четверг, 17 декабря 2009 г.

Новые рекомендации Банка России по методике оценки рисков нарушения информационной безопасности

Распоряжением Банка России от 11 ноября 2009 года № Р-1190 приняты рекомендации в области стандартизации РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности». Рекомендации вводятся в действие с 1 января 2010 года.

Ряд положения рекомендаций меня заинтересовал. Начну с раздела «термины», - в последнее время это, как правило, самый спорный раздел нормативных актов.

3.4. Информационный актив: информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.

Если сравнить данное определение с делопроизводческой терминологией, то получается интересный вывод: в качестве информационных активов Банк России рассматривает документы, и только их!

Порадовал п. 4.5 о необходимости «формирования перечней типов объектов среды», в котором, в качестве одного из типов объекта, указаны «носители информации, в том числе бумажные носители». Это, наверное, первый случай, когда специалисты ИБ согласились с тем, что бумажные носители также подпадают в сферу их ответственности.


Ещё мне показалось интересным Приложение 1 «Рекомендуемый перечень классов, основных источников угроз ИБ и их описание». Набор источников угроз весьма широк, но моё внимание привлекли те пункты, которые, с моей точки зрения, непосредственно относятся к вопросам управления документами в организации:

Источник угрозы ИБ
Описание
Класс 3. Источники угроз ИБ, связанные с деятельностью
поставщиков/провайдеров/партнеров
Разработка и использование некачественной документации
Некачественное выполнение документированного описания технологических процессов обработки, хранения, передачи данных, руководств для персонала, участвующего в этих технологических процессах, а также описания средств обеспечения ИБ и руководств по их использованию
Класс 4. Источники угроз ИБ, связанные со сбоями, отказами, разрушениями/повреждениями программных и технических средств
Нарушения функциональности архивной системы
Нарушение конфиденциальности и целостности архивных данных и/или непредоставление услуг архивной системой (нарушение доступности) вследствие случайных ошибок пользователей или неправильного управления архивной системой, а также вследствие физических воздействий на компоненты архивной системы
Класс 6. Источники угроз ИБ, связанные с деятельностью внешних нарушителей ИБ
Неконтролируемое уничтожение информационного актива
Неумышленное уничтожение информационных активов. Возможные причины: сбои оборудования, природные факторы и техногенные катастрофы. Возможные последствия: прямой ущерб организации
Класс 7. Источники угроз ИБ, связанные с несоответствием требованиям надзорных и регулирующих органов, действующему законодательству
Несоответствие внутренних документов действующему законодательству
Несоответствие деятельности может привести к административным и уголовным санкциям со стороны судебных, надзорных и регулирующих органов в отношении должностных лиц подразделения, вызвать остановку отдельных видов деятельности
Изменчивость и несогласованность требований надзорных и регулирующих органов, вышестоящих инстанций
Непостоянство, различия и коллизии в содержании требований и/или порядке их выполнения способны дезорганизовать деятельность подразделения или его отдельных служб, снизить ее эффективность и качество, а при определенных обстоятельствах - затруднить ее осуществление. Способствует"размыванию" или пересечению зон ответственности исполнителей и служб, манипуляции со стороны ответственных лиц и служб своими правами и обязанностями в ущерб общей деятельности. Приводит к перераспределению ресурсов в пользу той деятельности (зачастую не основной), за несоблюдение требований к которой наказание наиболее ощутимо для организации (должностного лица)

Радует, что постепенно вопросы соответствия законодательно-нормативным требованиям и организации надлежащего хранения информации на всех видах носителей постепенно находят своё законное место среди других вопросов обеспечения информационной безопасности организаций (пусть пока только кредитных).

Эти положения специалистам в области управления документацией необходимо обязательно использовать для того, чтобы увязать собственную деятельность со столь важным и, самое главное, хорошо финансируемым направлением деятельности организации.

Текст документа доступен по адресу: http://www.consultant.ru/online/base/?req=doc;base=LAW;n=94789

Комментариев нет:

Отправить комментарий