Разработка модели угроз безопасности автоматизированной системе обработки информации в финансово-кредитном учреждении

Величина вложений в разработанную нами СЗИ с учетом коэффициента дисконтирования составит: 1 719 168 руб. за 10 лет эксплуатации.Период окупаемости проекта составит 4,2 года, при запланированном сроке эксплуатации СЗИ равной 10 годам.Важнейшим фактором, который учитывается при принятии решения о финансировании тех, или иных защитных мер, является величина эффекта от внедрения системы безопасности.Система безопасности, разработанная в ходе проведенного исследования, представляет собой комплексную систему информационной безопасности, состоящей из технической и организационной составляющей и представляет собой совокупность подсистем сигнализации, тревожной сигнализации, системы контроля и управления доступом, антивирусной системы, системы аутентификации и системы видеонаблюдения. Основное назначение предложенной СЗИ – сведение к минимуму возможных последствий от реализации угроз безопасности объекту информатизации (узла связи). Основным результатом работы системы защиты является обеспечение сохранности сведений конфиденциального характера, обеспечение безопасности сотрудников и денежных средств в процессе функционирования объекта защиты.Проведя оценку затрат на СЗИ и предотвращенных потерь, определим эффективность использования ресурсов.Эир = П \ З = 2 419 500 \ 1 719 168 = 1,41 раза. где, П- величина предотвращенных потерь, З- совокупные затраты на СЗИ.Таким образом, на 1 вложенный рубль в систему защиты мы предотвратим потери в 1,41 раза больше.2.6 Методические рекомендации, направленные на практическое внедрение предложенных мер защиты и их развитие.Проектирование и разработка системы безопасности предприятия, в том числе и его информационных систем — это логически сложная, трудоемкая и длительная работа, требующая высокой квалификации участвующих в ней специалистов.Современные технологии проектирования и разработки систем обеспечения информационной безопасности предполагают поэтапное решение соответствующих задач. При создании ИБ сотрудникам в составе процесса разработки были выделены этапы, перечисленные в Таб. 2.22. На основании экспертных оценок, с учетом состава коллектива разработчиков и предполагаемой сложности модуля, были определены их планируемые продолжительности. Таблица 2.22 Этапы разработкиИБ№ этапаНаименованиеОбозна-чениеРабочих дней 1Сбор и анализ требованийТсб52Постановка задачиТп53Составление технического заданияТтз74Проектирование и разработка перечня технических средствТбд95Конфигурация программной частиТалг126Разработка средств и ПОТкл217Тестирование системыТт98Составление документации и инструкций Тдок79Внедрение системы и обучение пользователейTвн8Итого:83В соответствии с необходимой численностью и выполняемыми функциями было установлено штатное расписание группы специалистов-разработчиков. К разработке ИС управления процессом проектирования привлечено 3 специалиста: Руководитель – начальник режимно-секретного отдела (РСО).Инженер – сотрудник РСО.Ведущий специалист – сотрудник технического отдела.В ходе выполнения исследования нами проведен расчет загруженности персонала, задействованного в разработке и внедрении СЗИ. Ниже в Таблице 2.22 представлены схема распределения специалистов предприятия и их загруженность. Помимо указанных задач, руководитель осуществляет контроль над ходом выполнения проекта на всех этапах. На основании сведений, представленных в Таб. 2.23, видно, что на каждом этапе разработки ИБ задействованы не все специалисты, что делает целесообразным использование повременного способа оплаты их труда на основании фактического количества отработанных дней.Таблица 2.23.Распределение специалистов по этапам разработки ИБ№ этапаОбозначениеПродолжи-тельностьЗадействованный персоналРуководительИнженерВедущий специалист1Тсб5--52Тп55-53Ттз77--4Тбд9-955Талг12-1286Ткл21-2187Тт9--98Тдок77-79Твн88-8Итого:83274255На диаграмме Ганта, представленной на Рисунке 2.9, изображен планируемый процесс разработки ИС управления процессом лечения, суммарная продолжительность выполнения этапов которого составляет 83 рабочих дня.Рис. 2.9 – План-график выполнения работ.Методические рекомендации, касающиеся монтажа системы безопасности.При монтаже системы безопасности необходимо учитывать уровень зоны безопасности, к которой относится конкретное помещение:К зоне первого уровня безопасности относятся кабинеты бухгалтерии, юридического отдела и кабинет директора по развитию и коммерческого директора;К зоне второго уровня безопасности – кабинет технического директора, отдел управления корпоративными проектами, центр сетевых решений, вычислительные комплексы и отдел по инф. безопасности и администрация.К зоне третьего уровня безопасности – департаменты продаж и IT разработок, а также отдел кадров.Методические рекомендации, касающиеся работы с аппаратным шифратором данных RuTоkеn. Исследование показало: аппаратные шифраторы должны поддерживать несколько уровней ключей шифрования. Обычно реализуется трехуровневая иерархия ключей. Большее количество уровней, не дает заметного улучшения качества защиты, а меньшего может не хватить для ряда ключевых схем. Трехуровневая иерархия предусматривает использование сеансовых или пакетных ключей (1-й уровень), долговременных пользовательских или сетевых ключей (2-й уровень) и главных ключей (3-й уровень). Каждому уровню ключей соответствует ключевая ячейка памяти шифропроцессора. Подразумевается, что шифрование данных выполняется только на ключах первого уровня, остальные предназначены для шифрования самих ключей при построении различных ключевых схем.На основе результатов проведенного исследования, нами подготовлены рекомендации по практическому использованию аппаратного шифратора сетевых данных. Устройство SаfеNеt Еthеrnеt Еnсryptоr является высокопроизводительным аппаратным шифратором 2-го уровня (до 10 Гбит/с). Шифратор прозрачен для протоколов более высокого уровня (IP, TСP, UDP, HTTP, HTTPS и т.д.), т.к. в типичной конфигурации на конечной точке каждой защищённой подсети ставится по шифратору, которые затем взаимодействуют друг с другом и передают шифрованные данные через незащищённый Еthеrnеt-канал.[20]Шифрование на втором и третьем уровне применяются в разных ситуациях, диктуемых существующей инфраструктурой. В типичной конфигурации SаfеNеt Еthеrnеt Еnсryptоr подключается к одному или нескольким таким же устройствам, находящимся в удалённых офисах организации. Провайдер должен предоставлять услугу транспорта трафика на втором уровне (канальный уровень, Еthеrnеt).[4]Рис. 2.10 – Пример работы аппаратного шифратора данныхканального уровняСуществуют два способа внедрения SЕЕ: линейный (рис. 2.11) и множественный (рис. 2.12). Рис. 2.11 Линейный вариант подключения SаfеNеt Еthеrnеt ЕnсryptоrРис. 2.12 – Множественный вариант подключения SаfеNеt Еthеrnеt ЕnсryptоrЕсли арендуется канал с сервисом второго уровня, логично и проще использовать канальное шифрование. еTоkеn позволяет с легкостью внедрить строгую аутентификацию пользователей и криптографические решения на основе PKI, приспособив их к конкретным условиям и требованиям организации. Ключевые пары генерируются в доверенной среде - защищенной памяти еTоkеn. При этом закрытые ключи никогда не покидают память устройства, а сертификаты открытого ключа доступны для внешних приложений после ввода пароля еTоkеn. Аутентификация, как правило, осуществляется с использованием одноразовых паролей (Оnе-Timе Pаsswоrd - ОTP). Аутентификация с использованием одноразовых паролей подразумевает использование нового пароля для каждого нового сеанса доступа.(Рис. 2.13)Рис. 2.13 – Процедура идентификации.Архитектура еTоkеn ОТР предполагает наличие сервера аутентификации RАDIUS, что делает возможным интеграцию с любыми VPN-шлюзами и приложениями, поддерживающими этот протокол. Сервер RАDIUS использует для получения информации о пользователе инфраструктуру Асtivе Dirесtоry (с использованием TMS - системы централизованного управления устройствами линейки еTоkеn).Методические рекомендации, касающиеся выбора организационных мер защиты. В ходе построения системы безопасности объекта и эксплуатации этой системы осуществляется взаимодействие со организациями, рассмотренными ранее.В ходе проведенного исследования обоснована целесообразность работы с частной охранной организации ЧОО. В результате заключения договора, узел связи обеспечивается круглосуточным дежурством сотрудников ЧОО, которые в ходе своей работы по ряду вопросов взаимодействуют со службой безопасности. Для осуществления монтажа средств безопасности решено прибегнуть к услугам специализированной организации. В Приложении 1 представлен пример инструкции по организации пропускного и внутриобъектового режима.Перечень средств защиты включает в себя как установку системы СКУД, модернизацию вычислительной сети компании, а также установку дополнительного программного обеспечения, для ограничения и контроля доступа к информации в вычислительной сети компании. При модернизации структуры ЛВС решено использовать технологию виртуальных сетей VLAN. Данная технология отлично подходит для решения поставленных задач. Использование виртуальных сетей снижает нагрузку на сеть и сервер, повышает уровень информационной безопасности, вследствие логического деления сети на подсети, а также предоставляет эффективное средство управления сетью.Для организации безопасной передачи данных между филиалами компании решено использовать аппаратные шифраторы сетевого трафика. Подобные устройство выгодно отличаются от программных аналогов скоростью работы и устойчивостью шифра. Так как шифрование происходит на канальном уровне, то шифраторы становятся абсолютно невидимыми из сети, при этом достигается высокая пропускная способность канала, в отличии от шифрования на сетевом уровне. Рассмотрим популярные модели аппаратных шифраторовТакже для повышения защищенности связи между филиалами целесообразно использовать технологию виртуальных частных сетей VPN. Цель использования данной технологии – создание единого информационного пространства средствами сетей VPN обеспечит эффективную поддержку бизнеса и взаимодействие подразделений предприятия[9]. Информационная безопасность предприятия не ограничивается установкой какой-либо одной системы или устройства, а должна производиться комплексно и последовательно. Это позволяет выделить системы и устройства, имеющие наибольший приоритет в защите информации компании:Охранная система видеонаблюдения, контроля периметра и доступаСетевые шифраторы для передачи данных по общедоступным каналам связи и электронные ключи для хранение наиболее ценных данных;Внедрение антивирусной системыНастройка правил доступа внутри сети.Перспективы развития и направления дальнейшего совершенствования СЗИ. Перспективы развития и направления дальнейшего совершенствования СЗИ осуществляется, как правило, путем прогнозирования направлений дальнейшего развития исследуемого предприятия, сопоставления с возможностями существующей СЗИ, сравнивая ее с аналогичными проектами или решениями в данной области. Как показало проведенное исследование, такой вариант представляется затруднительным в виду того, что реализованные системы безопасности сложно сравнить между собой в виду того, что решаемые ими задачи существенно отличаются.Как показало проведенное исследование, сравнение с аналогом затруднительно по ряду причин:Разработанная система безопасности включает в себя более 400 приборов и устройств, состав и количество которых подобраны исходя из поставленной задачи и с целью минимизации стоимости системы. Система разработана с учетом особенностей защищаемого объекта, при этом внедрение точно такой же системы на другом объекте может оказаться неэффективным и неоправданным;Помимо программно-аппаратных средств, система физической безопасности включает в себя ряд организационных мер, без которых работа системы может стать бессмысленной (эти аспекты показаны в технологической части). Поэтому даже реализация такой же по составу системы на точно таком же объекте может иметь различную эффективность, в зависимости от того, какие организационные меры разработаны, как проводится работа с персоналом по соблюдению требований безопасности и правилах поведения при ЧС и пр.Существующие комплексные продукты в области физической защиты не имеют точной комплектации, так как сама комплектация зависит от объекта защиты, и представлены в виде перечня возможных устройств, которые могут быть использованы. Реализация конкретного продукта на практике может быть совершенно различной. Это зависит, как отмечалось выше, от требований, специфики объекта и выделенных на безопасность средств.По этим причинам каждое проектное решение для внедрения системы информационной безопасности конкретного объекта не имеет аналогов и не может быть скопировано и тиражировано!ЗаключениеЦелью данного исследования является разработка методических рекомендаций направленных на снижение угроз безопасности автоматизированной системе обработки информации в финансово-кредитном учреждении для повышения его конкурентоспособности и финансово-экономической устойчивости на примере ПАО «ФИНИНВЕСТ».Для достижения поставленной цели, в работе поставлены следующие основные задачи:Проведен анализ специфики и особенностей функционирования рассматриваемой финансово-кредитной организации, выполнена оценка существующей системы управления ее экономической деятельностью, в частности – автоматизированной управляющей подсистемы.Выявлена, а также проанализированы причинно-следственные связи возникновения угроз, особенности развития основных угроз безопасности функционирования автоматизированной системе управления в свете современного нормативно-правового регулирования.Дана оценка особенностей влияния угроз на конкурентоспособность и финансово-экономическую устойчивость финансово-кредитного учреждения, его автоматизированную систему управления.Разработаны методические рекомендации, касающиеся снижения негативных последствий влияния основных угроз на автоматизированную систему управления финансово-кредитного учреждения.Сформулированы рекомендации, касающиеся практической реализации предложений, направленных на снижение негативного воздействия угроз на автоматизированную систему управления финансово-кредитного учреждения, провести их экономическую оценку.Определены пути дальнейшего совершенствования системы управления финансово-кредитного учреждения.Объектом исследования является финансово-кредитное учреждение ПАО «ФИНИНВЕСТ», функционирующее в условиях рыночной неопределенности под воздействием совокупности факторов риска (угроз) и его информационная автоматизированная подсистема системы управления экономической деятельностью.Предмет исследования: система информационной безопасности исследуемого финансово-кредитного учреждения.В первой главе: описана специфика и особенности функционирования современной финансово-кредитной организации, проведен анализ и оценка существующей системы управления ее экономической деятельностью, в частности – автоматизированной управляющей подсистемой. На основе результатов анализа объекта, исследованы его характеристики и организационно-структурная схема построения. Выявлены ее основные достоинства и недостатки, что в перспективе может стать значимым направлением модернизации системы управления.Также проведено исследование и анализ технического и программного обеспечения объекта, на основании которого осуществлена оценка результативности выполнения основных задач по обеспечению информационной безопасности, которая подтверждает, что часть задач СБ не выполняются, либо выполняются не полностью, так как не внедрена комплексная система защиты информации.Во второй главе был проведен анализ и оценка специфики экономической деятельности ООО ФИНИНВЕСТ, выявлены основополагающие факторы, влияющие на обеспечение информационной безопасности.Выявлены ее достоинства и недостатки. Подготовлены методические рекомендации, направленные на модернизацию существующей СЗИ.Основными из них являются нижеследующие.1. Первым предложением, направленным на совершенствование системы информационной безопасности исследуемого предприятия является внедрение охранной системы «FоrtNе.2. Суть второго предложения, направленного на совершенствование существующей системы информационной безопасности исследуемого предприятия сводится к внедрению аппаратной системы шифрования данных.3. Третье предложение касается введению системы двухфакторной аутентификации пользователей на основе электронных USB-ключей еTоkеn для защиты электронной переписки, установления защищенных соединений (VPN, SSL), проведения безопасных финансовых транзакций, а также в целях обеспечения безопасного доступа в помещения исследуемого предприятия и к ресурсам информационных систем.4. Четвертое предложение направлено на совершенствование системы антивирусной защиты ПЭВМ предприятия путем отказа от бесплатного свободно распространяемого ПО.5. Суть пятого предложения сводится к внедрению и использованию программ, позволяющих проводить проверку операционной системы на наличие уязвимостей. Используя полученную в ходе проверки информацию, администратор может принять меры по их устранению.6. Шестое предложение по совершенствованию системы информационной безопасности исследуемого предприятия сводятся к модернизации организационных мер защиты.Проведено экономическое обоснование целесообразности внедрения организационных и технических мер защиты. Совокупные затраты на внедрение предложенных мер составили = ХХХХХ руб.Проведен расчет срока окупаемости проекта, который составил ХХХХХ руб.Рассчитан коэффициент эффективности инвестиций в СЗИ, который равняется ХХХ раза.В квалификационной работе предложен перечень мероприятий по модернизации организационной и технической составляющей СЗИ. Как показало проведенное исследование, система ИБ организации, в результате модернизации стала соответствовать предъявленным требованиям. Нововведения в филиале исследуемой финансово-кредитной организации обеспечат защиту электронного документооборота и стабильность работы с информацией, что позволит повысить уровень информационной безопасности, общую эффективность работы, финансово-экономическую устойчивость и конкурентоспособность.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВСабанов А. А. Некоторые аспекты защиты электронного документооборота // Соnnесt! Мир связи. - 2019. - № 7. - С. 62-64.Системs электронного документооборота// Информационные сегменты веб-сайта. - 2019 [Электронный ресурс]. URL: http://www.еvfrаt.ru/аbоut/е-dосs/Титоренко, Г.А. Информационные системы в экономике : учебник для студентов вузов / Г.А. Титоренко. - М. : ЮНИТИ-ДАНА, 2018. - 463 с.Интегрированная система охраны «FоrtNеt» [Электронный документ] URL: http://bоlid.ru/prоduсtiоn/оriоn/Protect Sensitive Data in Motion with SafeNet Carrier Ethernet Encryption. [Электронныйдокумент] URL: https://safenet.gemalto.com/Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;ГОСТ Р 50775-95 Системы тревожной сигнализации.ГОСТ 51241-98 - Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытанийНПБ 88-01 Установки пожаротушения и сигнализации. Нормы и правила проектированияРД 78.36.003-2002 Инженерно-техническая укрепленность. Технические средства охраны. Требования и нормы проектирования по защите объектов от преступных посягательств. РД 78.36.005-99 Выбор и применение систем контроля и управления доступом. Рекомендации.РД 78.36.007-99 Выбор и применение средств охранно-пожарной сигнализации и средств технической укрепленности для оборудования объектов. Рекомендации.ГОСТ Р ИСО 15489-1-2007 «Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования» - М.: Госстандарт России: Издательство стандартов, 2007.ГОСТ Р 53113.2-2009 Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. - М.: Госстандарт России: Издательство стандартов, Дата введения 2009-12-01Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. изд 2 - М.: Наука и техника, 2019. - 412 с.Федеральный закон "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" от 21.12.1994 N 68-ФЗОков И. Н. Криптографические системы защиты информации СПб, ВУС, 2021, 236с.Соколов А. М., Степанюк О.М. Защита объектов и компьютерных сетей (Шпионские штучки). - М.: ACT, СПб.: Полигон, 2018. 272с.Партыка Т.Л., Попов И.И. Информационная безопасность. Учебное пособие для студентов учреждений среднего профессионального образования.— М.: ФОРУМ: ИНФРА-М, 2019.Крысин А.В. Информационная безопасность. Практическое руководство — М.: СПАРРК, К.:ВЕК+,2019.Савицкая Г.В. Анализ хозяйственной деятельности предприятия: Учебник. – 3-е изд., перераб. И доп. – М.: ИНФРА-М, 2018. – 425 с.Цывин М.Н. Терминологические проблемы изучения дисциплины "Электронный документооборот" / М.Н. Цывин // Библиотековедение. Документоведение. Информология. - 2019. - № 1. - C. 7 - 11.Мельников П. П. Защита информации в автоматизированных системах финансовых и коммерческих организаций, М.: ФА, 2018. –76с.Баймакова И.А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных. Методическое пособие / И.А. Баймакова. – М.: 1С-Паблишинг, 2019. – 214 с.Стельмашонок Е.В., Васильева И.Н. (ред.) Информационная безопасность цифрового пространства. СПб.: СПбГЭУ, 2019. — 155 с. — ISBN 978-5-7310-4465-3.Воробьева А.А., Коржук В.М. Системы защиты информации в ведущих зарубежных странах. Учебно-методическое пособие. – СПб: Университет ИТМО, 2019.– 32 с.Бирюков В.А., Дмитриева О.В., Степанова Г.Н. Теоретико-методологические аспекты реализации стратегии информационной безопасности медиаорганизации в современных условиях. Монография. — М.: Буки Веди, 2019. — 160 с.Ананченко И.В., Зудилова Т.В., Хоружников С.Э. Средства резервного копирования, восстановления, защиты данных в операционных системах Windows. Учебное пособие. — СПб.: Университет ИТМО, 2019. — 50 с.Козлов Сергей. Защита информации. Устройства несанкционированного съема информации и борьба с ними. М.: Трикста, 2018. — 289 с.Масалков А.С. Особенности киберпреступлений: инструменты нападения и защиты информации. М.: ДМК Пресс, 2018. — 226 с.: ил.Сычев Ю.Н. Стандарты информационной безопасности. Защита и обработка конфиденциальных документов. М.: РЭУ им. Г.В. Плеханова, 2017. — 207 с. Нохрина Г.Л. Информационная безопасность. Курс лекций. — Екатеринбург: Уральский государственный лесотехнический университет, 2017. — 133 с.Пелешенко В.С., Говорова С.В., Лапина М.А. Менеджмент инцидентов информационной безопасности защищенных автоматизированных систем управления. Учебное пособие. — Ставрополь: Изд-во СКФУ, 2017. — 86 с.Денисов Д.В Методические указания по дипломному проектированию для специальности «Информационные системы и технологии», «Безопасность информационных систем» Денисов Д.В., Дик В.В., Емельянов А.А., Жильцов А.И.,М. МПФУ 2019 г.Статистика уязвимостей корпоративных информационных систем.Positive technologies. Режим доступа www. www.ptsecurity.ruИнтегрированная система охраны «Орион» [Электронный документ] URL: http://bolid.ru/production/orion/Официальный сайт ООО «Код Безопасности». [Электронный документ]: URL: www.securitycode.ruПРИЛОЖЕНИЕ 1. ________________________Экз. №________УТВЕРЖДАЮ_____________________________________________________________________________ _____________“ ____ ” ______________ 200__г.ИНСТРУКЦИЯпо организации пропускного и внутриобъектового режима 1. ОБЩИЕ ПОЛОЖЕНИЯ.1.1.Для обеспечения сохранности ценностей, безопасности сотрудников и клиентов в вводится пропускной режим, устанавливаемый в соответствии с требованиями настоящей инструкции.1.2.Основными задачами пропускного режима является установление порядка, обеспечивающего нормальную и безопасную работу сотрудников учреждения , предотвращение бесконтрольного вывоза(ввоза), выноса(вноса) материальных ценностей и документации, соблюдение установленного распорядка дня в здании учреждения.1.3.Организация и контроль пропускного режима возлагается на СБ, а его осуществление на частное охранное предприятие «Беркут» (далее – ЧОП).1.4.Документы по пропускному режиму доводятся до сотрудников учреждения компании и являются обязательными для исполнения.1.5.Образцы удостоверений, пропусков, оттисков печатей, штампов, а также образцы подписей лиц, которым предоставлено право подписи пропусков, должны храниться у дежурного по охране учреждения компании так, чтобы исключалась возможность их обозрения посторонними лицами.1.6.Обязанности сотрудников ЧОП по осуществлению пропускного и внутриобъектового режима определяются в должностной инструкции. Данный документ подлежит обязательному согласованию с руководителем компании.2. ПРОПУСКНОЙ РЕЖИМ.2.1.Все служебные помещения компании в зависимости от их назначения подразделяются на три зоны доступа:- первая зона - помещения, доступ в которые для сотрудников компании, представителей клиентов, посетителей при наличии у них служебных удостоверений, постоянных, временных или разовых пропусков, не ограничен (помещения для работы с клиентами и офисные помещения, где происходит непосредственный прием посетителей и другие хозяйственные помещения);- вторая зона - помещения, доступ в которые разрешается определенному кругу сотрудников компании и представителям клиентов при наличии у них служебных удостоверений, постоянных, временных или разовых пропусков и специального разрешения руководителя компании (операционные отделы, помещения, связанные с обработкой и хранением банковской информации, участки множительной техники, кабинеты руководителя компании и главного бухгалтера, бухгалтерии);- третья зона - помещения, доступ в которые имеют лишь строго определенные сотрудники и должностные лица компании, при наличии специального разрешения его руководителя (кассовый узел, определенные помещения подразделения безопасности и защиты информации).Контроль за доступом во вторую и третью зоны в рабочее время возлагается на лиц, определенных приказом руководителем компании, а в местах, где установлены посты охраны - на постовых.В нерабочее время, выходные и праздничные дни охрана помещений 1-ой, 2-ой и 3-ей зон доступа должна обеспечиваться средствами охранной сигнализации.2.2.Для контроля за входом в здание компании, защиты его сотрудников и имущества от преступных посягательств отдельных лиц или группы лиц могут применяться системы контроля доступа с устройствами для обнаружения оружия, взрывчатых и радиоактивных веществ.2.3.Пропуск инкассаторов, а также сотрудников Управления почтовой связи, и информации, получающих денежную наличность в компании, осуществляется по разовым пропускам или спискам, при предъявлении документа, удостоверяющего личность, или удостоверения инкассатора (служебного удостоверения).Список названных лиц подписывается руководителем соответствующей организации и согласовывается с руководителем компании. В списке указываются данные на инкассаторов (сотрудников): фамилия, имя, отчество, серии, номер удостоверения инкассатора, служебного удостоверения, номер и серия паспорта, когда и кем выдан. Список заверяется печатью организации или учреждения. Копия списка передается в подразделение вневедомственной охраны. Учреждение обеспечивает контрольно-пропускные посты образцами удостоверений инкассаторов (служебных удостоверений) и подписей лиц, имеющих право их подписывать.2.4.Право прохода на территорию компании по предъявлению служебного удостоверения имеют: руководители законодательной, исполнительной и судебной властей, сотрудники МВД, ФСБ, ГНИ, налоговой полиции. 2.5.При пожарах, аварийных ситуациях, стихийных бедствиях, преступных посягательствах на Учреждение и находящихся в нем людей, пожарные расчеты, аварийные бригады, медицинские работники, бригады скорой помощи, а также сотрудники ФСБ, ОВД, прокуратуры, МЧС в нерабочее время допускаются в УС с разрешения дежурного охранника. О допуске указанных лиц постовой делает запись в Журнале учета приема-сдачи поста и проверок несения службы. О сложившейся обстановке немедленно информируется руководитель компании.В рабочее время сотрудники указанных служб допускаются на территорию компании с разрешения его руководителя (заместителя).После завершения мероприятий указанные сотрудники выпускаются с территории компании, о чем производится соответствующая запись в Журнале учета приема-сдачи поста.2.6.Посетители допускаются на территорию компании и обратно по временным и разовым пропусками. Допуск посетителей во вторую и третью зоны доступа в каждом случае разрешает руководитель компании.2.7.Проверка нарядов милиции по охране компании осуществляется в соответствии с требованиями приказа № 258/363 инструкции по охране учреждений подразделениями милиции вневедомственной охраны при органах внутренних дел.2.8.Вход в кладовую ценностей разрешается только должностным лицам, ответственным за сохранность ценностей. Другие лица могут входить в кладовую только в присутствии ответственных за сохранность ценностей.2.9.Лица, привлекаемые к проведению ревизий, имеют свободный доступ в кассовый узел в присутствии должностных лиц, ответственных за сохранность ценностей.Лица, обслуживающие средства охранно-пожарной и тревожной сигнализации, допускаются в кладовые ценностей по списку, подписанному начальником СБ и по документу, удостоверяющему его личность.Пожарные расчеты, аварийные бригады и бригады скорой помощи допускаются в расположение кладовых ценностей только с разрешения руководителя компании, в присутствии ответственных за сохранность ценностей.Работники Прокуратуры, сотрудники оперативных и следственных органов МВД и ФСБ для выполнения процессуальных действий могут допускаться в кладовые ценностей на основании письменного разрешения руководителя компании и в присутствии должностных лиц, ответственных за сохранность ценностей.2.9.Вход в учреждение компании с кино-, видео-, фото-, записывающей и переписывающей аппаратурой и производство различных съемок и записей осуществляется только по письменному распоряжению руководства филиала.2.10.Допуск в учреждение компании рабочих для производства ремонтных строительно-монтажных и наладочных работ (СМНР) при оборудовании здания и территории инженерно-техническими средствами охраны при проведении их ремонта осуществляется по спискам и документам, удостоверяющим личность.Списки подписываются руководителем строительной группы, осуществляющей ремонтные, строительно-монтажные и наладочные работы, скрепляются печатью и согласовываются с руководством филиала.2.11.Пропуск сотрудников филиала в учреждение компании осуществляется по удостоверению, подписанному руководством филиала.Для пропуска посетителей, а также выноса (вноса) материальных ценностей устанавливаются следующие виды пропусков: временные, разовые, материальные.2.12.Лица, утерявшие удостоверения немедленно сообщают об этом руководству филиала, который организует проверку причин и обстоятельств утери. После выяснения причин утери, лицо, утерявшее удостоверение, несет ответственность в дисциплинарном порядке.2.13.Служебные удостоверения и временные пропуска выдаются только после ознакомления их владельца с Инструкцией о пропускном и внутриобъектовом режиме, инструктажа по противопожарной безопасности и личной подписи в карточке учета установленного образца.Карточки хранятся в соответствии с порядком установленным для хранения бланков строгой отчетности и уничтожаются по акту одновременно с использованными удостоверениями и временными пропусками.2.14.Временные пропуска выдаются лицам, находящимся на временной работе по трудовым соглашениям и индивидуальным договорам подряда.Временный пропуск оформляется с фотографией и выдается на срок определенный руководителем компании.2.15.Служебные удостоверения и временные пропуска регистрируются в Журнале учета выданных удостоверений и пропусков. Журнал должен быть пронумерован, прошнурован и скреплен печатью и подписан руководителем компании.3. ПРОПУСКНОЙ РЕЖИМ ВНОСА И ВЫНОСА ИМУЩЕСТВА И МАТЕРИАЛЬНЫХ ЦЕННОСТЕЙВцелях улучшения контроля и сохранности имущества компании вводится в действие пропускной режим вноса и выноса имущества и материальных ценностей из учреждения компании.3.1.Основанием для вывоза(выноса) различных материальных ценностей является материальный пропуск и пропуск на ценности установленного образца. Пропуска подписываются управляющим филиала, главным бухгалтером или их заместителями.По пропускам вывоз (вынос) ценностей и имущества может быть произведен только один раз в день его выписки.3.2.При вывозе (выносе) имущества, оборудования, материалов и других ценностей сотрудник подразделения охраны обязан сверить пропуск с документом на основании которого он выписан.3.3.Запрещается осуществлять вывоз(вынос) товарно-материальных ценностей по одному материальному пропуску за несколько приемов и по устным распоряжениям должностных лиц учреждения компании.3.4.Пропуска регистрируются в рабочем журнале на основании служебного удостоверения или временного пропуска, с указанием времени выноса.4. ВНУТРИОБЪЕКТОВЫИ РЕЖИМ4.1.Внутриобъектовый режим определяет соблюдение всеми работниками компании и других организаций, располагающихся на его территории, правил, регламентирующих:- обеспечение сохранности ценностей, материальных и технических средств, оборудования и документов;- порядок допуска в помещения по зонам доступа;- порядок вскрытия и закрытия кладовых ценностей и режимных помещений, сдачи их под охрану и приема из-под охраны;- мероприятия по соблюдению противопожарной безопасности зданий и рабочих помещений;- соблюдение распорядка рабочего дня;- соблюдение установленного порядка складирования материалов, оборудования и другого имущества.4.2.Время работы для сотрудников компании определяется распорядком дня, а нахождение представителей клиентов в расчетно-кассовом центре и операционно-кассовом центре разрешается в установленное операционное время в рабочие дни с 8 до 13 часов и с 14 до 16 часов и утверждается руководителем компании.4.3.Нарушение пропускного режима должно рассматриваться как происшествие, требующее служебного расследования и принятие необходимых мер по недопущению их в дальнейшем.4.4.Посещение сотрудниками филиала здания компании в нерабочее время, а также в выходные и праздничные дни согласовываются с руководством филиала и руководителем СБ.4.5.Вскрытие(закрытие) режимных помещений компании, оборудованных охранной сигнализацией, производится сотрудниками назначенными соответствующим приказом руководителя компании, и в порядке, установленном соответствующей Инструкцией. Инструкция подписывается руководителем компании и руководителем ЧОП.4.6.Помещения, оборудованные охранной сигнализацией, после закрытия их ответственными за помещениями лицами сдаются под охрану.4.7.Сотрудник компании обязан:- знать и лично соблюдать установленный пропускной и внутриобъектовый режим;- обеспечивать надлежащее хранение служебного удостоверения (пропуска), ключей от режимных помещений, об их утрате немедленно докладывать своим непосредственным начальникам;- в период нахождения в кладовой ценностей передавать на временное хранение должностным лицам, ответственным за сохранность ценностей, служебное удостоверение (пропуск);- строго соблюдать правила противопожарной безопасности, курить только в установленных для этого местах, не пользоваться самодельными электроприборами;- не проносить на территорию компании легковоспламеняющиеся предметы, горючие жидкости, взрывчатые вещества; знать расположение пожарных кранов, огнетушителей, сигналов пожарной тревоги; уметь пользоваться средствами пожаротушения;- по окончании работы закрыть окна, форточки, выключить электроприборы, закрыть на замки сейфы, шкафы, входные двери;- при увольнении из компании сдать служебное удостоверение или пропуск в СБ;- выполнять требования постовых, обусловленные их обязанностями при осуществлении пропускного режима, по их требованию предъявлять личные вещи для досмотра;- при проходе через контрольно-пропускной пункт предъявлять удостоверения (пропуск) в развернутом виде, а по требованию постового - передавать ему в руки для осуществления проверки;- знать порядок действий и уметь действовать при объявлении тревоги в компании;- при обнаружении посторонних предметов сообщить сотруднику управления безопасности и защиты информации, постовому охраннику компании, а также своему руководителю.4.9.Сотруднику компании запрещается:- вести разговоры с посторонними лицами о сведениях, составляющих государственную, банковскую тайну и о конфиденциальных документах компании. О попытках получения ее посторонними лицами немедленно информировать руководителя СБ (в расчетно-кассовом центре, операционно-кассовом центре - его руководителя);- проносить на территорию компании запрещенные предметы, проходить в кладовые ценностей, операционные кассы и кассы пересчета в верхней одежде, головных уборах и с продуктами питания;- находиться на территории компании сверх установленного времени, заходить без служебной надобности в режимные помещения;- перемещать мебель, имущество, оборудование из одного служебного помещения в другое без разрешения хозяйственно-эксплуатационной службы.Список принятых сокращенийАРМ- автоматизированное рабочее местоАС- автоматизированная системаБД- база данныхЗИ- защищаемая информацияИР- информационный ресурсИТ- информационная технологияКСЗИ- комплексная система защиты информацииЛВС- локальная вычислительная сетьМЭ- межсетевой экранНСД- несанкционированный доступОС- операционная системаОТСС- основные технические средства и системыПК- программный комплексПО- программное обеспечениеПЭВМ- персональная электронно-вычислительная машинаСУБД- система управления базы данныхСЗИ- система защиты информацииСКЗИ- средства криптографической защиты информацииСУБД- система управления базами данныхСЭД система электронного документооборотаЦА- центральный аппаратЭлД- электронный документЭЦП- электронная цифровая подпись