Действующий

РС БР ИББС-2.9-2016 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации

7. Рекомендации к реализации идентификации и учета информационных активов информации конфиденциального характера и объектов среды информационных активов, используемых для обработки информации конфиденциального характера

7.1. Организации БС РФ рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В составе правил идентификации и учета информационных активов и объектов среды информационных активов рекомендуется определить:

- перечень типов информационных активов и объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), подлежащих идентификации и учету;

- состав учетных данных, хранимых для каждого информационного актива и объекта среды информационного актива;

- обязанность подразделений информатизации и (или) функциональных подразделений организации БС РФ осуществлять идентификацию и учет информационных активов и объектов среды информационных активов;

- способы выполнения подразделениями информатизации и (или) функциональных подразделений организации БС РФ идентификации и учета информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и учета;

- обязанность службы ИБ организации БС РФ осуществлять контроль соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным;

- способы выполнения службой ИБ контроля фактического состава информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и контроля;

- правила размещения и (или) запрета размещения информационных активов разных классов информации конфиденциального характера на одном объекте среды информационных активов;

- правила идентификации и учета работниками организации БС РФ носителей информации конфиденциального характера;

- правила обработки работниками организации БС РФ информации конфиденциального характера на бумажных и переносных носителях информации.

7.2. В качестве типов информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие типы:

- базы данных;

- сетевые файловые ресурсы;

- виртуальные машины, предназначенные для размещения серверных компонентов автоматизированных банковских систем (далее - АБС);

- виртуальные машины, предназначенные для размещения автоматизированных рабочих мест пользователей и эксплуатирующего персонала;

- ресурсы доступа, относящиеся к сервисам электронной почты;

- ресурсы доступа, относящиеся к web-сервисам информационно-телекоммуникационной сети "Интернет" (далее - сети Интернет).

7.3. В качестве типов объектов среды информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие:

- серверное оборудование, хранилища данных;

- рабочие станции пользователей и эксплуатационного персонала;

- переносные (портативные) средства вычислительной техники (например, ноутбуки, планшетные компьютеры, смартфоны);

- переносные носители информации (например, CD/DVD/blu-ray-диски, флеш-память, карты памяти, внешние HDD-диски, магнитные ленты);

- бумажные носители информации.

7.4. Для каждого информационного актива рекомендуется обеспечивать хранение как минимум следующих учетных данных:

- данные, позволяющие идентифицировать информационный актив;

- данные, позволяющие установить средство вычислительной техники - объект среды информационного актива;

- данные, устанавливающие класс информации конфиденциального характера информационного актива;

- данные, устанавливающие тип информационного актива, в том числе из числа указанных в пункте 7.2 настоящих рекомендаций;