8.1. Организации БС РФ рекомендуется рассматривать следующие категории возможных внутренних нарушителей:
- Категория А. Пользователи АБС и приложений - работники организации БС РФ, обладающие возможностями по доступу к информации конфиденциального характера в рамках реализации своих служебных обязанностей. Категорию пользователей АБС целесообразно разделять на следующие группы по уровню доверия:
- Категория А1. Доверенный пользователь (например, высшее руководство организации БС РФ).
- Категория А2. Пользователь (большинство работников организации БС РФ).
- Категория А3. Пользователь "в зоне риска" (например, работники организации БС РФ на испытательном сроке, подавшие заявление на увольнение или ранее участвовавшие в инцидентах ИБ).
- Категория Б. Эксплуатационный персонал - лица, в том числе не являющиеся работниками организации БС РФ, обладающие возможностями по доступу к информации конфиденциального характера при осуществлении задач, связанных с эксплуатацией и (или) администрированием информационной инфраструктуры организации БС РФ, АБС и приложений организации БС РФ;
- Категория В. Технический и вспомогательный персонал - лица, в том числе не являющиеся работниками организации БС РФ, не обладающие полномочиями по доступу к информации конфиденциального характера, но осуществляющие непосредственный физический доступ в помещения, в которых осуществляется обработка такой информации;
- Категория Г. Лица, не являющиеся работниками организации БС РФ, обладающие доступом к информации конфиденциального характера на основании договорных отношений (например, аудиторы, партнеры и подрядчики), требований законодательства Российской Федерации (например, органы государственной власти) и (или) судебного решения.
8.2. Организации БС РФ рекомендуется рассматривать следующие потенциальные каналы утечки информации:
- передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением электронной почты;
- передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением сервисов сети Интернет и беспроводных сетей, в том числе социальных сетей и форумов;
- размещение информации конфиденциального характера на объекте информационной инфраструктуры организации БС РФ, не предназначенном для ее хранения;
- удаленный доступ к информационной инфраструктуре организации БС РФ с использованием сети Интернет;
- копирование информации на переносные носители информации;
- передача информации за пределы объектов организации БС РФ с использованием факсимильной, телефонной и (или) телетайпной связи;
- печать и (или) копирование информации на бумажные носители, в том числе с последующим их выносом за пределы организации БС РФ и (или) передачей информации за пределы объектов организации БС РФ с использованием факсимильной связи;
- использование и (или) утеря переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;
- использование и (или) утеря переносных (портативных) средств вычислительной техники за пределами информационной инфраструктуры организации БС РФ;
- передача (вынос) средств вычислительной техники за пределы организации БС РФ, в том числе для технического обслуживания, ремонта и (или) утилизации;
- визуальное (включая фотографирование и видеосъемку) и слуховое (без использования специализированных технических средств) ознакомление с информацией.
8.3. Организации БС РФ рекомендуется организовать обработку информации конфиденциального характера возможными внутренними нарушителями категории Г с использованием только средств вычислительной техники, включенных в область действия процессов мониторинга и контроля потенциальных каналов утечки информации, рекомендации к составу которых установлены в разделе 9 настоящих рекомендаций.