Лабораторная работа: Конфиденциальная информация
Проверка наличия документов, магнитных носителей информации и дел с пометкой “Для служебного пользования” проводится один раз в год комиссией, назначаемой начальником управления. Результаты проверки оформляются актом. Проверка наличия документов и порядка обращения с ними при необходимости может проводиться соответствующими сотрудниками Управления безопасности и защиты информации, а также лицом, которому поручен прием и учет документации ограниченного распространения.
В случае невыполнения требований настоящего документа и нанесения Банку, его клиентам и корреспондентам материального или иного ущерба, к получающей стороне (сотруднику, организации) предъявляются требования о его возмещении в соответствии с действующим законодательством.
За разглашение (несанкционированную передачу третьим лицам и т.п.) сведений, содержащих персональные данные или составляющих коммерческую или банковскую тайну должностные лица (сотрудники), клиенты и корреспонденты ОРГАНИЗАЦИИ несут уголовную (ст. 183 УК РФ), гражданскую (ст. 139, 857 ГК РФ) или дисциплинарную ответственность в порядке, определяемом действующим законодательством и внутренними нормативными актами ОРГАНИЗАЦИИ.
Получающая сторона несет ответственность за:
¨ разглашение конфиденциальных сведений (составляющих банковскую тайну, коммерческую тайну или персональных данных) вследствие их неправильного хранения или использования;
¨ не пресечение разглашения или неправомерного использования конфиденциальных сведений, после обнаружения факта разглашения.
За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой ОРГАНИЗАЦИЕЙ информации, сотрудники ОРГАНИЗАЦИИ несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.
4. ПЛАН ОБЕСПЕЧЕНИЯ НЕПРИРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ определяет основные меры, методы и средства сохранения (поддержания) работоспособности АС при возникновении различных кризисных ситуаций, а также способы и средства восстановления информации и процессов ее обработки в случае нарушения работоспособности АС и ее основных компонентов. Кроме того, он описывает действия различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий и минимизации наносимого ущерба.
1.2. Классификация кризисных ситуаций. Ситуация, возникающая в результате нежелательного воздействия на АС, не предотвращенного средствами защиты, называется кризисной. Кризисная ситуация может возникнуть в результате злого умысла или случайно (в результате непреднамеренных действий, аварий, стихийных бедствий и т.п.).
Под умышленным нападением понимается кризисная ситуация, которая возникла в результате выполнения злоумышленниками в определенные моменты времени заранее обдуманных и спланированных действий.
Под случайной (непреднамеренной) кризисной ситуацией понимается такая кризисная ситуация, которая не была результатом заранее обдуманных действий и возникновение которой явилось результатом, объективных причин случайного характера, халатности, небрежности или случайного стечения обстоятельств.
По степени серьезности и размерам наносимого ущерба кризисные ситуации разделяются на следующие категории:
Угрожающая - приводящая к полному выходу АС из строя и ее неспособности выполнять далее свои функции, а также к уничтожению, блокированию, неправомерной модификации или компрометации наиболее важной информации;
Серьезная - приводящая к выходу из строя отдельных компонентов системы (частичной потере работоспособности), потере производительности, а также к нарушению целостности и конфиденциальности программ и данных в результате несанкционированного доступа.
Ситуации, возникающие в результате нежелательных воздействий, не наносящих ощутимого ущерба, но тем не менее требующие внимания и адекватной реакции (например, зафиксированные неудачные попытки проникновения или несанкционированного доступа к ресурсам системы) к критическим не относятся. Действия в случае возникновения таких ситуаций предусмотрены Планом защиты (в обязанностях персонала отдела защиты информации).
1.3. Источники информации о возникновении кризисной ситуации:
¨ пользователи, обнаружившие несоответствия Плану защиты или другие подозрительные изменения в работе или конфигурации системы или средств ее защиты в своей зоне ответственности;
¨ средства защиты, обнаружившие предусмотренную планом защиты кризисную ситуацию;
¨ системные журналы, в которых имеются записи, свидетельствующие о возникновении или возможности возникновения кризисной ситуации.
2. МЕРЫ ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
2.1. Непрерывность процесса функционирования АС и своевременность восстановления ее работоспособности достигается:
¨ проведением специальных организационных мероприятий и разработкой организационно-распорядительных документов по вопросам обеспечения НРВ вычислительного процесса;
¨ строгой регламентацией процесса обработки информации с применением ЭВМ и действий персонала системы, в том числе в кризисных ситуациях;
¨ назначением и подготовкой должностных лиц, отвечающих за организацию и осуществление практических мероприятий по обеспечению НРВ информации и вычислительного процесса;
¨ четким знанием и строгим соблюдением всеми должностными лицами, использующими средства вычислительной техники АС, требований руководящих документов по обеспечению НРВ;
¨ применением различных способов резервирования аппаратных ресурсов, эталонного копирования программных и страхового копирования информационных ресурсов системы;
¨ эффективным контролем за соблюдением требований по обеспечению НРВ должностными лицами и ответственным;
¨ постоянным поддержанием необходимого уровня защищенности компонентов системы, непрерывным управлением и административной поддержкой корректного применения средств защиты;
¨ проведением постоянного анализа эффективности принятых мер и применяемых способов и средств обеспечения НРВ, разработкой и реализацией предложений по их совершенствованию.