Обязанности оператора при обработке персональных данных (федеральный закон от 27. 07. 2006 № 152-фз «о персональных данных»)

Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

 

Какими принципами следует руководствоваться при распределении прав доступа работников и клиентов к информационным активам организации БС РФ (Стандарт Банка России СТО БР ИББС-1.0-2008)

- «знать своего клиента»

- «знать своего служащего»: принцип, демонстрирующий;

- «двойное управление»: принцип сохранения целостности процесса;

- «необходимо знать»: принцип, ограничивающий полномочия

 

Какие объекты следует оборудовать считывателями СКУД?

- главный и служебные входы;

- КПП;

- помещения, в которых непосредственно сосредоточены материальные ценности;

- помещения руководства;

- помещения обработки и хранения информации;

другие помещения по решению руководства банка.

 

57. Меры контроля и наблюдения за уровнем информационной безопасности организации включают в себя:

- систематическая проверка состояния и работоспособности всех средств и механизмов защиты (системный аудит);

- периодический анализ действительной степени угроз АБС;

- регулярный сбор, фиксация, обработка и отображение сведений о функционировании механизмов защиты;

- ведение регистрационных (электронных) журналов обращений к защищаемым компонентам АБС;

- регистрация и анализ любых несанкционированных действий;

- предупреждение пользователей о необходимости соблюдения правил безопасности;

- информирование персонала о выходе из строя или нарушении работы средств защиты;

- принятие неотложных и решительных мер в случае нарушения безопасности или возникновения прямой угрозы таких нарушений.

 

58. Для реализации основных направлений технической политики обеспечения информационной безопасности необходимо:

- реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации ограниченного доступа;

- ограничение доступа и посторонних лиц в помещения, где проводятся работы конфиденциального характера;

- разграничение доступа пользователей к автоматизированным системам;

- учет документов, информационных массивов;

- регистрация и контроль действий пользователей;

- криптографическое преобразование информации;

- снижение уровня и информативности ПЭМИН и т.д.;

- проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;

- предотвращение внедрения в информационные системы программ-вирусов.

 

В чем заключается ограничение доступа к информации (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

1. Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

2. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

 

Перечень сведений, составляющих государственную тайну (Закон Российской Федерации «О государственной тайне» от 21.06.1993 № 5485-I (с изменениями и дополнениями))

1) сведения в военной области;

2) сведения в области экономики, науки и техники;

3) сведения в области внешней политики и экономики.

4) сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности

5) и т.д.

 

Обеспечения конфиденциальности персональных данных не требуется: (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»)

1) в случае обезличивания персональных данных;

2) в отношении общедоступных персональных данных.

 

При принятии руководством организации БС РФ решений об использовании сети Интернет необходимо учитывать следующие положения(Стандарт Банка России СТО БР ИББС-1.0-2008)

ОТВЕТ

- сеть Интернет не имеет единого органа управления;

- существует вероятность несанкционированного доступа, потери и искажения информации;

- существует вероятность атаки злоумышленников на оборудование, ПО и информационные ресурсы;

- гарантии по обеспечению ИБ при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.

 

63. Системы охранного телевидения должны обеспечивать:

ОТВЕТ

Системы охранного телевидения (СОТ) должны обеспечивать:

- передачу визуальной информации о состоянии охраняемых зон, помещений, периметра и территории объекта в помещение охраны.

- определить характер нарушения, место нарушения, направление движения нарушителя и определить оптимальные меры противодействия.

- наблюдение охраняемых зон объекта.

- контроль периметра территории; КПП; главного и служебного входов; помещений, коридоров, помещений, в которых непосредственно сосредоточены материальные ценности, за исключением хранилищ ценностей; места хранения носителей информации и других помещений по усмотрению руководства (собственника) объекта.

При необходимости записи телевизионных изображений должны применяться видеонакопители: специальные видеомагнитофоны (СВМ) с длительным временем записи или цифровые видеонакопители информации.

 

Основные принципы организации и функционирования системы безопасности

1. Комплексность.

2. Своевременность.

3. Непрерывность

4. Активность.

5. Законность.

6. Обоснованность.

7. Экономическая целесообразность.

8. Специализация.

9. Взаимодействие и координация.

10. Совершенствование.

11. Централизация управления.

 

Направления реализации Положения о персональной ответственности работников в вопросах информационной безопасности

- росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;

- идентификации пользователей и процессов;

- проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности.

 

Меры по охране конфиденциальности информации признаются разумно достаточными, если: (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;

2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

 

Принципы отнесения сведений к государственной тайне и их засекречивания (Закон Российской Федерации «О государственной тайне» от 21.06.1993 № 5485-I (с изменениями и дополнениями))

- Законность отнесения сведений к государственной тайне и их засекречивания;

- Обоснованность отнесения сведений к государственной тайне и их засекречивания;

Своевременность отнесения сведений к государственной тайне и их засекречивания.

 

Меры, направленные на противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»)

- обязательные процедуры внутреннего контроля;

- обязательный контроль;

- запрет на информирование клиентов и иных лиц о принимаемых мерах противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

- иные меры, принимаемые в соответствии с федеральными законами.