10.3. В части разработки внутренних документов, регламентирующих выполнение процессов мониторинга и контроля потенциальных каналов утечки информации, рекомендуется обеспечить наличие следующих актуальных документов, устанавливающих:
– для всех процессов мониторинга и контроля потенциальных каналов утечки информации:
- правила разблокирования потенциальных каналов утечки информации, предусматривающие согласование возможности разблокирования со службой ИБ организации БС РФ и утверждение решения о разблокировании возможного канала утечки информации лицами из числа руководства организации БС РФ и (или) лицами, определенными руководством организации БС РФ;
- ответственность работников организации БС РФ за невыполнение установленных правил, направленных на предотвращение утечек информации;
– для процесса мониторинга, контроля, блокирования использования сервисов электронной почты при передаче информации на внешние адреса электронной почты:
- правила и ограничения на передачу работниками организации БС РФ информации на внешние адреса электронной почты с использованием сервисов электронной почты;
- перечень возможных протоколов и сервисов сетевого взаимодействия, используемых для осуществления передачи сообщений электронной почты;
- перечень форматов файлов данных, разрешенных к передаче в качестве вложений в сообщения электронной почты, и ограничения на размеры передаваемых файлов данных;
– для процесса мониторинга, контроля, блокирования использования беспроводных сетей и сети Интернет с использованием информационной инфраструктуры организации БС РФ, удаленного доступа к информационной инфраструктуре организации БС РФ с использованием сети Интернет, а также мониторинга публикации информации конфиденциального характера в сети Интернет, в том числе социальных сетях и форумах:
- правила использования ресурсов сети Интернет, включая перечень сайтов или типов сайтов, запрещенных к использованию;
- правила размещения средств вычислительной техники, предназначенной для использования ресурсов сети Интернет, в сегментах вычислительных сетей организации БС РФ;
- правила по ограничению (запрета) использования средств вычислительной техники, предназначенных для доступа к сети Интернет, для обработки информации конфиденциального характера;
- перечень разрешенных к использованию протоколов и сервисов сетевого взаимодействия и сетевых портов при осуществлении взаимодействия с сетью Интернет;
- правила использования беспроводных сетей в информационной инфраструктуре организации БС РФ;
- правила организации и осуществления удаленного доступа к информационной инфраструктуре организации БС РФ с использованием ресурсов сети Интернет;
– для процесса мониторинга, контроля, блокирования копирования информации на переносные носители информации:
- правила и ограничения (запрета) использования переносных носителей информации на средствах вычислительной техники, предназначенных для обработки информации конфиденциального характера;
- перечень типов разрешенных к использованию портов ввода-вывода информации;
– для процесса контроля использования средств факсимильной связи:
- правила и ограничения использования работниками организации БС РФ средств факсимильной связи;
- правила и ограничения (запрета) размещения средств факсимильной связи в помещениях организации БС РФ, в которых осуществляется обработка и (или) хранение информации конфиденциального характера;
- правила организации доступа в помещения, в которых размещены средства факсимильной связи;
– для процесса мониторинга и контроля печати и (или) копирования информации на бумажных носителях:
- правила и ограничения использования работниками организации БС РФ устройств печати и копирования информации на бумажных носителях для печати и (или) копирования информации конфиденциального характера;
- правила размещения устройств печати и копирования информации на бумажных носителях, в сегментах вычислительных сетей организации БС РФ, предназначенных для обработки информации конфиденциального характера;
- правила организации доступа в помещения, в которых размещены устройства печати и копирования информации на бумажных носителях;
– для процесса контроля (блокирования) возможности использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации БС РФ:
- правила использования переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;
- требования к хранению (шифрованию) информации конфиденциального характера на переносных носителях информации, используемых за пределами информационной инфраструктуры организации БС РФ;
- требования к переносным носителям информации, ограничивающие техническую возможность их использования за пределами информационной инфраструктуры организации БС РФ;
– для процесса блокирования возможности доступа к информации конфиденциального характера на средствах вычислительной техники за пределами информационной инфраструктуры организации БС РФ:
- правила и ограничения предоставления удаленного доступа к информационным активам, включая правила размещения (публикации) информационных активов в отдельных сегментах вычислительных сетей организации БС РФ, используемых для осуществления удаленного доступа;
- правила и ограничения использования работниками организации БС РФ средств вычислительной техники за пределами информационной инфраструктуры организации БС РФ;
- требования к хранению (шифрованию) информации конфиденциального характера на средствах вычислительной техники, используемых за пределами информационной инфраструктуры организации БС РФ;
– для процесса контроля передачи (выноса) средств вычислительной техники за пределы организации БС РФ:
- правила подготовки средств вычислительной техники, в том числе правила гарантированного удаления информации, перед передачей (выносом) средств вычислительной техники;
– для процесса контроля физического доступа с целью предотвращения визуального и слухового ознакомления с информацией:
- правила организации доступа в помещения, в которых осуществляется обработка информации конфиденциального характера;
- требования к применяемым техническим и (или) организационным мерам, ограничивающие доступ в помещения, в которых осуществляется обработка информации конфиденциального характера.
Внутренние документы, регламентирующие выполнение процессов мониторинга и контроля потенциальных каналов утечки информации, рекомендуется устанавливать организационным актом (приказом, распоряжением) организации БС РФ. Данные документы должны содержать описание полномочий работников служб ИБ организаций БС РФ по контролю за их реализацией при проведении мониторинга и контроля потенциальных каналов утечки информации.
