Построение систем физической безопасности банка с использование систем контроля и управления доступом и систем охранного телевидения

Техническое задание

     Объект исследования: Филиал «Газпромбанка» (Акционерное общество) в г. Уфа. 
	Цель и назначение разработки системы: Построение систем физической безопасности банка с использование систем контроля и управления доступом и систем охранного телевидения.
	Основные задачи:
 Предпроектное обследование помещения, подлежащего обеспечению физической безопасности;
 Анализ нормативных документов в области защиты информации;
 Анализ и выявление актуальных угроз ресурсам банка;
 Выбор средств защиты для предотвращения вторжения, а именно СКУД и СОТ;
 Оценка рисков информационной безопасности;
 Обоснование экономической эффективности проекта.

   "Система физической защиты" (СФЗ) представляет собой совокупность правовых норм, организационных мер и инженерно-технических решений, направленных на защиту жизненно-важных интересов и ресурсов предприятия (объекта) от угроз, источниками которых являются злоумышленные (несанкционированные) физические воздействия физических лиц - нарушителей (террористов, преступников, экстремистов и др.).
К СФЗ относятся такие системы как:
 Система контроля и управления доступом (СКУД)
 Система охранного телевидения (СОТ)
Данные системы должны удовлетворять требованиям в соответствии с ГОСТ:
 ГОСТ Р 51241 – 2008 Средства и системы контроля и управления доступом. Классификация. Общие технические требования.
 ГОСТ Р 51558 – 2014 Средства и системы охранные телевизионные. Классификация. Общие технические требования.

   Требования к СКУД:
СКУД должен обеспечивать:
 полное или частичное перекрытие проема при попытке несанкционированного перемещения; 
 перемещение людей с установленной пропускной способностью в соответствии с установленным контрольно-пропускным режимом; 
 свободное перемещение через преграждающей конструкции (КП) при чрезвычайных ситуациях для эвакуации;
 безопасность нахождения человека в зоне действия КП; 
 возможность блокирования человека в замкнутом пространстве (для шлюзов, кабин с вращающимися дверями и т.д.) при обнаружении несанкционированного прохода; 
 контроль нормально открытого или нормально закрытого состояния КП и световую индикацию этого состояния; 
 возможность возврата КП в закрытое состояние при отсутствии прохода в течение установленного времени; 
 необходимые санитарно-гигиенические условия (для шлюзов и т.п.) в замкнутом объеме (воздухообмен - по ГОСТ 12.1.005, освещение – по ГОСТ 12.1.046).

Таблица 1 – Пропускная способность
Класс пропускной способности
Пропускная способность
1
До 5 чел/мин включительно
2
От 5 до 10 чел/мин
3
От 10 до 15 чел/мин
4
15 чел/мин

     Безотказность должна быть установлена наработкой в циклах или продолжительностью непрерывной работы в часах. Для восстанавливаемых КП безотказность устанавливают средней наработкой на отказ, для невосстанавливаемых - средней наработкой до отказа. 

Таблица 2 – Наработка на отказ
Вид КП
Средняя наработка на отказ, циклы
Все (кроме турникета)
До 100000 включительно
Турникет:

Нормальной надежности
От 100000 до 200000 включительно
Повышенной надежности
От 200000 до 1000000
Высокой надежности
1000000

Таблица 3 – Показатель устойчивости
Показатель устойчивости
Уровень устойчивости

Нормальный
Повышенный
Высокий

Класс устойчивости

1
2
3
4
5
Устойчивость к статическим нагрузкам
-
-
+-
+-
+
Устойчивость к взлому механическими ударами
+
+
+
+
+
Устойчивость к взлому инструментами
-
-
-
+
+
Пулестойкость
-
-
+-
+-
+-

     Требования к СОТ:
Основными задачами СОТ в системах охраны объектов должны быть:
 Видеоверификация тревог (подтверждение обнаружения проникновения) - подтверждение с помощью видеонаблюдения факта несанкционированного проникновения в зоне охраны и выявление ложных срабатываний.
 Прямое видеонаблюдение оператором (дежурным) в зоне охраны.
 Запись видеоинформации в архив для последующего анализа состояния охраняемого объекта (зоны), тревожных ситуаций, идентификации нарушителей и других задач.
   Для видеонаблюдения за охраняемым объектом могут использоваться как черно-белые видеокамеры, так и цветные:
 Разрешение черно-белых видеокамер должно быть не менее 420 ТВЛ;

 Разрешение цветных видеокамер, должно быть не менее 380 ТВЛ.

Видеокамеры, предназначенные для установки вне помещения:
 должны иметь климатическое исполнении в соответствии с условиями применения или установлены в защитный кожух с подогревом (при необходимости);
 должны быть оснащены автоматической регулировкой диафрагмы для нормальной работы в широком диапазоне освещенностей (как минимум от 0,1 люкса ночью до 100000 люкс в яркий солнечный день).
	Отношение сигнал/шум видеокамер должно быть не менее 48 дБ при освещенности объекта источником света соответствующим нормальным значениям освещенностей.
	Аппаратура передачи видеоизображения и видеокоммутации, с учетом характеристик канала передачи, не должны ухудшать таких параметров СОТ, как: разрешение и соотношение сигнал/шум видеосигнала более чем на 10 %.
	При передаче видеосигнала должны отсутствовать артефакты изображения (искажения геометрических форм объекта наблюдения, изменения цветопередачи или появления цветовых пятен в цветном видеоизображении).
	Цифровые каналы передачи должны обеспечивать необходимую пропускную способность, заданную в характеристиках проектируемой СОТ в зависимости от количества видеоканалов, разрешения изображения, количества кадров в секунду.
	В качестве устройств вывода видеоизображения в СОТ должны использоваться аналоговые или ЖКИ-видеомониторы с диагональю экрана не менее 17 дюймов. Разрешение видеомонитора должно быть не ниже 1280x1024 точек (960x768 ТВЛ).

 

 Расчетно-проектная часть

 Общее описание организации
 Описание организации
   "Газпромбанк" (Акционерное общество) – один из крупнейших универсальных финансовых институтов России, предоставляющий широкий спектр банковских, финансовых, инвестиционных продуктов и услуг корпоративным и частным клиентам, финансовым институтам, институциональным и частным инвесторам. Банк входит в тройку крупнейших банков России по всем основным показателям и занимает третье место в списке банков Центральной и Восточной Европы по размеру собственного капитала.
   Банк обслуживает ключевые отрасли российской экономики – газовую, нефтяную, атомную, химическую и нефтехимическую, черную и цветную металлургию, электроэнергетику, машиностроение и металлообработку, транспорт, строительство, связь, агропромышленный комплекс, торговлю и другие отрасли.
   Розничный бизнес также является стратегически важным направлением деятельности банка, и его масштабы последовательно увеличиваются. Частным клиентам предлагается полный набор услуг: кредитные программы, депозиты, расчетные операции,  электронные банковские карты и др.
   Газпромбанк занимает сильные позиции на отечественном и международном финансовых рынках, являясь одним из российских лидеров по организации и андеррайтингу выпусков корпоративных облигаций, управлению активами, в сфере частного банковского обслуживания, корпоративного финансирования и других областях инвестиционного банкинга.
   В числе клиентов Газпромбанка – более 5 миллионов физических и порядка 45 тысяч юридических лиц.

   В настоящее время Газпромбанк участвует в капитале банков, расположенных в России, Республике Беларусь, Швейцарии и Люксембурге; имеет представительства в Астане (Казахстан), Пекине (Китай), Улан-Баторе (Монголия) и Нью-Дели (Индия).
   В России региональная сеть Газпромбанка представлена 20 филиалами, расположенными от Калининграда до Южно-Сахалинска. Общее число офисов, предоставляющих высококачественные банковские услуги, превышает 350.
    Газпромбанк является членом Российского национального комитета Международной торговой палаты, а также уделяет значительное внимание развитию бизнеса за рубежом. В настоящее время представительства банка ГПБ (АО) работают в Пекине, Улан-Баторе, Нью-Дели и Астане.  
   Основные задачи, которые сегодня стоят перед зарубежными представительствами банка:
 Представление интересов и расширение деятельности банка ГПБ (АО) на рынке банковских услуг в странах размещения;
 Установление контактов с государственными органами и финансово-кредитными учреждениями в странах размещения;
 Содействие продвижению бренда Газпромбанка и его продуктов на финансовых рынках;
 Поддержка развития бизнеса и реализации отдельных проектов стратегических клиентов и партнеров банка.
   Уставный капитал банка ГПБ (АО) сформирован в сумме 194 996 181 750 рублей и разделен на 585 883 635 обыкновенных именных акций номинальной стоимостью 50 рублей каждая, 39 954 000 привилегированных акций типа А номинальной стоимостью 1 000 рублей каждая и 12 574 800 привилегированных акций типа Б номинальной стоимостью 10 000 рублей каждая.
   
   
 Описание целей и задач системы безопасности
   Главными целями системы безопасности являются обеспечение устойчивого функционирования банка и предотвращение угроз его безопасности, защита законных интересов банка от противоправных посягательств, охрана жизни и здоровья сотрудников и посетителей банка.
Задачами системы безопасности являются:
 Анализ и прогнозирование вероятных угроз;
 Предупреждение угроз (меры организационного, охранного, инженерно-технического и аналитического характера);
 Выявление готовящихся и совершенных противоправных посягательств на интересы банка;
 Пресечение угроз, возмещение причиненного ущерба;
 Взаимодействие с правоохранительными органами в сфере обеспечения безопасности;
 Разработка и контроль соблюдения установленных требований безопасности;
 Обеспечение непрерывности бизнеса во внештатных и кризисных ситуациях.

 Принцип организации и функционирования системы безопасности банка
   Организация и функционирование системы безопасности проводятся в
соответствии со следующими принципами:
 Комплексность и полнота защиты
   Приоритетной задачей каждого сотрудника банка является безопасность проведения любой операции в интересах и в рамках банковской деятельности. Защита банка и каждого из элементов его структуры осуществляется с использованием всего арсенала законодательно определенных средств и методов, находящихся в распоряжении банка. 

 Системность
   Безопасность банка обеспечивается взаимосвязанным и взаимодополняющим функционированием комплекса регулирующих и надзорных мер со стороны государства, системы аналитических, организационных, распорядительных решений и практических мер со стороны банка. Реализация мер защиты в рамках банка осуществляется с учетом того, что применение всех средств (мероприятий) обеспечения безопасности осуществляется в режиме системного согласования мероприятий, и каждое из них должно рассматриваться как часть единой системы обеспечения банковской безопасности.
 Взаимодействие 
   В обеспечении системы безопасности в пределах своей компетенции участвуют все подразделения банка, которые действуют во взаимосвязи друг с другом и с подразделениями безопасности банка. Организация взаимодействия с частными детективными и охранными структурами, с подразделениями безопасности других хозяйствующих субъектов, а также с государственными органами, выполняющими правоохранительные функции,
осуществляется подразделениями безопасности банка.
 Экономическая целесообразность
   Затраты на обеспечение безопасности банка должны оцениваться с точки зрения их сопоставимости с вероятностью реализации потенциальных угроз и тяжестью возможных последствий (технологические сбои, утрата репутации, материальный ущерб).
 Приоритет мер предупредительного характера.
   Интересы обеспечения безопасности банка связаны преимущественно с применением таких средств и методов, которые позволяют воспрепятствовать преступным намерениям субъектов посягательства, предупредить совершение преступления. Меры предупреждения посягательств на интересы банка являются предпочтительными и должны реализовываться преимущественно перед другими. С целью минимизации потерь банка от реализации угроз техногенного или природного характера разрабатываются планы работ при возникновении чрезвычайных, нештатных и аварийных ситуаций, испытание
и актуализация которых проводятся на плановой основе.
 Законность
   Система безопасности банка создается и функционирует в строгом соответствии с Конституцией Российской Федерации, федеральными законами, актами Президента Российской Федерации и Правительства Российской Федерации, нормативными правовыми актами субъектов Российской Федерации, а также нормативными актами министерств и ведомств и внутренними нормативными актами банка.
 Соблюдение рекомендаций банка России 
   Банк рассматривает в качестве обязательных рекомендации Центрального банка Российской Федерации по обеспечению безопасности, в том числе по реализации принципов «знай своего клиента» и «знай своего служащего», а также стандартов информационной безопасности.
 Сочетание гласности и конфиденциальности
   Деятельность системы безопасности осуществляется гласно, однако, в необходимых случаях в интересах защиты имущества, информации и других объектов гражданских прав банка применяются методы и средства конфиденциального характера, использование которых не нарушает конституционных прав граждан.
 Подконтрольность и подотчетность Председателю Правления банка
   Полученные подразделением безопасности материалы о фактах посягательства на интересы банка используются по усмотрению Председателя Правления банка (за исключением случаев обязательного информирования правоохранительных органов, предусмотренных законодательством), а также с учётом требований Порядка сбора и регистрации данных о рисковых событиях операционного риска в АБ «Газпромбанк» (ЗАО), утверждённым Председателем Правления банка 20.11.2006 г. № 79.
 Развитие и совершенствование
   Система безопасности банка создается, развивается и совершенствуется на основе использования средств и методов, разработанных современной наукой, рекомендаций по их наиболее эффективному применению, с учетом опыта борьбы с преступностью в банковской сфере отечественных и зарубежных правоохранительных структур, а также обобщения и анализа собственного опыта.

 Описание объекта защиты
   К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:
 Персонал банка (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих банковскую и коммерческую тайну, работники внешнеэкономических служб и другие);
 Финансовые средства, валюта, драгоценности;
 Информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;
 Средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио и оптической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
 Материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);
 Технические средства и системы охраны и защиты материальных и информационных ресурсов.
 Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска.
   Наибольшую уязвимость представляют финансовые и валютные средства, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.

 Виды угроз
К видам угроз можно отнести такие как:
 Угроза безопасности личности
 Преступные посягательства в отношении помещения
 Угрозы информационным ресурсам

В общем плане к угрозам безопасности личности относятся:
 Похищения и угрозы похищения сотрудников, членов их семей и близких родственников;
 Убийства, сопровождаемые насилием, издевательствами и пытками;
 Психологический террор, угрозы, запугивание, шантаж, вымогательство;
 Нападение с целью завладения денежными средствами, ценностями и документами.

Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде:
 Взрывов;
 Обстрелов из огнестрельного оружия;
 Минирования, в том числе с применением дистанционного управления;
 Поджогов;
 Нападения, вторжения, захватов, пикетирования, блокирования;
 Повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных:
 Технологические аварии, пожары.

Целью преступных посягательств в отношении помещения могут быть:
 Нанесение серьезного морального и материального ущерба;
 Срыв на длительное время нормального функционирования
 Вымогательство значительных сумм денег или каких-либо льгот (кредиты, отсрочка или погашение платежей и т.д.) перед лицом террористической угрозы.

Угрозы информационным ресурсам проявляются в виде:
 Разглашения конфиденциальной информации;
 Утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера;
 Несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований;
 Разрушения или несанкционированной модификации информации;
 Блокирования или разрушения технических средств приема, передачи, обработки и хранения информации.
 Осуществление угроз информационным ресурсам может быть произведено:
 Путем неофициального доступа и съема конфиденциальной информации;
 Путем подкупа лиц, работающих в Банке или структурах, непосредственно связанных с его деятельностью;
 Путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения;
 Путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
 Через переговорные процессы между Банком и иностранными или отечественными фирмами, используя неосторожное обращение с информацией;
 Через отдельных сотрудников банка, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную либо личную заинтересованность;
 Случайным или преднамеренным нарушением работоспособности технических средств приема, передачи, хранения и обработки информации
 Бесконтрольным изготовлением, размножением и уничтожением информации, включая копирование на отчуждаемые носители информации (магнитные, оптические, бумажные или любые другие).

 Принципы и направления взаимодействия между банком и правоохранительными органами в области безопасности
   Какой бы совершенной ни была самоорганизация безопасности банка, она не обеспечит предотвращение преступных посягательств без взаимодействия кредитного учреждения с соответствующими правоохранительными органами и прежде всего милицией.
Организационно-правовой основой такого взаимодействия являются:
 конституционные принципы равенства защиты всех форм собственности;
 законы Российской Федерации о милиции, об оперативно-розыскной деятельности, о прокуратуре и другие нормативно-правовые акты;
 Соглашение между Министерством внутренних дел Российской Федерации и Ассоциацией российских банков о взаимодействии в области обеспечения банковской безопасности.
   Целями сотрудничества являются: предупреждение и раскрытие преступных посягательств на персонал банка, денежные средства и ценности. Приоритетными направлениями взаимодействия банка и территориального органа внутренних дел должны быть:
 Обмен информацией:
 о фактах (способах) совершения хищений денежных средств в коммерческих банках с использованием подложных банковских документов, кредитных карточек, подделки иных документов;
 физических лицах, работающих в коммерческих банках, вкладчиках и других клиентах, подозреваемых в совершении правонарушений;
 юридических лицах, являющихся клиентами банка, совершающих банковские операции, имеющие подозрительный характер, в целом о банковских операциях, вызывающих обоснованные сомнения в целесообразности их проведения.

 Разработка совместных мер:
 противодействия предполагаемым (реальным) фактам общеуголовных проявлений в банковской системе, угрозам убийства, либо нанесения тяжких телесных повреждений, уничтожения имущества коммерческих банков, их руководителей, сотрудников и членов их семей;
 по технической укрепленности и оборудованию средствами сигнализации объектов банка;
 по созданию так называемой "горячей линии" между банковским и территориальным органом внутренних дел (милицией);
 участия в формировании централизованного, регионального банка данных о предприятиях различных форм собственности, недобросовестных участниках кредитно-денежных отношений.

 Работа по подбору, расстановке и профессиональная подготовка кадров служб банковской безопасности:
 осуществление совместной проверки кандидатур на работу в службу банковской безопасности с использованием информационных возможностей органов внутренних дел, сведений о судимости и т.д.;
 проведение совместной разработки и введение правил об ответственности персонала банка за противоправное использование, либо разглашение коммерческой (банковской) тайны с учетом диспозиции ст. 183 УК РФ "Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну";
 использование помощи милиции в обучении и повышении квалификации кадров службы безопасности банка.

 Техническое обеспечение безопасности
Техническое обеспечение безопасности должно базироваться:
 На системе стандартизации и унификации;
 На системе лицензирования деятельности;
 На системах сертификации средств защиты;
 На системе сертификации ТС и ПС объектов информатизации;
 На системе аттестации защищенных объектов информатизации.

Основными составляющими обеспечения безопасности ресурсов банка являются:
 Система физической защиты (безопасности) материальных объектов и финансовых ресурсов;
 Система безопасности информационных ресурсов.
Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:
 Систему инженерно-технических и организационных мер охраны;
 Систему регулирования доступа;
 Систему мер (режима) сохранности и контроль вероятных каналов утечки информации;
 Систему мер возврата материальных ценностей (или компенсации).

Система охранных мер должна предусматривать:
 Многорубежность построения охраны (территории, здания, помещения) по нарастающей к наиболее ценной оберегаемой конкретности;
 Комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
 Надежную инженерно-техническую защиту вероятных путей несанкционированного вторжения в охраняемые пределы;
 Устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;
 Высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителя;
 Самоохрану персонала.

Система регулирования доступа должна предусматривать:
 Объективное определение "надежности" лиц, допускаемых к банковской деятельности;
 Максимальное ограничение количества лиц, допускаемых на объекты банка;
 Установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;
 Четкое определение порядка выдачи разрешений и оформление документов для входа (въезда) на объект;
 Определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;
 Оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного(в том числе силового) проникновения посторонних лиц;
 Высокую подготовленность и защищенность персонала (нарядов) контрольно-пропускных пунктов.

Система мер (режим) сохранности ценностей и контроля должна предусматривать:
 Строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения финансов);
 Максимальное ограничение посещений режимных зон лицами, не участвующими в работе;
 Максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;
 Организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности;
 Организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон;
 Обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;
 Соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;
 Организацию тщательного контроля на каналах возможной утечки информации;
 Оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.
 
   Система мер возврата утраченных материальных и финансовых ресурсов слагается из совместных усилий объектовых служб безопасности и государственных органов охраны правопорядка и безопасности.
На объектовую службу безопасности возлагается:
 Обнаружение противоправного изъятия финансовых средств из обращения или хранения;
 Оперативное информирование правоохранительных органов о событиях и критических ситуациях;
 Возможность установления субъекта и время акции;
 Проведение поиска возможного "схрона" утраченных средств в районе объекта.
Дальнейший поиск и возврат пропавших ресурсов организуется в установленном порядке через соответствующие органы правопорядка и безопасности. 

     Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.
При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:
 Защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
 Защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН) на электрические цели, трубопроводы и конструкции зданий.

В рамках указанных направлений технической политики обеспечения информационной безопасности необходима:
 Реализация разрешительной системы допуска исполнителей (пользователей)к работам, документам и информации конфиденциального характера;
 Ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;
 Разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
 Учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;
 Криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
 Снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;
 Снижение уровня акустических излучений;
 Электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
 Активное зашумление в различных диапазонах;
 Противодействие оптическим и лазерным средствам наблюдения;
 Проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;
 Предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.

Защита информационных ресурсов от несанкционированного доступа должна предусматривать:
 Обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;
 Персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
 Надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
 Разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
 Контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;
 Очистку (обнуление, исключение информативности) оперативной памяти, буферов, магнитных и иных носителей информации при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;
 Целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.

   Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы) для каких действий или для какого вида доступа может предоставить и при каких условиях, и которая предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
   
Положение о персональной ответственности реализуется с помощью:
 росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
 индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
 проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, смарт карт, цифровой подписи как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

Условие надежности хранения реализуется с помощью:
 хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;
 выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;
 использования криптографического преобразования информации в автоматизированных системах.

Система контроля за действиями исполнителей реализуется с помощью:
 организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;
 регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;
 сигнализации о несанкционированных действиях пользователей.
   Очистка носителей информации осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и организационных мероприятий.
   
   Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до предела, определяемого "Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН", при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.
   Первый способ реализуется выбором системно-технических и конструкторских решений при создании технических средств ЭВТ в "защищенном исполнении", а также рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.
   Второй способ реализуется в основном за счет применения активных средств защиты в виде "генераторов шума" и специальной системы антенн.

   Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно-технических и методических документов по безопасности, утвержденных федеральными органами государственного управления в соответствии с их компетенцией и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.
   В соответствии с требованиями этой НТД должны проводиться предпроектное обследование и проектирование информационных систем, заказ средств защиты информации и контроля, предполагаемых к использованию в этих системах, аттестация объектов информатики, а также контроль защищенности информационных ресурсов.
   К основным стандартам и нормативно-техническим документам в области защиты информации от несанкционированного доступа (НСД) относятся: комплект руководящих документов Гостехкомиссии России (1992 г.), в том числе "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации", "Положение по организации разработки, изготовления и эксплуатации программы и технических средств защит.......................