20 январь 2019
Либертариум Либертариум

Методические рекомендации по обеспечению безопасности конфиденциальной банковской информации при проектировании объектов и помещений для размещения СКЗИ

Методические рекомендации
по обеспечению безопасности конфиденциальной банковской информации при проектировании объектов и помещений для размещения СКЗИ

I. Введение

1. Настоящие Рекомендации являются документом, служащим руководством при проектировании объектов и помещений, в которых предполагается размещение системы криптографической защиты банковской информации (СКЗИ), применяемой в "Деловой сети".

Данные рекомендации могут быть использованы при размещении СКЗИ на объектах банков, при этом отдельные положения настоящих рекомендаций могут быть изменены по согласованию с банком при проектировании конкретных объектов исходя из реальных условий размещения объектов и экономической целесообразности принимаемых проектом решений.

2. Система защиты банковской информации криптографическими методами должна обеспечивать защиту:

  • от несанкционированного доступа пользователей, не допущенных к работе с системой, а также пользователей, допущенных к работе с системой, но имеющих ограниченные полномочия (система разграничения доступа, аутентификация абонентов и абонентских установок);
  • от целенаправленных действий злоумышленника с использованием штатных программно-аппаратных средств, направленных на получение несанкционированного доступа к открытой информации, на перехват информации о легальных пользователях, либо на нарушение предписанных алгоритмов работы ЭЦП (защита от НСД);
  • от внедрения (внедренных) в программно-аппаратную среду технических средств программно-аппаратных закладок (разрушающих программных воздействий), направленных на получение несанкционированного доступа к открытой информации, на перехват информации о легальных пользователях, либо на нарушение предписанных алгоритмов работы ЭЦП, а также на дезорганизацию работы сети;
  • от получения третьими лицами, с использованием технических средств и методов, информации (речевой и документальной), циркулирующей в локальных сетях, каналах и системах передачи данных.

Под третьими лицами подразумеваются физические или юридические лица, противозаконная деятельность которых направлена на получение и (или) компрометацию сведений, составляющих банковскую (коммерческую) тайну, охраняемую законом и не принадлежащую им на правах собственника, совладельца или доверенного лица.

II. Рекомендации по оборудованию помещений для размещения СКЗИ

1. Размещение, охрана и специальное оборудование помещений, в которых установлены технические средства криптографической защиты информации (ТС) и ведется работа с криптоключами должны обеспечивать сохранность информации, криптоключей, невозможность неконтролируемого проникновения в эти помещения, прослушивания ведущихся там переговоров и просмотра помещений посторонними лицами.

2. Эти помещения должны находиться в зоне безопасности (зона, в которой имеют право находиться только работники учреждения), иметь прочные входные двери, на которые устанавливаются надежные замки. Двери и окна помещений оборудуются охранной сигнализацией. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются внутренними (раздвижными) решетками.

Рекомендуется использование автоматизированных систем контроля и доступа с разфаничением полномочий.

3. Для хранения криптоключей в помещениях должны устанавливаться надежные металлические хранилища, оборудованные внутренними замками.

III. Рекомендации по обеспечению безопасности СКЗИ от утечки по техническим каналам

1. Необходимо ориентироваться на использование сертифицированных (рекомендуемых) ФАПСИ защищенных технических средств (ТС).

2. Для размещения ТС рекомендуется использовать внутренние помещения здания (не граничающие с наружными стенами). Если это невозможно и используемое помещение имеет окна, то окна должны иметь двойное остекление с рекомендуемым воздушным промежутком не менее 100 мм. Входы в помещения целесообразно оборудовать тамбурами. Окна занавешиваются шторами. ТС рекомендуется размещать возможно ближе к центру помещения и на удалении от наружных стен и стен, смежных с помещениями, где возможно пребывание посторонних лиц, не допущенных к конфиденциальной банковской информации.

3. Вокруг помещения с ТС рекомендуется обеспечить зону безопасности размером не менее 15 м. При применении дополнительных средств защиты размер этой зоны может быть сокращен.

4. В качестве осветительного и другого электрооборудования (например, вентиляторов, обогревателей и т.д.) в помещении, где размещаются ТС, рекомендуется использовать изделия отечественного производства, ограничивать применение электро-, радио- и другой р/э аппаратуры.

5. Телефонные аппараты (ТА) следует удалять от ТС не менее, чем на 3 м (защищенные ТА типа ТАЭ-2, СТА-2 - не менее 1 м).

Радио-, электро- и другая аппаратура, цепи которой имеют выход за пределы зоны безопасности должна устанавливаться на расстоянии не менее 1 м от ТС; посторонние провода и кабели с выходом за контролируемую зону размещать на расстоянии не менее 0,5 м от ТС.

6. В фазу электропитания, которая используется для питания ТС, рекомендуется включать сетевой помехоподавляющий фильтр любого типа, соответствующий нагрузке в этой фазе. Фильтр должен устанавливаться в пределах зоны безопасности на расстоянии не менее 1 м от ТС.

7. Если ТС должны иметь выход на каналы связи, рекомендуется использовать внешние модемы (канальные адаптеры). Их следует устанавливать в пределах зоны безопасности на расстоянии не менее 1 м от ТС.

8. Систему заземления ТС рекомендуется располагать в зоне безопасности или обеспечить возможность ее регулярного просмотра и контроля.

9. Если представляется возможным, рекомендуется осуществлять одновременную обработку информации на ТС СКЗИ и других ТС одного с ним класса.

liberty@ice.ru Московский Либертариум, 1994-2019