Ремонт труб

Ремонт насоса водоснабжения и отопления производится по следующим технологиям с использованием ...

Подробнее

Ремонт систем

Ремонт насоса водоснабжения и отопления производится по следующим технологиям с использованием ...

Подробнее

Ремонт котельной

Ремонт насоса водоснабжения и отопления производится по следующим технологиям с использованием ...

Подробнее

Ремонт насоса

Ремонт насоса водоснабжения и отопления производится по следующим технологиям с использованием ...

Подробнее

Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения

Содержание статьи:

    СТАНДАРТ БАНКА РОССИИ                     СТОБР ИББС-1.0-2006

    ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
    ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
    РОССИЙСКОЙ ФЕДЕРАЦИИ

    ОБЩИЕ ПОЛОЖЕНИЯ

    Дата введения: 2006-01-01

    Предисловие

    1.ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 26 января 2006 года №Р-27.

    2.ВЗАМЕН СТО БР ИББС-1.0-2004.

    Содержание

    Введение

    1. Область применения

    2. Нормативные ссылки

    3. Термины и определения

    4. Обозначения и сокращения

    5. Исходная концептуальная схема (парадигма) обеспеченияинформационной безопасности организаций БС РФ

    6. Основные принципы обеспечения информационнойбезопасности организаций БС РФ

    6.1.Общие принципы безопасного функционирования организации

    6.2.Специальные принципы обеспечения информационной безопасности организации

    7. Модели угроз и нарушителей информационной безопасностиорганизаций БС РФ

    8. Политика информационной безопасности организаций БСРФ

    8.1.Состав и назначение политики информационной безопасности организации БС РФ

    8.2.Общие (основные) требования по обеспечению информационной безопасности,отображаемые в политиках информационной безопасности организации БС РФ

    8.2.1. Общие требования пообеспечению информационной безопасности для организации БС РФ

    8.2.2. Общие требования пообеспечению информационной безопасности при назначении и распределении ролейи обеспечении доверия к персоналу

    8.2.3. Общие требования пообеспечению информационной безопасности автоматизированных банковских системна стадиях жизненного цикла

    8.2.4. Общие требования пообеспечению информационной безопасности при управлении доступом и регистрации

    8.2.5. Общие требования пообеспечению информационной безопасности средствами антивирусной защиты

    8.2.6. Общие требования пообеспечению информационной безопасности при использовании ресурсов сетиИнтернет

    8.2.7. Общие требования пообеспечению информационной безопасности при использовании средствкриптографической защиты информации

    8.2.8. Общие требования пообеспечению информационной безопасности банковских платежных технологическихпроцессов

    8.2.9. Общие требования пообеспечению информационной безопасности банковских информационныхтехнологических процессов

    9. Система менеджмента информационной безопасностиорганизации БС РФ

    9.1.Планирование СМИБ

    9.2.Реализация и эксплуатация СМИБ

    9.3.Проверка (мониторинг и анализ) СМИБ

    9.4.Совершенствование СМИБ

    9.5.Система документации

    9.6.Обеспечение непрерывности бизнеса (деятельности) и восстановление послепрерываний

    9.7.Служба информационной безопасности (уполномоченное лицо) организации БС РФ

    10. Проверка и оценка информационной безопасностиорганизации БС РФ

    11. Модель зрелости процессов менеджмента информационнойбезопасности организации БС РФ

    12. Направления развития стандарта

    Библиография

    Введение

    Банковскаясистема (БС) Российской Федерации (РФ) включает в себя Банк России, кредитныеорганизации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БС РФ, а такжеобеспечение эффективного и бесперебойного функционирования платежной системы РФявляются целями деятельности Банка России [2]. Важнейшим условием реализации этих целейявляется обеспечение необходимого и достаточного уровня информационнойбезопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных),который во многом определяется уровнем информационной безопасности банковскихтехнологических процессов (платежных, информационных и пр.), автоматизированныхбанковских систем (АБС), эксплуатирующихся организациями БС РФ, и т.д.

    Особенностибанковских систем таковы, что негативные последствия сбоев в работе отдельныхорганизаций могут привести к быстрому развитию системного кризиса платежнойсистемы РФ, нанести ущерб интересам собственников и клиентов. В случаяхнаступления инцидентов ИБ значительно возрастают результирующий риск ивозможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФугрозы информационным активам, то есть угрозы ИБ, представляют реальнуюопасность.

    Дляпротивостояния таким угрозам и обеспечения эффективности мероприятий поликвидации неблагоприятных последствий инцидентов ИБ (их влияния наоперационные, кредитные и иные риски) в организациях БС РФ следует обеспечитьдостаточный уровень ИБ. Необходимо также сохранить этот уровень в течениедлительного времени. По этим причинам обеспечение ИБ является для организацийБС РФ одним из основополагающих аспектов их деятельности.

    Деятельность,относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим БанкРоссии является сторонником регулярной оценки уровня ИБ в организациях БС РФ,оценки рисков и принятия мер, необходимых для управления этими рисками.

    Исходяиз этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ,который является базовым для развивающей и обеспечивающей его группыстандартов, в целом составляющих комплекс стандартов по обеспечению ИБорганизаций БС РФ.

    Основныецели стандартизации по обеспечению ИБ организаций БС РФ:

    -повышение доверия к БС РФ;

    -повышение стабильности функционирования организаций БС РФ и на этой основе -стабильности функционирования БС РФ в целом;

    -достижение адекватности мер по защите от реальных угроз ИБ;

    -предотвращение и(или) снижение ущерба от инцидентов ИБ.

    Основныезадачи стандартизации по обеспечению ИБ организаций БС РФ:

    -установление единых требований по обеспечению ИБ организаций БС РФ;

    -повышение эффективности мероприятий по обеспечению и поддержанию ИБ организацийБС РФ.

    СТАНДАРТ БАНКАРОССИИ

    ОБЕСПЕЧЕНИЕИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
    ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
    РОССИЙСКОЙ ФЕДЕРАЦИИ

    ОБЩИЕ ПОЛОЖЕНИЯ

    Дата введения: 2006-01-01

    1.Область применения

    Настоящийстандарт распространяется на организации банковской системы РоссийскойФедерации (далее по тексту — организации БС РФ) и устанавливает положения(политики, требования и т.п.) по обеспечению информационной безопасности ворганизациях БС РФ.

    Настоящийстандарт рекомендован для применения путем включения ссылок на него и (или)прямого использования устанавливаемых в нем положений во внутренних нормативныхи методических документах организаций БС РФ, а также в договорах.

    Положениянастоящего стандарта применяются на добровольной основе, если только вотношении конкретных положений обязательность не установлена действующимзаконодательством Российской Федерации, нормативным правовым актом Банка Россииили условиями договора.

    Настоящийстандарт может быть введен в действие организаций БС РФ в качествеобязательного к исполнению в случае, если такая необходимость существует.

    2.Нормативные ссылки

    Внастоящем стандарте использованы нормативные ссылки на следующие стандарты:

    ГОСТ Р 1.0-2004 Стандартизация в РоссийскойФедерации. Основные положения

    ГОСТ Р 1.4-2004 Стандартизация в РоссийскойФедерации. Стандарты организаций. Общие положения

    ГОСТ 34.601-90 Информационная технология.Комплекс стандартов на автоматизированные системы. Автоматизированные системы.Стадии создания

    ГОСТ Р 51898-2002 Аспекты безопасности. Правилавключения в стандарты

    ГОСТ Р ИСО 9001-2001 Система менеджментакачества. Требования

    ГОСТ Р ИСО 14001-98 Система управленияокружающей средой. Требования и руководство по применению

    ГОСТ Р ИСО/МЭК 15408-1-2002 Информационнаятехнология. Методы и средства обеспечения безопасности. Критерии оценкибезопасности информационных технологий

    ГОСТ Р ИСО/МЭК 12207-99 Информационнаятехнология. Процессы жизненного цикла программных средств

    ГОСТ Р ИСО/МЭК ТО 15271-2002 Информационнаятехнология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненногоцикла программных средств)

    ISO/IEC IS 13335-1÷2 Information Technology.Security techniques. Management of information and communications technologysecurity

    ISO TR 13569 Banking and related financial services.Information security guidelines

    ISO/IEC IS 15288-2002 Systems engineering. System LifeCycle Processes

    ISO/IEC TR 15504-1÷5 Information technology.Process assessment

    ISO/IEC TR 18028-1÷5 Information technology.Security techniques. IT network security

    ISO/IEC TR 18043 Information technology. Selection,deployment and operations of intrusion detection systems (IDS)

    ISO/IEC TR 18044-2004 Information Technology. Securitytechniques. Information security incident management

    ISO/IEC IS 17799-2005 (second edition) (с 2007 года — ISO/IEC IS 27002) Information Technology. Code ofpractice for information security management

    ISO/IEC IS 27001-2005 Information technology. Securitytechniques. Information security management systems. Requirements

    ITU-T Recommendation X.1051 Information securitymanagement system. Requirements for telecommunications (ISMS-T)

    BSI PAS-56 Guide to Business Continuity Management(BCM)

    COBIT Control Objectives for Information and relatedTechnology, 3rd Edition, July 2000

    OCTAVE Operationally Critical Threat, Asset, andVulnerability Evaluation

    CRAMM UK Government’s Risk Analysis and ManagementMethod

    3.Термины и определения

    3.1.банковская система Российской Федерации: Банк России и кредитныеорганизации, а также филиалы и представительства иностранных банков [1].

    3.2.активы организации банковской системы Российской Федерации: все, чтоимеет ценность для организации банковской системы Российской Федерации инаходится в ее распоряжении.

    Примечание.

    К активам организации БСРФ могут относиться:

    — банковские ресурсы (финансовые,людские, вычислительные, телекоммуникационные и пр.);

    — информационные активы,в т.ч. различные виды банковской информации (платежной,финансово-аналитической, служебной, управляющей и пр.) на следующих фазах ихжизненного цикла: генерация (создание), обработка, хранение, передача,уничтожение;

    -банковские процессы (банковские платежные технологические процессы, банковскиеинформационные технологические процессы, процессы жизненного циклаавтоматизированных банковских систем и др.);

    — банковскиепродукты и услуги, предоставляемые клиентам.

    3.3.автоматизированная банковская система: автоматизированная система,реализующая банковский технологический процесс или его часть.

    3.4.роль в организации банковской системы Российской Федерации: заранее определеннаясовокупность правил, устанавливающих допустимое взаимодействие между субъектоми объектом в организации БС РФ.

    Примечания.

    1. К субъектам относятсялица из числа руководителей организации БС РФ, ее персонала, клиентов или инициируемыеот их имени процессы по выполнению действий над объектами.

    2.Объектами могут быть аппаратное средство, программное средство,программно-аппаратное средство, информационный ресурс, услуга, процесс,система, над которыми выполняются действия.

    3.5.банковский технологический процесс: технологический процесс, содержащийоперации по изменению и(или) определению состояния банковской информации,используемой при функционировании или необходимой для реализации банковскихуслуг.

    Примечания.

    1.Операции над банковской информацией могут выполняться вручную или бытьавтоматизированными, например, с помощью комплексов средств автоматизацииавтоматизированных банковских систем.

    2.Операции над банковской информацией требуют указания ролей их участников (исполнителейи лиц, принимающих решения или имеющих полномочия по изменению технологическихпроцессов, в том числе персонала автоматизированных банковских систем).

    3. В зависимости от вида деятельности выделяют:банковский информационный технологический процесс, банковский платежныйтехнологический процесс и др.

    3.6.информационная безопасность организации банковской системы РоссийскойФедерации: состояние защищенности интересов (целей) организации банковскойсистемы Российской Федерации в условиях угроз в информационной сфере.

    Примечания.

    1.Защищенность достигается обеспечением совокупности свойств информационнойбезопасности — конфиденциальностью, целостностью, доступностью информационныхактивов и инфраструктуры. Приоритетность свойств информационной безопасностиопределяется значимостью информационных активов для интересов (целей)организации.

    2. Информационная сфера представляет собойсовокупность информации, информационной инфраструктуры, субъектов,осуществляющих сбор, формирование, распространение, хранение и использованиеинформации, а также системы регулирования возникающих при этом отношений.

    3.7.менеджмент: скоординированная деятельность по руководству и управлению.

    Примечание.

    В английском языке термин “management” иногдаотносится к людям, т.е. к лицу или группе работников, наделенных полномочиями иответственностью для руководства и управления организацией. Когда “management”используется в этом смысле, его следует всегда применять с определяющимисловами с целью избежания путаницы с понятием “management”, определенным выше.Например, не одобряется выражение “руководство должно…”, в то время как“высшее руководство должно…” — приемлемо.

    3.8.система менеджмента информационной безопасности организации банковскойсистемы Российской Федерации; СМИБ: часть общей системы менеджментаорганизации банковской системы Российской Федерации, основывающаяся на подходебизнес-риска, предназначенная для создания, реализации, эксплуатации,мониторинга, анализа, поддержки и повышения информационной безопасности организациибанковской системы Российской Федерации [ISO/IEC IS 27001].

    Примечание.

    Система менеджмента включает структуру, политики,деятельности по планированию, обязанности, практики, процедуры, процессы иресурсы организации.

    3.9.осознание информационной безопасности: пониманиеорганизацией необходимости самостоятельно на основе принятых в ней ценностей инакопленных знаний формировать и учитывать в рамках основной деятельности(бизнеса) прогноз результатов от деятельности по обеспечению информационной безопасности,а также поддерживать эту деятельность адекватно прогнозу.

    Примечание.

    Осознание информационной безопасности являетсявнутренним побудительным мотивом организации инициировать и поддерживатьдеятельность по менеджменту информационной безопасности, в отличие отпобуждения или принуждения, когда решение об инициировании и поддержкедеятельности по менеджменту информационной безопасности определяетсясоответственно либо возникшими проблемами организации, такими, как инцидентинформационной безопасности, либо внешними факторами, например, требованиямизаконов.

    3.10.политика информационной безопасности организации банковской системыРоссийской Федерации: одно или несколько правил, процедур,практических приемов и руководящих принципов в области информационнойбезопасности, которыми руководствуется организация банковской системыРоссийской Федерации в своей деятельности.

    3.11.инцидент информационной безопасности организации банковской системыРоссийской Федерации: событие, вызывающее действительное, предпринимаемоеили вероятное нарушение информационной безопасности организации банковскойсистемы Российской Федерации.

    Примечание.

    Нарушение может вызываться либо ошибкой людей, либонеправильным функционированием технических средств, либо природными факторами(например, пожар или наводнение), либо преднамеренными злоумышленнымидействиями, приводящими к нарушению конфиденциальности, целостности,доступности, учетности или неотказуемости.

    3.12.риск: неопределенность, предполагающая возможность потерь (ущерба).

    3.13.менеджмент риска: скоординированные действия по руководству и управлению вотношении риска с целью его минимизации.

    Примечание.

    Обычноменеджмент риска включает в себя оценку риска, обработку риска, принятие риска.

    3.14.риск нарушения информационной безопасности организации банковской системыРоссийской Федерации: неопределенность, предполагающая возможностьущерба состояния защищенности интересов (целей) организации банковской системыРоссийской Федерации в условиях угроз в информационной сфере.

    3.15.мониторинг информационной безопасности организации банковской системыРоссийской Федерации (мониторинг ИБ): постоянное наблюдениеза событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения.

    3.16.аудит информационной безопасности организации банковской системы РоссийскойФедерации: периодический, независимый и документированный процессполучения свидетельств аудита и объективной их оценки с целью установлениястепени выполнения в организациях БС РФ установленных требований по обеспечениюинформационной безопасности.

    Примечания.

    1. Внутренние аудиты(“аудиты первой стороной”) проводятся самой организацией или от ее имени дляанализа менеджмента или других внутренних целей и могут служить основанием длясамодеклараций организации о соответствии требованиям по ИБ.

    2. Внешние аудитывключают “аудиты второй стороной” и “аудиты третьей стороной”. Аудиты второйстороной проводятся сторонами, заинтересованными в деятельности организации,например, потребителями или другими лицами от их имени. Аудиты третьей сторонойпроводятся внешними независимыми организациями.

    3.Независимость при аудите предполагает полную свободу аудитора(самостоятельность) в отборе и анализе свидетельства аудита (изложение фактовили другой информации, связанной с критериями аудита) в отношении объектааудита.

    3.17.оценка соответствия информационной безопасности организации банковскойсистемы Российской Федерации установленным требованиям: любаядеятельность, связанная с прямым или косвенным определением того, чтовыполняются или не выполняются соответствующие требования информационнойбезопасности в организации банковской системы Российской Федерации.

    4.Обозначения и сокращения

    АБС- автоматизированная банковская система;

    БС- банковская система;

    ЖЦ- жизненный цикл;

    ИБ- информационная безопасность;

    КА- код аутентификации;

    ЛВС- локальная вычислительная сеть;

    РФ- Российская Федерация;

    СКЗИ- средство криптографической защиты информации;

    СМИБ- система менеджмента информационной безопасности;

    ЭВМ- электронная вычислительная машина;

    ЭЦП- электронная цифровая подпись.

    5.Исходная концептуальная схема (парадигма) обеспечения информационнойбезопасности организаций БС РФ

    5.1.Любая целенаправленная деятельность (бизнес) порождает риски, сущность которых- естественная неопределенность будущего. Это — объективная реальность, ипонизить эти риски можно лишь до уровня неопределенности сущностей,характеризующих природу бизнеса. Оставшаяся часть риска, определяемогофакторами среды деятельности организации БС РФ, на которые организация не всилах влиять, должна быть неизбежно принята. При этом степень необходимойзащищенности информационной сферы организации определяется анализом и оценкойрисков ИБ, которые должны быть согласованы с рисками основной (бизнес)деятельности организации БС РФ.

    5.2.Деятельность организации БС РФ осуществляется через реализацию трех группвысокоуровневых процессов: основные процессы (процессы основной деятельности), вспомогательныепроцессы (процессы по видам обеспечения), процессы менеджмента (управления)организацией. Процессы по обеспечению ИБ организации БС РФ составляют один извидов вспомогательных процессов, реализующих поддержку (обеспечение) процессовосновной деятельности организации в целях достижения ею максимально возможногорезультата.

    5.3.В основе исходной концептуальной схемы информационной безопасности организацийБС РФ лежит противоборство собственника1 и злоумышленника2за контроль над информационными активами. Однако другие, незлоумышленные,действия также лежат в сфере рассмотрения данного стандарта.

    В случае если злоумышленник устанавливает контрольнад информационными активами, как самой организации БС РФ, так и клиентам,которые доверили ей свои собственные активы, может быть нанесен ущерб.

    ___________

    1Подсобственником здесь понимается субъект хозяйственной деятельности, имеющийправа владения, распоряжения или пользования активами, который заинтересованили обязан (согласно требованиям законов или иных законодательных илинормативно-правовых актов) обеспечивать защиту активов от угроз, которые могутснизить их ценность или нанести ущерб собственнику.

    2 Под злоумышленником здесь понимается лицо,которое совершает или совершило заранее обдуманное действие с осознанием егоопасных последствий или не предвидело, но должно было и могло предвидетьвозможность наступления этих последствий (адаптировано из ст. 27 УК РФ). Далеепо тексту данные лица именуются злоумышленниками (нарушителями).

    5.4.Наибольшими возможностями для нанесения ущерба организации БС РФ обладает еесобственный персонал. В этом случае содержанием деятельности злоумышленникаявляется нецелевое использование предоставленного контроля над информационнымиактивами, а также сокрытие следов своей деятельности. Внешний злоумышленникскорее да, чем нет, может иметь сообщника(ов) внутри организации.

    5.5.Собственник практически никогда не знает о готовящемся нападении, оно всегдабывает неожиданным. Нападения, как правило, носят локальный и конкретный поместу, цели и времени характер.

    5.6.Злоумышленник изучает объект нападения, как правило, не только теоретически,никак не проявляя себя, но и практически, путем эксперимента, подбора “отмычек”к системе менеджмента ИБ (СМИБ) организации. Таким образом, он отрабатываетнаиболее эффективный метод нападения. Поэтому собственник должен постоянностремиться к выявлению следов такой активности. В том числе и для этой целисобственник создает уполномоченный орган — свою службу ИБ (подразделения (лица)в организации, ответственные за обеспечение ИБ).

    5.7.Сложно и ресурсоемко, а значит, малоэффективно искать следы такой активности ипо факту настраивать СМИБ. Поэтому главный инструмент собственника — основанныйна опыте прогноз (составление модели угроз и модели нарушителя)3, атакже работа с персоналом организации по повышению его бдительности в возможныхкритических условиях, готовности и способности к адекватным действиям вусловиях потенциальной злоумышленной активности.

    Чемточнее сделан прогноз (составлены модель угроз и модель нарушителя), тем нижериски нарушения ИБ в организации БС РФ при минимальных ресурсных затратах.

    __________

    3 Модели ИБ (угроз инарушителей) предназначены отражать будущее, вследствие чего они носятпрогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого иопыта, но ориентированы на будущее. При разработке моделей (прогнозе)используются имеющийся опыт и знания, поэтому чем выше знания, тем точнеепрогноз.

    5.8.Наиболее правильный и эффективный способ добиться минимизации рисков нарушенияИБ для собственника — разработать на основе точного прогноза, базирующегося втом числе и на анализе и оценке рисков ИБ, политику ИБ организации и всоответствии с ней реализовать, эксплуатировать и совершенствовать СМИБорганизации.

    5.9.Политика ИБ организаций БС РФ разрабатывается на основе принципов обеспеченияИБ организаций БС РФ, моделей угроз и нарушителей, идентификации активов,подлежащих защите, оценки рисков с учетом особенностей бизнеса и технологий, атакже интересов конкретного собственника.

    Собственникдолжен знать, что он должен защищать. Собственник должен знать и уметь выделять(идентифицировать) наиболее важный для его бизнеса информационный актив(ресурс).

    Приэтом собственник принимает решение относительно принятия конкретного риска илиже внедрения мер контроля и процедур по обработке существующих рисков.

    Припринятии решений о внедрении защитных мер (мер контроля) для противодействияидентифицированным угрозам (рискам) собственник должен учитывать, что тем самымон увеличивает сложность своей системы управления ИБ, а повышение сложностиуправления ИБ порождает новые уязвимости. Поэтому при выборе решения овнедрении защитных мер для обработки существующих рисков, а не принятия илипереноса рисков должны учитываться вопросы эксплуатации защитных мер и ихвлияния на структуру рисков организации.

    5.10.Далеко не каждый собственник располагает потенциалом для составления точногопрогноза (модели угроз и модели нарушителя). Такой прогноз может и долженсоставляться с учетом опыта ведущих специалистов банковской системы, а также сучетом международного опыта в этой сфере. Аналогично должны разрабатываться иосновные требования ИБ организаций БС РФ.

    Приразработке моделей угроз и моделей нарушителя необходимо учитывать, что посложившейся уже практике существующая сложность современных банковскихтехнологий приводит к их меньшей привлекательности для злоумышленника, чемперсонал и система управления безопасностью организации. Поэтому все точки вбанковских технологических процессах, где осуществляется взаимодействиеперсонала со средствами и системами автоматизации, должны тщательноконтролироваться.

    5.11.Соблюдение политики ИБ в значительной степени является элементом корпоративнойэтики, поэтому на уровень ИБ в организации серьезное влияние оказываютотношения как в коллективе, так и между коллективом и собственником илименеджментом организации, представляющим интересы собственника. Поэтому этимиотношениями необходимо управлять. Понимая, что наиболее критичным элементомбезопасности организации является ее персонал, собственник должен всемернопоощрять решение проблемы ИБ.

    5.12.Любые защитные меры в силу ряда объективных причин со временем имеют тенденциюк ослаблению своей эффективности, в результате чего общий уровень ИБ можетснижаться. Это неминуемо ведет к возрастанию рисков нарушения ИБ.

    Длятого чтобы этого не допустить, необходимо определить процессы, обеспечивающиеконтроль (мониторинг и аудит ИБ организаций БС РФ), а также оценкуэффективности СМИБ организаций БС РФ (так называемый “процессный подход”), чтодолжно стать основой для дальнейшего планирования ИБ. Указанные процессы должныреализовываться в рамках циклической модели менеджмента ИБ: “планирование -реализация — проверка — совершенствование — планирование — …”, отвечающейпринципам и моделям корпоративного менеджмента в организациях [3],включая менеджмент в банковском деле [4, 5].

    Приэтом эффективность и результативность обеспечения ИБ, включая соответствующиепроцессы ИБ, должны оцениваться с позиции содействия (пользы) в достижениицелей деятельности организации.

    5.13.Обеспечение ИБ организаций БС РФ основывается на “процессном подходе” дляустановления, реализации, эксплуатации, мониторинга, обслуживания и повышенияэффективности СМИБ.

    Любоедействие, использующее ресурсы и управляемое для обеспечения преобразованиянеких входных ресурсов, информации и иных сущностей в выходы, определяется как“процесс”. Выход одного процесса может быть входом для другого процесса.Представление деятельностей по обеспечению ИБ в виде системы процессов впределах организации вместе с идентификацией, взаимодействиями и ихкоординацией и управлением определяется как “процессный подход”.

    “Процессныйподход” к обеспечению ИБ организаций БС РФ требует, чтобы персонал организации,клиенты, пользователи, контрагенты и иные заинтересованные стороны придавалиособое значение:

    а)пониманию требований информационной безопасности бизнеса и потребностиустанавливать политику и цели для информационной безопасности;

    б)реализации и надлежащей эксплуатации средств управления ИБ (защитных мер) вконтексте управления общим риском деятельности (бизнеса) организации;

    в)мониторингу и анализу работы и эффективности СМИБ;

    г)непрерывному усовершенствованию СМИБ на основе объективного измерения.

    5.14.Рисунок 1 иллюстрирует модель непрерывного циклического процесса менеджмента ИБорганизации (модель Деминга), определенную требованиями раздела 4международного стандарта ISO/IEC IS 270014.

    Настадии планирования устанавливают политики информационной безопасности, цели,задачи, процессы и процедуры, адекватные потребностям в менеджменте риска ИБ исовершенствованию СМИБ, для достижения результатов в соответствии с политикамии целями организации.

    Настадии реализации осуществляются внедрение и поддержка политики информационнойбезопасности организации, средств управления (защитных мер), регламентов,процессов и процедур СМИБ организации.

    Настадии проверки осуществляются оценка и, если необходимо, измерениеэффективности процессов менеджмента ИБ организации на соответствие требованиямполитики информационной безопасности, целям и установленным практикам,обеспечивается отчетность высшему руководству о результатах для проведениясоответствующего анализа.

    На стадии совершенствования осуществляютсявыработка и принятие корректирующих и превентивных действий, основанных нарезультатах анализа, для достижения непрерывного усовершенствования СМИБорганизации.

    __________

    4 Циклическаямодель менеджмента Деминга, известная под названием модели “планирование — реализация- проверка — совершенствование — планирование — …” и являющаяся основой международныхстандартов менеджмента информационной безопасности (ISO/IEC IS 27001), менеджментакачества (ГОСТ Р ИСО 9001) и других стандартов, может применяться ко всем процессамСМИБ.

    Рисунок 1. Элементы процесса менеджментаИБ

    5.15.Использование для обеспечения ИБ организаций БС РФ “процессного подхода” набазе циклической модели Деминга, который является основой модели менеджментастандартов качества ГОСТ Р ИСО 9001 и ГОСТ Р ИСО 14001, позволит обеспечитьподдержку и интеграцию требований к различным системам менеджмента в рамкахобщего корпоративного менеджмента в организациях БС РФ. Требования настоящегостандарта к СМИБ для организаций БС РФ имеют прикладную практическуюнаправленность, определяющую условия, цели и задачи применения в организацияхБС РФ высокоуровневых международных стандартов для СМИБ организаций. Подобнымприкладным стандартом является Рекомендация Международного союза электросвязиX.1051, обеспечивающая практическую основу по применению положениймеждународного стандарта ISO/IEC IS 27001 в организациях, чей бизнес лежит вобласти телекоммуникаций.

    5.16.Обеспечение ИБ организации включает реализацию и поддержку процессов осознанияИБ и процессов менеджмента ИБ.

    Процессыосознания ИБ организации имеют отношение к руководству организации и определяютего ответственность в части реализации принципов обеспечения информационнойбезопасности организаций БС РФ, определенных положениями настоящего стандарта,а также требованиями раздела 5 “Ответственность высшего руководстваорганизации” международного стандарта ISO/IEC IS 27001.

    Процессыосознания ИБ должны охватывать всю организацию, а процессами менеджмента ИБможет быть охвачена ее часть или части. Обоснованием тому может бытьограниченность в ресурсах или времени. Необходимо стремиться к тому, чтобыпроцессы менеджмента ИБ организации распространялись на всю ее деятельность.

    5.17.Стратегия обеспечения ИБ организаций БС РФ, таким образом, заключается вразвертывании, эксплуатации и совершенствовании СМИБ организации, включающейдеятельность (процессы) менеджмента ИБ и стимулируемой и управляемой процессамиосознания ИБ. Деятельность (процессы) СМИБ организации должна обеспечивать достижениецелей деятельности организации в условиях:

    -штатного функционирования;

    -возникновения локальных инцидентов и проблем ИБ;

    -возникновения широкомасштабных катастроф и аварий различной природы,последствия которых имеют или могут иметь отношение к ИБ организации БС РФ.

    Приэтом менеджмент ИБ есть часть общего корпоративного менеджмента организации БСРФ, которая ориентирована на содействие достижению целей деятельностиорганизации через обеспечение защищенности ее информационной сферы. МенеджментИБ не должен рассматриваться как самостоятельный вид деятельности ворганизации. Осознание ИБ обеспечивает основу эффективного функционированияСМИБ организации, где под эффективностью понимается соотношение междудостигнутым результатом и использованными ресурсами.

    6.Основные принципы обеспечения информационной безопасности организаций БС РФ

    6.1. Общие принципы безопасногофункционирования организации

    6.1.1.Своевременность обнаружения проблем. Организация должна своевременнообнаруживать проблемы5, потенциально способные повлиять на еебизнес-цели.

    ___________

    5 Здесь и далее по текстустандарта рассматриваются проблемы, прямо или косвенно относящиеся к ИБ.

    6.1.2.Прогнозируемость развития проблем. Организация должна выявлятьпричинно-следственную связь возможных проблем и строить на этой основе точныйпрогноз их развития.

    6.1.3.Оценка влияния проблем на бизнес-цели. Организация должна адекватнооценивать степень влияния выявленных проблем на ее бизнес-цели.

    6.1.4.Адекватность защитных мер. Организация должна выбирать защитные меры,адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мери объема возможных потерь от выполнения угроз.

    6.1.5.Эффективность защитных мер. Организация должна эффективно реализовыватьпринятые защитные меры.

    6.1.6.Использование опыта при принятии и реализации решений. Организациядолжна накапливать, обобщать и использовать как свой опыт, так и опыт другихорганизаций на всех уровнях принятия решений и их исполнения.

    6.1.7.Непрерывность принципов безопасного функционирования. Организация должнаобеспечивать непрерывность реализации принципов безопасного функционирования.

    6.1.8.Контролируемость защитных мер. Организация должна применять только тезащитные меры, правильность работы которых может быть проверена, при этоморганизация должна регулярно оценивать адекватность защитных мер иэффективность их реализации с учетом влияния защитных мер на бизнес-целиорганизации.

    6.2. Специальные принципыобеспечения информационной безопасности организации

    Реализацияспециальных принципов обеспечения ИБ направлена на повышение уровня зрелостипроцессов управления ИБ в организации.

    6.2.1.Определенность целей. Функциональные цели и цели ИБ организации должны бытьявно определены во внутрибанковском документе. Неопределенность приводит к“расплывчатости” организационной структуры, ролей персонала, политик ИБ иневозможности оценки адекватности принятых защитных мер.

    6.2.2.Знание своих клиентов и служащих. Организация должна обладатьинформацией о своих клиентах, тщательно подбирать персонал (служащих),вырабатывать и поддерживать корпоративную этику, что создает благоприятнуюдоверительную среду для деятельности организации по управлению активами.

    6.2.3.Персонификация и адекватное разделение ролей и ответственности.Ответственность должностных лиц организации за решения, связанные с ееактивами, должна персонифицироваться и осуществляться преимущественно в формепоручительства. Она должна быть адекватной степени влияния на цели организации,фиксироваться в политиках, контролироваться и совершенствоваться.

    6.2.4.Адекватность ролей функциям и процедурам и их сопоставимость с критериями исистемой оценки. Роли должны адекватно отражать исполняемые функциии процедуры их реализации, принятые в организации. При назначениивзаимосвязанных ролей должна учитываться необходимая последовательность ихвыполнения. Роль должна быть согласована с критериями оценки эффективности еевыполнения. Основное содержание и качество исполняемой роли реальноопределяются применяемой к ней системой оценки.

    6.2.5.Доступность услуг и сервисов. Организация должна обеспечить доступностьдля своих клиентов и контрагентов услуг и сервисов в установленные сроки,определенные соответствующими договорами (соглашениями) и/или инымидокументами.

    6.2.6.Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемыезащитные меры должны быть устроены так, чтобы результат их применения был явнонаблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющимсоответствующие полномочия.

    7.Модели угроз и нарушителей информационной безопасности организаций БС РФ

    7.1.Модели угроз и нарушителей (прогноз ИБ) должны быть основным инструментомменеджмента организации при развертывании, поддержании и совершенствованиисистемы обеспечения ИБ организации.

    7.2.Деятельность организации БС РФ поддерживается входящей в ее составинформационной инфраструктурой, которая обеспечивает реализацию банковскихтехнологий и может быть представлена в виде иерархии следующих основныхуровней:

    -физического (линии связи, аппаратные средства и пр.);

    -сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы,концентраторы и пр.);

    -сетевых приложений и сервисов;

    -операционных систем (ОС);

    -банковских технологических процессов и приложений;

    -бизнес-процессов организации.

    7.3.На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы исредства защиты и подходы к оценке эффективности являются различными.

    7.4.Главной целью злоумышленника является получение контроля над активами на уровнебизнес-процессов. Прямое нападение на уровне бизнес-процессов, например, путемраскрытия конфиденциальной банковской аналитической информации, болееэффективно для злоумышленника и опаснее для собственника, чем нападение,осуществляемое через нижние уровни, требующее специфических опыта, знаний иресурсов (в т.ч. временных) и поэтому менее эффективное по соотношению“затраты/получаемый результат”.

    7.5.Организация должна определить конкретные объекты защиты на каждом из уровнейинформационной инфраструктуры.

    7.6.Наиболее актуальные источники угроз на физическом, сетевом уровнях и уровнесетевых приложений:

    -внешние источники угроз: лица, распространяющие вирусы и другие вредоносныепрограммы, хакеры, фрикеры6; и иные лица, осуществляющиенесанкционированный доступ (НСД);

    -внутренние источники угроз, реализующие угрозы в рамках своих полномочий и заих пределами (персонал, имеющий права доступа к аппаратному оборудованию, в томчисле сетевому, администраторы сетевых приложений и т.п.);

    — комбинированные источники угроз: внешние ивнутренние, действующие совместно и/или согласованно.

    ________

    6 Фрикер — злоумышленник,скрытно подключающийся с помощью различных устройств и приемов к телефонным сетям,обеспечивая себе связь с любой точкой мира, с указанием номера законногоабонента, который и оплачивает телефонные услуги.

    7.7.Наиболее актуальные источники угроз на уровнях операционных систем, системуправления базами данных, банковских технологических процессов:

    -внутренние, реализующие угрозы в рамках своих полномочий и за их пределами(администраторы ОС, администраторы СУБД, пользователи банковских приложений итехнологий, администраторы ИБ и т.д.);

    -комбинированные источники угроз: внешние и внутренние, действующие в сговоре7.

    _________

    7 На данных уровнях иуровне бизнес-процессов реализация угроз внешними источниками, действующимисамостоятельно, без соучастия внутренних, практически невозможна.

    7.8.Наиболее актуальные источники угроз на уровне бизнес-процессов:

    -внутренние источники, реализующие угрозы в рамках своих полномочий и за ихпределами (авторизованные пользователи и операторы АБС, представителименеджмента организации и пр.);

    -комбинированные источники угроз: внешние (например, конкуренты) и внутренние,действующие в сговоре.

    7.9.Также необходимо учитывать угрозы, связанные с природными и техногеннымикатастрофами и террористической деятельностью.

    7.10.Источники угроз для реализации угрозы используют уязвимости объектов и системызащиты.

    7.11.Хорошей практикой является разработка моделей угроз и нарушителей ИБ для даннойорганизации.

    Модельугроз ИБ включает описание источников угрозы, уязвимостей, используемыхугрозами, методов и объектов нападений, пригодных для реализации угрозы, типоввозможной потери (например, конфиденциальности, целостности, доступностиактивов), масштабов потенциального ущерба.

    Дляисточников угроз — людей — может быть разработана модель нарушителя ИБ,включающая описание их опыта, знаний, доступных ресурсов, необходимых дляреализации угрозы, и возможной мотивации их действий.

    Степеньдетализации параметров моделей угроз и нарушителей ИБ может быть различна иопределяется реальными потребностями для каждой организации в отдельности.

    7.12.При анализе угроз ИБ необходимо исходить из того, что эти угрозынепосредственно влияют на операционные риски деятельности организации.Операционные риски сказываются на бизнес-процессах организации.

    7.13.Операционные риски порождаются следующими эксплуатационными факторами:технические неполадки, ошибочные (случайные) и/или преднамеренные злоумышленныедействия персонала организации, ее клиентов при их непосредственном доступе кАБС организаций и другими факторами.

    7.14.Наиболее эффективным способом минимизации рисков нарушения ИБ для собственникаявляется разработка совокупности мероприятий, методов и средств, создаваемых иподдерживаемых для обеспечения требуемого уровня безопасности информационныхактивов в соответствии с политикой ИБ организации БС РФ, разрабатываемой в томчисле и на основе моделей угроз и нарушителей ИБ.

    8.Политика информационной безопасности организаций БС РФ

    8.1. Состав и назначение политикиинформационной безопасности организации БС РФ

    8.1.1.Собственник (и/или менеджмент) организации должен обеспечить разработку,принятие и внедрение политики ИБ организации БС РФ, включая выделение требуемыхдля реализации этой политики ресурсов.

    8.1.2.Политика ИБ должна описывать цели и задачи СМИБ и определять совокупностьправил, требований и руководящих принципов в области ИБ, которымируководствуется организация в своей деятельности.

    8.1.3.Должны быть назначены лица, ответственные за реализацию политики ИБ иподдержание ее в актуальном состоянии.

    8.2. Общие (основные) требования по обеспечению информационнойбезопасности, отображаемые в политиках информационной безопасности организацииБС РФ

    8.2.1. Общие требования по обеспечениюинформационной безопасности для организации БС РФ

    8.2.1.1.Требования ИБ должны быть взаимоувязаны в непрерывный по задачам, подсистемам,уровням и стадиям жизненного цикла комплекс.

    8.2.1.2.Требования ИБ должны определять содержание и цели деятельности организации БСРФ в рамках процессов управления ИБ.

    8.2.1.3.Эти требования должны быть сформулированы как минимум для следующих областей:

    -назначения и распределения ролей и доверия к персоналу;

    -стадий жизненного цикла АБС;

    -защиты от НСД, управления доступом и регистрацией в АБС, в телекоммуникационномоборудовании и автоматических телефонных станциях и т.д.;

    -антивирусной защиты;

    -использования ресурсов Интернет;

    -использования средств криптографической защиты информации;

    -защиты банковских платежных и информационных технологических процессов.

    ПолитикаИБ организации БС РФ может учитывать и другие области, такие, как обеспечениенепрерывности, физическая защита и т.д., отвечающие ее бизнес-целям.

    8.2.2.Общие требования по обеспечению информационной безопасности при назначении ираспределении ролей и обеспечении доверия к персоналу

    8.2.2.1.Роль — это заранее определенная совокупность правил, устанавливающих допустимоевзаимодействие между субъектом, например, сотрудником организации, и некимобъектом, например, программно-аппаратным средством.

    Дляэффективного выполнения целей организации и задач по управлению активами должныбыть выделены и определены соответствующие роли персонала организации. Ролиследует персонифицировать с установлением ответственности за их исполнение.Формирование ролей, как правило, должно осуществляться на основаниибизнес-процессов. Ответственность должна быть зафиксирована в должностныхинструкциях.

    8.2.2.2.При определении ролей для сотрудников организации БС РФ необходимо учитывать целиорганизации, имеющиеся ресурсы, функциональные и процедурные требования,критерии оценки эффективности выполнения правил для данной роли.

    8.2.2.3.Не рекомендуется, чтобы одна персональная роль целиком отражала цель, например,включала все правила, требуемые для реализации бизнес-процесса. Совокупностьправил, составляющих роли, не должна быть критичной для организации с точкизрения последствий успешного нападения на ее исполнителя. Не следует совмещатьв одном лице (в любой комбинации) роли разработки, сопровождения, исполнения,администрирования или контроля, например, исполнителя и администратора,администратора и контролера или других комбинаций.

    8.2.2.4.Роль должна быть обеспечена ресурсами, необходимыми и достаточными для еевыполнения.

    8.2.2.5.Роли должны группироваться и взаимодействовать так, чтобы организационнаяструктура соответствовала целям организации. Роль одного из руководителейорганизации (уполномоченного менеджера, высшего менеджера и т.п.) должнавключать задачу координации своевременности и качества выполнения ролейсотрудников для достижения целей организации.

    8.2.2.6.Ненадлежащее выполнение правил назначения и распределения ролей создаетуязвимости.

    8.2.2.7.Для контроля за качеством выполнения требований ИБ в организации должны бытьвыделены и определены роли по обеспечению ИБ.

    8.2.2.8.При приеме на работу должны быть проверены идентичность личности, заявляемаяквалификация, точность и полнота биографических фактов, наличие рекомендаций.

    8.2.2.9.Лиц, которых предполагается принять на работу, связанную с защищаемыми активамиили операциями, следует подвергать проверке в части профессиональных навыков иоценки профессиональной пригодности. Рекомендуется выполнять контрольныепроверки уже работающих сотрудников регулярно, а также внепланово при выявлениифактов их нештатного поведения, или участия в инцидентах ИБ, или подозрений втаком поведении или участии.

    8.2.2.10.Весь персонал организации БС РФ должен давать письменное обязательство особлюдении конфиденциальности, приверженности правилам корпоративной этики,включая требования по недопущению конфликта интересов. При этом условие особлюдении конфиденциальности должно распространяться на всю защищаемуюинформацию, доверенную сотруднику или ставшую ему известной в процессе выполненияим своих служебных обязанностей.

    Длявнешних организаций требования по ИБ регламентируются положениями, включаемымив договоры (соглашения).

    8.2.2.11.Персонал организации должен быть компетентным для выполнения своих функций вобласти обеспечения ИБ. Компетентность персонала следует обеспечивать с помощьюпроцессов обучения в области ИБ, осведомленности персонала и периодическойпроверки уровня компетентности.

    8.2.2.12.Обязанности персонала по выполнению требований ИБ в соответствии с положениями ISOTR 13569 и ISO/IEC IS 17799-2005следует включать в трудовые контракты (соглашения, договоры).

    8.2.3. Общие требования по обеспечениюинформационной безопасности автоматизированных банковских систем на стадияхжизненного цикла

    8.2.3.1.ИБ АБС должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) АБС,автоматизирующих банковские технологические процессы, с учетом всех сторон,вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов иуслуг, эксплуатирующих и надзорных подразделений организации).

    8.2.3.2.При заказе АБС модель ЖЦ (стадии ЖЦ, этапы работ и процессы ЖЦ, выполняемые наэтих стадиях) рекомендуется определять в соответствии с ГОСТ34.601-90 и документом ISO/IEC IS 15288-2002.

    8.2.3.3.Разработка технических заданий, проектирование, создание и тестирование иприемка средств и систем защиты АБС должны осуществляться по согласованию сподразделениями (лицами) в организации БС РФ, ответственными за обеспечение ИБ.

    8.2.3.4.Ввод в действие, эксплуатация, снятие с эксплуатации АБС в части вопросов ИБдолжны осуществляться при участии подразделения (лиц) в организации,ответственного за обеспечение ИБ.

    8.2.3.5.На стадиях, связанных с разработкой АБС (определение требованийзаинтересованных сторон, анализ требований, архитектурное проектирование,реализация, интеграция и верификация, поставка, ввод в действие), разработчикомдолжна быть обеспечена защита от угроз:

    -неверной формулировки требований к АБС;

    -выбора неадекватной модели ЖЦ АБС, в том числе неадекватного выбора процессовЖЦ и вовлеченных в них участников;

    -принятия неверных проектных решений;

    -внесения разработчиком дефектов на уровне архитектурных решений;

    -внесения разработчиком недокументированных возможностей в АБС;

    -неадекватной (неполной, противоречивой, некорректной и пр.) реализациитребований к АБС;

    -разработки некачественной документации;

    -сборки АБС разработчиком/производителем с нарушением требований, что приводит кпоявлению недокументированных возможностей в АБС либо к неадекватной реализациитребований;

    -неверного конфигурирования АБС;

    -приемки АБС, не отвечающей требованиям заказчика;

    -внесения недокументированных возможностей в АБС в процессе проведенияприемочных испытаний посредством недокументированных возможностейфункциональных тестов и тестов ИБ.

    8.2.3.6.Привлекаемые для разработки и(или) производства средств и систем защиты АБС надоговорной основе специализированные организации должны иметь лицензии на данныйвид деятельности в соответствии с законодательством РФ.

    8.2.3.7.При приобретении организациями БС РФ готовых АБС и их компонентов разработчикомдолжна быть предоставлена документация, содержащая в том числе описаниезащитных мер, предпринятых разработчиком в отношении угроз, перечисленных в п.8.2.3.5.

    Такжеразработчиком должна быть представлена документация, содержащая описаниезащитных мер, предпринятых разработчиком АБС, и их компонентов относительнобезопасности разработки, безопасности поставки и эксплуатации, поддержкижизненного цикла, включая описание модели жизненного цикла, оценки уязвимости.Данная документация может быть представлена в рамках декларации о соответствииили быть результатом оценки соответствия изделия, проведенной в рамках соответствующейсистемы оценки.

    Вдоговор (контракт) о поставке АБС и их компонентов организациям БС РФрекомендуется включать положения по сопровождению поставляемых изделий на весьсрок их службы. В случае невозможности включения в договор (контракт) указанныхтребований к разработчику должна быть рассмотрена возможность приобретенияполного комплекта рабочей конструкторской документации на изделие,обеспечивающего возможность сопровождения АБС и их компонентов без участияразработчика. Если оба указанных варианта неприемлемы, например, вследствиевысокой стоимости, руководство организации БС РФ должно обеспечить анализвлияния угрозы невозможности сопровождения АБС и их компонентов на обеспечениенепрерывности бизнеса.

    8.2.3.8.На стадии эксплуатации в соответствии с документом ISO TR 13569 должна бытьобеспечена защита от следующих угроз:

    -умышленное несанкционированное раскрытие, модификация или уничтожениеинформации;

    -неумышленная модификация или уничтожение информации;

    -недоставка или ошибочная доставка информации;

    -отказ в обслуживании или ухудшение обслуживания.

    Кромеэтого, актуальной является угроза отказа от авторства сообщения.

    8.2.3.9.На стадии сопровождения должна быть обеспечена защита от угроз:

    -внесения изменений в АБС, приводящих к нарушению ее функциональности либо кпоявлению недокументированных возможностей;

    -невнесения разработчиком/поставщиком изменений, необходимых для поддержкиправильного функционирования и правильного состояния АБС.

    8.2.3.10.На стадии снятия с эксплуатации должно быть обеспечено удаление информации,несанкционированное использование которой может нанести ущерббизнес-деятельности организации, и информации, используемой средствамиобеспечения ИБ, из постоянной памяти АБС или с внешних носителей.

    8.2.3.11.Требования ИБ должны включаться во все договоры и контракты на проведение работили оказание услуг на всех стадиях ЖЦ АБС.

    8.2.4. Общие требования по обеспечениюинформационной безопасности при управлении доступом и регистрации

    8.2.4.1.При распределении прав доступа персонала и клиентов к активам организации БС РФследует руководствоваться специальным принципом “знание своих клиентов ислужащих” (см. п. 6.2.2), выражаемым следующим образом:

    -“знать своего клиента”8;

    -“знать своего служащего”9;

    -“необходимо знать”10,

    атакже руководствоваться принципом “двойное управление”11.

    ____________

    8“Знать своего клиента”(Know your Customer): принцип, используемый регулирующими органами длявыражения отношения к финансовым организациям с точки зрения знаниядеятельности их клиентов [ISO TR 13569].

    9“Знать своего служащего”(Know your Employee): принцип, демонстрирующий озабоченность организации поповоду отношения служащих к своим обязанностям и возможных проблем, таких, какзлоупотребление имуществом, аферы или финансовые трудности, которые могутприводить к проблемам с безопасностью [ISO TR 13569].

    10“Необходимо знать” (Needto Know): принцип безопасности, который ограничивает доступ к информации иресурсам по обработке информации тем, кому требуется выполнять определенныеобязанности [ISO TR 13569].

    11“Двойное управление”(Dual Control): принцип сохранения целостности процесса и борьбы с искажениемфункций системы, требующий того, чтобы два лица независимо предпринимали некоедействие до завершения определенных транзакций [ISO TR 13569].

    8.2.4.2.В составе АБС должны применяться встроенные механизмы защиты информации, атакже могут использоваться сертифицированные или разрешенные к применениюсредства защиты информации от НСД.

    8.2.4.3.В организации должны обеспечиваться: идентификация, аутентификация,авторизация; управление доступом; контроль целостности; регистрация, включая:

    -функционирование системы парольной защиты электронных вычислительных машин(ЭВМ) и локальных вычислительных сетей (ЛВС). Рекомендуется организовать службуцентрализованной парольной защиты для генерации, распространения, смены,удаления паролей, разработки необходимых инструкций, контроля за действиямиперсонала по работе с паролями;

    -непротиворечивая и прозрачная административно-техническая поддержка задачуправления доступом к ресурсам ЭВМ и/или ЛВС. Назначение/лишение полномочий подоступу сотрудников к ресурсам ЭВМ и/или ЛВС санкционируется руководителемфункционального подразделения организации, несущего персональнуюответственность за обеспечение ИБ в данном подразделении;

    -контроль доступа пользователей к ресурсам ЭВМ и/или ЛВС. Оперативный контрольдоступа пользователей осуществляется подразделениями (лицами) в организации,ответственными за обеспечение ИБ;

    -формирование уникальных идентификаторов сообщений и идентификаторовпользователей (виды идентификаторов определяются особенностями конкретноготехнологического процесса);

    -регистрация действий персонала и пользователей в специальном электронном журнале.Данный электронный журнал должен быть доступным для чтения, просмотра, анализа,хранения и резервного копирования только администратору ИБ. При невозможностиподдержки данного режима эксплуатирующимися в организации БС РФаппаратно-программными средствами реализация данного требования должна бытьобеспечена организационными и/или административными мерами.

    8.2.5. Общие требования по обеспечениюинформационной безопасности средствами антивирусной защиты

    8.2.5.1.В организации должны применяться только официально приобретенные средстваантивирусной защиты. Установка и регулярное обновление средств антивируснойзащиты на автоматизированных рабочих местах и серверах АБС должныосуществляться администраторами АБС.

    Лучшейпрактикой является автоматическая установка обновлений антивирусногопрограммного обеспечения.

    8.2.5.2.При обеспечении антивирусной защиты в организации должны быть разработаны ивведены в действие инструкции по антивирусной защите, учитывающие особенностибанковских технологических процессов. Особое внимание должно быть уделеноантивирусной фильтрации трафика электронного почтового обмена.

    Лучшейпрактикой является построение эшелонированной централизованной системыантивирусной защиты, предусматривающей использование средств антивируснойзащиты различных производителей и их раздельную установку на рабочих станциях,почтовых серверах и межсетевых экранах.

    8.2.5.3.В ЭВМ и АБС не допускается присутствие и использование программного обеспеченияи данных, не связанных с выполнением конкретных функций в банковскихтехнологических процессах организации.

    8.2.5.4.Устанавливаемое или изменяемое программное обеспечение должно бытьпредварительно проверено на отсутствие вирусов. После установки или измененияпрограммного обеспечения должна быть выполнена антивирусная проверка.

    8.2.5.5.При обнаружении компьютерного вируса необходимо принять меры по устранениюпоследствий вирусной атаки, проинформировать руководство и приостановить принеобходимости работу (на период устранения последствий вирусной атаки).

    8.2.5.6.Отключение или необновление антивирусных средств не допускается. Установка иобновление антивирусных средств в организации должны контролироватьсяпредставителями подразделений (лицами) в организации, ответственными заобеспечение ИБ.

    8.2.5.7.Ответственность за выполнение требований инструкции по антивирусной защитедолжна быть возложена на руководителя функционального подразделенияорганизации, а обязанности по выполнению мер антивирусной защиты должны бытьвозложены на каждого сотрудника организации, имеющего доступ к ЭВМ и/или АБС.

    8.2.6. Общие требования по обеспечениюинформационной безопасности при использовании ресурсов сети Интернет

    8.2.6.1.Ресурсы сети Интернет в организации БС РФ могут использоваться для ведениядистанционного банковского обслуживания (например, Internet-banking), полученияи распространения информации, связанной с банковской деятельностью (путемсоздания информационных web-сайтов), информационно-аналитической работы винтересах организации, обмена почтовыми сообщениями исключительно с внешнимиорганизациями, а также ведения собственной хозяйственной деятельности.

    Иноеиспользование ресурсов сети Интернет, решение о котором не принято руководствоморганизации в установленном порядке, должно рассматриваться как нарушение ИБ.

    Припринятии руководством организации решений об использовании сети Интернет дляпроизводственной и/или собственной хозяйственной деятельности необходимоучитывать следующие положения:

    -сеть Интернет не имеет единого органа управления (за исключением службыуправления пространством имен и адресов) и не является юридическим лицом, скоторым можно было бы заключить договор (соглашение). Провайдеры (посредники)сети Интернет могут обеспечить только те услуги, которые реализуютсянепосредственно ими;

    -гарантии по обеспечению ИБ при использовании сети Интернет никаким органом непредоставляются.

    8.2.6.2.В организациях БС РФ, осуществляющих дистанционное банковское обслуживаниеклиентов, в связи с повышенными рисками информационной безопасности привзаимодействии с сетью Интернет обязательно должны применяться соответствующиесредства защиты информации (межсетевые экраны, антивирусные средства, средствакриптографической защиты информации (СКЗИ) и пр.), обеспечивающие прием ипередачу информации только в установленном формате и только для конкретнойтехнологии. Хорошей практикой является выделение и неподключение к внутреннимсетям ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет.

    8.2.6.3.Почтовый обмен через сеть Интернет должен осуществляться с использованиемзащитных мер.

    Хорошейпрактикой является наличие в организации ограниченного количества точекпочтового обмена с сетью Интернет, состоящих из внешнего (подключенного к сетиИнтернет) и внутреннего (подключенного к внутренним сетям организации) почтовыхсерверов с безопасной системой репликации почтовых сообщений между ними(интернет-киоски).

    8.2.6.4.Электронная почта должна архивироваться. Архив должен быть доступен толькоподразделению (лицу) в организации, ответственному за обеспечение ИБ. Измененияв архиве не допускаются. Доступ к информации архива должен быть ограничен.

    8.2.6.5. В организациях БС РФ наличие банковскойинформации на ЭВМ, с помощью которых осуществляется взаимодействие с сетьюИнтернет в режиме on-line, определяется бизнес-целями организации. При этомнеобходимо учитывать высокую вероятность несанкционированного доступа, потери иискажения данной информации. Хорошей практикой является практика, когда ЭВМ, спомощью которых осуществляется взаимодействие с сетью Интернет в режимеon-line, не содержат никакой банковской информации (в т.ч. открытой).

    8.2.6.6.При взаимодействии с сетью Интернет должно обеспечиваться противодействиеатакам хакеров и распространению спама12.

    ________

    12Спам — общеенаименование не запрошенных пользователями электронных посланий и рекламныхписем, рассылаемых в Интернете по ставшим известными рассылающей сторонеадресам пользователей.

    8.2.6.7.Порядок подключения и использования ресурсов сети Интернет в организации БС РФдолжен контролироваться подразделениями (лицами) в организации, ответственнымиза обеспечение ИБ. Любое подключение и использование сети Интернет должно бытьсанкционировано руководством функционального подразделения организации.

    8.2.7.Общие требования по обеспечению информационной безопасности при использованиисредств криптографической защиты информации

    8.2.7.1.Средства криптографической защиты информации:

    -должны допускать встраивание в технологическую схему обработки электронныхсообщений, обеспечивать взаимодействие с прикладным программным обеспечением науровне обработки запросов на криптографические преобразования и выдачирезультатов;

    -должны поставляться разработчиками с полным комплектом эксплуатационнойдокументации, включая описание ключевой системы, правила работы с ней, а такжеобоснование необходимого организационно-штатного обеспечения;

    -должны быть реализованы на основе алгоритмов, соответствующих национальнымстандартам РФ, условиям договора с контрагентом и(или) стандартам организации;

    -должны иметь строгий регламент использования ключей, предполагающий контроль состороны администратора ИБ организации за действиями пользователя на всех этапахработы с ключевой информацией (получение ключевого носителя, ввод ключей,использование ключей и сдача ключевого носителя);

    -должны обеспечивать реализацию процедур сброса ключей в случаях отсутствияштатной активности пользователей в соответствии с регламентом использованияключей или при переходе АБС в нештатный режим работы;

    -не должны содержать требований к ЭВМ по специальной проверке на отсутствиезакладных устройств, если иное не оговорено в технической документации наконкретное средство защиты;

    -не должны требовать дополнительной защиты от утечки по побочным каналамэлектромагнитного излучения.

    8.2.7.2.При применении СКЗИ в АБС должны поддерживаться непрерывность процессовпротоколирования работы СКЗИ и обеспечения целостности программного обеспечениядля всех звеньев АБС.

    8.2.7.3.ИБ процессов изготовления ключевых документов СКЗИ должна обеспечиватьсякомплексом технологических, организационных, технических и программных мер исредств защиты.

    8.2.7.4.Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем вАБС хорошей практикой является реализация процедуры мониторинга,регистрирующего все значимые события, состоявшиеся в процессе обменаэлектронными сообщениями, и все инциденты ИБ.

    8.2.7.5.Внутренний порядок применения СКЗИ в АБС определяется руководством организациии должен включать:

    -порядок ввода в действие;

    -порядок эксплуатации;

    -порядок восстановления работоспособности в аварийных случаях;

    -порядок внесения изменений;

    -порядок снятия с эксплуатации;

    -порядок управления ключевой системой;

    -порядок обращения с носителями ключевой информации.

    8.2.7.6.Ключи кодов аутентификации (КА) и/или электронной цифровой подписи (ЭЦП) должныизготавливаться в каждой организации самостоятельно. В случае изготовленияключей КА, ЭЦП для одной организации в другой организации БС РФ согласие первойорганизации считать данный ключ своим должно быть зафиксировано в договоре.

    8.2.8. Общие требования по обеспечениюинформационной безопасности банковских платежных технологических процессов

    8.2.8.1.Система обеспечения информационной безопасности банковского платежноготехнологического процесса должна соответствовать требованиям пунктов 8.2.2- 8.2.7настоящего стандарта и иных нормативных документов по вопросам информационнойбезопасности, действие которых распространяется на банковскую системуРоссийской Федерации.

    8.2.8.2.В качестве объектов защиты должны рассматриваться:

    -банковский платежный технологический процесс;

    -платежная информация;

    -технологический процесс по управлению ролями и полномочиями сотрудниковорганизации БС РФ, задействованных в обеспечении банковского платежноготехнологического процесса.

    8.2.8.3.Банковский платежный технологический процесс должен быть однозначно определен(отражен) в нормативно-методических документах организации БС РФ.

    8.2.8.4.Порядок обмена платежной информацией должен быть зафиксирован в договорах междуучастниками, осуществляющими обмен платежной информацией. В роли участниковмогут выступать организации БС РФ, юридические и физические лица.

    8.2.8.5.Сотрудники организации БС РФ, в том числе администраторы автоматизированныхсистем и средств защиты информации, не должны обладать всей полнотой полномочийдля бесконтрольного создания, авторизации, уничтожения и изменения платежнойинформации, а также проведения операций по изменению состояния банковскихсчетов.

    8.2.8.6.Результаты технологических операций по обработке платежной информации должныбыть контролируемы (проверены) и удостоверены лицами/автоматизированнымипроцессами. Лица/автоматизированные процессы, осуществляющие обработкуплатежной информации и контроль (проверку) результатов обработки, должны бытьнезависимы друг от друга.

    8.2.8.7.При работе с платежной информацией необходимо проводить авторизацию и контрольцелостности данной информации.

    Лучшейпрактикой при автоматизированной обработке платежной информации являетсяоснащение средств вычислительной техники (на которых осуществляются операциинад платежной информацией) сертифицированными или разрешенными руководителеморганизации БС РФ к применению средствами защиты от НСД и средствамикриптографической защиты информации.

    8.2.8.8.Подготовленная клиентами организации БС РФ платежная информация, на основаниикоторой совершаются расчетные, учетные и кассовые операции, предназначена длявнутреннего использования в организации БС РФ и может быть передана иныморганизациям только в соответствии с действующим законодательством РоссийскойФедерации.

    Указаннаяинформация относится к категории строгой отчетности. Ограничительные пометки(грифы) “Для служебного пользования”, “Конфиденциально” или “Банковская тайна”на документы, содержащие данную информацию, не проставляются.

    Безопасностьинформации, отнесенной к банковской тайне, обеспечивается в соответствии состатьей 26 Федерального закона “О банках и банковской деятельности”.

    8.2.8.9.Обязанности по администрированию средств защиты платежной информации длякаждого технологического участка ее прохождения возлагаются приказом поорганизации БС РФ на сотрудников (сотрудника), задействованных на данномтехнологическом участке (администраторов информационной безопасности), сотражением этих функций в его должностных обязанностях.

    Администраторинформационной безопасности должен действовать на основании соответствующегонормативного документа, разработанного в организации БС РФ и утвержденногоруководством организации БС РФ.

    Хорошейпрактикой является назначение денежной надбавки администратору информационнойбезопасности к его должностному окладу.

    8.2.8.10.Комплекс мер по обеспечению информационной безопасности банковского платежноготехнологического процесса должен предусматривать:

    -защиту платежной информации от искажения, фальсификации, переадресации,несанкционированного уничтожения, ложной авторизации платежных документов;

    -минимально необходимый, гарантированный доступ сотрудника организации БС РФтолько к тем ресурсам банковского платежного технологического процесса, которыенеобходимы ему для исполнения служебных обязанностей или реализации прав,предусмотренных технологией обработки платежной информации;

    -контроль (мониторинг) исполнения установленной технологии подготовки,обработки, передачи и хранения платежной информации;

    -аутентификацию обрабатываемой платежной информации;

    -двустороннюю аутентификацию автоматизированных рабочих мест, участников обменаплатежной информацией;

    -восстановление платежной информации в случае ее умышленного (случайного)разрушения (искажения) или выхода из строя средств вычислительной техники;

    -авторизованный ввод платежной информации в автоматизированные банковскиесистемы двумя сотрудниками с последующей программной сверкой результатов вводана совпадение (Dual Control, ISO TR 13569);

    -сверку выходных платежных сообщений с соответствующими поступившими платежнымисообщениями;

    -гарантированную доставку платежных сообщений участникам обмена.

    8.2.8.11.Организации БС РФ — члены международных платежных систем с использованиембанковских карт должны обеспечивать выполнение требований данных систем поинформационной безопасности.

    8.2.9. Общие требования по обеспечениюинформационной безопасности банковских информационных технологических процессов

    8.2.9.1.Система обеспечения информационной безопасности банковского информационноготехнологического процесса должна соответствовать требованиям пунктов 8.2.2- 8.2.7настоящего стандарта и иных нормативных документов по вопросам информационнойбезопасности, действие которых распространяется на БС РФ.

    8.2.9.2.В организации БС РФ неплатежная информация классифицируется как:

    -открытая информация, предназначенная для официальной передачи во внешниеорганизации и средства массовой информации;

    -внутренняя банковская информация, предназначенная для использованияисключительно сотрудниками организации БС РФ при выполнении ими своих служебныхобязанностей;

    -информация, содержащая сведения ограниченного распространения в соответствии сутвержденным организацией БС РФ Перечнем, подлежащая защите в соответствии сзаконодательством РФ, например, банковская тайна, персональные данные;

    -информация, полученная из федеральных органов исполнительной власти исодержащая сведения ограниченного распространения;

    -информация, содержащая сведения, составляющие государственную тайну.

    Каждомувиду информации соответствует свой необходимый уровень защиты (свой набортребований по защите).

    Таккак требования по защите двух последних видов информации определяютсягосударственными нормативно-методическими документами, то вопросы обеспечениязащиты информации, содержащей указанные сведения, в настоящем стандарте нерассматриваются. Автоматизированные системы организации БС РФ, обрабатывающие,хранящие и/или передающие такую информацию, должны быть физически изолированыот прочих автоматизированных систем данной организации.

    8.2.9.3.В качестве объектов защиты должны рассматриваться:

    -информационные ресурсы;

    -управляющая информация АБС;

    -банковский информационный технологический процесс.

    8.2.9.4.Организация БС РФ несет ответственность за:

    -достоверность информации, официально предоставляемой внешним организациям игражданам;

    -достоверность и выполнение регламента предоставления внешним организациям игражданам информации, обязательность и порядок предоставления которой определенызаконодательством Российской Федерации и/или нормативными документами БанкаРоссии;

    -обеспечение соответствующего законодательству Российской Федерации уровнязащиты как собственной информации, так и информации, официально полученной извнешних организаций и от граждан.

    8.2.9.5.Если в АБС обрабатывается информация, требующая по решению руководства защиты,то соответствующим распоряжением должен быть назначен администраторинформационной безопасности. Допускаются назначение одного администратора информационнойбезопасности на несколько АБС, а также совмещение выполнения указанных функцийс другими обязанностями.

    Приэтом совмещение в одном лице функций администратора АБС и администратораинформационной безопасности АБС не допускается.

    8.2.9.6.Администратор АБС не должен иметь служебных полномочий (а при возможности итехнических средств) по настройке параметров системы, влияющих на полномочияпользователей по доступу к информации. Однако он должен иметь право добавить всистему нового пользователя без всяких полномочий по доступу к информации, атакже удалить из системы такого пользователя.

    Администраторинформационной безопасности АБС должен иметь служебные полномочия и техническиевозможности по контролю действий соответствующих администраторов АБС (безвмешательства в их действия) и пользователей, а также полномочия (а привозможности и технические средства) по настройке для каждого пользователятолько тех параметров системы, которые определяют права доступа к информации.Устанавливаемые права доступа к информации должны назначаться подразделениеморганизации БС РФ, ответственным за эту информацию (владельцем информационногоактива).

    Администраторинформационной безопасности не должен иметь права добавить нового пользователяв АБС, а также удалить из нее существующего пользователя.

    Вслучае отсутствия у администратора информационной безопасности техническихвозможностей по настройке параметров АБС, влияющих на полномочия пользователейпо доступу к информации, эти настройки выполняются администратором АБС, но собязательным предварительным согласованием устанавливаемых прав доступапользователей к информации с администратором информационной безопасности.

    Длякаждой АБС должен быть определен порядок контроля ее функционирования состороны лиц, отвечающих за ИБ.

    8.2.9.7.Процессы подготовки, ввода, обработки и хранения информации, а также порядокустановки, настройки, эксплуатации и восстановления необходимых технических ипрограммных средств должны быть регламентированы и обеспечены инструктивными иметодическими материалами, согласованными со службой информационнойбезопасности.

    8.2.9.8.Должна осуществляться и быть регламентирована процедура периодическоготестирования всех реализованных программно-техническими средствами функций(требований) по обеспечению ИБ. Регламентирующие документы должны бытьсогласованы со службой ИБ.

    8.2.9.9.Должна осуществляться и быть регламентирована процедура восстановления всехреализованных программно-техническими средствами функций по обеспечению ИБ.Регламентирующие документы должны быть согласованы со службой ИБ.

    9.Система менеджмента информационной безопасности организации БС РФ

    9.1. Планирование СМИБ

    Дляуспешного функционирования СМИБ организации БС РФ следует реализовать следующиепроцессы:

    а)определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ.Определение/уточнение области действия СМИБ должно осуществляться на основерезультатов оценки операционных рисков, а также оценки репутационных и правовыхрисков деятельности организации БС РФ;

    б)анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичныхинформационных активов и бизнес-процессов организации. При анализе и оценкерисков ИБ должны использоваться положения раздела7 настоящего стандарта;

    в)определение/уточнение политики для СМИБ организации;

    г)выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисковИБ. Цели ИБ и защитные меры могут быть выбраны на основе раздела 8 настоящегостандарта, а дополнительно на основе:

    1)международного стандарта ISO/IEC IS 27001-2005 или положений международногостандарта ISO/IEC IS 17799-2005,обеспечивающего большую детализацию;

    2)стандартов ISO TR 13569, COBIT, BSI PAS 56 и других руководств по обеспечениюинформационной безопасности;

    3)ГОСТ Р ИСО/МЭК 15408-1-2002 в части требованийк продуктам информационных технологий;

    4)стандартов ISO/IEC TR 18028, ISO/IEC TR 18043, ISO/IEC TR 18044 и другихстандартов для отдельных областей обеспечения ИБ.

    Обоснованиепо обработке рисков с учетом применения защитных мер должно быть подготовлено ввиде отдельного документа (аналогичного документу “Statement of applicability”по ISO/IEC IS 27001), являющегося основой для разработки плана обработки рисковИБ;

    д)принятие менеджментом организации БС РФ остаточных рисков и решения ореализации и эксплуатации/совершенствовании СМИБ. Остаточные риски ИБ должныбыть соотнесены с рисками банковской деятельности и оценено их влияние надостижение целей деятельности организации БС РФ.

    9.2. Реализация и эксплуатация СМИБ

    ОрганизацииБС РФ следует реализовать следующие процессы:

    а)разработка плана обработки рисков ИБ;

    б)реализация плана обработки рисков ИБ и реализация защитных мер, управлениеработами и ресурсами, связанными с реализацией СМИБ;

    в)реализация программ по обучению и осведомленности ИБ. Реализация процесса пообучению и осведомленности ИБ должна обеспечиваться с учетом требований раздела8 международного стандарта ISO/IEC IS 17799-2005;

    г)обнаружение и реагирование на инциденты безопасности. Реализация процессаобнаружения и реагирования на инциденты безопасности должна обеспечиваться сучетом требований раздела 13 международного стандарта ISO/IEC IS 17799-2005и технического отчета ISO/IEC TR 18044;

    д)обеспечение непрерывности бизнеса и восстановления после прерываний.Обеспечение непрерывности бизнеса и восстановления после прерываний должныобеспечиваться с учетом требований раздела 14 международного стандарта ISO/IECIS 17799-2005и положений BSI PAS-56.

    9.3. Проверка (мониторинг и анализ) СМИБ

    Процессымониторинга и анализа СМИБ организации должны быть интегрированы в системувнутреннего контроля организаций БС РФ.

    Организацииследует реализовать следующие процессы мониторинга и анализа СМИБ:

    а)мониторинг и контроль защитных мер, включая регистрацию действий и событий,связанных со СМИБ;

    б)анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемогорисков ИБ;

    в)внутренний аудит СМИБ;

    г)анализ СМИБ со стороны высшего руководства;

    д)проведение периодического внешнего аудита СМИБ.

    9.4. Совершенствование СМИБ

    Организацииследует реализовать следующие процессы:

    а)реализация тактических улучшений в СМИБ, осуществляемых в рамках полномочийслужб (ответственных) ИБ организации;

    б)реализация стратегических улучшений СМИБ, требующих принятия решений на уровнеруководства организации и инициирования процессов планирования СМИБ.Использование опыта;

    в)информирование об изменениях и их согласование с заинтересованными сторонами;

    г)оценка достижения поставленных целей и потребностей в развитии СМИБ.

    9.5. Система документации

    Организацииследует использовать систему менеджмента документации для СМИБ. Документы вданной системе необходимо соответствующим образом защищать и контролировать.Данная система должна также включать любые записи, которые создаются илиподдерживаются для обеспечения свидетельств эффективной работы СМИБ.

    9.6. Обеспечение непрерывности бизнеса (деятельности) и восстановлениепосле прерываний

    Организацииследует разработать и внедрить план обеспечения непрерывности бизнеса(деятельности) и восстановления после прерываний. Данный план и соответствующиепроцессы восстановления должны пересматриваться на регулярной основе исвоевременно обновляться (например, при существенных изменениях в операционнойдеятельности, организационной структуре, бизнес-процессах и автоматизированныхбанковских системах). Эффективность документированных процедур восстановления необходимопериодически проверять и тестировать (как минимум на полугодовой основе). Сданным планом должны быть ознакомлены все сотрудники, отвечающие за еговыполнение и вовлеченные в процессы восстановления.

    Вкачестве методологической основы при разработке плана могут быть использованыобщепринятые международные стандарты, регулирующие вопросы менеджментанепрерывности бизнеса (например, BSI PAS-56).

    9.7. Служба информационной безопасности (уполномоченное лицо)организации БС РФ

    9.7.1.Для реализации задач развертывания и эксплуатации СМИБ организациирекомендуется иметь в своем составе (самостоятельную или в составе службыбезопасности) службу ИБ (уполномоченное лицо). Службу ИБ (уполномоченное лицо)рекомендуется наделить следующими полномочиями:

    -управлять всеми планами по обеспечению ИБ организации;

    -разрабатывать и вносить предложения по изменению политики ИБ организации;

    -изменять существующие и принимать новые нормативно-методические документы пообеспечению ИБ организации;

    -выбирать средства управления и обеспечения ИБ организации;

    -контролировать пользователей, в первую очередь пользователей, имеющихмаксимальные полномочия;

    -контролировать активность, связанную с доступом и использованием средствантивирусной защиты, а также связанную с применением других средств обеспеченияИБ;

    -осуществлять мониторинг событий, связанных с ИБ;

    -расследовать события, связанные с нарушениями ИБ, и в случае необходимостивыходить с предложениями по применению санкций в отношении лиц, осуществившихпротивоправные действия, например, нарушивших требования инструкций, руководстви т.п. по обеспечению ИБ организации;

    -участвовать в действиях по восстановлению работоспособности АБС после сбоев иаварий;

    -создавать, поддерживать и совершенствовать систему управления ИБ организации.

    Хорошейпрактикой является создание службы ИБ и выделение ей своего собственногобюджета.

    Хорошейпрактикой является, когда служба ИБ организации имеет собственного куратора науровне Первого лица в руководстве организации БС РФ (Председателя илизаместителя Председателя правления и т.п.). При этом служба ИБ и службаинформатизации (автоматизации) не должны иметь общего куратора.

    9.7.2.Организационная основа менеджмента ИБ в организациях должна определяться целямибизнеса организации на финансовом рынке, размерами организации, наличием сетифилиалов и другими факторами.

    Организациям,имеющим сеть филиалов или региональных представительств, рекомендуется выделитьсоответствующие подразделения ИБ на местах, обеспечив их соответствующимиресурсами и нормативной базой.

    10.Проверка и оценка информационной безопасности организации БС РФ

    10.1.Проверка и оценка ИБ организации может быть произведена с помощью аудита,самооценки и мониторинга ИБ.

    10.2.Аудит ИБ организации БС РФ может быть внутренним или внешним (см. п. 7.3.4).Цель, порядок и периодичность проведения аудитов ИБ организации в целом (или ееотдельных структурных подразделений) или АБС определяется руководствоморганизации на основе потребностей в такой деятельности и фиксируется впрограмме аудита ИБ.

    10.3.Цель аудита ИБ организации состоит в проверке и оценке соответствия ИБтребованиям настоящего стандарта. Заключение по результатам проведения аудитаИБ организации должно показывать:

    -текущий уровень ИБ организации;

    -уровень зрелости процессов менеджмента ИБ организации;

    -уровень осознания ИБ организации.

    10.4.При проведении аудита ИБ организации должны использоваться стандартныепроцедуры документальной проверки, опрос и интервью с руководством и персоналоморганизации. При необходимости уточнения результатов документальной проверки,опросов и интервью в рамках внутреннего аудита ИБ в качестве дополнительногоспособа может применяться “проверка на месте”, которая проводится дляобеспечения уверенности в том, что конкретные защитные меры реализуются,правильно используются и проверяются с помощью тестирования. Обстоятельства,при которых требуется дополнительный способ в рамках внутреннего аудита ИБ,должны быть определены и согласованы в плане проведения аудита ИБ ворганизации.

    10.5.При проведении внутреннего аудита ИБ могут использоваться журналы регистрацииинцидентов ИБ, ведущиеся службами безопасности организации и формируемые наоснове данных мониторинга ИБ.

    10.6.При проведении внешнего аудита ИБ руководство организации должно обеспечитьдокументальное и, если это необходимо, техническое подтверждение того, что:

    -политика ИБ отражает требования бизнеса и цели организации;

    -организационная структура управления ИБ создана;

    -процессы выполнения требований ИБ исполняются и удовлетворяют поставленнымцелям;

    -защитные меры (например, межсетевые экраны, средства управления физическимдоступом) настроены и используются правильно;

    -остаточные риски оценены и остаются приемлемыми для организации;

    -система управления ИБ соответствует определенному уровню зрелости управленияИБ;

    -рекомендации предшествующих аудитов ИБ реализованы.

    10.7.Аудиторский отчет должен храниться в организации в течение установленноговремени. Доступ к аудиторскому отчету должен быть разрешен только руководствуорганизации и руководителям подразделения (лицам), ответственным за ИБ ворганизации.

    10.8.Хорошей практикой подготовки к аудиту ИБ и проверки уровня ИБ организации БС РФявляется проведение самооценки ИБ. Самооценка ИБ проводится собственными силамии по инициативе руководства организации. При проведении самооценки ИБ должныиспользоваться журналы регистрации инцидентов ИБ, ведущиеся службамибезопасности организации и формируемые на основе данных мониторинга ИБ,проверяться эффективность реализованных защитных мер путем тестовых проверок(могут быть проверки на проникновение).

    10.9.Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, сцелью обнаружения и регистрации отклонений функционирования защитных мер оттребований ИБ и оценки полноты реализации положений политики ИБ, инструкций ируководств обеспечения ИБ в организации.

    Основнымицелями мониторинга ИБ в организации являются оперативное и постоянноенаблюдение, сбор, анализ и обработка данных под заданные руководством цели.Такими целями анализа могут быть:

    -контроль за реализацией положений нормативных актов по обеспечению ИБ ворганизации;

    -выявление нештатных (или злоумышленных) действий в АБС организации;

    -выявление инцидентов ИБ.

    Дляцелей оперативного и постоянного наблюдения объектов мониторинга могутиспользоваться как специализированные (например, программные) средства, так иштатные (входящие в коммерческие продукты и системы) средства регистрациидействий пользователей, процессов и т.п.

    11.Модель зрелости процессов менеджмента информационной безопасности организацииБС РФ

    11.1.Модель зрелости является мерой оценки полноты, адекватности и эффективностипроцессов менеджмента ИБ.

    11.2.Уровень проработанности процессов менеджмента ИБ определяется тем, насколькополно и последовательно менеджмент организации руководствуется принципами ИБ,реализует политики и требования ИБ, использует накопленный опыт исовершенствует СМИБ.

    11.3.Оценка зрелости процессов менеджмента ИБ организации основывается нарассмотрении совокупности параметров для каждого из этих процессов, отражающихдостижение того или иного уровня зрелости данного процесса.

    11.4.Модель зрелости процессов менеджмента ИБ организации настоящего стандартаосновывается на универсальной модели зрелости процессов, определеннойстандартом COBIT, которая определяет шесть уровней зрелости организации — снулевого по пятый.

    Нулевойуровень характеризует полное отсутствие каких-либо процессов менеджмента ИБ врамках деятельности организации. Организация не осознает существования проблемИБ.

    Первыйуровень (“начальный”) характеризует наличие документально зафиксированныхсвидетельств осознания организацией существования проблем обеспечения ИБ.Однако используемые процессы менеджмента ИБ нестандартизованы, применяютсяэпизодически и бессистемно. Общий подход к менеджменту ИБ не выработан.

    Второйуровень (“повторяемый”) характеризует проработанность процессов менеджмента ИБдо уровня, когда их выполнение обеспечивается различными людьми, решающими однуи ту же задачу. Однако отсутствуют регулярное обучение и тренировки постандартным процедурам, а ответственность возложена на исполнителя. Руководствоорганизации в значительной степени полагается на знания исполнителей, чтовлечет за собой высокую вероятность возможных ошибок.

    Третийуровень (“определенный”) характеризует то, что процессы стандартизованы,документированы и доведены до персонала посредством обучения. Однако порядокиспользования данных процессов оставлен на усмотрение самого персонала. Этоопределяет вероятность отклонений от стандартных процедур, которые могут бытьне выявлены. Применяемые процедуры не оптимальны и недостаточно современны, ноявляются отражением практики, используемой в организации.

    Четвертыйуровень (“управляемый”) характеризует то, что обеспечиваются мониторинг иоценка соответствия используемых в организации процессов. При выявлении низкойэффективности реализуемых процессов менеджмента ИБ обеспечивается их оптимизация.Процессы менеджмента ИБ находятся в стадии непрерывного совершенствования иосновываются на хорошей практике. Средства автоматизации менеджмента ИБиспользуются частично и в ограниченном объеме.

    Пятыйуровень (“оптимизированный”) характеризует проработанность процессовменеджмента ИБ до уровня лучшей практики, основанной на результатахнепрерывного совершенствования и сравнения уровня зрелости относительно другихорганизаций. Защитные меры в организации используются комплексно, обеспечиваяоснову совершенствования процессов менеджмента ИБ. Организация способна кбыстрой адаптации при изменениях в окружении и бизнесе.

    11.5.Рекомендуемыми уровнями зрелости процессов менеджмента ИБ для организаций,способными обеспечить качественное предоставление основного набора банковскихуслуг, являются уровни не ниже четвертого.

    11.6.Достижение четвертого уровня зрелости процессов менеджмента ИБ характеризуетсяследующими параметрами:

    -разработана и совершенствуется нормативная и распорядительная документация поИБ (политика ИБ, регламенты и положения ИБ, должностные инструкции персонала ит.п.);

    -создана организационная структура управления ИБ. Четко определенаответственность персонала за деятельность, связанную с обеспечением ИБ;

    -финансирование ИБ осуществляется по отдельной статье бюджета организации;

    -есть назначенный куратор службы ИБ;

    -осуществляется приобретение необходимых средств обеспечения ИБ;

    -защитные меры (технические, технологические, организационные) встроены в АБС ибанковские технологические процессы, непрерывно совершенствуются и основываютсяна хорошей практике. В процессе внедрения защитных мер используется анализзатрат и результатов, обеспечивается их оптимизация;

    -последовательно выполняется анализ ИБ организации и рисков нарушения ИБ, атакже возможных негативных воздействий;

    -краткие занятия с работниками организации по вопросам обеспечения ИБ носятобязательный характер;

    -введена аттестация персонала по вопросам обеспечения безопасности;

    -проверки на возможность вторжения в АБС являются стандартизованным иформализованным процессом;

    -осуществляется оценка соответствия организации требованиям ИБ;

    -стандартизованы идентификация, аутентификация и авторизация пользователей.Защитные меры совершенствуются с учетом накопленного в организациипрактического опыта;

    -уровень стандартизации и документирования процессов управления ИБ позволяетпроводить аудит ИБ в достаточном объеме;

    -процессы обеспечения ИБ координируются со службой безопасности всейорганизации;

    -деятельность по обеспечению ИБ увязана с целями бизнеса;

    -руководство организации понимает проблемы ИБ и участвует в их решении черезназначенного куратора службы ИБ из состава высшего руководства организации.

    11.7.Результаты оценки зрелости каждого из процессов менеджмента ИБ должныучитываться в общем итоговом рейтинге зрелости организации.

    12.Направления развития стандарта

    Реализацияположений настоящего стандарта должна обеспечиваться положениями стандартов изкомплекса стандартов Банка России СТО БР ИББС, соответствующими руководствами,методическими указаниями и системой оценки ИБ в организациях БС РФ.

    Положениянастоящего стандарта могут уточняться и расширяться по предложениям,поступившим от организаций — разработчиков данного стандарта или иныхорганизаций, использующих стандарт в практической деятельности. Данныепредложения должны быть одобрены Банком России и могут быть включены в стандартв соответствии с регламентом деятельности Технического комитета постандартизации 362 Федерального агентства по техническому регулированию иметрологии.

    Библиография

    [1]Федеральный закон “О банках и банковской деятельности” от 01.12.1990 № 395-1 вредакции ФЗ от 03.02.1996 № 17-ФЗ, от 31.07.1998 № 151-ФЗ, от 05.07.1999 №126-ФЗ, от 08.07.1999 № 136-ФЗ, от 19.06.2001 № 82-ФЗ, от 07.08.2001 № 121-ФЗ,от 21.03.2002 № 31-ФЗ с изменениями, внесенными постановлением КонституционногоСуда Российской Федерации от 23.02.1999 № 4-П.

    [2] Федеральный закон “О Центральномбанке Российской Федерации (Банке России)” от 10 июля 2002 года № 86-ФЗ.

    [3]Корпоративный менеджмент: Справочник для профессионалов / И.И. Мазур, В.Д.Шапиро, Н.Г. Ольдерогге и др.; Под общ. ред. И.И. Мазура. — М.: Высшая школа,2003. — 1077 с.

    [4]Банковский менеджмент, Питер С. Роуз — М.: “Дело Лтд”,1995. — 768 с.

    [5] Основы банковской деятельности, АфанасьеваЛ.П., Богатырев В.И., Журкина Н.Г. и др. — М., 2003.

    Ключевые слова:банковская система Российской Федерации, система менеджмента информационнойбезопасности, политика информационной безопасности.

     

    Поиск по каталогу, статьям, СНиПам:

    ООО ДИЗАЙН ПРЕСТИЖ 8(495)744-67-74

    Кроме быстрого и качественного ремонта труб отопления, оказываем профессиональный монтаж систем отопления под ключ. На нашей странице по тематике отопления > https://resant.ru/otoplenie-doma.html < можно посмотреть и ознакомиться с примерами наших работ. Но более точно, по стоимости работ и оборудования лучше уточнить у инженера.

    Для связи используйте контактный телефон ООО ДИЗАЙН ПРЕСТИЖ 8(495) 744-67-74, на который можно звонить круглосуточно.

    Отопление от ООО ДИЗАЙН ПРЕСТИЖ Вид: промышленное тут > https://resant.ru/promyishlennoe-otoplenie.html

    Мы гарантируем высокое качество работ

    ООО ДИЗАЙН ПРЕСТИЖ имеет год основания 1999г. Сотрудники компании имеют Московскую прописку и славянское происхождение, оплата происходит любым удобным способом, при необходимости предоставляются работы в кредит.

    Наш основной информационный портал (сайт)

    Строительно монтажная компания ДИЗАЙН ПРЕСТИЖ

    Ремонт труб отопления водоснабжения

    г. Москва, Строительный проезд, 7Ак4

    Телефон: +7 (495) 744-67-74
    Мы работаем ежедневно с 06:00 до 24:00

    Офис компании расположен рядом с районами: Митино, Тушино, Строгино, Щукино.

    Ближайшее метро: Тушинская, Сходненская, Планерная, Волоколамская, Митино.

    Рядом расположены шоссе: Волоколамское шоссе, Пятницкое шоссе, Ленинградское шоссе.




    Мы продаем отопительное оборудование и осуществляем монтаж систем отопления в городах

    Сергиев Посад, Дзержинский, Мытищи, Лобня, Пущино, Фряново, Высоковск, Талдом, Воскресенск, Калининец, Павловская Слобода, Дубна, Серебряные Пруды, Пушкино, Дрезна, Верея, Дмитров, Коломна, Люберцы, Фрязино, Малаховка, Железнодорожный, Троицк, Ожерелье, Хотьково, Красково, Ногинск, Монино, Томилино, Дедовск, Кашира, Истра, Павловский Посад, Краснозаводск, Серпухов, Пересвет, Долгопрудный, Электроугли, Балашиха, Волоколамск, Подольск, Лосино-Петровский, Ступино, Звенигород, Бронницы, Раменское, Протвино, Старая Купавна, Зеленоград, Ликино-Дулево, Одинцово, Видное, Электрогорск, Куровское, Озеры, Реутов, Юбилейный, Наро-Фоминск, Клин, Климовск, Лесной городок, Щелково, Химки, Оболенск, Селятино, Королев, Апрелевка, Краснознаменск, Рошаль, Голицыно, Можайск, Сходня, Черноголовка, Луховицы, Красноармейск, Кубинка, Дорохово, Быково, Руза, Шатура, Зарайск, Орехово-Зуево, Красногорск, Электросталь, Домодедово, Софрино, Котельники, Ивантеевка, Чехов, Нахабино, Обухово, Лыткарино, Солнечногорск, Егорьевск, Лотошино, Шаховская, Тучково, Жуковский, Щербинка.