7. Рекомендации к реализации идентификации и учета информационных активов информации конфиденциального характера и объектов среды информационных активов, используемых для обработки информации конфиденциального характера
7.1. Организации БС РФ рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В составе правил идентификации и учета информационных активов и объектов среды информационных активов рекомендуется определить:
- перечень типов информационных активов и объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), подлежащих идентификации и учету;
- состав учетных данных, хранимых для каждого информационного актива и объекта среды информационного актива;
- обязанность подразделений информатизации и (или) функциональных подразделений организации БС РФ осуществлять идентификацию и учет информационных активов и объектов среды информационных активов;
- способы выполнения подразделениями информатизации и (или) функциональных подразделений организации БС РФ идентификации и учета информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и учета;
- обязанность службы ИБ организации БС РФ осуществлять контроль соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным;
- способы выполнения службой ИБ контроля фактического состава информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и контроля;
- правила размещения и (или) запрета размещения информационных активов разных классов информации конфиденциального характера на одном объекте среды информационных активов;
- правила идентификации и учета работниками организации БС РФ носителей информации конфиденциального характера;
- правила обработки работниками организации БС РФ информации конфиденциального характера на бумажных и переносных носителях информации.
7.2. В качестве типов информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие типы:
- виртуальные машины, предназначенные для размещения серверных компонентов автоматизированных банковских систем (далее - АБС);
- виртуальные машины, предназначенные для размещения автоматизированных рабочих мест пользователей и эксплуатирующего персонала;
- ресурсы доступа, относящиеся к сервисам электронной почты;
- ресурсы доступа, относящиеся к web-сервисам информационно-телекоммуникационной сети "Интернет" (далее - сети Интернет).
7.3. В качестве типов объектов среды информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие:
- серверное оборудование, хранилища данных;
- рабочие станции пользователей и эксплуатационного персонала;
- переносные (портативные) средства вычислительной техники (например, ноутбуки, планшетные компьютеры, смартфоны);
- переносные носители информации (например, CD/DVD/blu-ray-диски, флеш-память, карты памяти, внешние HDD-диски, магнитные ленты);
- бумажные носители информации.
7.4. Для каждого информационного актива рекомендуется обеспечивать хранение как минимум следующих учетных данных:
- данные, позволяющие идентифицировать информационный актив;
- данные, позволяющие установить средство вычислительной техники - объект среды информационного актива;
- данные, устанавливающие класс информации конфиденциального характера информационного актива;
- данные, устанавливающие тип информационного актива, в том числе из числа указанных в пункте 7.2 настоящих рекомендаций;
- данные, определяющие владельца информационного актива.
Класс информации конфиденциального характера информационного актива определяется путем сопоставления фактической информации об информационном активе, предоставляемой (определяемой) его владельцем, с перечнем категорий информации конфиденциального характера, входящих в соответствующий класс.
7.5. Для каждого средства вычислительной техники - объекта среды информационных активов рекомендуется обеспечивать хранение как минимум следующих учетных данных:
- данные, позволяющие идентифицировать средство вычислительной техники;
- данные, позволяющие установить место физического размещения средств вычислительной техники;
- перечень информационных активов, размещенных на средстве вычислительной техники;
- данные, позволяющие идентифицировать логическое размещение средства вычислительной техники, например сетевой адрес, доменное имя;
- данные, устанавливающие тип вычислительной техники, в том числе из числа указанных в пункте 7.3 настоящих рекомендаций;
- данные, устанавливающие класс информации конфиденциального характера, размещенной на средстве вычислительной техники.
7.6. Организациям БС РФ рекомендуется использовать средства автоматизации для выполнения следующих видов деятельности:
- учет информационных активов и средств вычислительной техники - объектов среды информационных активов;
- идентификация информационных активов и средств вычислительной техники для цели контроля соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным.
7.7. Организации БС РФ рекомендуется документировать и обеспечить выполнение работниками правил обработки информации конфиденциального характера на бумажных и переносных носителях информации, предусматривающих среди прочего:
- правила маркировки носителей информации, в том числе бумажных, выполняемой с целью определения класса информации конфиденциального характера;
- правила отнесения информации к конкретным классам информации конфиденциального характера на основе утвержденных перечней категорий информации, включаемых в каждый из классов информации конфиденциального характера;
- правила учета и хранения бумажных и переносных носителей информации, требования к организации доступа к ним;
- правила передачи бумажных и переносных носителей информации, в том числе передачи третьим лицам;
- правила использования переносных носителей информации за пределами объектов организации БС РФ;
- правила безопасного уничтожения бумажных и переносных носителей информации и удаления информации с переносных носителей информации, правила взаимодействия с архивной службой организации БС РФ.
7.8. В части безопасного уничтожения бумажных и переносных носителей информации организации БС РФ рекомендуется:
- физически уничтожать не используемые более переносные носители информации, либо уничтожить, удалить, перезаписать информацию на них с использованием методов, позволяющих сделать исходную информацию невосстанавливаемой, вместо стандартных функций удаления или форматирования;
- установить и использовать средства уничтожения бумажных документов (шредеры) вблизи мест расположения средств печати и копирования информации;
- при необходимости выбирать шредеры исходя из степени конфиденциальности уничтожаемых документов, при этом рекомендуется использовать шредеры с перекрестной резкой.
7.9. В организации БС РФ рекомендуется установить:
- персональную ответственность каждого работника организации БС РФ за соблюдение правил обработки информации в АБС и ответственность руководителей структурных подразделений организации БС РФ за организацию соблюдения указанных правил;
- персональную ответственность каждого работника организации БС РФ за соблюдение правил обработки информации на бумажных и переносных носителях информации и ответственность руководителей структурных подразделений организации БС РФ за организацию соблюдения указанных правил;
- персональную ответственность работников подразделений информатизации и (или) функциональных подразделений за соблюдение правил идентификации и учета информационных активов и средств вычислительной техники - объектов среды информационных активов и ответственность руководителей указанных подразделений за организацию соблюдения указанных правил;
- персональную ответственность работников подразделений информатизации и (или) функциональных подразделений за соблюдение правил размещения и (или) запрета размещения информационных активов разных классов на одном средстве вычислительной техники и ответственность руководителей указанных подразделений за организацию соблюдения указанных правил;
- персональную ответственность руководителей службы ИБ за организацию деятельности по осуществлению контроля соответствия фактического состава информационных активов и средств вычислительной техники - объектов среды информационных активов учетным данным.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей