7. Порядок проведения работ по обеспечению информационной безопасности
7.1 Работа по обеспечению информационной безопасности в Банке включает следующие этапы:
- определение информации, содержащей коммерческую тайну, и сроков ее действия;
- категорирование помещений по степени важности обрабатываемой в них информации;
- определение категории информации, обрабатываемой каждой отдельной системой;
- описание системы, определение факторов риска, определение уязвимых мест систем;
- выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;
- выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.
7.2 Отнесение информации к коммерческой тайне - установление ограничений на распространение информации, требующей защиты. Среди сведений, относимых к категории коммерческой тайны, применительно к Банку можно выделить: деловую информацию о деятельности Банка, финансовую документацию, различные сведения о клиентах, партнерах, сметы, отчёты, перспективные планы развития, аналитические материалы, исследования и т.п.
Отнесение информации к коммерческой тайне осуществляется в соответствии с принципами законности, обоснованности и своевременности. Обоснованность отнесения информации к коммерческой тайне заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно - важных интересов Банка, вероятных финансовых и иных последствий нарушения режима соблюдения коммерческой тайны. Своевременность отнесения сведений к коммерческой тайне заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.
Чтобы отнесение информации к категории коммерческой тайны приобрело законную силу, оно должно быть оформлено в виде специального «Перечня сведений, составляющих коммерческую тайну АКЦИОНЕРНОГО БАНКА (Открытое Акционерное общество) (далее Перечень), который разрабатывается (уточняется не реже одного раза в год) постоянно действующей Комиссией Банка по защите коммерческой тайны, назначаемой приказом Председателя Правления Банка.
Перечень разрабатывается путем экспертных оценок на основании предложений подразделений Банка и с учетом действующего законодательства. В Перечне указываются категории сведений, их степень конфиденциальности, срок действия ограничений на доступ к ним. Перечень утверждается Председателем Правления Банка.
Степень конфиденциальности информации, составляющей коммерческую тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Банка вследствие её распространения. В соответствии с этим среди информации, относимой к коммерческой тайне, выделяются две группы: информация общего характера и информация, доступ к которой должен носить исключительный характер. Такой информации отдельно присваивается гриф «Конфиденциально». Присвоение грифа «Конфиденциально» или его отмена принадлежит Председателю Правления Банка.
7.3 Категорирование помещений производится по степени важности обрабатываемой в них информации. В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.
7.4 Для каждой информационно-вычислительной системы Банка, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в ней информации с учетом «Перечня сведений, составляющих коммерческую тайну Банка». В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе.
7.5 Основная задача этапа описания систем - описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:
- цели и задачи системы;
- пользователи и обслуживающий персонал;
- способы взаимодействия с другими системами как внутри Банка, так и с внешними объектами;
- физическую топологию сети в зданиях Банка;
- логическую топологию сети Банка, ее основные характеристики;
- перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;
- перечень используемого программного обеспечения (системное, прикладное, коммуникационное) и их характеристики.
Описание системы должно проводиться с учетом организационной структуры подразделений, которые будут ее эксплуатировать.
7.6 Факторы риска — возможные ситуации, возникновение которых может расцениваться как угроза, и способные нанести ущерб материального или нематериального характера. Фактор риска оказывает воздействие на определенные участки объектов информационной безопасности и может учитываться или не учитываться в зависимости от степени воздействия на жизнедеятельность Банка. Основными факторами риска являются:
- стихийные бедствия или чрезвычайные ситуации, приводящие к полному или частичному выходу из строя технических средств систем;
- несанкционированный доступ к серверам, элементам аппаратуры и оборудованию в серверных комнатах;
- неисправности и нарушения в функционировании программных и технических средств, отказ в санкционировании доступа к оборудованию, программам и данным, вызванные случайными сбоями или отказами;
- несанкционированные проникновения в информационно-вычислительную систему, в том числе по внешним каналам связи;
- мошенничество или умысел, а также некомпетентность или халатность, которые приводят к нарушению целостности или доступности информации;
- нарушение конфиденциальности отдельных данных;
- несанкционированный доступ к системным и прикладным данным и программам, а также ресурсам систем;
- повторное использование внешних и внутренних носителей информации для съема информации;
- нарушение конфиденциальности массивов данных.
Перечень факторов риска может уточняться.
7.7 Уязвимые места - элементы технических средств, программ и данных, которые могут быть подвергнуты воздействию факторов риска. Уязвимые места необходимо защищать и контролировать. К уязвимым местам объектов информационной безопасности относятся:
- все технические средства – необходимо защищать от стихийных бедствий, диверсий, несанкционированного доступа (НСД), сбоев и отказов;
- все автоматизированные рабочие места (АРМ) и терминалы - необходимо защищать от НСД;
- все системное программное обеспечение и системные ресурсы, обеспечивающие функционирование автоматизированных систем и сетей Банка - необходимо защищать от НСД, приводящего к нарушению целостности и доступности;
- опорная сеть Банка и передаваемые по ней данные – необходимо защищать от нарушения целостности или доступности и НСД;
- конфиденциальная и строго конфиденциальная информация - необходимо защищать от нарушения конфиденциальности;
- ресурсы и приложения систем, внутренние и внешние носители информации в системах, обрабатывающих конфиденциальную информацию - необходимо защищать от повторного использования («сборки мусора»);
- помещения, слаботочное оборудование, вычислительная техника подсистем, на которых обрабатывается конфиденциальная информация - необходимо защищать от перехвата информации по каналам электромагнитного излучения и закладных устройств.
Перечень уязвимых мест системы Банка может уточняться. Для каждого конкретного объекта информационной безопасности осуществляется выбор конкретных средств и методов защиты, контроля и управления с учетом уязвимых мест и факторов риска.
- Информационной безопасности акционерного банка (Открытое Акционерное Общество)
- 1. Общие положения
- 2. Цели и задачи
- 3. Принципы организации и функционирования системы информационной безопасности
- 4. Правовое обеспечение информационной безопасности
- 5. Объекты защиты
- 6. Основные виды угроз объектам информационной безопасности
- 7. Порядок проведения работ по обеспечению информационной безопасности
- 8. Защита информации в автоматизированных системах и сетях
- 9. Организация безотказной работы
- 10. Защита речевой информации
- 11. Защита информации на материальных носителях
- 12. Управление информационной безопасностью
- 13. Ответственность