8. Рекомендации к определению категорий возможных внутренних нарушителей и потенциальных каналов утечки информации
8.1. Организации БС РФ рекомендуется рассматривать следующие категории возможных внутренних нарушителей:
- Категория А. Пользователи АБС и приложений - работники организации БС РФ, обладающие возможностями по доступу к информации конфиденциального характера в рамках реализации своих служебных обязанностей. Категорию пользователей АБС целесообразно разделять на следующие группы по уровню доверия:
- Категория А1. Доверенный пользователь (например, высшее руководство организации БС РФ).
- Категория А2. Пользователь (большинство работников организации БС РФ).
- Категория А3. Пользователь "в зоне риска" (например, работники организации БС РФ на испытательном сроке, подавшие заявление на увольнение или ранее участвовавшие в инцидентах ИБ).
- Категория Б. Эксплуатационный персонал - лица, в том числе не являющиеся работниками организации БС РФ, обладающие возможностями по доступу к информации конфиденциального характера при осуществлении задач, связанных с эксплуатацией и (или) администрированием информационной инфраструктуры организации БС РФ, АБС и приложений организации БС РФ;
- Категория В. Технический и вспомогательный персонал - лица, в том числе не являющиеся работниками организации БС РФ, не обладающие полномочиями по доступу к информации конфиденциального характера, но осуществляющие непосредственный физический доступ в помещения, в которых осуществляется обработка такой информации;
- Категория Г. Лица, не являющиеся работниками организации БС РФ, обладающие доступом к информации конфиденциального характера на основании договорных отношений (например, аудиторы, партнеры и подрядчики), требований законодательства Российской Федерации (например, органы государственной власти) и (или) судебного решения.
8.2. Организации БС РФ рекомендуется рассматривать следующие потенциальные каналы утечки информации:
- передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением электронной почты;
- передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением сервисов сети Интернет и беспроводных сетей, в том числе социальных сетей и форумов;
- размещение информации конфиденциального характера на объекте информационной инфраструктуры организации БС РФ, не предназначенном для ее хранения;
- удаленный доступ к информационной инфраструктуре организации БС РФ с использованием сети Интернет;
- копирование информации на переносные носители информации;
- передача информации за пределы объектов организации БС РФ с использованием факсимильной, телефонной и (или) телетайпной связи;
- печать и (или) копирование информации на бумажные носители, в том числе с последующим их выносом за пределы организации БС РФ и (или) передачей информации за пределы объектов организации БС РФ с использованием факсимильной связи;
- использование и (или) утеря переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;
- использование и (или) утеря переносных (портативных) средств вычислительной техники за пределами информационной инфраструктуры организации БС РФ;
- передача (вынос) средств вычислительной техники за пределы организации БС РФ, в том числе для технического обслуживания, ремонта и (или) утилизации;
- визуальное (включая фотографирование и видеосъемку) и слуховое (без использования специализированных технических средств) ознакомление с информацией.
8.3. Организации БС РФ рекомендуется организовать обработку информации конфиденциального характера возможными внутренними нарушителями категории Г с использованием только средств вычислительной техники, включенных в область действия процессов мониторинга и контроля потенциальных каналов утечки информации, рекомендации к составу которых установлены в разделе 9 настоящих рекомендаций.
8.4. Организации БС РФ рекомендуется определить перечень угроз утечки информации конфиденциального характера, в которой необходимо установить потенциальные каналы утечки информации для каждого типа средств вычислительной техники - объекта среды информационных активов, в том числе из числа указанных в пункте 7.3 настоящих рекомендаций, и каждой категории возможных внутренних нарушителей. В качестве перечня угроз утечки информации конфиденциального характера рекомендуется использовать следующий:
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей