Основные виды угроз объектам информационной безопасности

6.1 Определение и прогнозирование возможных угроз и степени их опасности необходимы для обоснования, выбора и реализации защитных мероприятий. Комплексный подход к проблеме защиты информации необходимо проводить с учётом двух факторов: предполагаемой вероятности возникновения угрозы и возможного ущерба от её осуществления. Объективность оценки достигается проведением детального аудита функционирования Банка. Аудит проводится собственными силами или с привлечением сторонних организаций.

6.2 Угрозы можно разделить на внешние и внутренние. При этом последние могут представлять особую опасность. Угрозы объектам информационной безопасности проявляются в виде:

- разглашения конфиденциальной информации;

- утечки конфиденциальной информации через технические средства различного назначения;

- несанкционированного доступа к охраняемым информационным ресурсам;

- несанкционированного уничтожения и модификации информационных ресурсов;

- нарушения работы автоматизированных систем и сетей.

6.3 Источниками угроз могут быть:

- некомпетентность или халатность пользователей или персонала;

- злой умысел, независимо от того, внешним или внутренним относительно систем является источник угрозы;

- умышленное проникновение сторонних лиц в помещения, к аппаратуре и оборудованию;

- случайные события и стихийные бедствия.

6.4 Ситуация, возникающая в результате воздействия какой-либо угрозы, называется кризисной. Кризисные ситуации могу быть преднамеренными и непреднамеренными и иметь различную степень тяжести в зависимости от вызвавших их факторов риска, степени их воздействия, уязвимого места, категории информации. Кризисные ситуации могут иметь следующие степени тяжести:

угрожающая - воздействие на объект информационной безопасности, которое может привести к полному выходу его из строя, а также уничтожение, модификацию или компрометацию (утечку) наиболее важной для Банка информации. Для устранения угрожающей ситуации требуется, как правило, полная или частичная замена оборудования, программ и данных.

серьезная - воздействие на объект информационной безопасности, которое может привести к выходу из строя отдельных компонентов, потере производительности, а также осуществлению несанкционированного доступа (НСД) к программам и данным. В этом случае система сохраняет работоспособность. Для устранения серьезной ситуации требуется, как правило, частичная замена (восстановление) оборудования, программ и данных, корректировка параметров системы, проведение организационно-технических мероприятий.

обычная - попытка воздействия на объект информационной безопасности, не наносящая ощутимого ущерба, но требующая реакции и расследования. Для устранения обычной ситуации, как правило, требуется корректировка параметров защиты.

7. ПОРЯДОК ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

7.1 Работа по обеспечению информационной безопасности в Банке включает следующие этапы:

- определение информации, содержащей коммерческую тайну, и сроков ее действия;

- категорирование помещений по степени важности обрабатываемой в них информации;

- определение категории информации, обрабатываемой каждой отдельной системой;

- описание системы, определение факторов риска, определение уязвимых мест систем;

- выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;

- выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска.

7.2Отнесение информации к коммерческой тайне - установление ограничений на распространение информации, требующей защиты. Среди сведений, относимых к категории коммерческой тайны, применительно к Банку можно выделить: деловую информацию о деятельности Банка, финансовую документацию, различные сведения о клиентах, партнерах, сметы, отчёты, перспективные планы развития, аналитические материалы, исследования и т.п.

Отнесение информации к коммерческой тайне осуществляется в соответствии с принципами законности, обоснованности и своевременности. Обоснованность отнесения информации к коммерческой тайне заключается в установлении путем экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно - важных интересов Банка, вероятных финансовых и иных последствий нарушения режима соблюдения коммерческой тайны. Своевременность отнесения сведений к коммерческой тайне заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Чтобы отнесение информации к категории коммерческой тайны приобрело законную силу, оно должно быть оформлено в виде специального «Перечня сведений, составляющих коммерческую тайну АКЦИОНЕРНОГО БАНКА (Открытое Акционерное общество) (далее Перечень), который разрабатывается (уточняется не реже одного раза в год) постоянно действующей Комиссией Банка по защите коммерческой тайны, назначаемой приказом Председателя Правления Банка.

Перечень разрабатывается путем экспертных оценок на основании предложений подразделений Банка и с учетом действующего законодательства. В Перечне указываются категории сведений, их степень конфиденциальности, срок действия ограничений на доступ к ним. Перечень утверждается Председателем Правления Банка.

Степень конфиденциальности информации, составляющей коммерческую тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности Банка вследствие её распространения. В соответствии с этим среди информации, относимой к коммерческой тайне, выделяются две группы: информация общего характера и информация, доступ к которой должен носить исключительный характер. Такой информации отдельно присваивается гриф «Конфиденциально». Присвоение грифа «Конфиденциально» или его отмена принадлежит Председателю Правления Банка.

7.3Категорирование помещений производится по степени важности обрабатываемой в них информации. В зависимости от категории обрабатываемой информации принимаются соответствующие меры по защите помещений.

7.4 Для каждой информационно-вычислительной системы Банка, а в отдельных случаях для персональных компьютеров (ПК), определяется категория обрабатываемой в ней информации с учетом «Перечня сведений, составляющих коммерческую тайну Банка». В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее защите в системе.

7.5 Основная задача этапа описания систем - описание защищаемого периметра, т.е. определение средств и непосредственных данных, подлежащих защите. В описание системы включаются:

- цели и задачи системы;

- пользователи и обслуживающий персонал;

- способы взаимодействия с другими системами как внутри Банка, так и с внешними объектами;

- физическую топологию сети в зданиях Банка;

- логическую топологию сети Банка, ее основные характеристики;

- перечень используемого оборудования, включая коммуникационное, периферийное, серверы, ПК, оборудование, их основные характеристики;

- перечень используемого программного обеспечения (системное, прикладное, коммуникационное) и их характеристики.

Описание системы должно проводиться с учетом организационной структуры подразделений, которые будут ее эксплуатировать.

7.6Факторы риска — возможные ситуации, возникновение которых может расцениваться как угроза, и способные нанести ущерб материального или нематериального характера. Фактор риска оказывает воздействие на определенные участки объектов информационной безопасности и может учитываться или не учитываться в зависимости от степени воздействия на жизнедеятельность Банка. Основными факторами риска являются:

- стихийные бедствия или чрезвычайные ситуации, приводящие к полному или частичному выходу из строя технических средств систем;

- несанкционированный доступ к серверам, элементам аппаратуры и оборудованию в серверных комнатах;

- неисправности и нарушения в функционировании программных и технических средств, отказ в санкционировании доступа к оборудованию, программам и данным, вызванные случайными сбоями или отказами;

- несанкционированные проникновения в информационно-вычислительную систему, в том числе по внешним каналам связи;

- мошенничество или умысел, а также некомпетентность или халатность, которые приводят к нарушению целостности или доступности информации;

- нарушение конфиденциальности отдельных данных;

- несанкционированный доступ к системным и прикладным данным и программам, а также ресурсам систем;

- повторное использование внешних и внутренних носителей информации для съема информации;

- нарушение конфиденциальности массивов данных.

Перечень факторов риска может уточняться.

7.7Уязвимые места - элементы технических средств, программ и данных, которые могут быть подвергнуты воздействию факторов риска. Уязвимые места необходимо защищать и контролировать. К уязвимым местам объектов информационной безопасности относятся:

- все технические средства – необходимо защищать от стихийных бедствий, диверсий, несанкционированного доступа (НСД), сбоев и отказов;

- все автоматизированные рабочие места (АРМ) и терминалы - необходимо защищать от НСД;

- все системное программное обеспечение и системные ресурсы, обеспечивающие функционирование автоматизированных систем и сетей Банка - необходимо защищать от НСД, приводящего к нарушению целостности и доступности;

- опорная сеть Банка и передаваемые по ней данные – необходимо защищать от нарушения целостности или доступности и НСД;

- конфиденциальная и строго конфиденциальная информация - необходимо защищать от нарушения конфиденциальности;

- ресурсы и приложения систем, внутренние и внешние носители информации в системах, обрабатывающих конфиденциальную информацию - необходимо защищать от повторного использования («сборки мусора»);

- помещения, слаботочное оборудование, вычислительная техника подсистем, на которых обрабатывается конфиденциальная информация - необходимо защищать от перехвата информации по каналам электромагнитного излучения и закладных устройств.

Перечень уязвимых мест системы Банка может уточняться. Для каждого конкретного объекта информационной безопасности осуществляется выбор конкретных средств и методов защиты, контроля и управления с учетом уязвимых мест и факторов риска.