В банке при выработке единых подходов к организации внутренних проверок (в том числе, аудита информационной безопасности) необходимо иметь типовую программу проверок, описывающую содержание и порядок проверки. Ниже привожу типовую программу проверки ИБ филиала банка (скачать).
Типовая программа
проведения проверки филиала
с целью оценки
степени соответствия обеспечения ИБ филиала требованиям законодательства РФ
и внутренних регламентирующих документов в области информационной безопасности
и внутренних регламентирующих документов в области информационной безопасности
№
п/п |
Мероприятие
|
Описание
|
Регламентирующие документы
|
Срок исполнения
|
Ответственный за выполнение
сотрудник
|
||
1
|
2
|
3
|
4
|
||||
I этап.
Начало проверки
|
|||||||
1.1
|
Представление должностных лиц Банка, проводящих
проверку, руководству проверяемого филиала
|
-Служебное удостоверение;
-Приказ или распоряжение о проведении проверки филиала.
|
__.__.2015
|
||||
1.2
|
Вручение руководителю филиала или лицу,
которому уполномочено представлять интересы филиала при
проведении проверки, заверенной печатью копии приказа или
распоряжения
|
Заверенная копия приказа или распоряжения о
проведении проверки филиала.
|
__.__.2015
|
||||
II этап.
Проведение проверки соответствия уровня информационной безопасности филиала
нормативным правовым актам |
|||||||
2.1
|
Проверка соблюдения
требований, установленных законодательством Российской Федерации, в области
информационной безопасности банковской сферы, а также при обработке
персональных данных работников и клиентов филиала
|
Документы, подтверждающие принятие мер:
1)
Кадровая политика филиала;
2)
Должностные инструкции специалистов службы информационной безопасности
и подразделения информационных технологий филиала; должностные инструкции
лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;
3)
Положение о подразделении, осуществляющем функции по организации
защиты персональных данных;
4)
Приказы/распоряжения о назначении ответственных лиц филиала за
информационные ресурсы и системы филиала.
|
-Федеральный закон от
27.07.2006 №152-ФЗ “О персональных данных”;
-Постановление Правительства
РФ от 01.11.2012г. № 1119;
-Письмо ЦБ РФ от 14
марта 2014г. №42-Т “Об усилении контроля за рисками, возникающими у кредитных
организаций при использовании информации, содержащей персональные данные
граждан”;
-Приказ ФСБ от 10 июля
2014 №378 “Об утверждении состава и содержания организационных и технических
мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием
средств защиты информации, необходимых для выполнения установленных правительством
РФ требований к защите ПДн для каждого из уровней защищенности”.
-Политика Банка в
области обработки и защиты ПДн (общедоступная,
размещаемая на сайте Банка)
-Положение о работе с
персональными данными работников Банка;
-Приказы о назначении администраторов
информационных систем Банка (АБС, ДБО и др.).
|
__.__.2015
|
|||
2.2
|
Мониторинг программного обеспечения на рабочих
станциях и серверах филиала
|
Выявление фактов инсталляции запрещенного программного
обеспечения, не включенного в список стандартного, а также предположительно
не связанного с выполнением функциональных обязанностей сотрудников.
|
-Политика информационной безопасности Банка.
|
__.__.2015-__.__.2015
|
|||
2.3
|
Проверка состояния антивирусной защиты в филиале (включая
защиту серверов, рабочих станций, интернет-шлюза)
|
Аудит эффективности применяемых политик антивирусной защиты, защиты от
вторжений, превентивной защиты.
Анализ журналов систем антивирусной защиты.
Выявление рабочих станций и серверов, не снабженных средствами
антивирусной защиты.
|
-Письмо ЦБ РФ от 24 марта 2014г. №49-Т “О
рекомендациях по организации применения средств защиты от вредоносного кода
при осуществлении банковской деятельности”.
|
__.__.2015-__.__.2015
|
|||
2.4
|
Аудит групп локальных администраторов на рабочих
станциях и серверах филиала
|
Проверка административных прав доступа на рабочих станциях филиала с
целью выявления фактов присутствия учетных записей сотрудников в группе
локальных администраторов.
|
-Политика информационной безопасности Банка;
-другие документы Банка, регламентирующие правила контроля
идентификации и предоставления прав доступа.
|
__.__.2015-__.__.2015
|
|||
2.5
|
Аудит учетных записей пользователей в каталоге Active
Directory
|
Аудит состояния списка пользователей домена филиала
с целью обнаружения активных учетных записей уволенных сотрудников, тестовых
учетных записей, а также учетных записей с расширенными правами в домене.
|
-Политика информационной безопасности Банка;
-другие документы Банка, регламентирующие правила контроля
идентификации и предоставления прав доступа.
|
__.__.2015-__.__.2015
|
|||
2.6
|
Аудит парольной политики в корпоративной сети филиала
|
Аудит предустановленных правил парольной политики на
соответствие минимальным требованиям безопасности.
|
-Стандарт Банка России:
“Обеспечение информационной безопасности организаций банковской системы
Российской Федерации. Общие положения” (СТО БР ИББС-1.0-2014);
|
__.__.2015-__.__.2015
|
|||
2.7
|
Аудит доступа к съемным носителям информации
|
Аудит политик контроля доступа к съемным носителям и
внешним портам на рабочих станциях филиала.
|
-Политика информационной безопасности Банка;
-другие документы Банка, регламентирующие правила контроля
идентификации и предоставления прав доступа.
|
__.__.2015-__.__.2015
|
|||
2.8
|
Аудит сетевой инфраструктуры на наличие уязвимостей
|
Запуск программы-сканера с целью проведения сканирования
сети, рабочих станций и серверов филиала на предмет обнаружения возможных проблем
в системе безопасности. Анализ и обработка результатов.
|
__.__.2015-__.__.2015
|
||||
2.9
|
Аудит прав доступов сотрудников к сетевым ресурсам и
АБС
|
Аудит на соответствие прав доступа сотрудников
Заявкам на предоставление доступа к ресурсам БИС и АБС.
|
-Политика информационной безопасности Банка;
-другие документы Банка, регламентирующие правила контроля
идентификации и предоставления прав доступа.
|
__.__.2015-__.__.2015
|
|||
2.10
|
Контроль функционирования технических
средств и систем криптографической защиты информации, управление ключами
|
Соблюдение требований, изложенных в эксплуатационной документации к
НСД и СКЗИ. Проверка журналов поэкзем-плярного учета СКЗИ.
|
-Постановление Правительства РФ от 16.04.2012 № 313
«Об утверждении Положения о лицензировании деятельности по разработке,
производству, распространению шифровальных (криптографических) средств,
информационных систем и телекоммуникационных систем, защищенных с
использованием шифровальных (криптографических) средств, выполнению работ,
оказанию услуг в области шифрования информации, техническому обслуживанию
шифровальных (криптографических) средств, информационных систем и
телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств (за исключением случая, если техническое
обслуживание шифровальных (криптографических) средств, информационных систем
и телекоммуникационных систем, защищенных с использованием шифровальных
(криптографических) средств, осуществляется для обеспечения собственных нужд
юридического лица или индивидуального предпринимателя)»;
-Инструкция об
организации и обеспечении безопасности хранения, обработки и передачи по каналам
связи с использованием средств криптографической зашиты информации с
ограниченным доступом, не содержащей сведений, составляющих государственную
тайну, утвержденной Приказом ФАПСИ от 13.06.2001 № 152.
|
__.__.2015-__.__.2015
|
|||
2.11
|
Наличие документов
учета и движения носителей ключевой информации.
|
-АКТ приема-передачи носителей ключевой информации;
-Журнал поэкземплярного учета носителей ключевой информации.
|
|||||
2.12
|
Наличие журналов
информационной безопасности
|
1) Журнал поэкземплярного учета СКЗИ – для регистрации и учета СКЗИ
установленных на рабочих станциях.
2) Журнал поэкземплярного учета дистрибутивов СКЗИ – для регистрации и
учета эталонных дистрибутивов СКЗИ.
3) Журнал учета ключевых документов СКЗИ – для регистрации и учета
ключевых документов.
4) Журнал учета ключевых носителей - для учета выдаваемых («чистых»)
носителей информации, например, токенов системы ДБО.
5) Журнал учета носителей конфиденциальной информации.
|
-Инструкция об
организации и обеспечении безопасности хранения, обработки и передачи по каналам
связи с использованием средств криптографической зашиты информации с
ограниченным доступом, не содержащей сведений, составляющих государственную
тайну, утвержденной Приказом ФАПСИ от 13.06.2001 № 152.
|
||||
2.13
|
Планирование филиалом
мероприятий на случай чрезвычайных ситуаций
|
1)
План действий на случай чрезвычайных обстоятельств;
2)
Выполнение работ по защите данных от физического разрушения в
серверных филиала:
- установлена ли система кондиционирования?
- установлена ли система автоматического газового пожаротушения?
- установлена ли система бесперебойного питания?
- ограничен ли доступ в помещение серверной?
- установлено ли видеонаблюдение за серверной?
- проводится ли регулярное резервное копирование критически важных
данных филиала?
3)
Выполнение работ по обеспечению надежного электроснабжения здания(ий) филиала:
- настроена ли функция корректного выключения при критическом разряде
батарей источников бесперебойного питания?
- используются ли механизмы уведомления ответственных лиц филиала о
сбоях в системах электропитания и кондиционирования серверных помещений?
|
-Письмо ЦБ от 27.03.2014
№27-04-02/34802;
-Положение
Банка России от 16.12.2003 №242‑П “Об организации внутреннего контроля в
кредитных организациях и банковских группах”.
|
||||
2.14
|
Проверка знаний
персоналом филиала документов по информационной безопасности, утверждённых в
Банке в качестве руководящих
|
-Политика
информационной безопасности Банка;
-Политика Банка в
области обработки и защиты ПДн (общедоступная,
размещаемая на сайте Банка) ;
-Положение о работе с
персональными данными работников Банка;
-другие документы
Банка, регламентирующие ИБ.
|
|||||
2.15
|
Проведение обучающих семинаров для сотрудников Банка
по ИБ
|
Повышения осведомленности персонала филиала в
вопросах информационной безопасности
|
__.__.2015
|
||||
III этап.
Выводы по проверке. Оформление и вручение документов
|
|||||||
3.1
|
Подготовка заключения по результатам аудита филиала
|
__.__.2015-__.__.2015
|
|||||
3.2
|
Ознакомление с результатами
проверки. Один экземпляр акта с копиями
приложений вручается руководителю филиала.
|
Акт проверки с приложениями, в том числе копиями документов,
подтверждающих выводы, сделанные по результатам проверки.
|
__.__.2015
|
||||
3.3
|
Выдача предписания об устранении выявленных
нарушений (при наличии замечаний).
|
Предписание об устранении выявленных нарушений (при
наличии замечаний).
Разработка Плана работ филиала по устранению
выявленных нарушений (при наличии замечаний).
|
__.__.2015
|
||||
Увы, таблица "поехала". Есть смысл прикрепить ее doc файлом
ОтветитьУдалить