Общая идея документа:
"Наибольшими возможностями для нанесения ущерба, в том числе неумышленного, организации БС РФ и (или) ее клиентам, в части возможного нарушения конфиденциальности обрабатываемой информации, обладают работники организации БС РФ и (или) иные лица, обладающие легальным доступом к информации – возможные внутренние нарушители информационной безопасности. При этом утечка информации является одной из актуальных угроз нарушения информационной безопасности (далее – ИБ), которую могут реализовать возможные внутренние нарушители ИБ.Про термин "утечка":
Одним из направлений деятельности организации БС РФ по обеспечению конфиденциальности обрабатываемой информации является мониторинг и контроль информационных потоков, осуществляемый для предотвращения утечек информации. Настоящий документ устанавливает рекомендации, реализация которых направлена на обеспечение организацией БС РФ мониторинга и контроля информационных потоков, осуществляемого для выявления и предотвращения утечек информации в результате действия работников организации БС РФ и (или) иных лиц, обладающих легальным доступом к информации – возможных внутренних нарушителей ИБ."
"Утечка информации – несанкционированное предоставление или распространение информации конфиденциального характера, неконтролируемое организацией БС РФ. Примечание. В настоящем документе рассматривается только случаи утечки информации, реализуемые в результате действия работников организации БС РФ и (или) иных лиц, обладающих легальным доступом к информации или легальным доступом в помещения, в которых осуществляется обработка информации."Самое важное про ИБ:
"5.1.Для защиты информации конфиденциального характера от возможных утечек, организации БС РФ рекомендуется обеспечивать:
− идентификацию и формирование перечня категорий информации конфиденциального характера;
− идентификацию и учет информационных активов (информационных ресурсов), содержащих информацию конфиденциального характера и объектов среды информационных активов, используемых для обработки и (или) хранения информации конфиденциального характера;
− определение категорий возможных внутренних нарушителей и актуальных угроз, связанных с их действиями – потенциальных каналов утечки информации конфиденциального характера;
− выполнение процессов системы обеспечения ИБ, которые обеспечивают непосредственный мониторинг и контроль информационных потоков – потенциальных каналов утечки информации конфиденциального характера."
"9.1.Состав и реализацию процессов СОИБ, направленных на мониторинг и контроль потенциальных каналов утечки информации рекомендуется определять в соответствии с принципом «минимума полномочий» возможных внутренних нарушителей ИБ, путем:
− блокирования техническими средствами и (или) организационными мерами возможности использования потенциальных каналов утечки информации, использование которых не требуется возможным внутренними нарушителям для выполнения служебных обязанностей;
− регламентирования и реализации процесса предоставления возможности (разблокирования) использования возможными внутренними нарушителями потенциальных каналов утечки информации;
− непрерывного мониторинга и контроля использования возможными внутренними нарушителями разблокированных потенциальных каналов утечки информации.
"9.2.События ИБ, выявленные в рамках мониторинга и контроля использования возможными внутренними нарушителями потенциальных каналов утечки информации, рекомендуется обрабатывать в рамках процессов системы менеджмента инцидентов ИБ, реализуемой организацией БС РФ с учетом положений РС БР ИББС-2.5."
"9.3.Организациям БС РФ рекомендуется реализовать следующий состав процессов СОИБ, выполнение которых позволит обеспечить мониторинг и контроль потенциальных каналов утечки информации, а также снизить риски утечки информации конфиденциального характера:
− мониторинг, контроль, блокирование использования сервисов электронной почты при передаче информации на внешние адреса электронной почты;
− мониторинг, контроль, блокирование использования беспроводных сетей и сети Интернет с использованием информационной инфраструктуры организации БС РФ;
− мониторинг, контроль, блокирование использования удаленного доступа к информационной инфраструктуре организации БС РФ с использованием сети Интернет;
− мониторинг публикации информации конфиденциального характера в сети Интернет, в том числе социальных сетях и форумах;
− мониторинг, контроль, блокирование копирования информации на переносные носители информации; − контроль использования средств факсимильной связи;
− контроль (запрет или блокирование) использования личных средств связи (телефоны, смартфоны, планшеты и т.п.);
− мониторинг и контроль печати и (или) копирования информации на бумажных носителях;
− контроль (блокирование) возможности использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации БС РФ;
− блокирование возможности доступа к информации конфиденциального характера на средствах вычислительной техники за пределами информационной инфраструктуры организации БС РФ;
− мониторинг и анализ действий возможных внутренних нарушителей по доступу к информационным активам;
− контроль передачи (выноса) средств вычислительной техники за пределы организации БС РФ;
− контроль физического доступа с целью предотвращения визуального и слухового ознакомление с информацией."
"9.4.Организации БС РФ с учетом результатов оценки рисков рекомендуется обеспечить реализацию:
− контроля и (или) запрета размещения на средствах вычислительной техники, используемых для обработки информации конфиденциального характера, и блокирования возможности использования программного обеспечения сервисов мгновенных сообщений (например: ICQ, WhatsUp, Viber, Skype);В документе еще много чего интересного и полезного, посмотрите внимательно и используйте для защиты информации.
− контроля и (или) запрета обработки личной информации с использованием информационной инфраструктуры и средств связи организации БС РФ;
− контроля и (или) запрета самостоятельного использования работниками публичных облачных технологий хранения и обработки информации конфиденциального характера."
