12 ноября 2015 г.

Программа типовой проверки ИБ в филиале банка

В банке при выработке единых подходов к организации внутренних проверок (в том числе, аудита информационной безопасности) необходимо иметь типовую программу проверок, описывающую содержание и порядок проверки. Ниже привожу типовую программу проверки ИБ филиала банка (скачать).


Типовая программа проведения проверки филиала
с целью оценки степени соответствия обеспечения ИБ филиала требованиям законодательства РФ
и внутренних регламентирующих документов в области информационной безопасности


п/п
Мероприятие
Описание
Регламентирующие документы
Срок исполнения
Ответственный за выполнение сотрудник
1
2
3
4


I этап. Начало проверки
1.1
Представление должностных лиц Банка, проводящих проверку, руководству проверяемого филиала

-Служебное удостоверение;
-Приказ или распоряжение о проведении проверки филиала.

__.__.2015

1.2
Вручение руководителю филиала или лицу, которому уполномочено представлять интересы филиала при проведении проверки, заверенной печатью копии приказа или распоряжения

Заверенная копия приказа или распоряжения о проведении проверки филиала.
__.__.2015

II этап. Проведение проверки соответствия уровня информационной безопасности филиала
нормативным правовым актам
2.1
Проверка соблюдения требований, установленных законодательством Российской Федерации, в области информационной безопасности банковской сферы, а также при обработке персональных данных работников и клиентов филиала
Документы, подтверждающие принятие мер:
1)   Кадровая политика филиала;
2)   Должностные инструкции специалистов службы информационной безопасности и подразделения информационных технологий филиала; должностные инструкции лиц, имеющих доступ и (или) осуществляющих обработку персональных данных;
3)   Положение о подразделении, осуществляющем функции по организации защиты персональных данных;
4)   Приказы/распоряжения о назначении ответственных лиц филиала за информационные ресурсы и системы филиала.
-Федеральный закон от 27.07.2006 №152-ФЗ “О персональных данных”;
-Постановление Правительства РФ от 01.11.2012г. № 1119;
-Письмо ЦБ РФ от 14 марта 2014г. №42-Т “Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан”;
-Приказ ФСБ от 10 июля 2014 №378 “Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием средств защиты информации, необходимых для выполнения установленных правительством РФ требований к защите ПДн для каждого из уровней защищенности”.
-Политика Банка в области обработки и защиты ПДн (общедоступная, размещаемая на сайте Банка)
-Положение о работе с персональными данными работников Банка;
-Приказы о назначении администраторов информационных систем Банка (АБС, ДБО и др.).
__.__.2015

2.2
Мониторинг программного обеспечения на рабочих станциях и серверах филиала
Выявление фактов инсталляции запрещенного программного обеспечения, не включенного в список стандартного, а также предположительно не связанного с выполнением функциональных обязанностей сотрудников.
-Политика информационной безопасности Банка.

__.__.2015-__.__.2015

2.3
Проверка состояния антивирусной защиты в филиале (включая защиту серверов, рабочих станций, интернет-шлюза)
Аудит эффективности применяемых политик антивирусной защиты, защиты от вторжений, превентивной защиты.
Анализ журналов систем антивирусной защиты.
Выявление рабочих станций и серверов, не снабженных средствами антивирусной защиты.
-Письмо ЦБ РФ от 24 марта 2014г. №49-Т “О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности”.

__.__.2015-__.__.2015

2.4
Аудит групп локальных администраторов на рабочих станциях и серверах филиала
Проверка административных прав доступа на рабочих станциях филиала с целью выявления фактов присутствия учетных записей сотрудников в группе локальных администраторов.
-Политика информационной безопасности Банка;
-другие документы Банка, регламентирующие правила контроля идентификации и предоставления прав доступа.

__.__.2015-__.__.2015

2.5
Аудит учетных записей пользователей в каталоге Active Directory
Аудит состояния списка пользователей домена филиала с целью обнаружения активных учетных записей уволенных сотрудников, тестовых учетных записей, а также учетных записей с расширенными правами в домене.
-Политика информационной безопасности Банка;
-другие документы Банка, регламентирующие правила контроля идентификации и предоставления прав доступа.

__.__.2015-__.__.2015

2.6
Аудит парольной политики в корпоративной сети филиала
Аудит предустановленных правил парольной политики на соответствие минимальным требованиям безопасности.
-Стандарт Банка России: “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” (СТО БР ИББС-1.0-2014);

__.__.2015-__.__.2015

2.7
Аудит доступа к съемным носителям информации
Аудит политик контроля доступа к съемным носителям и внешним портам на рабочих станциях филиала.
-Политика информационной безопасности Банка;
-другие документы Банка, регламентирующие правила контроля идентификации и предоставления прав доступа.

__.__.2015-__.__.2015

2.8
Аудит сетевой инфраструктуры на наличие уязвимостей
Запуск программы-сканера с целью проведения сканирования сети, рабочих станций и серверов филиала на предмет обнаружения возможных проблем в системе безопасности. Анализ и обработка результатов.

__.__.2015-__.__.2015

2.9
Аудит прав доступов сотрудников к сетевым ресурсам и АБС
Аудит на соответствие прав доступа сотрудников Заявкам на предоставление доступа к ресурсам БИС и АБС.
-Политика информационной безопасности Банка;
-другие документы Банка, регламентирующие правила контроля идентификации и предоставления прав доступа.

__.__.2015-__.__.2015

2.10
Контроль функционирования технических средств и систем криптографической защиты информации, управление ключами
Соблюдение требований, изложенных в эксплуатационной документации к НСД и СКЗИ. Проверка журналов поэкзем-плярного учета СКЗИ.
-Постановление Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»;

-Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической зашиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной Приказом ФАПСИ от 13.06.2001 № 152.
__.__.2015-__.__.2015

2.11
Наличие документов учета и движения носителей ключевой информации.
-АКТ приема-передачи носителей ключевой информации;
-Журнал поэкземплярного учета носителей ключевой информации.



2.12
Наличие журналов информационной безопасности
1) Журнал поэкземплярного учета СКЗИ – для регистрации и учета СКЗИ установленных на рабочих станциях.
2) Журнал поэкземплярного учета дистрибутивов СКЗИ – для регистрации и учета эталонных дистрибутивов СКЗИ.
3) Журнал учета ключевых документов СКЗИ – для регистрации и учета ключевых документов.
4) Журнал учета ключевых носителей - для учета выдаваемых («чистых») носителей информации, например, токенов системы ДБО.
5) Журнал учета носителей конфиденциальной информации.
-Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической зашиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной Приказом ФАПСИ от 13.06.2001 № 152.


2.13
Планирование филиалом мероприятий на случай чрезвычайных ситуаций
1)   План действий на случай чрезвычайных обстоятельств;
2)   Выполнение работ по защите данных от физического разрушения в серверных филиала:
- установлена ли система кондиционирования?
- установлена ли система автоматического газового пожаротушения?
- установлена ли система бесперебойного питания?
- ограничен ли доступ в помещение серверной?
- установлено ли видеонаблюдение за серверной?
- проводится ли регулярное резервное копирование критически важных данных филиала?
3)   Выполнение работ по обеспечению надежного электроснабжения здания(ий) филиала:
- настроена ли функция корректного выключения при критическом разряде батарей источников бесперебойного питания?
- используются ли механизмы уведомления ответственных лиц филиала о сбоях в системах электропитания и кондиционирования серверных помещений?
-Письмо ЦБ от 27.03.2014 №27-04-02/34802;
-Положение Банка России от 16.12.2003 №242‑П “Об организации внутреннего контроля в кредитных организациях и банковских группах”.


2.14
Проверка знаний персоналом филиала документов по информационной безопасности, утверждённых в Банке в качестве руководящих

-Политика информационной безопасности Банка;
-Политика Банка в области обработки и защиты ПДн (общедоступная, размещаемая на сайте Банка) ;
-Положение о работе с персональными данными работников Банка;
-другие документы Банка, регламентирующие ИБ.


2.15
Проведение обучающих семинаров для сотрудников Банка по ИБ
Повышения осведомленности персонала филиала в вопросах информационной безопасности

__.__.2015

III этап. Выводы по проверке. Оформление и вручение документов
3.1
Подготовка заключения по результатам аудита филиала


__.__.2015-__.__.2015

3.2
Ознакомление с результатами
проверки. Один экземпляр акта с копиями приложений вручается руководителю филиала.
Акт проверки с приложениями, в том числе копиями документов, подтверждающих выводы, сделанные по результатам проверки.
__.__.2015

3.3
Выдача предписания об устранении выявленных нарушений (при наличии замечаний).
Предписание об устранении выявленных нарушений (при наличии замечаний).

Разработка Плана работ филиала по устранению выявленных нарушений (при наличии замечаний).
__.__.2015



1 комментарий: