Основные виды аудита информационной безопасности

- экспертный аудит безопасности;

- оценка соответствия рекомендациям стандартов, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);

- инструментальный анализ защищенности ИС;

- комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.

 

Порядок действий при защите от вирусов и вредоносных кодов

Следует обязать пользователей информационных сервисов и ресурсов регистрировать все случаи, когда функционирование программного обеспечения представляется им неправильным, следует обратить особое внимание на следующие моменты:

а) записать «симптомы» и все сообщения, появляющиеся на экране;

б) прекратить работу на компьютере и, если возможно, отключить его. Немедленно сообщить об инциденте в службу безопасности.

Не использовать на других компьютерах дискеты, записанные на этом компьютере;

в) немедленно сообщить о происшествии в службу поддержки системы защиты.

3. Необходимо проводить регулярную проверку программ и данных в системах, поддерживающих критически важные производственные процессы.

4. Носители информации неизвестного происхождения следует проверять на наличие вирусов до их использования.

5. Необходимо определить управленческие процедуры и обязанности по уведомлению о случаях поражения систем компьютерными вирусами и принятию мер по ликвидации последствий от их проникновения.

 

Право на доступ к информации имеют: (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

Граждане (физические лица) и организации (юридические лица) вправе осуществлять поиск и получение любой информации в любых формах и из любых источников при условии соблюдения требований, установленных настоящим Федеральным законом и другими федеральными законами.

 

Право на отнесение информации к информации, составляющей коммерческую тайну (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»)

1. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений настоящего Федерального закона.

 

Кредитным организациям запрещается: (Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»

- открывать счета (вклады) на анонимных владельцев, то есть без предоставления открывающим счет (вклад) физическим или юридическим лицом документов, необходимых для его идентификации;

- открывать счета (вклады) физическим лицам без личного присутствия лица, открывающего счет (вклад), либо его представителя;

- устанавливать и поддерживать отношения с банками-нерезидентами, не имеющими на территориях государств, в которых они зарегистрированы, постоянно действующих органов управления.

 

Планы внедрения СОИБ, обработки рисков нарушения ИБ, внедрения защитных мер должны документально фиксировать: (Стандарт Банка России СТО БР ИББС-1.0-2008)

1. Все планы должны быть утверждены руководством.

2. Указанные планы должны документально фиксировать:

- последовательность выполнения мероприятий в рамках указанных планов;

- сроки начала и окончания запланированных мероприятий;

- должностных лиц (подразделения), ответственных за выполнение каждого указанного мероприятия.

3. Должен быть документально определен порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ.

4. Должны быть документально оформлены решения руководства, связанные с назначением и распределением ролей для всех структурных подразделений…

 

147. Защищаемыми объектами информатизации являются:

- средства и системы информатизации (средства вычислительной техники, автоматизированные системы);

- технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

- защищаемые помещения.

 

Требования безопасности при резервном копировании данных

1. Дублирующую информацию следует хранить в удаленном месте на достаточном расстоянии для того, чтобы избежать последствий от аварии на основном рабочем месте.

2. Необходимо создать три поколения резервных копий данных для критически важных приложений или данных.

3. Резервные копии должны быть надлежащим образом физически защищены.

4. Резервные данные необходимо регулярно тестировать.

5. Должен быть задан период сохранности критически важных данных, а также требования по порядку и сроках хранения архивных копий.

 

Не может быть ограничен доступ к следующей информации: (Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим правовое положение организаций и полномочия государственных органов, органов местного самоуправления;

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления;

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов;

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

 

Какая информация, составляющая коммерческую тайну, считается полученной на законном основании и полученной незаконно (Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»)

1. Информация, составляющая коммерческую тайну, полученная от ее обладателя на основании договора или другом законном основании, считается полученной законным способом.

2. Информация, составляющая коммерческую тайну, обладателем которой является другое лицо, считается полученной незаконно, если ее получение осуществлялось с умышленным преодолением принятых обладателем информации, составляющей коммерческую тайну, мер по охране конфиденциальности этой информации, а также, если получающее эту информацию лицо знало или имело достаточные основания полагать, что эта информация составляет коммерческую тайну, обладателем которой является другое лицо, и что осуществляющее передачу этой информации лицо не имеет на передачу этой информации законного основания.

 

151. В каких случаях кредитные организации вправе отказаться от заключения договора банковского счета (вклада) с физическим или юридическим лицом?(Федеральный закон Российской Федерации от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»)

- отсутствия по своему местонахождению юридического лица, его постоянно действующего органа управления, иного органа или лица, которые имеют право действовать от имени юридического лица без доверенности;

- непредставления физическим или юридическим лицом документов, подтверждающих указанные в настоящей статье сведения, либо представления недостоверных документов;

- наличия в отношении физического или юридического лица сведений об участии в террористической деятельности, полученных в соответствии с настоящим Федеральным законом.

 

Требования к организации обнаружения и реагирования на инциденты информационной безопасности (Стандарт Банка России СТО БР ИББС-1.0-2008)

В организации БС РФ должны быть документы, регламентирующие процедуры обработки инцидентов, включающие:

- процедуры обнаружения инцидентов ИБ;

- процедуры информирования об инцидентах;

- процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;

- процедуры реагирования на инцидент;

- процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ).

 

153. Оповещение людей, находящихся на объекте, должно осуществляться с помощью технических средств, которые должны обеспечивать:

- подачу звуковых и/или световых сигналов в здания и помещения, на участки территории объекта с постоянным или временным пребыванием людей;

- трансляцию речевой информации о характере опасности, необходимости и путях эвакуации, других действиях, направленных на обеспечение безопасности.

 

154. Каким направлениям следует уделить основное внимание при защите информации, в отношении которой угрозы безопасности информации реализуются без применения сложных технических средств перехвата информации:

- речевой информации, циркулирующей в защищаемых помещениях;

- информации, обрабатываемой средствами вычислительной техники, от НСД и НРД;

- информации, выводимой на экраны мониторов;

- информации, передаваемой по каналам связи, выходящим за пределы КЗ.