Размещено на http://www.allbest.ru/

Введение

В современных условиях сложной криминогенной обстановки в мире и РФ вопросы обеспечения безопасности населения и промышленных объектов приобретают особую актуальность. Особую опасность для крупных промышленных объектов представляют злоумышленные несанкционированные действия физических лиц (нарушителей): террористов, диверсантов, преступников, экстремистов. Результаты их действий не предсказуемы: от хищения имущества до создания чрезвычайной ситуации на объекте (пожар, разрушение, затопление, авария, и т.п.).

Физические меры защиты основаны на применении разного рода механических, электронных или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Одной из эффективных превентивных мер по обеспечению безопасности важных промышленных объектов является создание автоматизированной системы охраны от несанкционированного проникновения физических лиц - системы физической защиты (СФЗ).

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться управлением безопасности путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в них посторонних лиц, хищение документов и носителей информации.

1. Общее положение

В настоящем документе применяются следующие ключевые термины и определения.

Безопасность объекта физическая - состояние защищенности жизненно-важных интересов (объекта) от угроз, источниками которых являются злоумышленные противоправные (несанкционированные) действия физических лиц (нарушителей).

Концепция безопасности - общий замысел обеспечения безопасности объекта от прогнозируемых угроз.

Уязвимость (объекта) - степень несоответствия принятых мер защиты (объекта) прогнозируемым угрозам или заданным требованиям безопасности.

Чрезвычайная ситуация (на объекте) - состояние, при котором (на объекте) нарушаются нормальные условия жизни и деятельности людей, возникает угроза их жизни и здоровью, наносится ущерб имуществу и окружающей природной среде.

Эффективность системы физической безопасности - вероятность выполнения системой своей основной целевой функции по обеспечению защиты объекта от угроз, источниками которых являются злоумышленные противоправные (несанкционированные) действия физических лиц (нарушителей).

1.1 Организационно - технические мероприятия

Для обеспечения физической безопасности компонентов информационной системы Банка необходимо осуществлять ряд организационных и технических мероприятий, включающих: проверку оборудования, предназначенного для обработки закрытой (конфиденциальной) информации, на:

- наличие специально внедренных закладных устройств;

- побочные электромагнитные излучения и наводки;

- введение дополнительных ограничений по доступу в помещения, предназначенные для хранения и обработки закрытой информации;

- оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи.

2. Анализ и описание объекта

2.1 Цели и задачи анализа

Одной из главных задач начальной стадии концептуального проектирования является проведение Анализа уязвимости объекта и существующей системы физической безопасности (защиты).

Целями и задачами проведения анализа уязвимости являются:

а) определение важных для жизнедеятельности объекта предметов защиты (наиболее вероятных целей злоумышленных акций нарушителей);

б) определение возможных угроз и моделей вероятных исполнителей угроз (нарушителей);

в) оценка возможного ущерба от реализации прогнозируемых угроз безопасности;

г) оценка уязвимости объекта и существующей системы безопасности;

д) разработка общих рекомендаций по обеспечению безопасности объекта.

Работы по п.п. а-в проводятся методом экспертных оценок комиссией, в состав которой входят специалисты и специалисты соответствующих служб заказчика: безопасности, главного технолога, главного инженера, пожарной охраны. Работы по п.п. г-д проводятся специалистами с применением метода математического (компьютерного) моделирования. Результаты анализа могут оформляться отдельным отчетом. Гриф конфиденциальности определяется заказчиком. К материалам отчета допускается строго ограниченный круг лиц (только непосредственных исполнителей) по существующей на предприятии разрешительной системе. При необходимости, отчет выполняется в одном экземпляре (только для Заказчика).

2.2 Предметы защиты

Реализацию жизненно-важных интересов любого предприятия обеспечивают его корпоративные ресурсы. Эти ресурсы должны быть надежно защищены от прогнозируемых угроз безопасности.

Для промышленного предприятия такими важными для жизнедеятельности ресурсами, а, следовательно, предметами защиты являются:

а) люди (персонал предприятия);

б) имущество:

- важное или дефицитное технологическое оборудование;

- секретная и конфиденциальная документация;

- материальные и финансовые ценности;

- готовая продукция;

- интеллектуальная собственность (ноу-хау);

- средства вычислительной техники;

- контрольно-измерительные приборы (КИП) и др.;

в) информация конфиденциальная:

на материальных носителях, а также циркулирующая во внутренних коммуникационных каналах связи и информации, в кабинетах руководства предприятия, на совещаниях и заседаниях;

г) финансово-экономические ресурсы, обеспечивающие эффективное и устойчивое развитие предприятия (капитал, коммерческие интересы, бизнес-планы, договорные документы и обязательства и т.п.).

Утрата перечисленных ресурсов может привести:

д) к большому материальному ущербу,

е) созданию угрозы для жизни и здоровья людей,

ж) разглашению конфиденциальной информации или сведений, содержащих Государственную тайну,

з) банкротству предприятия.

Перечисленные предметы защиты размещаются на соответствующих производственных объектах (подобъектах) предприятия в зданиях и помещениях. Эти подобъекты и являются наиболее уязвимыми местами, выявление которых производится при обследовании объекта. Таким образом формулируется ответ на вопрос "что защищать?".

По результатам обследования оформляется специальный типовой "Протокол обследования...", который подписывается заинтересованными сторонами.

2.3 Угрозы безопасности

Основными угрозами безопасности, которые могут привести к утрате корпоративных ресурсов предприятия, являются :

- чрезвычайная ситуация (пожар, разрушение, затопление, авария, хищение опасных веществ и т.п.);

- хищение или порча имущества;

- несанкционированный съем конфиденциальной информации;

- ухудшение эффективности функционирования, устойчивости развития.

Самой опасной угрозой безопасности промышленного предприятия являются чрезвычайная ситуации (ЧС), которая может привести к большому материальному ущербу, вызвать угрозу для жизни и здоровья людей, а на потенциально опасных объектах - катастрофические последствия для окружающей среды и населения.

В современных условиях несанкционированные действия физических лиц: диверсантов, террористов, преступников, экстремистов представляют особую опасность, т. к. могут привести к возникновению большинства прогнозируемых угроз.

На этапе анализа угроз совместно со службой безопасности заказчика при предварительном обследовании объекта формируется модель вероятных исполнителей угроз (нарушителей), т. е. их количественные и качественные характеристики (оснащенность, тактика действий и т.п.).

В результате проведенной работы формулируется ответ на вопрос: от кого защищать?

2.4 Оценка уязвимости существующей СФЗ объекта

Оценка уязвимости существующей СФЗ производится в два этапа:

На первом этапе (при обследовании объекта) методом экспертных оценок производится оценка уязвимости составных частей СФЗ:

- комплекса организационных мероприятий, проводимых администрацией и службой безопасности объекта;

- комплекса инженерно-технических средств охраны (по основным тактико-техническим характеристикам и степени оснащенности объекта);

- сил охраны (по организации, качеству, эффективности действий и др.)

На последующем этапе производится количественная оценка уязвимости существующей СФЗ.

2.5 Оценка возможного ущерба от реализации прогнозируемых угроз

Оценка возможного ущерба от реализации прогнозируемых угроз безопасности производится методом экспертных оценок совместно с представителями компетентных служб заказчика.

Оценка производится для каждого защищаемого подобъекта предприятия. При этом учитываются варианты прогнозируемых акций нарушителей и сценарии их реализации.

2.6 Количественная оценка уязвимости объекта и эффективности существующей СФЗ

Количественная оценка уязвимости объекта и эффективности СФЗ, производится по имеющейся на предприятии компьютерной методике анализа уязвимости и оценки эффективности систем охраны особо важных объектов.

При анализе учитываются прогнозируемые угрозы и модель исполнителей угроз (нарушителей), вероятности обнаружения нарушителя с помощью технических средств, варианты тактики ответных действий сил охраны, временные параметры (времена задержки преодоления нарушителем физических барьеров, время ответных действий сил охраны и др.).

По этой методике в наглядной форме, путем моделирования на ПЭВМ процесса действий нарушителей и сил охраны, производится оценка основного показателя эффективности СФЗ объекта - вероятности перехвата нарушителя силами охраны, действующими по сигналу срабатывания комплекса ИТСО.

2.7 Разработка общих рекомендаций по обеспечению безопасности объекта

По результатам анализа уязвимости разрабатываются общие рекомендации по обеспечению безопасности объекта с ориентировочной оценкой стоимости создания предлагаемой системы. При этом сравнивается ориентировочная стоимость предотвращаемого ущерба и затрат на создание предлагаемой системы.

3. Организационные и нормативная документации по защите информации банка и нормативные правовые акты

3.1 Перечень документов, обеспечивающих защиту информации на предприятии

Перечень сведений, составляющих конфиденциальную информацию предприятия;

Договорное обязательство о неразглашении КИ;

Инструкция по защите конфиденциальной информации;

Инструкция о работе с иностранными фирмами и их представителями;

Соглашение о конфиденциальности (между организациями)

Также различные законодательные акты в сфере информации, информационных технологиях и ее защите;

Номенклатура должностей работников, допущенных к сведениям, составляющих конфиденциальную тайну;

Документы, регламентирующие порядок допуска и доступа к сведениям конфиденциального характера.

3.2 Нормативные правовые акты

Особое место среди нормативных актов, регулирующих отношения по поводу информации, принадлежит закону РФ от 21.07.1993 № 5485 - 1 «О государственной тайне».

Один из законов, регулирующих отношения в информационной сфере, - ФЗ от 07.07.2003 № 126-ФЗ «О связи». Он устанавливает правовую основу деятельности в области связи, осуществляемой под юрисдикцией РФ, определяет полномочия органов государственной власти по регулированию этой деятельности, а также права и обязанности физических лиц, осуществляющих деятельность в области связи.

К законам, регулирующим информационные отношения, также относится и ФЗ от 06.04.2011 № 63-ФЗ «Об электронной подписи». Его цель - обеспечение правовых условий использование электронной подписи в электронных документах.

Отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей коммерческую тайну, и других участников отношений, в том числе государства, на рынке товаров, работ и услуг, регулируются ФЗ от 29.07.2004 № 98-ФЗ «О коммерческой тайне».

К нормативным актам данной проблематики относятся федеральные законы:

- от 13.01.1995 № 7-ФЗ «О порядке освещения деятельности органов государственной власти в государственных средствах массовой информации»;

- от 12.05.2009 № 95-ФЗ «О гарантиях равенства парламентских партий при освещении их деятельности государственными общедоступными телеканалами и радиоканалами»;

- от 27.07.2006 № 152-ФЗ «О персональных данных»;

- от 28.12.2010 № 390-ФЗ «О безопасности»;

- от 28.07.2012 № 139-ФЗ «О внесении изменений в федеральный закон

Среди подзаконных нормативных актов, регулирующих отношения в информационной сфере, можно выделить следующие:

а) указы Президента:

- от 11.02.2006 № 90 «О перечне сведений, отнесенных к государственной тайне»;

- от 06.10.2004 № 1286 «Вопросы межведомственной комиссии по защите государственной тайны»;

- от 17.05.2004 № 611 «О мерах по обеспечению безопасности РФ в сфере международного информационного обмена»;

- от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;

- от 15.01.2913 № 31/с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ».

б) постановления Правительства:

- от 12.02.2003 № 98 «Об обеспечении доступа к информации о деятельности Правительства РФ и федеральных органов исполнительной власти»;

- от 27.05.2002 № 348 «Об утверждении Положения о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»; - от 18.02.2005 № 87 «Об утверждении перечня наименований услуг связи, вносимых в лицензии, и перечней лицензионных условий»;

- от 22.08.1908 № 1003 «О порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне»;

- от 28.10.1995 № 1050 «Об утверждении Инструкции о порядке допуска должностных лиц и граждан РФ к государственной тайне»;

4. Физические средства защиты

Физические средства защиты - это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников.

К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио- и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий (рис. 9).

Эти средства применяются для решения следующих задач:

1) охрана территории предприятия и наблюдение за ней;

2) охрана зданий, внутренних помещений и контроль за ними;

3) охрана оборудования, продукции, финансов и информации;

4) осуществление контролируемого доступа в здания и помещения.

Рисунок 1 - Физические системы защиты

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов - это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов и др.). Средства пожаротушения относятся к системам ликвидации угроз.

В общем плане по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:

- охранные и охранно-пожарные системы;

- охранное телевидение;

- охранное освещение;

- средства физической защиты.

4.1 Охранные системы

Охранные системы и средства охранной сигнализации предназначены для обнаружения различных видов угроз: попыток проникновения на объект защиты, в охраняемые зоны и помещения, попыток проноса (выноса) оружия, средств промышленного шпионажа, краж материальных и финансовых ценностей и других действий; оповещения сотрудников охраны или персонала объекта о появлении угроз и необходимости усиления контроля доступа на объект, территорию, в здания и помещения.

Важнейшими элементами охранных систем являются датчики, обнаруживающие появление угрозы. Характеристики и принципы работы датчиков определяют основные параметры и практические возможности охранных систем.

Уже разработано и широко используется значительное количество самых разнообразных датчиков как по принципам обнаружения различных физических полей, так и по тактическому использованию.

Эффективность работы системы охраны и охранной сигнализации в основном определяется параметрами и принципом работы датчиков. На сегодняшний день известны датчики следующих типов: механические выключатели, проволока с выключателем, магнитный выключатель, ртутный выключатель, коврики давления, металлическая фольга, проволочная сетка, шифроволновый датчик, ультразвуковой датчик, инфракрасный датчик, фотоэлектрический датчик, акустический датчик, вибрационный датчик, индуктивный датчик, емкостный датчик и др.

Каждый тип датчика реализует определенный вид защиты: точечная защита, защита по линии, защита по площади или защита по объему. Механические датчики ориентированы на защиту линии, коврики давления - на точечное обнаружение, а инфракрасные находят широкое применение по площади и по объему.

Датчики посредством тех или иных каналов связи соединены с контрольно-приемным устройством пункта (или поста) охраны и средствами тревожного оповещения.

Каналами связи в системах охранной сигнализации могут быть специально проложенные проводные или кабельные линии, телефонные линии объекта, линии связи трансляции, системы освещения или радиоканалы. Выбор каналов определяется возможностями объекта.

Важным объектом охранной системы являются средства тревожного оповещения: звонки, лампочки, сирены, подающие постоянные или прерываемые сигналы о появлении угрозы.

По тактическому назначению охранные системы подразделяются на системы охраны:

- периметров объектов;

- помещений и проходов в служебных и складских зданиях;

- сейфов, оборудования, основных и вспомогательных технических средств;

- автотранспорта;

- персонала, в том числе и личного состава охраны, и др.

К средствам физической защиты относятся:

- естественные и искусственные барьеры;

- особые конструкции периметров, проходов, оконных и дверных переплетов, помещений, сейфов, хранилищ и др.;

- зоны безопасности.

Естественные и искусственные барьеры служат для противодействия незаконному проникновению на территорию объекта. Однако основная защитная нагрузка ложится все-таки на искусственные барьеры - такие, как заборы и другие виды ограждений. Практика показывает, что ограждения сложной конфигурации способны задержать злоумышленника на достаточно большое время. На сегодняшний день насчитывается значительный арсенал таких средств: от простых сетчатых до сложных комбинированных ограждений, оказывающих определенное отпугивающее воздействие на нарушителя.

Особые конструкции периметров, проходов, оконных переплетов, помещений, сейфов, хранилищ являются обязательными, с точки зрения безопасности, для любых организаций и предприятий. Эти конструкции должны противостоять любым способам физического воздействия со стороны криминальных элементов: механическим деформациям, разрушению сверлением, термическому и механическому резанию, взрыву и др.; несанкционированному доступу путем подделки ключей, угадывания кода и др. Одним из главных технических средств защиты проходов, помещений, сейфов и хранилищ являются замки. Они бывают простыми (с ключами), кодовыми (в том числе и с временной задержкой на открывание) и с программными устройствами, открывающие двери и сейфы только в определенные часы.

Зоны безопасности. Важнейшим средством физической защиты является планировка объекта, его зданий и помещений по зонам безопасности, которые учитывают степень важности различных частей объекта, с точки зрения нанесения ущерба от различного вида угроз. Оптимальное расположение зон безопасности и размещение в них эффективных технических средств обнаружения, отражения и ликвидации последствий противоправных действий составляет основу концепции инженерно-технической защиты объекта.

Зоны безопасности должны располагаться на объекте последовательно - от забора вокруг территории объекта до хранилищ ценностей, создавая цепь чередующихся друг за другом препятствий (рубежей), которые придется преодолевать злоумышленнику. Чем сложнее и надежнее препятствие на его пути, тем больше времени потребуется на преодоление каждой зоны, и тем больше вероятность того, что расположенные в каждой зоне средства обнаружения (охранные посты, охранная сигнализация и охранное телевидение) выявят наличие нарушителя и подадут сигнал тревоги.

Основу планировки и оборудования зон безопасности объекта составляет принцип равнопрочности границ зон безопасности. Суммарная прочность зон безопасности будет оцениваться наименьшей из них.

4.2 Охранное телевидение

Одним из распространенных средств охраны является охранное телевидение. Привлекательной особенностью охранного телевидения является возможность не только отметить нарушение режима охраны объекта, но и контролировать обстановку вокруг него в динамике ее развития, определять опасность действий, вести скрытое наблюдение и производить видеозапись для последующего анализа правонарушения как с целью анализа, так и для привлечения к ответственности нарушителя.

Источниками изображения (датчиками) в системах охранного телевидения являются видеокамеры. Через объектив изображение злоумышленника попадает на светочувствительный элемент камеры, в котором оно преобразуется в электрический сигнал, поступающий затем по специальному коаксиальному кабелю на монитор и при необходимости - на видеомагнитофон.

Видеокамера является наиболее важным элементом системы охранного телевидения, так как от ее характеристик зависит эффективность и результативность всей системы контроля и наблюдения. В настоящее время разработаны и выпускаются самые разнообразные модели, различающиеся как по габаритам, так и по возможностям, и по конструктивному исполнению.

Вторым по значимости элементом системы охранного телевидения является монитор. Он должен быть согласован по параметрам с видеокамерой. Часто используется один монитор с несколькими камерами, подсоединяемыми к нему поочередно средствами автоматического переключения по определенному регламенту.

В некоторых системах телевизионного наблюдения предусматривается возможность автоматического подключения камеры, взонеобзора которой произошло нарушение. Используется и более сложное оборудование, включающее средства автоматизации, устройства одновременного вывода нескольких изображений, детекторы движения для подачи сигнала тревоги при выявлении каких-либо изменений в изображении.

4.3 Охранное освещение

Обязательной составной частью системы защиты любого объекта является охранное освещение. Различают два вида охранного освещения - дежурное и тревожное.

Дежурное освещение предназначается для постоянного использования в нерабочие часы, в вечернее и ночное время - как на территории объекта, так и внутри здания.

Тревожное освещение включается при поступлении сигнала тревоги от средства охранной сигнализации. Кроме того, по сигналу тревоги в дополнение к освещению могут включаться и звуковые приборы (звонки, сирены и др.).

Сигнализация и дежурное освещение должны иметь резервное электропитание на случай аварии или выключения электросети.

4.4 Ограждения и физическая изоляция

В последние годы большое внимание уделяется созданию систем физической защиты, совмещенных с системами сигнализации. Так, известна электронная система сигнализации для использования с проволочным заграждением. Система состоит из электронных датчиков и микропроцессора, управляющего блоком обработки данных. Заграждение длиной до 100 м может устанавливаться на открытой местности или размещаться на стенах, чердаках и имеющихся оградах. Устойчивые к воздействию окружающей среды датчики монтируются на стойках, кронштейнах. Проволочное заграждение состоит из 32 горизонтально натянутых стальных нитей, в средней части каждой из которых крепится электромеханический датчик, преобразующий изменение натяжения нитей в электрический сигнал.

Превышение пороговой величины напряжения, программируемое по амплитуде для каждого датчика отдельно, вызывает сигнал тревоги. Связь системы с центральным пунктом управления и контроля осуществляется с помощью мультиплексора. Микропроцессор автоматически через определенные интервалы времени проверяет работу компонентов аппаратуры и программных средств и, в случае установления отклонений, подает соответствующий сигнал.

Подобные и ряд других аналогичных систем физической защиты могут использоваться для защиты объектов по периметру в целях обнаружения вторжения на территорию объекта.

Используются системы из сетки двух волоконно-оптических кабелей, по которым передаются кодированные сигналы инфракрасного диапазона. Если в сетке нет повреждений, то сигналы поступают на приемное устройство без искажений. Попытки повреждения сетки приводят к обрывам или деформации кабелей, что вызывает сигнал тревоги. Оптические системы отличаются низким уровнем ложных тревог, вызванных воздействием на нее мелких животных, птиц, изменением погодных условий и высокой вероятностью обнаружения попыток вторжения.

Следующим видом физической защиты является защита элементов зданий и помещений. Хорошую физическую защиту оконных проемов помещений обеспечивают традиционные металлические решетки, а также специальное остекление на основе пластических масс, армированных стальной проволокой. Двери и окна охраняемого помещения оборудуются датчиками, срабатывающими при разрушении стекол, дверей, но не реагирующими на их колебания, вызванные другими причинами. Срабатывание датчиков вызывает сигнал тревоги.

4.5 План-схема банка, контролируемая зона

Среди средств физической защиты особо следует отметить средства защиты вычислительной техники от хищения и проникновения к их внутренним компонентам. Для этого используют металлические конструкции с клейкой подставкой, которая обеспечивает сцепление с поверхностью стола с силой в 2500-2700 кг/см. Это исключает изъятие или перемещение вычислительной техники без нарушения целостности поверхности стола. Перемещение вычислительной техники возможно только с использованием специальных ключей и инструментов.

4.6 Запирающие устройства

Запирающие устройства и специальные шкафы занимают особое место в системах ограничения доступа, поскольку они несут в себе признаки как систем физической защиты, так и устройств контроля доступа. Они отличаются большим разнообразием и предназначены для защиты документов, материалов, магнитных и фото носителей и даже технических средств: вычислительной техники, калькуляторов, принтеров, ксероксов и др.

Выпускаются специальные металлические шкафы для хранения ПЭВМ и другой техники. Такие шкафы снабжаются надежной двойной системой запирания: замком ключевого типа и трех - пятизначным комбинированным замком. Фирмы утверждают, что такие шкафы обладают прочностью и надежностью, достаточными для защиты от промышленного шпионажа.

Выпускаются замки с программируемым временем открывания с помощью механических или электронных часов.

4.7 Системы контроля доступа

Регулирование доступа в помещения или здания осуществляется прежде всего посредством опознавания службой охраны или техническими средствами.

Контролируемый доступ предполагает ограничение круга лиц, допускаемых в определенные защищаемые зоны, здания, помещения, и контроль за передвижением этих лиц внутри них.

Основанием допуска служит определенный метод опознавания и сравнения с разрешительными параметрами системы. Имеется весьма широкий спектр методов опознавания уполномоченных лиц на право их доступа в помещения, здания, зоны.

На основе опознавания принимается решение о допуске лиц, имеющих на это право, или запрещение - для не имеющих его. Наибольшее распространение получили атрибутные и персональные методы опознавания.

К атрибутным способам относятся средства подтверждения полномочий, такие, в частности, как документы (паспорт, удостоверение и др.), карты (фотокарточки, карты с магнитными, электрическими, механическими идентификаторами и др.) и иные средства (ключи, сигнальные элементы и др.). Заметим, что эти средства в значительной мере подвержены различного рода подделкам и мошенничеству.

Персональные методы - это методы определения лица по его независимым показателям: отпечаткам пальцев, геометрии рук, особенностям глаз и др. Персональные характеристики бывают статическими и динамическими. К последним относятся пульс, давление, кардиограммы, речь, почерк и др.

Персональные способы наиболее привлекательные. Во-первых, они полно описывают каждого отдельного человека. Во-вторых, невозможно или крайне трудно подделать индивидуальные характеристики.

Статические способы включают анализ физических характеристик - таких как отпечатки пальцев, особенности геометрии рук и др. Они достаточно достоверны и обладают малой вероятностью ошибок.

Динамические же способы используют изменяющиеся во времени опознавательные характеристики.

Характеристики, зависящие от привычек и навыков, являются не только наиболее простыми для подделок, но и наиболее дешевыми, с точки зрения практической реализации.

Способы опознавания, основанные на чем-либо запоминаемом (код, пароль и др.), могут применяться в случаях наиболее низких требований к безопасности, так как часто эта информация записывается пользователями на различных бумажках, в записных книжках и других носителях, что при их доступности другим может свести на нет все усилия по безопасности. Кроме того, имеется реальная возможность подсмотреть, подслушать или получить эту информацию другим путем (насилие, кража и др.).

Способ опознавания человеком (вахтер, часовой) не всегда надежен из-за так называемого человеческого фактора, заключающегося в том, что человек подвержен влиянию многих внешних условий (усталость, плохое самочувствие, эмоциональный стресс, подкуп и др.). В противовес этому находят широкое применение технические средства опознавания, такие, например, как идентификационные карты, опознавание по голосу, почерку, пальцам и др.

Простейший и наиболее распространенный метод идентификации использует различные карты и карточки, на которых помещается кодированная или открытая информация о владельце, его полномочиях и др.

Обычно это пластиковые карты типа пропусков или жетонов. Карты вводятся в читающее устройство каждый раз, когда требуется войти или выйти из охраняемого помещения или получить доступ к чему-нибудь (сейфу, камере, терминалу и др.).

Существует много разновидностей устройств опознавания и идентификации личности, использующих подобные карты. Одни из них оптическим путем сличают фотографии и другие идентификационные элементы, другие - магнитные поля и др.

Системы опознавания по отпечаткам пальцев. В основу идентификации положено сравнение относительного положения окончаний и разветвлений линий отпечатка. Поисковая система ищет на текущем изображении контрольные элементы, определенные при исследовании эталонного образца. Для идентификации одного человека считается достаточным определение координат 12 точек.

Эти системы, естественно, весьма сложны и рекомендуются к использованию на объектах, требующих надежной защиты.

Системы опознавания по голосу. Существует несколько способов выделения характерных признаков речи человека: анализ кратковременных сегментов, контрольный анализ, выделение статистических характеристик. Следует отметить, что теоретически вопросы идентификации по голосу разработаны достаточно полно, но промышленное производство пока налажено слабо.

Системы опознавания по почерку считаются наиболее удобными для пользователя. Основным принципом идентификации по почерку является постоянство подписи каждого индивидуума, хотя абсолютного совпадения не бывает.

Система опознавания по геометрии рук. Для идентификации применяют анализ комбинации линий сгибов пальцев и ладони, линий складок, длины и толщины пальцев и др.

Технически это реализуется путем наложения руки на матрицу фото-ячеек. Рука освещается мощной лампой, производится регистрация сигналов с ячеек, несущих информацию о геометрии.

Все устройства идентификации человека могут работать как отдельно, так и в комплексе. Комплекс может быть узкоспециальным или многоцелевым, при котором система выполняет функции охраны, контроля, регистрации и сигнализации. Такие системы являются уже комплексными. Комплексные системы обеспечивают:

- допуск на территорию предприятия по карточке (пропуску), содержащей индивидуальный машинный код;

- блокирование прохода при попытках несанкционированного прохода (проход без пропуска, проход в спецподразделения сотрудников, не имеющих допуска);

- возможность блокирования прохода для нарушителей графика работы (опознание, преждевременный уход и др.);

- открытие зоны прохода для свободного выхода по команде вахтера;

- проверку кодов пропусков на задержание их предъявителей на КПП по указанию оператора системы;

- регистрацию времени пересечения проходной и сохранение его в базе данных персональной ЭВМ;

- обработку полученных данных и формирование различных документов (табель рабочего времени, суточный рапорт, ведомость нарушителей трудовой дисциплины и др.), что позволяет иметь оперативную информацию о нарушителях трудовой дисциплины, отработанном времени и др.;

- оперативную корректировку информации базы данных с доступом по паролю;

- распечатку табелей рабочего времени по произвольной группе сотрудников (предприятие в целом, структурное подразделение, отдельно выбранные сотрудники);

- распечатку списков нарушителей графика рабочего времени с конкретными данными о нарушении;

- текущий и ретроспективный анализ посещения сотрудниками подразделений, передвижения сотрудников через КПП, выдачу списочного состава присутствовавших или отсутствовавших в подразделении или на предприятии для произвольно выбранного момента времени (при условии хранения баз данных за прошлые периоды);

- получение оперативной информации абонентами локальной сети в случае сетевой реализации системы.

Физические средства являются первой преградой для злоумышленника при реализации им за ходовых методов доступа.

5. Аппаратные средства защиты

К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.

Аппаратные средства защиты информации применяются для решения следующих задач:

- проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации; выявление каналов утечки информации на разных объектах и в помещениях;

- локализация каналов утечки информации;

- поиск и обнаружение средств промышленного шпионажа;

- противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.

По функциональному назначению аппаратные средства могут быть классифицированы на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по своим техническим возможностям средства защиты информация могут быть общего назначения, рассчитанные на использование непрофессионалами с целью получения предварительных (общих) оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и прецизионные измерения все характеристик средств промышленного шпионажа. В качестве примера первых можно рассмотреть группу индикаторов электромагнитных излучений типа ИП, обладающих широким спектром принимаемых сигналов и довольно низкой чувствительностью. В качестве второго примера

-- комплекс для обнаружения и пеленгования радиозакладок, предназначенный для автоматического обнаружения и определения местонахождения радиопередатчиков, радиомикрофонов, телефонных закладок и сетевых радиопередатчиков. Это уже сложный современный поисков - обнаружительный профессиональный комплекс. Таким является, например, комплекс «Дельта», который обеспечивает:

достоверное обнаружение практически любых из имеющихся в продаже радиомикрофонов, радиостетоскопов, сетевых и телефонных передатчиков, в том числе и с инверсией спектра;

автоматическое определение места расположения микрофонов в объеме контролируемого помещения.

В состав комплекса входит радиоприемное устройство AR-3000 и ПЭВМ.

Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования: каналов ее утечки.

Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств несанкционированного доступа Аппаратура второго типа предназначается для выявления каналов утечки информации.

Примером такого комплекса может служить комплекс «Зарница», обеспечивающий измерение параметров побочных электромагнитных излучений в диапазоне частот от 10 Кгц до 1 Ггц. Обработка результатов измерений осуществляется на ПЭВМ в соответствии с действующими нормативно-методическими Документами Гостехкомиссии при Президенте РФ. Определяющими для такого рода систем являются оперативность исследования и надежность полученных результатов.

Использование профессиональной поисковой аппаратуры требует высокой квалификации оператора. Как в любой области техники, универсальность той или иной аппаратуры приводит к снижению ее пара метров по каждой отдельной характеристике.

С другой стороны, существует огромное количество различных по физической природе каналов утечки информации, а также физических принципов, на основе которых работают системы несанкционированного доступа. Эти факторы обусловливают многообразие поисковой аппаратуры, а ее сложность определяет высокую стоимость каждого прибора. В связи с этим достаточный комплекс поискового оборудования могут позволить себе иметь структуры, постоянно проводящие соответствующие обследования. Это либо крупные службы безопасности, либо специализированные фирмы, оказывающие услуги сторонним организациям.

Конечно, описанное выше не является аргументом для отказа от использования средств поиска самостоятельно. Но эти средства в большинстве случаев достаточно просты и позволяют проводить профилактические мероприятия в промежутке между серьезными поисковыми обследованиями.

В особую группу выделяются аппаратные средства защиты: ЭВМ и коммуникационных систем на их базе.

Аппаратные средства защиты: применяются как в отдельных ПЭВМ, так и на различных уровнях и участках сети: в центральных процессорах ЭВМ, в их оперативных ЗУ (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и т. д.

Для защиты центральных процессоров (ЦП) применяется кодовое резервирование -- создание дополнительных битов в форматах машинных команд (разрядов секретности) и резервных регистров (в устройствах ЦП). Одновременно предусматриваются два возможных режима работы процессора, которые отделяют вспомогательные операции от операций непосредственного решения задач пользователя. Для этого служит специальная система прерывания, реализуемая аппаратными средствами.

Одной из мер аппаратной защиты: ЭВМ и информационных сетей является ограничение доступа к оперативной памяти с помощью установления границ или полей. Для этого создаются регистры контроля и регистры защиты данных. Применяются также дополнительные биты четности - разновидность метода кодового резервирования.

Для обозначения степени конфиденциальности программ и данных, категорий пользователей используются биты, называемые битами конфиденциальности (это два-три дополнительных разряда, с помощью которых кодируются категории секретности пользователей, программ и данных).

Программы и данные, загружаемые в оперативную память, нуждаются в защите, гарантирующей их от несанкционированного доступа. Часто используются биты четности, ключи, постоянная специальная память. При считывании из оперативной памяти необходимо, чтобы программы не могли быть уничтожены несанкционированными действиями пользователей или вследствие выхода аппаратуры из строя. Отказы должны своевременно выявляться и устраняться, чтобы предотвратить исполнение искаженной команды ЦП и потери информации.

Для предотвращения считывания оставшихся после обработки данных в оперативную память применяется специальная схема стирания. В этом случае формируется команда на стирание оперативной памяти и указывается адрес блока памяти, который должен быть освобожден от информации. Эта схема записывает нули или какую-нибудь другую последовательность символов во все ячейки данного блока памяти, обеспечивая надежное стирание ранее загруженных данных.

Аппаратные средства защиты: применяются и в терминалах пользователей. Для предотвращения утечки информации при подключении незарегистрированного терминала необходимо перед выдачей запрашиваемых данных осуществить идентификацию (автоматическое определение кода или номера) терминала, с которого поступил запрос. В многопользовательском режиме этого терминала идентификации его недостаточно. Необходимо осуществить аутентификацию пользователя, то есть установить его подлинность и полномочия. Это необходимо и потому, что разные пользователи, зарегистрированные в системе, могут иметь доступ только к отдельным файлам и строго ограниченные полномочия их использования.

Для идентификации терминала чаще всего применяется генератор кода, включенный в аппаратуру терминала, а для аутентификации пользователя -- такие аппаратные средства, как ключи, персональные кодовые карты, персональный идентификатор, устройства распознавания голоса пользователя или формы его пальцев. Но наиболее распространенными средствами аутентификации являются пароли, проверяемые не аппаратными, а программными средствами опознавания.

Аппаратные средства защиты информации - это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа.

Для достижения указанной цели следует применять аппаратуру, проверенную на отсутствие внедренных “закладок”, эксплуатируемую аппаратуру -- пломбировать, ремонт аппаратуры производить только с привлечением доверенных специалистов под контролем владельца или сотрудника службы безопасности, исключить какие-либо инициативные переделки введенной в эксплуатацию аппаратуры обслуживающим персоналом или ремонтниками. Особое внимание следует обращать на легко заменяемые элементы. Например, кабель, соединяющий телефонный аппарат с аппаратом защиты (скремблером, шифратором) может быть заменен за несколько секунд, а его конструкция и габариты допускают установку весьма совершенной “закладки”. Такие элементы следует дополнительно закреплять и маркировать. Дополнительное крепление и маркировка должны быть незаметны для постороннего наблюдателя, но легко проверяться владельцем терминала или допущенным обслуживающим персоналом. Прокладка проводов, несущих сигналы незащищенной информации, должна выполняться скрыто, по возможности без разъемных соединений, функционально необходимые разъемы должны дополнительно фиксироваться или пломбироваться.

Для исключения перехвата информации по электромагнитным полям желательно применять аппаратуру, сертифицированную Гостехкомиссией России, выполняя указания по ее размещению. При использовании иной аппаратуры желательно провести инструментальную проверку возможности приема сигналов защищаемой информации в непосредственной близости (10 -- 15 см) от аппаратуры.

Отходящие цепи должны быть максимально удалены от аппаратуры обработки информации. Кабели, шнуры, несущие сигнала защищаемой информации, и находящиеся вблизи аппаратуры отходящие цепи должны быть экранированы.

Поскольку применение сертифицированной аппаратуры и рекомендуемое размещение аппаратуры и кабелей в условиях коммерческого предприятия часто невыполнимы, полезным может быть размещение в составе абонентского терминала генераторов электромагнитного шума. При этом излучающие системы (антенны) генераторов должны быть максимально совмещены в пространстве с излучающими элементами аппаратуры.

В целом при организации рабочего места абонента защищенной связи следует придерживаться правил:

На рабочем месте должен быть минимум аппаратуры и оборудования; только то, что совершенно необходимо для рабочего процесса.

Установка всего оборудования и элементов интерьера должна предельно затруднять их перемещение и замену или внедрение посторонних предметов.

На случай, если нарушение размещения, замена или внедрение нового предмета произойдет, должны быть приняты меры, делающие это изменение выявляемым и определены действия, следующие за таким выявлением.

Должно быть максимально затруднено для злоумышленника наблюдение за рабочим процессом связи и ознакомление с системой и аппаратурой защиты информации.

Следует отметить, что при всей кажущейся простоте предлагаемых мер, их реализация и, главное, оценка эффективности требует глубокого анализа конкретной аппаратуры связи, ее размещения и помещения, в котором установлен терминал. Это связано с тем, что большинство процессов, приводящих к утечке информации (за исключением непосредственного подключения злоумышленника к линии связи) носит паразитный характер, не нормируется документацией на аппаратуру, не проявляется в основном рабочем процессе. Многие параметры этих процессов существенно изменяются от экземпляра к экземпляру аппаратуры связи и сопряженных с ней изделий, существенно зависят от воздействий, не влияющих на основной рабочий процесс (например, от перемещения кабелей питания). Оценка значимости тех или иных паразитных процессов в конкретной ситуации, выбор рациональных мер их подавления, формирование правил эксплуатации терминала в части поддержания на требуемом уровне его информационной защищенности требуют высокой квалификации и качественно могут быть выполнены только с привлечением специализированной организации.

6. Оптоволоконные системы

Оптоволоконные кабели, используемые обычно для передачи информации, можно использовать также и в качестве датчиков для периметральных охранных систем. Деформация оптоволоконного кабеля изменяет его оптические параметры (показатель преломления и др.) и, как следствие, характеристики прошедшего через волокно лазерного излучения. В силу специфики используемых физических принципов оптоволоконные системы отличаются очень малой восприимчивостью к любым электромагнитным помехам, что позволяет использовать их в неблагоприятной электрофизической обстановке.

Оптоволоконные кабели проявляют несколько физических эффектов, позволяющих применять их в качестве периметральных датчиков. Во всех случаях к одному концу кабеля подключен миниатюрный полупроводниковый лазер, генерирующий когерентное излучение. Противоположный конец кабеля состыкован с фотодиодом (приемником), преобразующим оптический сигнал в электрический. Анализатор сравнивает принимаемый сигнал с эталонным, который соответствует невозмущенному состоянию сенсора, и детектирует внешние воздействия на периметр (смещения, вибрации или сжатия кабеля).

Заключение

Таким образом можно сделать вывод, что самое главное в безопасности банка, это защита конфиденциальной информации и информационная безопасность, которая должна обеспечивать высокую надежность работы компьютерных систем.

Список использованных источников

безопасность банк информация защита

1)https://vuzlit.ru/789162/programmnye_sredstva_zaschity

2)referatwork.ru/category/radio/view/403384_fizicheskie_sredstva_zaschity_informacii

3)http://wm-help.net/lib/b/book/198943497/5

4)Мишин Е.Т., Оленин Ю.А., Капитонов А.А. Системы безопасности предприятия - новые акценты // Конверсия в машиностроении, 1998, № 4.

5)Измайлов А.В. Методы системного проектирования комплексов технических средств физической защиты российских ядерных объектов // Российско-американский семинар по физической защите ядерных материалов и установок, ГП СНПО "Элерон", М., Россия. 1995.

6)Оленин Ю.А., Алаухов С.Ф. К вопросу категорирования объектов с позиции охранной безопасности // "Системы безопасности, связи и телекоммуникаций", 1999, № 30, С. 26.

7)Алаухов С.Ф, Коцеруба В.Я. Вопросы создания систем физической защиты для крупных промышленных объектов // "Системы безопасности", 2001, № 41, С. 93.

Приложение

Инструкция по ограничению доступа к конфиденциальной информации

Чебоксары

2017г.

1. Порядок допуска сотрудников Банка к сведениям, составляющим банковскую и коммерческую тайну

Допуск сотрудников к сведениям, составляющим банковскую и коммерческую тайну, персональным данным осуществляется Председателем Правления Банка, Заместителями Председателя Правления Банка или уполномоченными ими должностными лицами. Уполномоченные должностные лица Банка обязаны обеспечить систематический контроль за допуском к этим сведениям только тех лиц, которым они необходимы для выполнения служебных обязанностей.

К сведениям, составляющим банковскую и коммерческую тайну, персональным данным допускаются лица, личные и деловые качества которых обеспечивают их способность хранить конфиденциальную информацию. До получения доступа к работе, связанной с конфиденциальными сведениями, им необходимо изучить настоящее Положение, инструкции по делопроизводству, правила пользования архивными документами, дать письменное обязательство о сохранении банковской и коммерческой тайны, персональных данных, которое подлежит приобщению к Личному делу сотрудника.

2. Требования к сотрудникам Банка

Сотрудники Банка, допущенные к документам, содержащим конфиденциальные сведения, обязаны:

- Обеспечить сохранность документов, содержащих банковскую и коммерческую тайну, персональных данных. О ставшей им известной утечке конфиденциальных сведений, а также об утрате документов их содержащих, сообщать непосредственному руководителю, в Управление безопасности;

При получении запроса с требованием предоставить справки по операциям и счетам клиента действовать в соответствии с Порядком предоставления информации о клиентах, а в случае нарушения установленных правил работы с ними, представлять соответствующие объяснения;

- Знакомиться только с теми документами и выполнять только те работы, к которым они допущены;

- Не допускать несанкционированное руководством Банка ознакомление с конфиденциальными документами посторонних лиц, включая и сотрудников Банка, не имеющих к указанным документам прямого отношения;

...