Настоящие рекомендации распространяются на организации БС РФ, по результатам оценки рисков принявшие решения проводить деятельность по предотвращению утечек информации конфиденциального характера, не содержащей сведения, составляющие государственную тайну, в результате действия работников организации БС РФ и (или) иных лиц, обладающих легальным доступом к информации или легальным физическим доступом в помещения, в которых осуществляется обработка информации, - возможных внутренних нарушителей ИБ.
В настоящем документе содержатся рекомендации, выполнение которых обеспечивает снижение рисков утечки информации путем мониторинга и контроля информационных потоков. В настоящем документе не рассматриваются рекомендации, выполнение которых косвенно влияет на снижение рисков утечки информации (например, рекомендации к обеспечению защиты от воздействия вредоносного кода, межсетевому экранированию и разделению вычислительных сетей, к проведению аудитов ИБ, к организации логического доступа).
Настоящие рекомендации не распространяются на организации БС РФ, решением которых обработка информации осуществляется с использованием облачных технологий или передана на аутсорсинг сторонней организации.
Настоящие рекомендации не включают положения, направленные на предотвращение утечек информации по техническим каналам, в том числе каналам побочных электромагнитных излучений и наводок, а также в результате действия работников организации БС РФ и иных лиц, не обладающих легальным доступом к информации или легальным физическим доступом в помещения, в которых осуществляется обработка информации, - внешних нарушителей ИБ.
Настоящий документ рекомендован для применения путем прямого использования устанавливаемых в нем положений при проведении деятельности по предотвращению утечек информации, а также путем включения ссылок на него и (или) прямого включения содержащихся в нем положений во внутренние документы организации БС РФ.
Положения настоящих рекомендаций применяются на добровольной основе. В конкретной организации БС РФ для проведения деятельности по предотвращению утечек информации могут использоваться иные рекомендации и (или) требования, отражающие специфику и сложившуюся практику организации БС РФ.