Измени отношение к вещам,которые тебя беспокоят, и ты будешь от них в безопасности. Марк Аврелий

Меню сайта
Категории раздела
Мои статьи [357]
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Главная » Статьи » Мои статьи
Концепция безопасности коммерческого банка-2


Защита информации в линиях связи.

К основным видам линий связи, используемых для передачи информации, можно отнести проводные (телефонные, телеграфные), радио и радиорелейные, тропосферные и космические линии связи.

При необходимости передачи по ним конфиденциальной информации основным направлением защиты информации, передаваемой по всем видам линий связи, от перехвата, искажения и навязывания ложной информации является использование крипто-логического преобразования информации, а на небольших расстояниях, кроме того, использование защищенных волоконно-оптических линий связи.

Для защиты информации должны использоваться средства криптографической защиты данных гарантированной стойкости для определенного уровня конфиденциальности передаваемой информации и соответствующая ключевая система, обеспечивающая надежный обмен информацией и аутентификацию (подтверждение подлинности) сообщений.

Безопасное использование технических средств информатизации.

Одним из методов технической разведки и промышленного шпионажа является внедрение в конструкцию технических средств информатизации закладных устройств перехвата, трансляции информации или вывода технических средств из строя.

В целях противодействия такому методу воздействия на объекты информатики, для технических средств информатизации, предназначенных для обработки конфиденциальной информации, в обязательном порядке проводится проверка этих средств, осуществляемая специализированными организациями с помощью специальных установок и оборудования, как правило, в стационарных условиях в соответствии с установленными требованиями.

Защита речевой информации при проведении конфиденциальных переговоров.

Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения закладных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами.

В связи с интенсивным внедрением в деятельность КБ автоматизированных систем организационно-финансового управления, технического и другого назначения, используемых для обработки конфиденциальной информации, для учета финансовых средств, локальных, региональных и глобальных вычислительных сетей и интеграции в них значительных по объему и важных по содержанию информационных ресурсов, проблеме безопасности информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи, следует уделить особое внимание.

Обеспечение качества в системе безопасности.

Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно- технических и методических документов по безопасности, утвержденных федеральными органами государственного управления в соответствии с их компетенцией и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.

В соответствии с требованиями этой НТД должны проводиться предпроектное обследование и проектирование информационных систем, заказ средств защиты информации и контроля, предполагаемых к использованию в этих системах, аттестация объектов информатики, а также контроль защищенности информационных ресурсов.

К основным стандартам и нормативно-техническим документам в области защиты информации от несанкционированного доступа (НСД) относятся: комплект руководящих документов Гостехкомиссии России (1992 г.), в том числе "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации", "Положение по организации разработки, изготовления и эксплуатации программы и технических средств защиты информации от НСД в АС и СВТ".

В совокупности с системой стандартизации единую систему обеспечения качества продукции и услуг по требованиям безопасности информации составляют:

  • сертификация средств и систем вычислительной техники и связи по требованиям безопасности информации;
  • лицензирование деятельности по оказанию услуг в области защиты информации;
  • аттестация объектов информатики по требованиям безопасности информации.

В соответствии с требованиями этих систем право оказывать услуги сторонним организациям в области защиты информации предоставлено только организациям, имеющим на этот вид деятельности разрешение (лицензию). Средства и системы вычислительной техники и связи, предназначенные для обработки (передачи) секретной информации, средства защиты и контроля эффективности защиты такой информации подлежат обязательной сертификации по требованиям безопасности информации, а объекты информатики, предназначенные для обработки секретной и иной конфиденциальной информации, являющейся собственностью государства, а также для ведения секретных переговоров подлежат обязательной аттестации по требованиям безопасности информации.

При разработке системы комплексной защиты информации объекта автоматизации необходимо максимально использовать имеющиеся сертифицированные по требованиям безопасности информации средства вычислительной техники и связи, средства защиты и контроля защищенности, разрабатывая или заказывая оригинальные технические или программные средства защиты только в случаях, когда имеющимися средствами нельзя достигнуть необходимых результатов. Исходя из этого при разработке автоматизированных систем различного уровня и назначения серьезное внимание следует уделить выбору технических средств и общесистемного матобеспечения. Этими же обстоятельствами следует руководствоваться при выборе стратегии развития систем информатизации.

УПРАВЛЕНИЕ СИСТЕМОЙ БЕЗОПАСНОСТИ КБ

Действующие в настоящее время и разрабатываемые законодательные и иные нормативные акты предусматривают право КБ на выработку собственной концепции системы безопасности и создания соответствующей службы как системы исполнительных органов, реализующей эту концепцию.

Исходя из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности КБ, целесообразно выделить следующие основные направления деятельности КБ по обеспечению его безопасности:

  • информационно-аналитических исследований и прогнозных оценок безопасности, в том числе экономической;
  • безопасности персонала;
  • сохранности и физической защиты финансовых средств и объектов;
  • безопасности информационных ресурсов.

Основными задачами направления информационно-аналитических исследований и прогнозных оценок безопасности являются:

  • добывание и анализ информации о мировом и национальном рынках и прогнозирование их развития;
  • организация работ по выявлению конфиденциальной информации, обоснованию уровня ее конфиденциальности и документальному оформлению в виде перечней сведений, подлежащих защите;
  • сбор экономической и научно-технической информации для обеспечения эффективности деловых сношений с зарубежными и отечественными партнерами, выявление в их числе несостоятельных, ненадежных предпринимателей, а также лиц, связанных с криминальными структурами;
  • учет официальных претензий правоохранительных и контролирующих органов к возможным партнерам на финансовом рынке, фирмам, банкам и т.п.;
  • изучение, анализ и оценка криминальной обстановки, в том числе состояния экономической преступности в денежно-кредитной сфере по стране и в регионе;
  • выявление и прогнозирование уязвимых мест в денежно-кредитной деятельности, реальных и потенциальных угроз безопасности КБ, разработка и осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;
  • анализ и прогнозирование негативных тенденций социально-экономического развития КБ с точки зрения влияния на ее безопасность;
  • информационное обеспечение руко-водства КБ в области безопасности;
  • координация деятельности подразде-лений службы безопасности и обеспечения взаимодействия со всеми структурными подразделениями КБ в решении проблемы безопасности.

Главной заботой о безопасности персонала является охрана личности от любых противоправных посягательств на его жизнь, материальные ценности и личную информацию.

Основными задачами направления сохранности и физической защиты продукции и объектов являются:

  • установление режима охраны производственных объектов и объектов жизнедеятельности;
  • осуществление допускного и пропускного режимов;
  • обеспечение защищенного хранения ценностей и документов (носителей информации), оснащение современными инженерно-техническими средствами охраны;
  • организация физической защиты продукции в процессе ее внутриобъектовой транспортировки;
  • осуществление контроля за сохранностью продукции на всех стадиях технологического процесса;
  • организация личной безопасности определенной категории руководящего состава и ведущих специалистов из так называемой группы повышенного риска;
  • обеспечение взаимодействия всех структур, участвующих в обеспечении физической защиты.

Основными задачами направления безопасности информационных ресурсов являются:

  • организация и осуществление разрешительной системы допуска исполнителей к работе с документами и сведениями ограниченного доступа;
  • организация хранения и обращения с конфиденциальными документами (носителями информации);
  • осуществление закрытой переписки и шифрованной связи;
  • организация и координация работ по защите информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи;
  • обеспечение безопасности в процессе проведения конфиденциальных совещаний, переговоров;
  • осуществление контроля за сохранностью конфиденциальных документов (носителей информации), за обеспечением защиты информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи.

Основными задачами в работе с персоналом банка являются:

  • Набор персонала: создание резерва потенциальных кандидатов по всем должностям. Набор персонала, как правило, проводится из внутренних (перемещение и продвижение по службе своих сотрудников) и внешних (найм по объявлениям и по личным рекомендациям) источников. Основным требованием при этом должны стать объективная оценка не только поступающего на работу сотрудника, но и предлагаемой ему работы.
  • Отбор кандидатов. К основным группам качеств для сравнения кандидатов относятся: профессиональные, образовательные, организационные и личные. Основным требованием при отборе является тщательное изучение деловых, моральных и этических данных каждого кандидата путем глубокого изучения трудового прошлого кандидата. В процессе анализа сведений о кандидате следует пользоваться услугами органов внутренних дел, оказываемых ими в соответствии с приказом МВД РФ за № 319 от 1994 г. В соответствии с этим приказом органы внутренних дел должны оказывать платные услуги о наличии (отсутствии) судимости кандидата и сведения о лицах, находящихся в розыске [Главный информационный центр МВД, тел. 332-31-77, 332-30-61 (порядок заключения контрактов на информационное обслуживание)].

Заключение контракта и получение у сотрудника добровольного согласия на соблюдение требований, регламентирующих режим безопасности и сохранения коммерческой и банковской тайн.

  • Обучение кандидатов перед допуском к работе предусматривает введение в должность, обучение установленным правилом выполнения порученного дела, обеспечения безопасности и защиты информации.
  • Текущий контроль (мониторинг) за деятельностью сотрудника по повышению его бдительности в отношении угроз безопасности банка.
  • Своевременное выявление и устранение конфликтных ситуаций в работе с персоналом.

Учитывая территориальную разбросанность и различный характер деятельности структурных подразделений КБ, необходимость наличия в значительной их части подразделений службы безопасности, а также наличие республиканских нормативных актов, определяющих порядок обеспечения охраны объектов, продукции и транспортировки продукции, представляется невозможным в настоящее время организовать единую службу безопасности КБ с централизованным административным подчинением.

В этих условиях целесообразно создать территориальную распределенную службу безопасности с централизованным органи-зационно-методическим управлением и координацией деятельности по единым принципам и правилам.

Служба безопасности должна подчиняться непосредственно руководителю коммерческого банка. Целесообразно, если позволяют возможности, чтобы начальник службы безопасности состоял в ранге заместителя руководителя КБ, который административно управлял бы службой информационно-аналитических исследований и прогнозных оценок безопасности и оперативно-методически руководил подразделениями служб сохранности и физической защиты ценностей и объектов и безопасности информационных ресурсов, создаваемых для выполнения конкретных задач в соответствии с настоящей концепцией в структурных подразделениях КБ и координировал бы их деятельность.

Вопросы технической безопасности по направлениям деятельности службы безо-пасности должны решаться совместно с руководством и подразделениями, отвечаю-щими за соответствующее направление научно-технического развития.

При разработке и реализации системы безопасности и организации ее службы безопасности определенная часть сотрудников службы безопасности может быть привлечена для выполнения конкретных работ (консультаций) на договорной основе (по контракту) из числа соответствующего профиля высококвалифицированных специалистов.

ПРЕДЛОЖЕНИЯ ПО ПРОГРАММЕ СОЗДАНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ

В целом создание и обеспечение функционирования системы комплексной безопасности с учетом положений настоящей концепции должны быть разработаны следующие документы:

  • Устав (положение) службы безопасности.
  • Перечень сведений, составляющих коммерческую тайну.
  • Организационно-распорядительные документы, регламентирующие порядок и правила:
    • обеспечения сохранности коммерческой тайны;
    • режима и охраны объектов защиты, включая требования по пропускному и внутриобъектному режиму;
    • по учету и контролю финансов, обеспечения их сохранности в процессе операций, хранения и транспортировки;
    • обеспечения защиты информации, обрабатываемой и передаваемой в автома- тизированных системах и средствах связи.

Для осуществления технической политики в области обеспечения физической и информационной защиты необходимо разработать и реализовать комплекс мероприятий:

  • по оснащению важнейших объектов и помещений средствами и системами физической защиты и контроля;
  • по обеспечению технической, програм-мной и криптографической защиты информации в системах информатизации и связи;
  • по обеспечению защиты речевой информации в помещениях, выделенных для ведения конфиденциальных переговоров.

Программа создания системы безопасности должна предусматривать приоритеты реализации наиболее важных и актуальных направлений обеспечения безопасности, с учетом выделяемых финансовых ресурсов, а также предусматривать привлечение к ее выполнению специализированных организаций, имеющих практический опыт работы по рассматриваемой проблеме и лицензии на соответствующий вид деятельности.

В целях обеспечения нормальной работы службы безопасности в повседневных условиях рекомендуется разработка "Оперативного плана службы безопасности по обеспечению защиты банка". Данным планом предусматриваются конкретные и четкие действия сотрудников банка и службы безопасности при возникновении критических ситуаций типа:

  • нападение грабителей;
  • исчезновение наличных денежных средств;
  • нападение на сотрудника банка;
  • пожар, взрыв и другое повреждение здания или имущества как в дневное, так и в ночное время.

Предусматриваются действия как в момент наступления ситуации, в ходе ее развития и по завершению. Главная цель - предупредить наступление, уменьшить ущерб, сохранить следы (улики) для последующей работы по ликвидации ущерба.

ПРИНЦИПЫ И НАПРАВЛЕНИЯ ВЗАИМОДЕЙСТВИЯ МЕЖДУ КОММЕРЧЕСКИМ БАНКОМ И ПРАВООХРАНИТЕЛЬНЫМИ ОРГАНАМИ В ОБЛАСТИ БЕЗОПАСНОСТИ

Какой бы совершенной ни была самоорганизация безопасности коммерческого банка, она не обеспечит предотвращение преступных посягательств без взаимодействия кредитного учреждения с соответствующими правоохранительными органами и прежде всего милицией.

Организационно-правовой основой такого взаимодействия являются:

  • конституционные принципы равенства защиты всех форм собственности;
  • законы Российской Федерации о милиции, об оперативно-розыскной деятельности, о прокуратуре и другие нормативно-правовые акты;
  • Соглашение между Министерством внутренних дел Российской Федерации и Ассоциацией российских банков о взаимодействии в области обеспечения банковской безопасности.

Целями сотрудничества являются: предупреждение и раскрытие преступных посягательств на персонал коммерческих банков, денежные средства и ценности.

Приоритетными направлениями взаимодействия банка и территориального органа внутренних дел должны быть:

  • Обмен информацией:
    • о фактах (способах) совершения хищений денежных средств в коммерческих банках с использованием подложных банковских документов, кредитных карточек, подделки иных документов;
    • о физических лицах, работающих в коммерческих банках, вкладчиках и других клиентах, подозреваемых в совершении правонарушений;
    • о юридических лицах, являющихся клиентами банка, совершающих банковские операции, имеющие подозрительный характер, в целом о банковских операциях, вызывающих обоснованные сомнения в целесообразности их проведения.
  • Разработка совместных мер:
    • противодействия предполагаемым (реальным) фактам общеуголовных проявлений в банковской системе, угрозам убийства, либо нанесения тяжких телесных повреждений, уничтожения имущества коммерческих банков, их руководителей, сотрудников и членов их семей;
    • по технической укрепленности и оборудованию средствами сигнализации объектов банка;
    • по созданию так называемой "горячей линии" между банковским и территориальным органом внутренних дел (милицией);
    • участия в формировании централизованного, регионального банка данных о предприятиях различных форм собственности, недобросовестных участниках кредитно-денежных отношений;
  • Работа по подбору, расстановке и профессиональная подготовка кадров служб банковской безопасности:
    • осуществление совместной проверки кандидатур на работу в службу банковской безопасности с использованием информационных возможностей органов внутренних дел, сведений о судимости и т.д.;
    • проведение совместной разработки и введение правил об ответственности персонала коммерческих банков за противоправное использование, либо разглашение коммер-ческой (банковской) тайны с учетом диспозиции ст. 183 УК РФ "Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну";
    • использование помощи милиции в обучении и повышении квалификации кадров службы безопасности банка.

Таким образом, данная концепция позволяет руководителю коммерческого банка определить основы организации безопасности кредитного учреждения с учетом местных условий и своих возможностей по затратам и ресурсам ее обеспечения.
Категория: Мои статьи | Добавил: service-safety (19.06.2009)
Просмотров: 1650 | Рейтинг: 0.0/0
Поиск
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    		•