Действующий

РС БР ИББС-2.9-2016 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации

8. Рекомендации к определению категорий возможных внутренних нарушителей и потенциальных каналов утечки информации

8.1. Организации БС РФ рекомендуется рассматривать следующие категории возможных внутренних нарушителей:

- Категория А. Пользователи АБС и приложений - работники организации БС РФ, обладающие возможностями по доступу к информации конфиденциального характера в рамках реализации своих служебных обязанностей. Категорию пользователей АБС целесообразно разделять на следующие группы по уровню доверия:


- Категория А1. Доверенный пользователь (например, высшее руководство организации БС РФ).


- Категория А2. Пользователь (большинство работников организации БС РФ).


- Категория А3. Пользователь "в зоне риска" (например, работники организации БС РФ на испытательном сроке, подавшие заявление на увольнение или ранее участвовавшие в инцидентах ИБ).


- Категория Б. Эксплуатационный персонал - лица, в том числе не являющиеся работниками организации БС РФ, обладающие возможностями по доступу к информации конфиденциального характера при осуществлении задач, связанных с эксплуатацией и (или) администрированием информационной инфраструктуры организации БС РФ, АБС и приложений организации БС РФ;


- Категория В. Технический и вспомогательный персонал - лица, в том числе не являющиеся работниками организации БС РФ, не обладающие полномочиями по доступу к информации конфиденциального характера, но осуществляющие непосредственный физический доступ в помещения, в которых осуществляется обработка такой информации;


- Категория Г. Лица, не являющиеся работниками организации БС РФ, обладающие доступом к информации конфиденциального характера на основании договорных отношений (например, аудиторы, партнеры и подрядчики), требований законодательства Российской Федерации (например, органы государственной власти) и (или) судебного решения.

8.2. Организации БС РФ рекомендуется рассматривать следующие потенциальные каналы утечки информации:

- передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением электронной почты;

- передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением сервисов сети Интернет и беспроводных сетей, в том числе социальных сетей и форумов;

- размещение информации конфиденциального характера на объекте информационной инфраструктуры организации БС РФ, не предназначенном для ее хранения;

- удаленный доступ к информационной инфраструктуре организации БС РФ с использованием сети Интернет;

- копирование информации на переносные носители информации;

- передача информации за пределы объектов организации БС РФ с использованием факсимильной, телефонной и (или) телетайпной связи;

- печать и (или) копирование информации на бумажные носители, в том числе с последующим их выносом за пределы организации БС РФ и (или) передачей информации за пределы объектов организации БС РФ с использованием факсимильной связи;

- использование и (или) утеря переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;

- использование и (или) утеря переносных (портативных) средств вычислительной техники за пределами информационной инфраструктуры организации БС РФ;

- передача (вынос) средств вычислительной техники за пределы организации БС РФ, в том числе для технического обслуживания, ремонта и (или) утилизации;

- визуальное (включая фотографирование и видеосъемку) и слуховое (без использования специализированных технических средств) ознакомление с информацией.

8.3. Организации БС РФ рекомендуется организовать обработку информации конфиденциального характера возможными внутренними нарушителями категории Г с использованием только средств вычислительной техники, включенных в область действия процессов мониторинга и контроля потенциальных каналов утечки информации, рекомендации к составу которых установлены в разделе 9 настоящих рекомендаций.