Куда я попал?
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016
Предотвращение утечек информации
Р. 10 п. 2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
10.2. В части обеспечения необходимой и достаточной области действия процессов мониторинга и контроля потенциальных каналов утечки информации организации БС РФ рекомендуется:
– обеспечить мониторинг и контроль использования сервисов электронной почты (в том числе с использованием web-интерфейса) при передаче информации на внешние адреса электронной почты для всего трафика электронной почты и для всех учетных записей сервисов электронной почты;
– обеспечить мониторинг и контроль использования сети Интернет для всех средств вычислительной техники, расположенных в группах сегментов вычислительной сети организации БС РФ, предназначенных для обработки и (или) хранения информации конфиденциального характера, и для всех учетных записей, используемых для осуществления доступа к сети Интернет;
– определить перечень ресурсов сети Интернет, на которых высока вероятность публикации информации конфиденциального характера:- ресурсы “блогосферы”;
- “банковские” сайты: официальные сайты кредитных организаций, сайты, на которых реализована возможность ведения дискуссий (форумов);
- социальные сети;
- ресурсы для хранения файлов данных;
– обеспечить мониторинг содержания указанных выше ресурсов сети Интернет с целью возможной публикации информации конфиденциального характера;
– обеспечить мониторинг, контроль, блокирование копирования информации на переносные носители информации для всех средств вычислительной техники, мобильных устройств независимо от следующих факторов:- типа и наличия подключения средства вычислительной техники, мобильного устройства к вычислительной сети организации БС РФ;
- осуществления обработки информации конфиденциального характера на средстве вычислительной техники, мобильных устройствах;
– обеспечить мониторинг и контроль печати и (или) копирования информации на бумажных носителях для сегментов вычислительной сети организации БС РФ, предназначенных для обработки и (или) хранения информации конфиденциального характера, и для всех учетных записей, используемых для осуществления печати информации;
– обеспечить контроль (блокирование) возможности использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации БС РФ для всех переносных носителей информации вне зависимости от их использования для обработки и (или) хранения информации конфиденциального характера;
– обеспечить блокирование возможности доступа к информации конфиденциального характера для всех средств вычислительной техники, используемых за пределами информационной инфраструктуры организации БС РФ, вне зависимости от их использования для обработки и (или) хранения информации конфиденциального характера и всех информационных активов организации БС РФ, к которым осуществляется удаленный доступ;
– определить перечень действий возможных внутренних нарушителей, связанных с доступом к информационным активам конфиденциальной информации, подвергаемых мониторингу и анализу для цели выявления потенциальных утечек информации. При этом рекомендуется подвергать мониторингу и анализу следующие действия:- идентификация, аутентификация и авторизация возможных внутренних нарушителей;
- действия с информацией конфиденциального характера, в том числе чтение, изменение, копирование, удаление информации конфиденциального характера;
- печать информации конфиденциального характера;
– обеспечить мониторинг и анализ всех действий возможных внутренних нарушителей, связанных с доступом к информационным активам конфиденциальной информации, согласно определенному перечню для всех учтенных информационных активов;
– обеспечить контроль передачи (выноса) всех средств вычислительной техники независимо от осуществления обработки и (или) хранения информации конфиденциального характера;
– обеспечить контроль физического доступа с целью предотвращения визуального и слухового ознакомления с информацией во все помещения, в которых осуществляется обработка и (или) хранение информации конфиденциального характера.
Режим блокирования возможности использования потенциальных каналов утечки информации или режим их непрерывного мониторинга и контроля рекомендуется определять в зависимости от правил доступа для различных категорий потенциальных внутренних нарушителей, рекомендации к содержанию которых установлены в приложении В к настоящему документу.
Применение режима блокирования возможности использования потенциальных каналов утечки информации не отменяет целесообразность выполнения регулярного контроля со стороны службы информационной безопасности организации БС РФ, направленного на корректность реализации процессов мониторинга, и контроля потенциальных каналов утечки информации.
Похожие требования
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.33
А.5.33 Защита записей
Записи должны быть защищены от потери, уничтожения, подделки, несанкционированных доступа и опубликования.
Записи должны быть защищены от потери, уничтожения, подделки, несанкционированных доступа и опубликования.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
1.2.3.2.
Мероприятия по снижению рисков КБ учитываются при формировании стратегических инициатив
1.2.4.3.
Мероприятия по предотвращению недопустимых событий / ключевых рисков КБ учитываются при формировании стратегических инициатив
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.33
А.5.33 Protection of records
Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release.
Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.