В банке при выработке единых подходов к организации внутренних проверок (в том числе, аудита информационной безопасности) необходимо иметь типовую программу проверок, описывающую содержание и порядок проверки. Ниже привожу типовую программу проверки ИБ филиала банка.
Типовая программа проведения проверки филиала
с целью оценки степени соответствия обеспечения ИБ филиала требованиям законодательства РФ
и внутренних регламентирующих документов в области информационной безопасности
и внутренних регламентирующих документов в области информационной безопасности
№ п/п | Мероприятие | Описание | Регламентирующие документы | Срок исполнения | Ответственный за выполнение сотрудник | ||
1 | 2 | 3 | 4 | ||||
I этап. Начало проверки | |||||||
1.1 | Представление должностных лиц Банка, проводящих проверку, руководству проверяемого филиала | -Служебное удостоверение; -Приказ или распоряжение о проведении проверки филиала. | __.__.2015 | ||||
1.2 | Вручение руководителю филиала или лицу, которому уполномочено представлять интересы филиала при проведении проверки, заверенной печатью копии приказа или распоряжения | Заверенная копия приказа или распоряжения о проведении проверки филиала. | __.__.2015 | ||||
II этап. Проведение проверки соответствия уровня информационной безопасности филиала нормативным правовым актам | |||||||
2.1 | Проверка соблюдения требований, установленных законодательством Российской Федерации, в области информационной безопасности банковской сферы, а также при обработке персональных данных работников и клиентов филиала | Документы, подтверждающие принятие мер: 1) Кадровая политика филиала; 2) Должностные инструкции специалистов службы информационной безопасности и подразделения информационных технологий филиала; должностные инструкции лиц, имеющих доступ и (или) осуществляющих обработку персональных данных; 3) Положение о подразделении, осуществляющем функции по организации защиты персональных данных; 4) Приказы/распоряжения о назначении ответственных лиц филиала за информационные ресурсы и системы филиала. | -Федеральный закон от 27.07.2006 №152-ФЗ “О персональных данных”; -Постановление Правительства РФ от 01.11.2012г. № 1119; -Письмо ЦБ РФ от 14 марта 2014г. №42-Т “Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан”; -Приказ ФСБ от 10 июля 2014 №378 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств защиты информации, необходимых для выполнения установленных правительством РФ требований к защите ПДн для каждого из уровней защищенности”. -Политика Банка в области обработки и защиты ПДн (общедоступная, размещаемая на сайте Банка) -Положение о работе с персональными данными работников Банка; -Приказы о назначении администраторов информационных систем Банка (АБС, ДБО и др.). | __.__.2015 | |||
2.2 | Мониторинг программного обеспечения на рабочих станциях и серверах филиала | Выявление фактов инсталляции запрещенного программного обеспечения, не включенного в список стандартного, а также предположительно не связанного с выполнением функциональных обязанностей сотрудников. | -Политика информационной безопасности Банка. | __.__.2015-__.__.2015 | |||
2.3 | Проверка состояния антивирусной защиты в филиале (включая защиту серверов, рабочих станций, интернет-шлюза) | Аудит эффективности применяемых политик антивирусной защиты, защиты от вторжений, превентивной защиты. Анализ журналов систем антивирусной защиты. Выявление рабочих станций и серверов, не снабженных средствами антивирусной защиты. | -Письмо ЦБ РФ от 24 марта 2014г. №49-Т “О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности”. | __.__.2015-__.__.2015 | |||
2.4 | Аудит групп локальных администраторов на рабочих станциях и серверах филиала | Проверка административных прав доступа на рабочих станциях филиала с целью выявления фактов присутствия учетных записей сотрудников в группе локальных администраторов. | -Политика информационной безопасности Банка; -другие документы Банка, регламентирующие правила контроля идентификации и предоставления прав доступа. | __.__.2015-__.__.2015 | |||
2.5 | Аудит учетных записей пользователей в каталоге Active Directory | Аудит состояния списка пользователей домена филиала с целью обнаружения активных учетных записей уволенных сотрудников, тестовых учетных записей, а также учетных записей с расширенными правами в домене. | -Политика информационной безопасности Банка; -другие документы Банка, регламентирующие правила контроля идентификации и предоставления прав доступа. | __.__.2015-__.__.2015 | |||
2.6 | Аудит парольной политики в корпоративной сети филиала | Аудит предустановленных правил парольной политики на соответствие минимальным требованиям безопасности. | -Стандарт Банка России: “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” (СТО БР ИББС-1.0-2014); | __.__.2015-__.__.2015 | |||
2.7 | Аудит доступа к съемным носителям информации | Аудит политик контроля доступа к съемным носителям и внешним портам на рабочих станциях филиала. | -Политика информационной безопасности Банка; -другие документы Банка, регламентирующие правила контроля идентификации и предоставления прав доступа. | __.__.2015-__.__.2015 | |||
2.8 | Аудит сетевой инфраструктуры на наличие уязвимостей | Запуск программы-сканера с целью проведения сканирования сети, рабочих станций и серверов филиала на предмет обнаружения возможных проблем в системе безопасности. Анализ и обработка результатов. | __.__.2015-__.__.2015 | ||||
2.9 | Аудит прав доступов сотрудников к сетевым ресурсам и АБС | Аудит на соответствие прав доступа сотрудников Заявкам на предоставление доступа к ресурсам БИС и АБС. | -Политика информационной безопасности Банка; -другие документы Банка, регламентирующие правила контроля идентификации и предоставления прав доступа. | __.__.2015-__.__.2015 | |||
2.10 | Контроль функционирования технических средств и систем криптографической защиты информации, управление ключами | Соблюдение требований, изложенных в эксплуатационной документации к НСД и СКЗИ. Проверка журналов поэкзем-плярного учета СКЗИ. | -Постановление Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»; -Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической зашиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной Приказом ФАПСИ от 13.06.2001 № 152. | __.__.2015-__.__.2015 | |||
2.11 | Наличие документов учета и движения носителей ключевой информации. | -АКТ приема-передачи носителей ключевой информации; -Журнал поэкземплярного учета носителей ключевой информации. | |||||
2.12 | Наличие журналов информационной безопасности | 1) Журнал поэкземплярного учета СКЗИ – для регистрации и учета СКЗИ установленных на рабочих станциях. 2) Журнал поэкземплярного учета дистрибутивов СКЗИ – для регистрации и учета эталонных дистрибутивов СКЗИ. 3) Журнал учета ключевых документов СКЗИ – для регистрации и учета ключевых документов. 4) Журнал учета ключевых носителей - для учета выдаваемых («чистых») носителей информации, например, токенов системы ДБО. 5) Журнал учета носителей конфиденциальной информации. | -Инстру 
Ваша приватность умирает красиво, но мы можем спасти её.
Валерий ЕстехинИнформационная безопасность глазами практикующего специалиста по ИБ (16+) | ||||