Основные направления регламентации работы с конфиденциальной информацией

классификация информации по степени ее важности и секретности;

обработка и хранение конфиденциальной информации только в помещениях зоны безопасности;

хранение и обмен конфиденциальной информацией по открытым линиям связи только в зашифрованном виде.

 

28. Подбор и подготовка кадров включает в себя:

- анализ деловых и личных качеств кандидатов на должности, в соответствии с общей политикой банка в вопросах подбора кадров;

- ознакомление персонала и пользователей с сутью проблемы безопасности и изложение общих принципов защиты АБС и основных положений Политик информационной безопасности;

- организация изучения персоналом и пользователями конкретных процедур и механизмов защиты;

- проверка знания сотрудниками своих обязанностей по соблюдению мер безопасности;

- формирование у персонала понимания важности мер безопасности.

 

Что относится к правовым методам обеспечения информационной безопасности РФ (Доктрина информационной безопасности РФ)

К правовым методам обеспечения ИБ РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения ИБ РФ. Наиболее важными направлениями этой деятельности являются:

- внесение изменений и дополнений в законодательство РФ,

- законодательное разграничение полномочий в области обеспечения ИБ РФ между федеральными органами государственной власти и органами государственной власти субъектов РФ;

- разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за НСД;

- уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов;

- законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;

- создание правовой базы для формирования в РФ региональных структур обеспечения ИБ.

 

Кто может быть Обладателем информации (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

- органы государственной власти и их должностные лица;

- местные органы власти и их должностные лица;

- физические лица;

- юридические лица.

 

В чем заключается обезличивание персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»)

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных. Общедоступные персональные данные, ставшие таковыми с согласия субъекта персональных данных, не нуждаются в дальнейшей правовой защите, в том числе и в защите их конфиденциальности.

 

Наиболее актуальные источники угроз информационной безопасности кредитной организации на физическом уровне, уровне сетевого оборудования и уровне сетевых приложений (Стандарт Банка России СТО БР ИББС-1.0-2008)

- внешние нарушители ИБ: лица, разрабатывающие (распространяющие) вирусы и другие вредоносные программные коды;

- лица, организующие DoS, DDoS и иные виды атак;

- лица, осуществляющие попытки НСД и НРД;

- внутренние нарушители ИБ;

- комбинированные источники угроз: внешние и внутренние нарушители ИБ, действующие совместно и(или) согласованно;

- сбои, отказы, разрушения/повреждения программных и технических средств.

 

Что блокируются третьим рубежом охранной сигнализации в помещениях?

Третьим рубежом охранной сигнализации в помещениях блокируются отдельные предметы, сейфы, металлические шкафы, в которых сосредоточены ценности, носители информации и т.д.

 

Что включают в себя меры контроля и наблюдения с точки зрения информационной безопасности

- систематическая проверка состояния и работоспособности всех средств и механизмов защиты (системный аудит);

- периодический анализ действительной степени угроз АБС;

- регулярный сбор, фиксация, обработка и отображение сведений о функционировании механизмов защиты;

- ведение регистрационных (электронных) журналов

- регистрация и анализ любых несанкционированных действий;

- предупреждение пользователей о необходимости соблюдения правил безопасности;

- информирование персонала о выходе из строя или нарушении работы средств защиты;

- принятие неотложных и решительных мер в случае нарушения безопасности или возникновения прямой угрозы таких нарушений.

 

Организационно-технические методы обеспечения информационной безопасности РФ (Доктрина информационной безопасности Российской Федерации)

- создание и совершенствование системы обеспечения ИБ РФ;

- усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ;

разработка, использование и совершенствование средств защиты;

- создание систем и средств предотвращения НСД к обрабатываемой;

- выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно - телекоммуникационных систем;

- предотвращение перехвата информации по техническим каналам;

- применение криптографических средств защиты;

- сертификация средств защиты информации;

- контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения ИБ РФ;

- формирование системы мониторинга показателей и характеристик ИБ РФ.

 

Права обладателя информации (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) использовать информацию, в том числе распространять ее, по своему усмотрению;

3) передавать информацию другим лицам по договору или на ином установленном законом основании;

4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

 

Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов (Стандарт Банка России СТО БР ИББС-1.0-2008)

- внутренние нарушители ИБ: администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.;

- комбинированные источники угроз: внешние и внутренние нарушители ИБ, действующие в сговоре

 

Где в кредитной организации должны устанавливаться устройства тревожной сигнализации?

- в хранилищах, кладовых, сейфовых комнатах;

- на рабочих местах кассиров;

- в кабинетах руководства организации и главного бухгалтера;

- у центрального входа и запасных выходах в здание;

- на постах и в помещениях охраны;

- в коридорах, у дверей и проемов, через которые производится перемещение ценностей;

- на охраняемой территории у центрального входа (въезда) и запасных выходах (выездах);

- в других местах по требованию руководителя (собственника) объекта или по рекомендации сотрудника вневедомственной охраны.

 

Что является объектами безопасности кредитной организации

- персонал (руководство, ответственные исполнители, сотрудники);

- финансовые средства, материальные ценности, новейшие технологии;

- информационные ресурсы (информация ограниченного доступа, составляющая коммерческую тайну, иная конфиденциальная информация).

 

Экономические методы обеспечения ИБ РФ (Доктрина информационной безопасности Российской Федерации)

- разработка программ обеспечения ИБ РФ и определение порядка их финансирования;

- совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации