Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
7. Модели угроз и нарушителей информационной безопасности
организаций БС РФ
7.1. Модели угроз и нарушителей (прогноз ИБ) должны быть основным
инструментом менеджмента организации при развертывании, поддержании и
совершенствовании системы обеспечения ИБ организации.
7.2. Деятельность организации БС РФ поддерживается входящей в ее
состав информационной инфраструктурой, которая обеспечивает реализацию
банковских технологий и может быть представлена в виде иерархии
следующих основных уровней:
- физического (линии связи, аппаратные средства и пр.);
- сетевого (сетевые аппаратные средства: маршрутизаторы,
коммутаторы, концентраторы и пр.);
- сетевых приложений и сервисов;
- операционных систем (ОС);
- систем управления базами данных (СУБД);
- банковских технологических процессов и приложений;
- бизнес-процессов организации.
7.3. На каждом из уровней угрозы и их источники (в т.ч.
злоумышленники), методы и средства защиты и подходы к оценке
эффективности являются различными.
7.4. Главной целью злоумышленника является получение контроля над
активами на уровне бизнес-процессов. Прямое нападение на уровне
бизнес-процессов, например, путем раскрытия конфиденциальной
банковской аналитической информации, более эффективно для
злоумышленника и опаснее для собственника, чем нападение,
осуществляемое через нижние уровни, требующее специфических опыта,
знаний и ресурсов (в т.ч. временных) и поэтому менее эффективное по
соотношению "затраты/получаемый результат".
7.5. Организация должна определить конкретные объекты защиты на
каждом из уровней информационной инфраструктуры.
7.6. Наиболее актуальные источники угроз на физическом, сетевом
уровнях и уровне сетевых приложений:
- внешние источники угроз: лица, распространяющие вирусы и другие
вредоносные программы, хакеры, фрикеры6; и иные лица, осуществляющие
несанкционированный доступ (НСД);
- внутренние источники угроз, реализующие угрозы в рамках своих
полномочий и за их пределами (персонал, имеющий права доступа к
аппаратному оборудованию, в том числе сетевому, администраторы сетевых
приложений и т.п.);
- комбинированные источники угроз: внешние и внутренние,
действующие совместно и/или согласованно.
7.7. Наиболее актуальные источники угроз на уровнях операционных
систем, систем управления базами данных, банковских технологических
процессов:
- внутренние, реализующие угрозы в рамках своих полномочий и за
их пределами (администраторы ОС, администраторы СУБД, пользователи
банковских приложений и технологий, администраторы ИБ и т.д.);
- комбинированные источники угроз: внешние и внутренние,
действующие в сговоре7.
7.8. Наиболее актуальные источники угроз на уровне
бизнес-процессов:
- внутренние источники, реализующие угрозы в рамках своих
полномочий и за их пределами (авторизованные пользователи и операторы
АБС, представители менеджмента организации и пр.);
- комбинированные источники угроз: внешние (например, конкуренты)
и внутренние, действующие в сговоре.
7.9. Также необходимо учитывать угрозы, связанные с природными и
техногенными катастрофами и террористической деятельностью.
7.10. Источники угроз для реализации угрозы используют уязвимости
объектов и системы защиты.
7.11. Хорошей практикой является разработка моделей угроз и
нарушителей ИБ для данной организации.
Модель угроз ИБ включает описание источников угрозы, уязвимостей,
используемых угрозами, методов и объектов нападений, пригодных для
реализации угрозы, типов возможной потери (например,
конфиденциальности, целостности, доступности активов), масштабов
потенциального ущерба.
Для источников угроз - людей - может быть разработана модель
нарушителя ИБ, включающая описание их опыта, знаний, доступных
ресурсов, необходимых для реализации угрозы, и возможной мотивации их
действий.
Степень детализации параметров моделей угроз и нарушителей ИБ
может быть различна и определяется реальными потребностями для каждой
организации в отдельности.
7.12. При анализе угроз ИБ необходимо исходить из того, что эти
угрозы непосредственно влияют на операционные риски деятельности
организации. Операционные риски сказываются на бизнес-процессах
организации.
7.13. Операционные риски порождаются следующими эксплуатационными
факторами: технические неполадки, ошибочные (случайные) и/или
преднамеренные злоумышленные действия персонала организации, ее
клиентов при их непосредственном доступе к АБС организаций и другими
факторами.
7.14. Наиболее эффективным способом минимизации рисков нарушения
ИБ для собственника является разработка совокупности мероприятий,
методов и средств, создаваемых и поддерживаемых для обеспечения
требуемого уровня безопасности информационных активов в соответствии с
политикой ИБ организации БС РФ, разрабатываемой в том числе и на
основе моделей угроз и нарушителей ИБ.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".