Основные этапы работы по проведению анализа защищенности активов кредитной организации

- осуществляется сбор первичной информации по анализируемой системе, ее обработка и выработка первичных рекомендаций;

- анализ уязвимостей компонент при помощи инструментальных средств;

- выработка рекомендаций и документирование.

 

100. Аппаратно-программные методы защиты информации включают (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»):

а) аппаратные методы защиты: предотвращение утечки ПЭМИ; защиту от НСД; криптографическую защиту информации; выявление закладных устройств;

б) программные методы защиты: защиту от вредоносных кодов; определение и идентификацию пользователей; резервное копирование информации;

г) криптографическое шифрование информации.

 

Органы защиты государственной тайны (Закон Российской Федерации «О государственной тайне» от 21.06.1993 № 5485-I (с изменениями и дополнениями))

- Межведомственную комиссию по защите государственной тайны;

- органы федеральной исполнительной власти (Федеральная служба безопасности РФ, Министерство обороны РФ), Служба внешней разведки РФ, Федеральная служба по техническому и экспортному контролю (ФСТЭК) и их органы на местах;

- органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

 

Какие сделки с недвижимым имуществом подлежит обязательному контролю? (Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

Сделка с недвижимым имуществом подлежит обязательному контролю, если сумма, на которую она совершается, равна или превышает 3 000 000 рублей либо равна сумме в иностранной валюте, эквивалентной 3 000 000 рублей, или превышает ее.

 

103. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации (Стандарт Банка России СТО БР ИББС-1.0-2008)

- должны допускать встраивание в технологическую схему обработки электронных сообщений;

- должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;

- должны быть сертифицированы уполномоченным государственным органом.

 

104. К объектом подгруппы БII относятся:

объекты с хранением или размещением компьютерной техники, оргтехники, видео- и аудиотехники, кино- и фотоаппаратуры.

 

105. Основные требования к лояльности сотрудников кредитной организации

- Сотрудник не должен подвергать сомнению решения руководства.

- Сотрудник не имеет право прямо или косвенно публично высмеивать действия организации, или уничижительно отзываться о ней.

- Сотрудник не имеет права распространять конфиденциальную информацию.

- Сотрудник не имеет права обсуждать внутреннее устройство организации, технологию работы с клиентами.

- Сотрудник не имеет право заводить дружеские отношения с клиентами организации.

 

106. Чем определяются основные требования к лояльности сотрудников

1. Требования к сотруднику при приеме на работу с мотивировкой тех пунктов, по наличию которых следует категорический отказ.

2. Должностные инструкции.

3. Правила поведения (правила корпоративной этики).

4. За что сотрудники увольняются или иным образом наказываются администрацией.

5. За что сотрудники премируются и поощряются.

6. Как руководство кратко характеризует свой объект.

7. Как сотрудники характеризуют свой объект.

8. Отношение к клиентам, поставщикам, к окружающему миру в целом.

9. Одобряемая система ценностей.

10. Одобряемый стиль жизни.

 

Организационно-технические мероприятия по защите информации предусматривают: (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

подбор и подготовку персонала для обслуживания СВТ и АС; контроль за действиями персонала; создание и обеспечение функционирования систем защиты ИОД; организацию хранения и использования документов и носителей; физические меры защиты.

 

Допуск должностных лиц и граждан к государственной тайне предусматривает: (Закон Российской Федерации «О государственной тайне» от 21.06.1993 № 5485-I (с изменениями и дополнениями))

- принятие на себя обязательств перед государством по нераспространению доверенных им сведений, составляющих государственную тайну;

- согласие на частичные, временные ограничения их прав;

- письменное согласие на проведение в отношении их полномочными органами проверочных мероприятий;

- определение видов, размеров и порядка предоставления социальных гарантий;

- ознакомление с нормами законодательства РФ о государственной тайне, предусматривающими ответственность за его нарушение;

- принятие решения руководителем органа государственной власти, предприятия, учреждения или организации о допуске оформляемого лица к сведениям, составляющим государственную тайну.

 

Основаниями для включения организации или физического лица в Перечень причастности к экстремистской деятельности или терроризму являются: (Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»)

- решение суда РФ о ликвидации или запрете деятельности организации в связи с ее причастностью к экстремистской деятельности или терроризму;

- приговор суда РФ о признании физического лица виновным в совершении преступления террористического характера;

- решение Генерального прокурора РФ или подчиненного ему прокурора о приостановлении деятельности организации в связи с его обращением в суд с заявлением о привлечении организации к ответственности за террористическую деятельность;

- постановление следователя о возбуждении уголовного дела в отношении лица, совершившего преступление террористического характера;

- составляемые международными организациями или уполномоченными органами и признанные РФ перечни организаций и физических лиц, связанных с террористическими организациями или террористами;

- признаваемые в РФ приговоры (решения) судов и решения иных компетентных органов иностранных государств в отношении организаций или физических лиц, осуществляющих террористическую деятельность;

- включение организации в соответствии с Федеральным законом от 6 марта 2006 года № 35-ФЗ «О противодействии терроризму» в единый федеральный список организаций, в том числе иностранных и международных организаций, признанных судами РФ террористическими.

 

Порядок применения СКЗИ в АБС должен включать: (Стандарт Банка России СТО БР ИББС-1.0-2008)

- порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС;

- порядок эксплуатации;

- порядок восстановления работоспособности в аварийных случаях;

- порядок внесения изменений;

- порядок снятия с эксплуатации;

- порядок управления ключевой системой;

- порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей.

 

111. Класс защиты объекта это:

Класс защиты - комплексная оценка, учитывающая размещение, прочностные характеристики, особенности конструктивных элементов и показывающий степень достаточности обеспечения надлежащей защиты объекта, оборудованного системой охранной сигнализации.

 

Основные уязвимые места в обеспечении защиты информации организации

1. Точки доступа

2. Неправильно сконфигурированные системы

3. Программные ошибки

4. Внутренние враги

5. Выбор регуляторов для практичной защиты активов

6. Выбор подходящего набора регуляторов безопасности

 

Организационные мероприятия, которые в обязательном порядке должны быть реализованы в организации (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

- определение категорий доступа к информации;

- определение административной ответственности;

- периодический системный контроль за уровнем защиты информации;

- классификация информационных ресурсов;

- физическая защита служебной и коммерческой тайны.

 

Для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе, устанавливаются следующие социальные гарантии: (Закон Российской Федерации «О государственной тайне» от 21.06.1993 № 5485-I (с изменениями и дополнениями))

- процентные надбавки к заработной плате в зависимости от степени секретности сведений, к которым они имеют доступ;

- преимущественное право при прочих равных условиях на оставление на работе при проведении органами государственной власти, предприятиями, учреждениями и организациями организационных и (или) штатных мероприятий.

 

Организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны: (Федеральный закон Российской Федерации от 7 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»)

1) идентифицировать лицо, находящееся на обслуживании в организации, осуществляющей операции с денежными средствами или иным имуществом (клиента);

2) предпринимать обоснованные и доступные в сложившихся обстоятельствах меры по установлению и идентификации выгодоприобретателей;

3) систематически обновлять информацию о клиентах, выгодоприобретателях;

4) документально фиксировать и представлять в уполномоченный орган не позднее рабочего дня, следующего за днем совершения операции, следующие сведения по подлежащим обязательному контролю операциям с денежными средствами или иным имуществом;

5) представлять в уполномоченный орган по его письменным запросам информацию в отношении операций, подлежащих обязательному контролю

6) уполномоченный орган не вправе запрашивать документы и информацию по операциям, совершенным до вступления в силу Федерального закона, за исключением документов и информации, которые представляются на основании соответствующего международного договора РФ.