Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
Библиография
[1] Федеральный закон "О банках и банковской деятельности" от
01.12.1990 N 395-1 в редакции ФЗ от 03.02.1996 N 17-ФЗ, от 31.07.1998
N 151-ФЗ, от 05.07.1999 N 126-ФЗ, от 08.07.1999 N 136-ФЗ, от
19.06.2001 N 82-ФЗ, от 07.08.2001 N 121-ФЗ, от 21.03.2002 N 31-ФЗ с
изменениями, внесенными постановлением Конституционного Суда
Российской Федерации от 23.02.1999 N 4-П.
[2] Федеральный закон "О Центральном банке Российской Федерации
(Банке России)" от 10 июля 2002 года N 86-ФЗ.
[3] Корпоративный менеджмент: Справочник для профессионалов /
И.И. Мазур, В.Д. Шапиро, Н.Г. Ольдерогге и др.; Под общ. ред. И.И.
Мазура. - М.: Высшая школа, 2003. - 1077 с.
[4] Банковский менеджмент, Питер С. Роуз - М.: "Дело Лтд",1995. -
768 с.
[5] Основы банковской деятельности, Афанасьева Л.П., Богатырев
В.И., Журкина Н.Г. и др. - М., 2003.
Ключевые слова: банковская система Российской Федерации, система
менеджмента информационной безопасности, политика информационной
безопасности.
----------------------------------------------------------------------
1 Под собственником здесь понимается субъект хозяйственной
деятельности, имеющий права владения, распоряжения или пользования
активами, который заинтересован или обязан (согласно требованиям
законов или иных законодательных или нормативно-правовых актов)
обеспечивать защиту активов от угроз, которые могут снизить их
ценность или нанести ущерб собственнику.
2 Под злоумышленником здесь понимается лицо, которое совершает
или совершило заранее обдуманное действие с осознанием его опасных
последствий или не предвидело, но должно было и могло предвидеть
возможность наступления этих последствий (адаптировано из ст. 27 УК
РФ). Далее по тексту данные лица именуются злоумышленниками
(нарушителями).
3 Модели ИБ (угроз и нарушителей) предназначены отражать будущее,
вследствие чего они носят прогнозный характер. Модели ИБ
разрабатываются на основе фактов прошлого и опыта, но ориентированы на
будущее. При разработке моделей (прогнозе) используются имеющийся опыт
и знания, поэтому чем выше знания, тем точнее прогноз.
4 Циклическая модель менеджмента Деминга, известная под названием
модели "планирование - реализация - проверка - совершенствование -
планирование - ..." и являющаяся основой международных стандартов
менеджмента информационной безопасности (ISO/IEC IS 27001),
менеджмента качества (ГОСТ Р ИСО 9001) и других стандартов, может
применяться ко всем процессам СМИБ.
5 Здесь и далее по тексту стандарта рассматриваются проблемы,
прямо или косвенно относящиеся к ИБ.
6 Фрикер - злоумышленник, скрытно подключающийся с помощью
различных устройств и приемов к телефонным сетям, обеспечивая себе
связь с любой точкой мира, с указанием номера законного абонента,
который и оплачивает телефонные услуги.
7 На данных уровнях и уровне бизнес-процессов реализация угроз
внешними источниками, действующими самостоятельно, без соучастия
внутренних, практически невозможна.
8 "Знать своего клиента" (Know your Customer): принцип,
используемый регулирующими органами для выражения отношения к
финансовым организациям с точки зрения знания деятельности их клиентов
[ISO TR 13569].
9 "Знать своего служащего" (Know your Employee): принцип,
демонстрирующий озабоченность организации по поводу отношения служащих
к своим обязанностям и возможных проблем, таких, как злоупотребление
имуществом, аферы или финансовые трудности, которые могут приводить к
проблемам с безопасностью [ISO TR 13569].
10 "Необходимо знать" (Need to Know): принцип безопасности,
который ограничивает доступ к информации и ресурсам по обработке
информации тем, кому требуется выполнять определенные обязанности [ISO
TR 13569].
11 "Двойное управление" (Dual Control): принцип сохранения
целостности процесса и борьбы с искажением функций системы, требующий
того, чтобы два лица независимо предпринимали некое действие до
завершения определенных транзакций [ISO TR 13569].
12 Спам - общее наименование не запрошенных пользователями
электронных посланий и рекламных писем, рассылаемых в Интернете по
ставшим известными рассылающей стороне адресам пользователей.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".