Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016

8.1. Организации БС РФ рекомендуется рассматривать следующие категории возможных внутренних нарушителей:
– Категория А. Пользователи АБС и приложений – работники организации БС РФ, обладающие возможностями по доступу к информации конфиденциального характера в рамках реализации своих служебных обязанностей. Категорию пользователей АБС целесообразно разделять на следующие группы по уровню доверия: 

– Категория Б. Эксплуатационный персонал – лица, в том числе не являющиеся работниками организации БС РФ, обладающие возможностями по доступу к информации конфиденциального характера при осуществлении задач, связанных с эксплуатацией и (или) администрированием информационной инфраструктуры организации БС РФ, АБС и приложений организации БС РФ;
– Категория В. Технический и вспомогательный персонал – лица, в том числе не являющиеся работниками организации БС РФ, не обладающие полномочиями по доступу к информации конфиденциального характера, но осуществляющие непосредственный физический доступ в помещения, в которых осуществляется обработка такой информации;
– Категория Г. Лица, не являющиеся работниками организации БС РФ, обладающие доступом к информации конфиденциального характера на основании договорных отношений (например, аудиторы, партнеры и подрядчики), требований законодательства Российской Федерации (например, органы государственной власти) и (или) судебного решения. 

8.2. Организации БС РФ рекомендуется рассматривать следующие потенциальные каналы утечки информации: 
– передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением электронной почты; 
– передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением сервисов сети Интернет и беспроводных сетей, в том числе социальных сетей и форумов; 
– размещение информации конфиденциального характера на объекте информационной инфраструктуры организации БС РФ, не предназначенном для ее хранения; 
– удаленный доступ к информационной инфраструктуре организации БС РФ с использованием сети Интернет; – копирование информации на переносные носители информации; 
– передача информации за пределы объектов организации БС РФ с использованием факсимильной, телефонной и (или) телетайпной связи; 
– печать и (или) копирование информации на бумажные носители, в том числе с последующим их выносом за пределы организации БС РФ и (или) передачей информации за пределы объектов организации БС РФ с использованием факсимильной связи; 
– использование и (или) утеря переносных носителей информации за пределами информационной инфраструктуры организации БС РФ; 
– использование и (или) утеря переносных (портативных) средств вычислительной техники за пределами информационной инфраструктуры организации БС РФ; 
– передача (вынос) средств вычислительной техники за пределы организации БС РФ, в том числе для технического обслуживания, ремонта и (или) утилизации; 
– визуальное (включая фотографирование и видеосъемку) и слуховое (без использования специализированных технических средств) ознакомление с информацией. 

8.3. Организации БС РФ рекомендуется организовать обработку информации конфиденциального характера возможными внутренними нарушителями категории Г с использованием только средств вычислительной техники, включенных в область действия процессов мониторинга и контроля потенциальных  каналов утечки информации, рекомендации к составу которых установлены в разделе 9 настоящих рекомендаций. 

8.4. Организации БС РФ рекомендуется определить перечень угроз утечки информации конфиденциального характера, в которой необходимо установить потенциальные каналы утечки информации для каждого типа средств вычислительной техники – объекта среды информационных активов, в том числе из числа указанных в пункте 7.3 настоящих рекомендаций, и каждой категории возможных внутренних нарушителей. В качестве перечня угроз утечки информации конфиденциального характера рекомендуется использовать следующий: