Рекомендации ЦБ РФ по защите от утечки информации

Рекомендации ЦБ РФ по защите от утечки информации
Банк России вводит в действие с 1 мая 2016 года рекомендации в области стандартизации Банка России « Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации » (РС БР ИББС-2.9-2016).

Общая идея документа:
"Наибольшими возможностями для нанесения ущерба, в том числе неумышленного, организации БС РФ и (или) ее клиентам, в части возможного нарушения конфиденциальности обрабатываемой информации, обладают работники организации БС РФ и (или) иные лица, обладающие легальным доступом к информации – возможные внутренние нарушители информационной безопасности. При этом утечка информации является одной из актуальных угроз нарушения информационной безопасности (далее – ИБ), которую могут реализовать возможные внутренние нарушители ИБ.
Одним из направлений деятельности организации БС РФ по обеспечению конфиденциальности обрабатываемой информации является мониторинг и контроль информационных потоков, осуществляемый для предотвращения утечек информации. Настоящий документ устанавливает рекомендации, реализация которых направлена на обеспечение организацией БС РФ мониторинга и контроля информационных потоков, осуществляемого для выявления и предотвращения утечек информации в результате действия работников организации БС РФ и (или) иных лиц, обладающих легальным доступом к информации – возможных внутренних нарушителей ИБ."
Про термин "утечка": 
"Утечка информации – несанкционированное предоставление или распространение информации конфиденциального характера, неконтролируемое организацией БС РФ. Примечание. В настоящем документе рассматривается только случаи утечки информации, реализуемые в результате действия работников организации БС РФ и (или) иных лиц, обладающих легальным доступом к информации или легальным доступом в помещения, в которых осуществляется обработка информации."
Самое важное про ИБ: 
"5.1.Для защиты информации конфиденциального характера от возможных утечек, организации БС РФ рекомендуется обеспечивать: 
− идентификацию и формирование перечня категорий информации конфиденциального характера; 
− идентификацию и учет информационных активов (информационных ресурсов), содержащих информацию конфиденциального характера и объектов среды информационных активов, используемых для обработки и (или) хранения информации конфиденциального характера;
 − определение категорий возможных внутренних нарушителей и актуальных угроз, связанных с их действиями – потенциальных каналов утечки информации конфиденциального характера; 
− выполнение процессов системы обеспечения ИБ, которые обеспечивают непосредственный мониторинг и контроль информационных потоков – потенциальных каналов утечки информации конфиденциального характера."

"9.1.Состав и реализацию процессов СОИБ, направленных на мониторинг и контроль потенциальных каналов утечки информации рекомендуется определять в соответствии с принципом «минимума полномочий» возможных внутренних нарушителей ИБ, путем: 
− блокирования техническими средствами и (или) организационными мерами возможности использования потенциальных каналов утечки информации, использование которых не требуется возможным внутренними нарушителям для выполнения служебных обязанностей; 
− регламентирования и реализации процесса предоставления возможности (разблокирования) использования возможными внутренними нарушителями потенциальных каналов утечки информации; 
− непрерывного мониторинга и контроля использования возможными внутренними нарушителями разблокированных потенциальных каналов утечки информации.

"9.2.События ИБ, выявленные в рамках мониторинга и контроля использования возможными внутренними нарушителями потенциальных каналов утечки информации, рекомендуется обрабатывать в рамках процессов системы менеджмента инцидентов ИБ, реализуемой организацией БС РФ с учетом положений РС БР ИББС-2.5."

"9.3.Организациям БС РФ рекомендуется реализовать следующий состав процессов СОИБ, выполнение которых позволит обеспечить мониторинг и контроль потенциальных каналов утечки информации, а также снизить риски утечки информации конфиденциального характера: 
− мониторинг, контроль, блокирование использования сервисов электронной почты при передаче информации на внешние адреса электронной почты; 
− мониторинг, контроль, блокирование использования беспроводных сетей и сети Интернет с использованием информационной инфраструктуры организации БС РФ; 
− мониторинг, контроль, блокирование использования удаленного доступа к информационной инфраструктуре организации БС РФ с использованием сети Интернет; 
− мониторинг публикации информации конфиденциального характера в сети Интернет, в том числе социальных сетях и форумах;
− мониторинг, контроль, блокирование копирования информации на переносные носители информации; − контроль использования средств факсимильной связи; 
− контроль (запрет или блокирование) использования личных средств связи (телефоны, смартфоны, планшеты и т.п.); 
− мониторинг и контроль печати и (или) копирования информации на бумажных носителях;
− контроль (блокирование) возможности использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации БС РФ; 
− блокирование возможности доступа к информации конфиденциального характера на средствах вычислительной техники за пределами информационной инфраструктуры организации БС РФ; 
− мониторинг и анализ действий возможных внутренних нарушителей по доступу к информационным активам; 
− контроль передачи (выноса) средств вычислительной техники за пределы организации БС РФ; 
− контроль физического доступа с целью предотвращения визуального и слухового ознакомление с информацией."

"9.4.Организации БС РФ с учетом результатов оценки рисков рекомендуется обеспечить реализацию: 
− контроля и (или) запрета размещения на средствах вычислительной техники, используемых для обработки информации конфиденциального характера, и блокирования возможности использования программного обеспечения сервисов мгновенных сообщений (например: ICQ, WhatsUp, Viber, Skype); 
− контроля и (или) запрета обработки личной информации с использованием информационной инфраструктуры и средств связи организации БС РФ; 
− контроля и (или) запрета самостоятельного использования работниками публичных облачных технологий хранения и обработки информации конфиденциального характера."
В документе еще много чего интересного и полезного, посмотрите внимательно и используйте для защиты информации.
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

Andrey Prozorov

Информационная безопасность в России и мире