Общие меры и средства защиты информации

- организационных;

- технологических;

- программно-технических;

- криптографических.

 

130. Десять ключевых средств контроля представляющих обязательные требования, которые применимы ко всем организациям.

1. Политика ИБ организации.

2. Распределение обязанностей по обеспечению ИБ.

3. Безопасность, обучение и подготовка персонала.

4. Уведомление об инцидентах в системе безопасности.

5. Средства защиты от вирусов и вредоносных кодов.

6. Процесс планирования бесперебойной работы организации.

7. Контроль за копированием программного обеспечения.

8. Защита документации организации.

9. Защита данных

10. Соответствие Политике безопасности.

 

Ограничения прав должностного лица или гражданина, допущенных или ранее допускавшихся к государственной тайне (Закон Российской Федерации «О государственной тайне» от 21.06.1993 № 5485-I (с изменениями и дополнениями))

- права выезда за границу на срок, оговоренный в трудовом договоре (контракте) при оформлении допуска гражданина к государственной тайне;

- права на распространение сведений, составляющих государственную тайну, и на использование открытий и изобретений, содержащих такие сведения;

- права на неприкосновенность частной жизни при проведении проверочных мероприятий в период оформления допуска к государственной тайне.

 

Организации, осуществляющие операции с денежными средствами или иным имуществом дополнительно обязаны: (Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»)

1) принимать обоснованные меры по выявлению среди физических лиц, находящихся или принимаемых на обслуживание, иностранных публичных должностных лиц;

2) принимать на обслуживание иностранных публичных должностных лиц только на основании письменного решения руководителя организации

3) принимать обоснованные меры по определению источников происхождения денежных средств или иного имущества иностранных публичных должностных лиц;

4) обновлять имеющуюся в распоряжении организации информацию о находящихся у них на обслуживании иностранных публичных должностных лицах;

5) уделять повышенное внимание операциям с денежными средствами или иным имуществом, осуществляемым иностранными публичными должностными лицами, их супругами, близкими родственниками или от имени указанных лиц.

 

Служба информационной безопасности (уполномоченное лицо) должна быть наделена следующими минимальными полномочиями: (Стандарт Банка России СТО БР ИББС-1.0-2008)

- организовывать составление и контролировать выполнение всех планов по обеспечению ИБ;

- разрабатывать и вносить предложения по изменению политик ИБ организации;

- организовывать изменение существующих и принятие руководством новых внутренних документов, регламентирующих деятельность по обеспечению ИБ;

- определять требования к мерам обеспечения ИБ

- контролировать работников организации в части выполнения ими в области обеспечения ИБ;

- осуществлять мониторинг событий;

- участвовать в расследовании событий;

- участвовать в восстановлении работоспособности АБС после сбоев и аварий;

- участвовать в создании, поддержании, эксплуатации и совершенствовании СОИБ

 

134. Устройства тревожной сигнализации на объекте должны устанавливаться:

- в хранилищах, кладовых, сейфовых комнатах;

- на рабочих местах кассиров;

- в кабинетах руководства организации и главного бухгалтера;

- у центрального входа и запасных выходах в здание;

- на постах и в помещениях охраны;

- в коридорах, у дверей и проемов, через которые производится перемещение ценностей;

- на охраняемой территории у центрального входа (въезда) и запасных выходах (выездах);

- в других местах по требованию руководителя (собственника) объекта.

 

135. Защита информации обеспечивается следующими средствами обеспечения информационной безопасности:

- средствами администрирования;

- средствами идентификации объектов и субъектов доступа;

- средства аутентификации субъектов;

- средствами управления доступом субъектов к объектам;

- средствами обеспечения и контроля целостности;

- средствами аутентификации электронных сообщений;

- средствами технологической защиты электронных сообщений;

- средствами регистрации;

- антивирусными средствами;

- средствами мониторинга информационной безопасности;

- средствами архивирования и резервирования.

 

Организация порядка уведомления об инцидентах в системе безопасности

1. Все сотрудники должны быть ознакомлены с процедурой уведомления о различных типах инцидентов.

2. Следует обязать пользователей без промедления сообщать обо всех наблюдаемых или подозрительных случаях такого рода в службу безопасности.

3. В организации должна быть установлена процедура наложения дисциплинарных взысканий на сотрудников, которые нарушают режим безопасности.

4. О событиях, таящих угрозу безопасности, следует без промедления сообщать по административным каналам. 5. Пользователи должны незамедлительно доводить подобные инциденты до сведения своего непосредственного руководства.

6. Пользователи информационных систем обязаны регистрировать любые наблюдаемые или предполагаемые слабости в системе безопасности, либо угрозы системам или сервисам и сообщать о них.

 

Обладатель информации вправе: (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) использовать информацию, в том числе распространять ее, по своему усмотрению;

3) передавать информацию другим лицам по договору или на ином установленном законом основании;

4) защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами;

5) осуществлять иные действия с информацией или разрешать осуществление таких действий.

 

Ответственность за нарушение законодательства РФ о государственной тайне (Закон Российской Федерации «О государственной тайне» от 21.06.1993 № 5485-I (с изменениями и дополнениями))

Должностные лица и граждане, виновные в нарушении законодательства РФ о государственной тайне, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством.

 

Основаниями документального фиксирования информации являются: (Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

- запутанный или необычный характер сделки, не имеющей очевидного экономического смысла или очевидной законной цели;

- несоответствие сделки целям деятельности организации;

- выявление неоднократного совершения операций или сделок, характер которых дает основание полагать, что целью их осуществления является уклонение от процедур обязательного контроля;

- иные обстоятельства, дающие основания полагать, что сделки осуществляются в целях легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма.

 

Требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности (Стандарт Банка России СТО БР ИББС-1.0-2008)

1. Разработку/коррекцию внутренних документов, регламентирующих деятельность в области обеспечения ИБ в организации БС РФ, рекомендуется проводить с учетом рекомендаций по стандартизации Банка России РС БР ИББС-2.0

2. Совокупность внутренних документов должна содержать требования по обеспечению ИБ всех выявленных информационных активов, находящихся в области действия СОИБ организации.

3. Должен быть утвержден руководством порядок взаимодействия (координирования работы) службы ИБ с работниками, ответственными за обеспечение ИБ.

4. Должны быть документально определены процедуры выделения и распределения ролей в области обеспечения ИБ.

5. Должен быть документально определен порядок разработки, поддержки, пересмотра и контроля исполнения внутренних документов.