Необходимые мероприятия для защиты носителей информации

- применение системы хранения данных, в которой запрещается использовать описательные метки, т.е. по меткам нельзя определить, какие данные хранятся на запоминающем устройстве;

- гарантированное уничтожение информации с носителей, которые подлежат удалению из организации или передаче;

- получение письменной санкции на удаление всех носителей информации из организации и регистрация всех случаев их удаления в контрольном журнале;

- выполнение требований по хранению носителей информации;

- все процедуры и уровни полномочий должны быть четко задокументированы.

 

При рассмотрении обращения гражданин имеет право: (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

1) представлять дополнительные документы и материалы;

2) получать письменный ответ по существу поставленных в обращении вопросов;

3) обращаться с жалобой на принятое по обращению решение;

4) обращаться с заявлением о прекращении рассмотрения обращения.

 

Предоставление информации, составляющей коммерческую тайну (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»)

На документах, информацию, составляющую коммерческую тайну, должен быть нанесен гриф «Коммерческая тайна» с указанием ее обладателя.

 

Требования в отношении идентификации клиентов, организации внутреннего контроля, фиксирования и хранения информации распространяются на: (Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»)

- адвокатов, нотариусов и лиц, осуществляющих предпринимательскую деятельность в сфере оказания юридических или бухгалтерских услуг, в случаях, когда они готовят или осуществляют от имени или по поручению своего клиента следующие операции с денежными средствами или иным имуществом:

сделки с недвижимым имуществом;

управление денежными средствами, ценными бумагами или иным имуществом клиента;

управление банковскими счетами или счетами ценных бумаг;

привлечение денежных средств для создания организаций, обеспечения их деятельности или управления ими;

создание организаций, обеспечение их деятельности или управления ими, а также куплю-продажу организаций.

 

Требования к мониторингу и контролю защитных мер (Стандарт Банка России СТО БР ИББС-1.0-2008)

- реализация предложений и рекомендаций, высказанных в результате предыдущего мониторинга;

- порядок оформления, хранения и использования материалов по итогам мониторинга и контроля;

- соблюдение сроков проведения мониторинга и контроля;

- проведение внепланового мониторинга и контроля;

- подготовка персонала к проведению мониторинга и контроля.

 

160. При проведении мероприятий с использованием конфиденциальной информации и технических средств ее обработки необходимо выполнять следующие рекомендации по защите от:

- акустического излучения информативного речевого сигнала;

- виброакустических сигналов;

- прослушивания разговоров, ведущихся в ЗП;

- электрических сигналов, возникающих в результате преобразования информативного сигнала;

- побочных электромагнитных излучений информативного сигнала от обрабатывающих конфиденциальную информацию технических средств;

- электрических сигналов, наводимых от обрабатывающих конфиденциальную информацию технических средств;

- радиоизлучений, модулированных информативным сигналом;

- электрических или инфракрасных сигналов, модулированных информативным сигналом, от специальных электронных устройств перехвата речевой информации «закладок».

 

161. Защита носителей информации во время транспортировки включает в себя:

- использование надежных курьеров и транспорт;

- обеспечение надлежащей защиты содержимого упаковки от возможного физического повреждения;

- принятие специальных мер для защиты конфиденциальной информации от несанкционированного раскрытия или модификации:

- использование контейнеров закрытого типа;

- разделение груза на несколько частей и их посылка разными маршрутами.

 

Меры по охране конфиденциальности информации признаются разумно достаточными, если: (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

1) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя;

2) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.

 

Права обладателя информации, составляющей коммерческую тайну (Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»)

1) устанавливать, изменять и отменять в письменной форме режим коммерческой тайны;

2) использовать информацию для собственных нужд;

3) разрешать или запрещать доступ к информации;

4) вводить в гражданский оборот информацию на основании договоров;

5) требовать от юридических и физических лиц соблюдения обязанностей по охране ее конфиденциальности;

6) требовать от лиц … охраны конфиденциальности информации;

7) защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации.

 

Представление информации и документов (Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

Органы государственной власти РФ разных уровней предоставляют уполномоченному органу информацию и документы, необходимые для осуществления его функций (за исключением информации о частной жизни граждан), в порядке, установленном Правительством РФ.

Предоставление по запросу уполномоченного органа информации и документов органами государственной власти РФ и Центральным банком РФ в целях и порядке, которые предусмотрены Федеральным законом, не является нарушением служебной, банковской, налоговой, коммерческой тайны и тайны связи.

 

Требования к анализу функционирования системы обеспечения информационной безопасности (Стандарт Банка России СТО БР ИББС-1.0-2008)

- анализ соответствия комплекса внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации БС РФ;

- анализ соответствия внутренних документов нижних уровней иерархии требованиям политик ИБ организации;

- оценку адекватности модели угроз организации БС РФ существующим угрозам ИБ;

- оценку рисков в области ИБ организации, включая оценку уровня остаточного и допустимого риска;

проверку адекватности используемых защитных мер требованиям внутренних документов и результатам оценки рисков;

- анализ отсутствия разрывов в технологических процессах обеспечения ИБ, а также несогласованности в использовании защитных мер.

 

166. В качестве основных мер защиты информации, обрабатываемой средствами вычислительной техники рекомендуются:

- документальное оформление перечня сведений конфиденциального характера;

- реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации;

- ограничение доступа персонала и посторонних лиц в защищаемые помещения;

- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам;

- регистрация действий пользователей АС;

- учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевых материалов) и их обращение;

- использование СЗЗ;

- необходимое резервирование технических средств и дублирование массивов и носителей информации;

- использование сертифицированных технических средств обработки, передачи и хранения информации;

- размещение объектов защиты на максимально возможном расстоянии относительно границы КЗ;

- использование защищенных каналов связи;

- размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;

- организация физической защиты помещений;

- криптографическое преобразование информации;

- предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок и вредоносных кодов;

- в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;

по окончании обработки защищаемой информации пользователь обязан произвести стирание временных файлов на несъёмных носителях информации и информации в оперативной памяти;

- при увольнении или перемещении администраторов АС должны быть приняты меры по оперативному изменению паролей, идентификаторов и ключей шифрования.

 

Требования к безопасности систем

- рассмотрение необходимости обеспечения конфиденциальности, целостности и доступности информационных ресурсов;

- определение возможностей использования различных средств контроля для предотвращения и выявления случаев нарушения защиты;

- управления доступом к информации и сервисам;

- регистрации критичных событий;

- проверки и обеспечения целостности жизненно важных данных;

- защиты конфиденциальных данных от НСД и НРД;

- выполнения требований инструкций и действующего законодательства;

- снятия резервных копий с критически важных данных;

- восстановления систем после их отказов;

- защиты систем от внесения несанкционированных дополнений и изменений;

- предоставления возможности безопасного управления системами.