7.1. Организации БС РФ рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В составе правил идентификации и учета информационных активов и объектов среды информационных активов рекомендуется определить:
- перечень типов информационных активов и объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), подлежащих идентификации и учету;
- состав учетных данных, хранимых для каждого информационного актива и объекта среды информационного актива;
- обязанность подразделений информатизации и (или) функциональных подразделений организации БС РФ осуществлять идентификацию и учет информационных активов и объектов среды информационных активов;
- способы выполнения подразделениями информатизации и (или) функциональных подразделений организации БС РФ идентификации и учета информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и учета;
- обязанность службы ИБ организации БС РФ осуществлять контроль соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным;
- способы выполнения службой ИБ контроля фактического состава информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и контроля;
- правила размещения и (или) запрета размещения информационных активов разных классов информации конфиденциального характера на одном объекте среды информационных активов;
- правила идентификации и учета работниками организации БС РФ носителей информации конфиденциального характера;
- правила обработки работниками организации БС РФ информации конфиденциального характера на бумажных и переносных носителях информации.
7.2. В качестве типов информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие типы:
- базы данных;
- сетевые файловые ресурсы;
- виртуальные машины, предназначенные для размещения серверных компонентов автоматизированных банковских систем (далее - АБС);
- виртуальные машины, предназначенные для размещения автоматизированных рабочих мест пользователей и эксплуатирующего персонала;
- ресурсы доступа, относящиеся к сервисам электронной почты;
- ресурсы доступа, относящиеся к web-сервисам информационно-телекоммуникационной сети "Интернет" (далее - сети Интернет).
7.3. В качестве типов объектов среды информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие:
- серверное оборудование, хранилища данных;
- рабочие станции пользователей и эксплуатационного персонала;
- переносные (портативные) средства вычислительной техники (например, ноутбуки, планшетные компьютеры, смартфоны);
- переносные носители информации (например, CD/DVD/blu-ray-диски, флеш-память, карты памяти, внешние HDD-диски, магнитные ленты);
- бумажные носители информации.
7.4. Для каждого информационного актива рекомендуется обеспечивать хранение как минимум следующих учетных данных:
- данные, позволяющие идентифицировать информационный актив;
- данные, позволяющие установить средство вычислительной техники - объект среды информационного актива;
- данные, устанавливающие класс информации конфиденциального характера информационного актива;
- данные, устанавливающие тип информационного актива, в том числе из числа указанных в пункте 7.2 настоящих рекомендаций;