10. Рекомендации к реализации процессов системы менеджмента информационной безопасности для обеспечения зрелости процессов мониторинга и контроля потенциальных каналов утечки информации
10.1. Организации БС РФ рекомендуется обеспечить необходимый и достаточный уровень зрелости процессов мониторинга и контроля потенциальных каналов утечки информации, для чего в соответствии с положениями РС БР ИББС-2.7 следует:
- обеспечить необходимую и достаточную область действия процессов мониторинга и контроля потенциальных каналов утечки информации;
- разработать и утвердить внутренние документы, регламентирующие выполнение процессов мониторинга и контроля потенциальных каналов утечки информации, обеспечить их своевременную корректировку;
- обеспечить необходимую и достаточную автоматизацию процессов мониторинга и контроля потенциальных каналов утечки информации;
- обеспечить выполнение программ по обучению и повышению осведомленности работников организации БС РФ в части вопросов предотвращения утечки информации конфиденциального характера;
- обеспечить контроль выполнения процессов мониторинга и контроля потенциальных каналов утечки информации.
10.2. В части обеспечения необходимой и достаточной области действия процессов мониторинга и контроля потенциальных каналов утечки информации организации БС РФ рекомендуется:
- обеспечить мониторинг и контроль использования сервисов электронной почты (в том числе с использованием web-интерфейса) при передаче информации на внешние адреса электронной почты для всего трафика электронной почты и для всех учетных записей сервисов электронной почты;
- обеспечить мониторинг и контроль использования сети Интернет для всех средств вычислительной техники, расположенных в группах сегментов вычислительной сети организации БС РФ, предназначенных для обработки и (или) хранения информации конфиденциального характера, и для всех учетных записей, используемых для осуществления доступа к сети Интернет;
- определить перечень ресурсов сети Интернет, на которых высока вероятность публикации информации конфиденциального характера:
- "банковские" сайты: официальные сайты кредитных организаций, сайты, на которых реализована возможность ведения дискуссий (форумов);
- ресурсы для хранения файлов данных;
- обеспечить мониторинг содержания указанных выше ресурсов сети Интернет с целью возможной публикации информации конфиденциального характера;
- обеспечить мониторинг, контроль, блокирование копирования информации на переносные носители информации для всех средств вычислительной техники, мобильных устройств независимо от следующих факторов:
- типа и наличия подключения средства вычислительной техники, мобильного устройства к вычислительной сети организации БС РФ;
- осуществления обработки информации конфиденциального характера на средстве вычислительной техники, мобильных устройствах;
- обеспечить мониторинг и контроль печати и (или) копирования информации на бумажных носителях для сегментов вычислительной сети организации БС РФ, предназначенных для обработки и (или) хранения информации конфиденциального характера, и для всех учетных записей, используемых для осуществления печати информации;
- обеспечить контроль (блокирование) возможности использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации БС РФ для всех переносных носителей информации вне зависимости от их использования для обработки и (или) хранения информации конфиденциального характера;
- обеспечить блокирование возможности доступа к информации конфиденциального характера для всех средств вычислительной техники, используемых за пределами информационной инфраструктуры организации БС РФ, вне зависимости от их использования для обработки и (или) хранения информации конфиденциального характера и всех информационных активов организации БС РФ, к которым осуществляется удаленный доступ;
- определить перечень действий возможных внутренних нарушителей, связанных с доступом к информационным активам конфиденциальной информации, подвергаемых мониторингу и анализу для цели выявления потенциальных утечек информации. При этом рекомендуется подвергать мониторингу и анализу следующие действия:
- идентификация, аутентификация и авторизация возможных внутренних нарушителей;
- действия с информацией конфиденциального характера, в том числе чтение, изменение, копирование, удаление информации конфиденциального характера;
- печать информации конфиденциального характера;
- обеспечить мониторинг и анализ всех действий возможных внутренних нарушителей, связанных с доступом к информационным активам конфиденциальной информации, согласно определенному перечню для всех учтенных информационных активов;
- обеспечить контроль передачи (выноса) всех средств вычислительной техники независимо от осуществления обработки и (или) хранения информации конфиденциального характера;
- обеспечить контроль физического доступа с целью предотвращения визуального и слухового ознакомления с информацией во все помещения, в которых осуществляется обработка и (или) хранение информации конфиденциального характера.
Режим блокирования возможности использования потенциальных каналов утечки информации или режим их непрерывного мониторинга и контроля рекомендуется определять в зависимости от правил доступа для различных категорий потенциальных внутренних нарушителей, рекомендации к содержанию которых установлены в приложении В к настоящему документу.
Применение режима блокирования возможности использования потенциальных каналов утечки информации не отменяет целесообразность выполнения регулярного контроля со стороны службы информационной безопасности организации БС РФ, направленного на корректность реализации процессов мониторинга, и контроля потенциальных каналов утечки информации.
10.3. В части разработки внутренних документов, регламентирующих выполнение процессов мониторинга и контроля потенциальных каналов утечки информации, рекомендуется обеспечить наличие следующих актуальных документов, устанавливающих:
- для всех процессов мониторинга и контроля потенциальных каналов утечки информации:
- правила разблокирования потенциальных каналов утечки информации, предусматривающие согласование возможности разблокирования со службой ИБ организации БС РФ и утверждение решения о разблокировании возможного канала утечки информации лицами из числа руководства организации БС РФ и (или) лицами, определенными руководством организации БС РФ;
- ответственность работников организации БС РФ за невыполнение установленных правил, направленных на предотвращение утечек информации;
- для процесса мониторинга, контроля, блокирования использования сервисов электронной почты при передаче информации на внешние адреса электронной почты:
- правила и ограничения на передачу работниками организации БС РФ информации на внешние адреса электронной почты с использованием сервисов электронной почты;
- перечень возможных протоколов и сервисов сетевого взаимодействия, используемых для осуществления передачи сообщений электронной почты;
- перечень форматов файлов данных, разрешенных к передаче в качестве вложений в сообщения электронной почты, и ограничения на размеры передаваемых файлов данных;
- для процесса мониторинга, контроля, блокирования использования беспроводных сетей и сети Интернет с использованием информационной инфраструктуры организации БС РФ, удаленного доступа к информационной инфраструктуре организации БС РФ с использованием сети Интернет, а также мониторинга публикации информации конфиденциального характера в сети Интернет, в том числе социальных сетях и форумах:
- правила использования ресурсов сети Интернет, включая перечень сайтов или типов сайтов, запрещенных к использованию;
- правила размещения средств вычислительной техники, предназначенной для использования ресурсов сети Интернет, в сегментах вычислительных сетей организации БС РФ;
- правила по ограничению (запрета) использования средств вычислительной техники, предназначенных для доступа к сети Интернет, для обработки информации конфиденциального характера;
- перечень разрешенных к использованию протоколов и сервисов сетевого взаимодействия и сетевых портов при осуществлении взаимодействия с сетью Интернет;
- правила использования беспроводных сетей в информационной инфраструктуре организации БС РФ;
- правила организации и осуществления удаленного доступа к информационной инфраструктуре организации БС РФ с использованием ресурсов сети Интернет;
- для процесса мониторинга, контроля, блокирования копирования информации на переносные носители информации:
- правила и ограничения (запрета) использования переносных носителей информации на средствах вычислительной техники, предназначенных для обработки информации конфиденциального характера;
- перечень типов разрешенных к использованию портов ввода-вывода информации;
- для процесса контроля использования средств факсимильной связи:
- правила и ограничения использования работниками организации БС РФ средств факсимильной связи;
- правила и ограничения (запрета) размещения средств факсимильной связи в помещениях организации БС РФ, в которых осуществляется обработка и (или) хранение информации конфиденциального характера;
- правила организации доступа в помещения, в которых размещены средства факсимильной связи;
- для процесса мониторинга и контроля печати и (или) копирования информации на бумажных носителях:
- правила и ограничения использования работниками организации БС РФ устройств печати и копирования информации на бумажных носителях для печати и (или) копирования информации конфиденциального характера;
- правила размещения устройств печати и копирования информации на бумажных носителях, в сегментах вычислительных сетей организации БС РФ, предназначенных для обработки информации конфиденциального характера;
- правила организации доступа в помещения, в которых размещены устройства печати и копирования информации на бумажных носителях;
- для процесса контроля (блокирования) возможности использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации БС РФ:
- правила использования переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;
- требования к хранению (шифрованию) информации конфиденциального характера на переносных носителях информации, используемых за пределами информационной инфраструктуры организации БС РФ;
- требования к переносным носителям информации, ограничивающие техническую возможность их использования за пределами информационной инфраструктуры организации БС РФ;
- для процесса блокирования возможности доступа к информации конфиденциального характера на средствах вычислительной техники за пределами информационной инфраструктуры организации БС РФ:
- правила и ограничения предоставления удаленного доступа к информационным активам, включая правила размещения (публикации) информационных активов в отдельных сегментах вычислительных сетей организации БС РФ, используемых для осуществления удаленного доступа;
- правила и ограничения использования работниками организации БС РФ средств вычислительной техники за пределами информационной инфраструктуры организации БС РФ;
- требования к хранению (шифрованию) информации конфиденциального характера на средствах вычислительной техники, используемых за пределами информационной инфраструктуры организации БС РФ;
- для процесса контроля передачи (выноса) средств вычислительной техники за пределы организации БС РФ:
- правила подготовки средств вычислительной техники, в том числе правила гарантированного удаления информации, перед передачей (выносом) средств вычислительной техники;
- для процесса контроля физического доступа с целью предотвращения визуального и слухового ознакомления с информацией:
- правила организации доступа в помещения, в которых осуществляется обработка информации конфиденциального характера;
- требования к применяемым техническим и (или) организационным мерам, ограничивающие доступ в помещения, в которых осуществляется обработка информации конфиденциального характера.
Внутренние документы, регламентирующие выполнение процессов мониторинга и контроля потенциальных каналов утечки информации, рекомендуется устанавливать организационным актом (приказом, распоряжением) организации БС РФ. Данные документы должны содержать описание полномочий работников служб ИБ организаций БС РФ по контролю за их реализацией при проведении мониторинга и контроля потенциальных каналов утечки информации.
10.4. В части обеспечения необходимой и достаточной автоматизации процессов мониторинга и контроля потенциальных каналов утечки информации организации БС РФ рекомендуются:
- реализация автоматизированного протоколирования и (или) блокирования передачи информации на основе контентного анализа передаваемой (переносимой) информации для следующих информационных потоков и потенциальных каналов утечки информации:
- передача информации конфиденциального характера на внешние адреса электронной почты;
- передача информации конфиденциального характера в сеть Интернет, в том числе с использованием информационной инфраструктуры организации БС РФ;
- печать информации конфиденциального характера;
- копирование информации конфиденциального характера на переносные носители информации;
- реализация автоматизированного протоколирования и (или) блокирования передачи информации на основе контентного анализа информации:
- на границе контролируемой информационной инфраструктуры организации БС РФ;
- на средствах вычислительной техники, используемых за пределами информационной инфраструктуры организации БС РФ, имеющих непосредственный доступ к сети Интернет;
- на средствах вычислительной техники, предназначенных для обработки информации конфиденциального характера, используемых для ее печати;
- на средствах вычислительной техники с разблокированными портами ввода (вывода) информации, позволяющими осуществить копирование информации на переносные носители информации;
- осуществляемого с использованием технологии цифрового отпечатка документа и технологии нахождения ключевых слов;
- применение централизованного управления техническими средствами блокирования и (или) протоколирования передачи информации на основе ее контентного анализа, предусматривающего:
- централизованное установление политик контентного анализа, правил блокирования и протоколирования передачи информации;
- обеспечение выполнений функций блокирования и (или) протоколирования в режиме "offline" в условиях отсутствия постоянного сетевого взаимодействия с серверами управления;
- централизованный сбор протоколов работы технических средств, связанных с выполнением функций по блокированию и (или) протоколированию передачи информации;
- реализация для процесса мониторинга, контроля, блокирования использования сервисов электронной почты при передаче информации на внешние адреса электронной почты:
- контентного анализа передаваемой информации по протоколам исходящего почтового обмена;
- ведение единого архива электронных сообщений с архивным доступом на срок не менее 1 года и оперативным доступом на срок не менее 3 месяцев;
- ограничений на перечень протоколов сетевого взаимодействия, используемых для осуществления передачи сообщений электронной почты;
- ограничений на перечень форматов файлов данных, разрешенных к передаче в качестве вложений в сообщения электронной почты, и ограничения на размеры передаваемых файлов данных;
- реализация для процесса мониторинга, контроля, блокирования использования беспроводных сетей и сети Интернет с использованием информационной инфраструктуры организации БС РФ, удаленного доступа к информационной инфраструктуре организации БС РФ с использованием сети Интернет, а также мониторинга публикации информации конфиденциального характера в сети Интернет, в том числе социальных сетей и форумов:
- контентного анализа передаваемой информации;
- автоматической классификации ресурсов сети Интернет с целью блокировки доступа к сайтам или типам сайтов, запрещенных к использованию в соответствии с установленными правилами;
- ограничений на перечень протоколов сетевого взаимодействия и сетевых портов, используемых при осуществлении взаимодействия с сетью Интернет;
- мониторинга общедоступных ресурсов сети Интернет с целью выявления публикации информации конфиденциального характера и (или) использования сервисов мониторинга общедоступных ресурсов сети Интернет, предоставляемых сторонними организациями;
- сбор протоколов сеансов удаленного доступа к информационной инфраструктуре организации БС РФ с использованием сети Интернет;
- сбор протоколов работы технических средств информационной инфраструктуры организации БС РФ, обеспечивающих функционирование беспроводных сетей;
- реализация для процесса мониторинга, контроля, блокирования копирования информации на переносные носители информации:
- контентного анализа информации, копируемой на отчуждаемые носители информации;
- блокирование не разрешенных к использованию портов ввода-вывода информации;
- блокирование возможности использования незарегистрированных (не разрешенных к использованию) переносных носителей информации;
- реализация для процесса мониторинга и контроля печати и (или) копирование информации на бумажных носителях:
- контентного анализа информации, передаваемой на печать;
- протоколирование фактов отправки информации на печать;
- использования специализированных многофункциональных устройств печати с возможностью получения результатов выполнения задания на печать по паролю и (или) персональной карточке доступа;
- реализация для процесса контроля (блокирования) возможности использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации БС РФ:
- шифрования информации конфиденциального характера на съемных и переносных носителях информации;
- обеспечения технической невозможности использования съемных и переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;
- реализация для процесса блокирования возможности доступа к информации конфиденциального характера на средствах вычислительной техники за пределами информационной инфраструктуры организации БС РФ:
- шифрование информации конфиденциального характера на средствах вычислительной техники, используемых за пределами информационной инфраструктуры организации БС РФ;
- централизованное управление и мониторинг использования средств вычислительной техники (мобильных устройств) с применением подсистемы централизованного управления и мониторинга мобильных устройств (Mobile Device Management, MDM <1>), реализующей: возможность удаленного уничтожения информации конфиденциального характера; уничтожение данных при попытках удаления программных компонентов MDM, уничтожение данных после ряда последовательных неудачных попыток аутентификации на мобильном устройстве;
--------------------------------
<1> Например, XenMobile, Mobilelron, SAP Afaria, IBM Endpoint Manager.
- реализация в рамках процесса мониторинга и анализа действий возможных внутренних нарушителей автоматического выполнения правил фильтрации, агрегации и корреляции событий ИБ, связанных с указанными действиями, свидетельствующих о наличии приготовления к реализации утечки информации, в том числе:
- нетипичных действий возможных внутренних нарушителей;
- действий возможных внутренних нарушителей, направленных на доступ к определенной (конкретной) информации конфиденциального характера:
- действий возможных внутренних нарушителей по копированию на переносные носители информации или передаче с использованием сервисов электронной почты значительного объема информации конфиденциального характера.
10.5. В части обеспечения программ выполнения по обучению и повышению осведомленности работников организации БС РФ по предотвращению утечки информации конфиденциального характера организации БС РФ рекомендуется:
- своевременно осуществлять информирование работников организации БС РФ об установленных в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций правилах, запретах и ограничениях при обработке информации конфиденциального характера, применимых к их деятельности;
- своевременно осуществлять информирование работников об установленной ответственности за несоблюдение установленных правил предотвращения утечек информации;
- при необходимости информировать работников организации БС РФ о зафиксированных случаях нарушения правил предотвращения утечек информации и принятых дисциплинарных мерах ответственности.
10.6. В части обеспечения контроля выполнения процессов мониторинга и контроля потенциальных каналов утечки информации службе ИБ организации БС РФ рекомендуется:
- осуществлять автоматизированный контроль включения в область действия процессов мониторинга и контроля потенциальных каналов утечки информации всех учтенных объектов среды информационных активов информации конфиденциального характера;
- участвовать в разработке и согласовывать внутренние документы, регламентирующие выполнение процессов мониторинга и контроля потенциальных каналов утечки информации, разрабатываемые в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций;
- осуществлять периодический контроль реализации организационных мер предотвращения утечек информации, применяемых в соответствии с внутренними документами, разрабатываемыми в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций;
- осуществлять регулярный автоматизированный контроль эксплуатации и использования средств автоматизации, применяемых в соответствии с рекомендациями пункта 10.4 настоящих рекомендаций;
- осуществлять непрерывный мониторинг информационных потоков, реализуемый с использованием средств автоматизации, реализующих контентный анализ, применяемых в соответствии с рекомендациями пункта 10.4 настоящих рекомендаций;
- осуществлять мониторинг общедоступных ресурсов сети Интернет с целью выявления публикаций информации конфиденциального характера.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей