Основные составляющие национальных интересов Российской Федерации в информационной сфере (Доктрина информационной безопасности Российской Федерации)

1. Соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею.

2. Информационное обеспечение государственной политики РФ и обеспечение доступа граждан к открытым государственным информационным ресурсам.

3. Развитие современных информационных технологий, отечественной индустрии информации.

4. Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

 

Права и обязанности субъектов правоотношений (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

- право на создание произведений науки и литературы;

- право интеллектуальной собственности на результаты творческой деятельности;

- ограничение права на создание документированной информации ограниченного доступа;

- ограничение права на создание вредной, опасной для общества информации;

- ответственность за непредставление информации;

- ответственность за недостоверность создаваемой информации, недоброкачественную и ложную информацию и дезинформацию;

- ответственность за создание и распространение контрафактных экземпляров.

 

Что подразумеваются под обработкой персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»)

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

 

Основные цели стандартизации по обеспечению ИБ организаций БС РФ (Стандарт Банка России СТО БР ИББС-1.0-2008)

- развитие и укрепление БС РФ;

- повышение доверия к БС РФ;

- поддержание стабильности организаций БС РФ и на этой основе - стабильности БС РФ в целом;

- достижение адекватности мер защиты реальным угрозам ИБ;

- предотвращение и(или) снижение ущерба от инцидентов ИБ.

 

Основные направления организации пропускного режима в кредитной организации

- выдача пропусков сотрудникам и клиентам;

- сбор вышедших из действия пропусков сотрудников и клиентов;

- контроль движения пропусков;

- своевременное обновление баз данных СКУД;

- определение регламента доступа сотрудников и клиентов;

- анализ использования прав прохода клиентов;

- организация видеонаблюдения в зонах доступа;

- определение областей, в которых видеонаблюдение недопустимо;

- анализ фактов нарушения зон доступа сотрудниками и клиентами;

 

Основные способы защиты банковской информации

- Физические

- Законодательные

- Управлением доступом

- Криптографические

 

7. Регламентация процедур резервирования данных включает в себя:

- организацию регулярных процедур резервирования и хранения копий критичных данных;

- регистрацию и хранение носителей информации в строго определенных местах, выдача их уполномоченным лицам с необходимыми отметками в регистрационных документах.

 

Виды угроз информационной безопасности Российской Федерации (Доктрина информационной безопасности Российской Федерации)

- угрозы конституционным правам и свободам человека и гражданина;

- создание монополий на формирование, получение и распространение информации;

- угрозы конституционным правам на личную и семейную тайну, тайну переписки, телефонных переговоров и иных сообщений;

- ограничение доступа к информации;

- манипулирование информацией;

- угрозы информационному обеспечению государственной политики РФ;

- монополизация информационного рынка России;

- блокирование деятельности государственных СМИ;

- угрозы развитию отечественной индустрии информации,

- угрозы безопасности информационных и телекоммуникационных средств и систем,

- противоправные сбор и использование информации;

- нарушения технологии обработки информации;

- внедрение в аппаратные и программные изделия не задокументированных возможностей;

- уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации;

- воздействие на парольно-ключевые системы защиты АС;

- компрометация ключей и средств криптографической защиты информации;

- утечка информации по техническим каналам;

- уничтожение, повреждение, разрушение или хищение носителей информации;

- использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации;

- несанкционированный доступ к информации;

- нарушение законных ограничений на распространение информации.

 

Основные способы защиты информационных правоотношений (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

- защита в административном порядке;

- защита в судебном порядке.

 

В каких случаях не требуется согласия субъекта на обработку его персональных данных (Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»)

1) на основании федерального закона, устанавливающего цель и условия получения персональных данных

2) в целях исполнения договора, одной из сторон которого является субъект персональных данных;

3) для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

4) обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных;

5) для организации почтовой связи;

6) в целях профессиональной деятельности журналиста при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

7) обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.

Какие процессы необходимы для реализации и поддержания ИБ в организации БС РФ (Стандарт Банка России СТО БР ИББС-1.0-2008)

- планирование СОИБ организации БС РФ («планирование»);

- реализация СОИБ организации БС РФ («реализация»);

- мониторинг и анализ СОИБ организации БС РФ («проверка»);

- поддержка и улучшение СОИБ организации БС

 

Основные направления организации внутриобъектового режима в кредитной организации

- организация службы охраны;

- видеонаблюдение на объектах;

- периодический контроль состояния защитного ограждения;

- использование ИТСО на объектах;

- использование систем пожарного оповещения;

- анализ функционирования инженерных систем охраны объектов;

- анализ инцидентов нарушений;

- физическое блокирование зон доступа;

- взаимодействие с подразделениями охраны объектов

- анализ криминогенной обстановки;

- тренировки с участием сотрудников и клиентов по действиям в чрезвычайных ситуациях;

- периодический контроль зоны отторжения;

периодическая проверка функционирования систем оповещения;

 

Что включают в себя меры физической защиты автоматизированных банковских систем кредитной организации?

- физическая изоляция территорий, зданий и помещений;

- ограждение территории и совмещение препятствий с датчиками систем охранной сигнализации;

- комплексное обеспечение пропускного и внутриобъектового режимов;

- техническая защита информации;

- выделение специальных изолированных помещений для размещения аппаратуры, обработки и хранения носителей информации;

- защита аппаратуры и носителей информации от похищения;

- установка специальных запирающих устройств, препятствующих доступу к внутренним узлам аппаратуры;

приобретение сейфов и специальных шкафов для хранения носителей, сменных узлов аппаратуры.

 

Направления регламентации процедур внесения изменений в АБС

- назначение лиц, уполномоченных изменять конфигурацию аппаратных средств, а также структуру и параметры ПО;

- изменения должны документироваться и сопровождаться полной проверкой эффективности действующих аппаратных и программных механизмов защиты.