соответствии со схемой выдачи разрешений на доступ к информации.

Уничтожение конфиденциальных документов производится комиссией, назначаемой Приказом по Банку и состоящей из сотрудников Административно-кадрового отдела и Управления экономической безопасности, в сроки, определяемые в соответствии с действующим «Перечнем сведений, составляющих коммерческую тайну МОРСКОГО АКЦИОНЕРНОГО БАНКА». Уничтожению подлежат также черновики, испорченные листы и недописанные проекты конфиденциальных документов. Уничтожение производится путем измельчения, исключающим восстановление текста документа. Факт уничтожения оформляется актом по установленной форме.

Магнитные носители с конфиденциальной информацией выдаются исполнителям в Департаменте информационных технологий под роспись в журнале учета. Хранение магнитных носителей с грифом «Конфиденциально» разрешается исполнителям только в опечатанных сейфах.

Передача конфиденциальной информации на магнитных носителях представителям сторонних организаций осуществляется по письменному указанию руководителя Банка, имеющего соответствующие полномочия.

Под внутренним режимом при работе с коммерческой тайной подразумевается соблюдение условий работы, исключающих возможность утечки сведений, содержащих коммерческую тайну. Контроль за соблюдением указанного режима осуществляется в целях изучения и оценки состояния сохранности коммерческой тайны, выявления и установления причин утечки информации или факторов, которые могут привести к таким событиям, и выработки предложений по их устранению. Контроль за обеспечением режима при работе со сведениями, содержащими коммерческую тайну, осуществляют Управление экономической безопасности Банка и руководители структурных подразделений.

При выявлении фактов утраты документов или разглашения сведений, составляющих коммерческую тайну, а также нарушения конфиденциального делопроизводства ставятся в известность Председатель Правления Банка, Начальник Управления экономической безопасности, Контролер профессиональной деятельности на рынке ценных бумаг и курирующий Заместитель Председателя Правления Банка. Для разбирательства указанных случаев приказом или распоряжением Президента Банка создается комиссия, которая определяет соответствие содержания утраченного документа проставленному грифу и выявляет обстоятельства утраты (разглашения). По результатам работы комиссия готовит заключение и представляет на утверждение Председателю Правления Банка.

Руководители Банка, его структурных подразделений и филиалов (дополнительных офисов) принимают меры по защите коммерческой тайны путем ограничения круга лиц, имеющих доступ к защищаемой информации, установлению грифа конфиденциальности, по физической сохранности документации и магнитных носителей и другие меры по защите коммерческой тайны. Сотрудники Банка, допущенные к сведениям, составляющим коммерческую тайну, несут ответственность за точное выполнение требований, предъявляемых к ним в целях обеспечения сохранности указанных сведений. До получения доступа к работе, связанной с коммерческой тайной, им необходимо изучить нормативные документы по защите коммерческой тайны и подписать обязательство о сохранении коммерческой тайны.

Сотрудники Банка, допущенные к коммерческой тайне, обязаны:

- Строго хранить коммерческую тайну. О всех известных фактах утечки сведений, составляющих коммерческую тайну, а также об утрате документов с грифом конфиденциальности, сообщать непосредственному руководителю и в Управление экономической безопасности;

- Предъявлять для проверки по требованию представителям Управления экономической безопасности и руководителю подразделения все числящиеся носители информации с грифом конфиденциальности, а в случае нарушения установленных правил работы с ними представлять соответствующие объяснения;

- Строго соблюдать правила пользования документами и магнитными носителями, имеющими гриф конфиденциальности;

- Выполнять требования внутреннего режима, исключающие возможность ознакомления с конфиденциальными сведениями посторонних лиц, включая и сотрудников Банка, не имеющих к указанным сведениям прямого отношения;

- Исполненные входящие документы, а также документы, предназначенные для рассылки, подшивки в дело или уничтожения сдавать в отдел Административно-кадровой работы;

- Исключить использование сведений, составляющие коммерческую тайну Банка, в личных целях, а также заниматься прямо или косвенно какой-либо деятельностью, которая может нанести ущерб Банку;

- Сохранять коммерческую тайну организаций, с которыми у Банка имеются деловые отношения.

2.12 Управление информационной безопасностью

Общее руководство информационной безопасностью в Банке осуществляет Председатель Правления Банка исходя из представленных в Концепции задач, принципов организации и функционирования системы обеспечения информационной безопасности, основных угроз.

Определяются следующие направления деятельности Банка по управлению информационной безопасностью:

- организация управления информационной безопасностью в автоматизированных системах и сетях;

- организация защиты речевой информации;

- обеспечение физической защиты объектов Банка, на которых обрабатывается и хранится информация, составляющая коммерческую тайну;

- участие в организации общего делового документооборота;

- организация и защита оборота конфиденциальных документов.

Управление средствами защиты, установление полномочий пользователям и контроль должны осуществляться централизованно, с учетом особенностей обработки и передачи информации в конкретных системах и участках сети. Работы по обеспечению информационной безопасности в системах и сетях непосредственно осуществляют:

- Отдел информационной безопасности;

- администраторы систем и сетей;

- лица, ответственные за информационную безопасность в подразделениях Банка;

- Отдел режима Управления экономической безопасности.

Отдел информационной безопасности является основой централизованного управления и контроля информационной безопасности в системах и сетях Банка. Основной задачей Отдела информационной безопасности, является организация непрерывной, плановой и целенаправленной работы по обеспечению информационной безопасности и контроль выполнения нормативных документов банка по информационной безопасности.

Администраторами систем и сетей назначаются сотрудники Департамента информационных технологий Банка, которые отвечают за обеспечение работоспособности систем и сетей, выполнение Плана безотказной работы и восстановления систем и сетей. Основные задачи администраторов:

1.Непосредственное управление системами и сетями, контроль целостности систем и сетей;

2.Обеспечение безотказной работы и восстановление работоспособности систем при сбоях и отказах.

Ответственными за информационную безопасность в подразделениях являются сотрудники структурных подразделений Банка. Основная их задача - контроль выполнения сотрудниками, подразделения правил работы в автоматизированных системах и сетях банка.

Основной задачей Отделов режима филиалов в части обеспечения информационной безопасности является организация и проведение всего комплекса мероприятий по защите информации в филиале.

Организацию, планирование и проведение мероприятий по защите речевой информации осуществляет Управление экономической безопасности. Основными задачами защиты речевой информации являются:

1.Контроль соблюдения сотрудниками Банка порядка и правил обращения с конфиденциальной информацией и недопущение ее разглашения;

2.Выявление и пресечение возможных каналов утечки речевой информации;

3.Методическое руководство по защите речевой информации в подразделениях Банка.

Общий контроль за обеспечением защиты речевой информации осуществляет Управление экономической безопасности.

Организацию и обеспечение физической защиты объектов Банка (включая дополнительные офисы и филиалы), на которых осуществляется обработка и хранение сведений конфиденциального характера, осуществляет Управление экономической безопасности Банка. Основными задачами физической защиты являются:

1.Организация защиты зданий, служебных помещений и прилегающих к ним территорий от возможного проникновения и посягательств со стороны посторонних лиц и исключение возможного хищения, искажения и уничтожения ими сведений конфиденциального характера;

2.Обеспечение соблюдения сотрудниками и посетителями Банка порядка и правил прохода и поведения на территории Банка;

3.Офизической безопасности материальных носителей информации при их хранении и транспортировке.

Организация защиты конфиденциальных документов в подразделениях Банка возлагается на:

- Заместителей Председателя Правления Банка - в курируемых департаментах и управлениях;

- Руководителей департаментов (Начальников управлений) -- в департаментах (управлениях);

- Начальников отделов -- в отделах;

- Управляющих филиалов (директоров дополнительных офисов) - в филиалах (дополнительных офисах).

Организация учета материальных носителей, содержащих сведения, составляющие коммерческую тайну (конфиденциального делопроизводства), возлагается на Административно-кадровый отдел Банка и Управление экономической безопасности, в филиалах (отделениях) - на специально выделенных для этих целей сотрудников, назначаемых приказом по филиалу (отделению).

Для учета и хранения парольно-ключевых и криптографических материалов шифровальных средств, используемых в Банке, в рамках Отдела информационной безопасности организуется самостоятельный участок конфиденциального делопроизводства. Основными задачами организации системы конфиденциального делопроизводства являются:

- подбор и расстановка кадров на участке конфиденциального делопроизводства;

- организация конфиденциального документооборота в Банке;

- осуществление закрытой переписки;

- организация учета и контроля конфиденциальных документов;

- организация и осуществление разрешительной системы допуска исполнителей к работе с конфиденциальными документами.

Текущий контроль за выполнением требований по защите информации на материальных носителях возлагается на Управление экономической безопасности Банка.

2.13 Ответственность

Ответственность за разглашение сведений, составляющих коммерческую тайну Банка, и утрату документов, изделий и магнитных носителей, содержащих такие сведения, устанавливается в соответствии с действующим законодательством Российской Федерации.

Ответственность за разглашение и утрату сведений, содержащих коммерческую тайну, несет персонально каждый сотрудник Банка, имеющий доступ к ним.



3. Принципы инженерно-технической защиты информации

3.1 Общие положение

Так как органам безопасности, занимающимся защитой информации, противостоит разведка с мощным аппаратом и средствами, находящимися на острие научно-технического прогресса, то возможности способов и средств защиты не должны, по крайней мере, уступать возможностям разведки. Исходя из этих исходных положений, основу защиты информации должны составлять, аналогичные принципам добывания информации, а именно:

-Непрерывность защиты информации, характеризующаяся постоянной готовностью системы защиты в любое время к отражению угроз информационной безопасности;

-Активность, предусматривающая прогнозирование действий злоумышленника, разработку и реализацию опережающих мер по защите;

-Скрытность, исключающая ознакомление посторонних лиц со средствами и технологией защиты информации;

-Целеустремлённость, предполагающая сосредоточение усилий по предотвращению угроз наиболее ценной информации;

-Комплексное использование различных способов и средств защиты информации, позволяющее компенсировать недостатки одних достоинствами других.

Эти принципы хотя и не содержат конкретных рекомендаций, однако определяют общие требования к способам и средствам защиты информации.

Следующая группа принципов характеризует основные профессиональные подходы к организации защиты информации, обеспечивает рациональный уровень её защиты и позволяет сократить затраты. Эта группа включает следующие принципы:

1.Соответствие уровня защиты ценности информации;

2.Гибкость защиты;

3.Многозональность защиты, предусматривающая размещение источников информации в зонах с контролируемым уровнем её безопасности;

4.Многорубежность защиты информации на пути движения злоумышленника или распространения носителя.

Первый принцип определяет экономическую целесообразность применения тех или иных средств мер защиты. Он заключается в том, что затраты на защиту информации не должны превышать цену защищаемой информации.

Так как цена информации - величина переменная, зависящая как от источника информации, так и от времени, то во избежание неоправданных расходов защита информации должны быть гибкой. Гибкость защиты проявляется в возможности изменения степени защищённости в соответствии с изменившимися требованиями к информационной безопасности.

Требуемый уровень информационной безопасности достигается многозональностью и многорубежностью защиты.

Многозональность обеспечивает дифференцированный санкционированный доступ различных категорий сотрудников и посетителей к источникам информации и реализуется путём разделения пространства, занимаемого объектом защиты (организацией, предприятием, фирмой или любой другой государственной или коммерческой структурой) на так называемые контролируемые зоны. Типовыми зонами являются:

-территория, занимаемая объектом защиты и ограниченная забором или условной внешней границей;

-здание на территории;

-коридор или его часть;

-помещение;

-шкаф, сейф, хранилище.

Зоны могут быть независимыми (здания, помещения), пересекающимися и вложенными (сейф в комнате, комната в здании, здание на территории).

С целью воспрепятствования проникновению злоумышленника в зону на её границе создаются, как правило, рубежи защиты (один или несколько).

Каждая зона характеризуется уровнем безопасности находящейся в ней информации. Информационная безопасность в зоне зависит от:

1.Расстояния от источника информации (сигнала) до злоумышленника или его средств добывания информации;

2.Количества и уровня защиты рубежей на пути движения злоумышленника или распространения иного носителя информации (например, поля);

3.Эффективности способов и средств управления допуском людей и автотранспорта в зону;

4.Мер по защите информации внутри зоны.

Чем больше удалённость источника информации от места нахождения злоумышленника или его средства добывания информации и чем больше рубежей защиты, тем больше время движения злоумышленника к источнику и ослабление энергии носителя в виде поля или электрического тока. Количество и пространственное расположение зон и рубежей выбирается таким образом, чтобы обеспечить требуемый уровень информационной безопасности как от внешних (вне территории организации), так и внутренних (проникших на территорию злоумышленников или сотрудников) факторов атаки на защищаемый объект. Чем более ценной является информация, тем большим количеством рубежей и зон целесообразно окружить её источник и тогда тем сложнее злоумышленнику обеспечить разведывательный контакт с её носителями.

Рассмотренные выше принципы относятся к защите информации в целом. При построении системы защиты информации нужно учитывать также следующие принципы:

1.Минимизация дополнительных задач и требований к сотрудникам организации, вызванных мерами по защите информации;

2.Надёжность в работе технических средств системы, исключающая как нереагирование на угрозы (пропуски угроз) информационной безопасности, так и ложные реакции при их отсутствии;

3.Ограниченный и контролируемый доступ к элементам системы обеспечения информационной безопасности;

4.Непрерывность работы системы в любых условиях функционирования объекта защиты, в том числе, например, кратковременном отключении электроэнергии;

5.Адаптируемость (приспособляемость) системы к изменениям окружающей среды;

Смысл указанных принципов очевиден, но следует остановиться подробнее на последнем. Дело в том, что закрытая информация о способах и средствах защиты информации в конкретной организации со временем становится известной всё большему числу людей, в результате чего увеличивается вероятность попадания этой информации к злоумышленнику. Поэтому целесообразно производить изменения в структуре системы защиты информации периодически или при появлении достаточно реальной возможности утечки информации о системе защиты, например, при внезапном увольнении информированного сотрудника службы безопасности.

3.2 Основные методы защиты информации техническими средствами

В общем случае защита информации техническими средствами обеспечивается в следующих вариантах:

-соотношение энергии носителя и помех на выходе приемника канала утечки такое, что злоумышленнику не удается снять информацию с носителя с необходимым для ее использования качеством;

-источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей его технических средств добывания;

-злоумышленник не может обнаружить источник или носитель информации;

-воспрепятствование непосредственному проникновению злоумышленника к источнику информации с помощью инженерных конструкции и технических средств охраны;

-вместо истинной информации злоумышленник получает ложную, которую он принимает как истинную. Эти варианты реализуют следующие методы защиты;

-скрытие достоверной информации;

-«подсовывание» злоумышленнику ложной информации.

Применение инженерных конструкций и охрана - наиболее древний метод защиты людей и материальных ценностей. Способы защиты на основе инженерных конструкций в сочетании с техническими средствами охраны также распространены в настоящее время. Совокупность этих способов образуют так называемую физическую защиту. Но этот термин нельзя считать удачным, так как иные методы защиты информации с помощью технических средств также основываются на физических законах. Учитывая, что основу рассматриваемого метода составляет инженерные конструкции и технические средства охраны, целесообразно его определить как инженерная защита и техническая охрана объектов (ИЗТОО).

Основной задачей ИЗТОО является недопущение (предотвращение) непосредственного контакта злоумышленника или сил природы с объектами защиты. Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве, К таким носителям относятся бумага, машинные носители, фото и кинопленка, продукция, материалы и т. д., то есть все, что имеет четкие размеры и вес. Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ и для защиты информации на этих носителях методы инженерной защиты не приемлемы - поле с информацией нельзя хранить, например, в сейфе. Для защиты информации на таких носителях применяют методы скрытия информации.

Скрытие информации предусматривает такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.

Различают информационное и энергетическое скрытие. Информационное скрытие достигается изменением или созданием ложного информационного портрета семантического сообщения, физического объекта или сигнала.

Информационным портретом можно назвать совокупность элементов и связей между ними, отображающих смысл сообщения (речевого или данных), признаки объекта или сигнала. Элементами дискретного семантического сообщения, например, являются буквы, цифры или другие знаки, а связи между ними определяют их последовательность. Информационными портретами объектов наблюдения, сигналов и веществ являются их эталонные признаковые структуры.

Возможны следующие способы изменения информационного портрета:

1.Удаление части элементов и связей, образующих информационный узел (наиболее информативную часть) портрета;

2.Изменение части элементов информационного портрета при сохранении неизменности связей между оставшимися элементами;

3.Изменение или удаление связей между элементами информационного портрета при сохранении их количества.

Изменение информационного портрета объекта вызывает изменение изображения его внешнего вида (видовых демаскирующих признаков), характеристик излучаемых им полей или электрических сигналов (признаков сигналов), структуры и свойств веществ.

Эти изменения направлены на сближение признаковых структур объекта и окружающего его фона, в результате чего снижается контрастность изображения объекта по отношению к фону и ухудшаются возможности его обнаружения и распознавания.

Но при изменении информационного портрета информация не воспринимается не только злоумышленником, но и ее санкционированным получателем. Следовательно, для санкционированного получателя информационный портрет должен быть восстановлен путем дополнительной передачи ему удаленных элементов и связей или алгоритма (ключа) этих изменений. В условиях рынка, когда производитель вынужден рекламировать свой товар, наиболее целесообразным способом информационного скрытия является исключение из рекламы или открытых публикаций наиболее информативных сведений или признаков - информационных узлов, содержащих охраняемую тайну.

К информационным узлам относятся принципиально новые технические, технологические и изобразительные решения и другие достижения, которые составляют ноу-хау. Изъятие из технической документации информационных узлов не позволит конкуренту воспользоваться информацией, содержащейся в рекламе или публикациях.

Этот широко применяемый способ позволяет:

1.Существенно уменьшить объем защищаемой информации и тем самым упростить проблему защиты информации;

2.Использовать в рекламе новой продукции сведения о ней, не опасаясь разглашения.

Например, вместо защиты информации, содержащейся в сотнях и тысячах листов технической документации, разрабатываемой для производства новой продукции, защите подлежат всего несколько десятков листов с информационными узлами.

Другой метод информационного скрытия, заключается в трансформации исходного информационного портрета в новый, соответствующий ложной семантической информации или ложной признаковой структуре, и «навязывании» нового портрета органу разведки или злоумышленнику. Такой метод защиты называется дезинформированием.

Принципиальное отличие информационного скрытия путем изменения информационного портрета от дезинформирования состоит в том, что первый метод направлен на затруднение обнаружения объекта с информацией среди других объектов (фона), а второй - на создании на этом фоне признаков ложного объекта.

Дезинформирование относится к числу наиболее эффективных способен защиты информации по следующим причинам:

-создает у владельца защищаемой информации запас времени, обусловленный проверкой разведкой достоверности полученной информации.

-последствия принятых конкурентом на основе ложной информации решений могут быть для него худшими по сравнению с решениями, принимаемыми при отсутствии добываемой информации. Однако этот метод защиты практически сложно реализовать. Основная проблема заключается в обеспечении достоверности ложного информационного портрета. Дезинформирование только в том случае достигнет цели, когда у разведки (злоумышленника) не возникнут сомнения в истинности подсовываемой ему ложной информации. В противном случае может быть получен противоположный эффект, так как при раскрытии разведкой факта дезинформирования полученная ложная информация сузит область поиска истинной информации. Поэтому к организации дезинформирования Необходимо относиться очень серьезно, с учетом того, что потребители информации отчетливо представляют ущерб от дезинформации, и при малейших сомнениях будут перепроверять информацию с использованием других источников.

Дезинформирование осуществляется путем подгонки признаков информационного портрета защищаемого объекта под признаки информационного портрета ложного объекта, соответствующего заранее разработанной версии. От тщательности подготовки версии и безукоризненности ее реализации во многом зависит правдоподобность дезинформации. Версия должна предусматривать комплекс распределенных во времени и в пространстве мер, направленных на имитацию признаков ложного объекта. Причем, чем меньше при дезинформации используется ложных сведений и признаков, тем труднее вскрыть ее ложный характер.

Различают следующие способы дезинформирования:

-замена реквизитов защищаемых информационных портретов в том случае, когда информационный портрет объекта защиты похож на информационные портреты других «открытых» объектов и не имеет специфических информативных признаков. В этом случае ограничиваются разработкой и поддержанием версии о другом объекте, выдавая в качестве его признаков признаки защищаемого объекта. Например, в настоящее время большое внимание уделяется разработкам продукции двойного применения: военного и гражданского. Распространение информации о производстве продукции сугубо гражданского использования является надежным прикрытием для вариантов военного назначения;

-поддержание версии с признаками, заимствованными из разных информационных портретов реальных объектов. Применяется в тех случаях, когда в организации одновременно выполняется несколько закрытых тем. Путем различных сочетаний признаков, относящихся к различным темам, можно навязать противоположной стороне ложное представление о ведущихся работах без имитации дополнительных признаков;

-сочетание истинных и ложных признаков, причем ложными заменяется незначительная, но самая ценная часть информации, относящейся к защищаемому объекту;

-изменение только информационных узлов с сохранением неизменной остальной части информационного портрета. Как правило, используются различные комбинации этих вариантов. Другим эффективным методом скрытия информации является энергетическое скрытие. Оно заключается в применении способов и средств защиты информации, исключающих или затрудняющих выполнение энергетического условия разведывательного контакта.

Энергетическое скрытие достигается уменьшением отношения энергии (мощности) сигналов, т. е. носителей (электромагнитного или акустического полей и электрического тока) с информацией, и помех. Уменьшение отношения сигнал/помеха (слово «мощность», как правило, опускается) возможно двумя методами: снижением мощности сигнала или увеличением мощности помехи на входе приемника.

Воздействие помех приводит к изменению информационных параметров носителей: амплитуды, частоты, фазы. Если носителем информации является амплитудно-модулированная электромагнитная волна, а в среде распространения канала присутствует помеха в виде электромагнитной волны, имеющая одинаковую с носителем частоту, но случайную амплитуду и фазу, то происходит интерференция этих волн. В результате этого значения информационного параметра (амплитуды суммарного сигнала) случайным образом изменяются и информация искажается. Чем меньше отношение мощностей, а следовательно, амплитуд, сигнала и помехи, тем значительнее значения амплитуды суммарного сигнала будут отличаться от исходных (устанавливаемых при модуляции) и тем больше будет искажаться информация.

Атмосферные и промышленные помехи, которые постоянно присутствуют в среде распространения носителя информации, оказывают наибольшее влияние на амплитуду сигнала, в меньшей степени - на его частоту. Но ЧМ-сигналы имеют более широкий спектр частот.

Поэтому в функциональных каналах, допускающих передачу более широкополосных сигналов, например, в УКВ диапазоне, передачу информации осуществляют, как правило, ЧМ сигналами как более помехоустойчивыми, а б узкополосных ДВ, СВ и KB диапазонах - AM сигналами.

В общем случае качество принимаемой информации ухудшается с уменьшением отношения сигнал/помеха. Характер зависимости качества принимаемой информации от отношения сигнал/помеха отличается для различных видов информации (аналоговой, дискретной), носителей и помех, способов записи на носитель (вида модуляции), параметров средств приема и обработки сигналов.

Наиболее жесткие требование к качеству информации предъявляется при передачи данных: вероятность ошибки знака по плановым задачам, задачам статического и бухгалтерского учета оценивается порядка - 10^-5 -10^-6 , но денежным данным 10^-8 -10^-9. Для сравнения, в телефонных каналах слоговая разборчивость речи обеспечивается при 60-80%, т.е. требования к качеству принимаемой информации существенно менее жесткие. Это различие обусловлено избыточностью речи, которая позволяет при пропуске отдельных звуков и даже слогов восстанавливать речевое сообщение. Вероятность ошибки знака 10^-5 достигается при его передаче двойным АМ сигналом и отношение мощности сигнала к мощности флуктуационного шума на входе приемника приблизительно 20, при передаче ЧМ сигналом - около 10. Для обеспечения разборчивости речи порядка 85% превышение амплитуды сигнала над шумом должно составлять около 10 дБ, для получения удовлетворительного качества факсимильного изображения - приблизительно 35 дБ, качественного телевизионного изображения - более 40 дБ.

...