Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
7.1. Общие положения
7.1.1. Выполнение требований к СИБ организации БС РФ является
основой для обеспечения должного уровня ИБ. Формирование требований к
СИБ организации БС РФ должно проводиться на основе:
- положений настоящего раздела стандарта;
- выполнения деятельности в рамках СМИБ организации БС РФ,
определенной в разделе 8 настоящего стандарта (в частности,
деятельности по разработке планов обработки рисков нарушения ИБ).
Требования к СИБ организации БС РФ должны быть оформлены
документально в соответствии с Рекомендациями в области стандартизации
Банка России РС БР ИББС-2.0 "Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Методические
рекомендации по документации в области обеспечения информационной
безопасности в соответствии с требованиями СТО БР ИББС-1.0".
7.1.2. Положения подразделов 7.2 - 7.9 настоящего стандарта
образуют базовый набор требований к СИБ, применимый к большинству
организаций БС РФ. В соответствии с особенностями конкретной
организации БС РФ данный базовый набор требований может быть расширен
путем выполнения деятельности в рамках процессов СМИБ организации БС
РФ, например, определения области действия СОИБ организации БС РФ,
анализа и оценки рисков нарушения ИБ.
7.1.3. Требования к СИБ должны быть сформированы в том числе для
следующих областей:
- назначения и распределения ролей и обеспечения доверия к
персоналу;
- обеспечения ИБ на стадиях ЖЦ АБС;
- защиты от НСД и НРД, управления доступом и регистрацией всех
действий в АБС, в телекоммуникационном оборудовании, автоматических
телефонных станциях и т.д.;
- антивирусной защиты;
- использования ресурсов Интернета;
- использования СКЗИ;
- защиты банковских платежных и информационных технологических
процессов.
В конкретной организации БС РФ требования к СИБ могут
формироваться и для других областей и направлений деятельности.
7.1.4. При распределении прав доступа работников и клиентов к
информационным активам организации БС РФ следует руководствоваться
принципами:
- "знать своего клиента" <*>;
--------------------------------
<*> "Знать своего клиента" (Know your Customer): принцип,
используемый регулирующими органами для выражения отношения к
финансовым организациям с точки зрения знания деятельности их
клиентов.
- "знать своего служащего" <*>;
--------------------------------
<*> "Знать своего служащего" (Know your Employee): принцип,
демонстрирующий озабоченность организации по поводу отношения служащих
к своим обязанностям и возможных проблем, таких, как злоупотребление
имуществом, аферы или финансовые трудности, которые могут приводить к
проблемам с безопасностью.
- "необходимо знать" <*>,
--------------------------------
<*> "Необходимо знать" (Need to Know): принцип, ограничивающий
полномочия по доступу к информации и ресурсам по обработке информации
на уровне минимально необходимых для выполнения определенных
обязанностей.
а также рекомендуется использовать принцип "двойное управление"
<*>.
--------------------------------
<*> "Двойное управление" (Dual Control): принцип сохранения
целостности процесса и борьбы с искажением функций системы, требующий
дублирования (алгоритмического, временного, ресурсного или иного)
действий до завершения определенных транзакций.
7.1.5. Формирование ролей должно осуществляться на основании
существующих бизнес-процессов организации БС РФ и проводиться с целью
исключения концентрации полномочий и снижения риска инцидентов ИБ,
связанных с потерей информационными активами свойств доступности,
целостности или конфиденциальности.
Формирование ролей не должно выполняться по принципу фиксации
фактически сложившихся прав и полномочий персонала организации БС РФ.
7.1.6. Для обеспечения ИБ и контроля за качеством обеспечения ИБ
в организации БС РФ должны быть определены роли, связанные с
деятельностью по обеспечению ИБ. Руководство организации БС РФ должно
осуществлять координацию своевременности и качества выполнения ролей,
связанных с обеспечением ИБ.
7.1.7. ИБ АБС должна обеспечиваться на всех стадиях ЖЦ АБС,
автоматизирующих банковские технологические процессы, с учетом
интересов всех сторон, вовлеченных в процессы ЖЦ (разработчиков,
заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных
подразделений организации БС РФ).
7.1.8. При принятии руководством организации БС РФ решений об
использовании сети Интернет, при формировании документов,
регламентирующих порядок использования сети Интернет, а также иных
документов, связанных с обеспечением ИБ при использовании сети
Интернет, необходимо учитывать следующие положения:
- сеть Интернет не имеет единого органа управления (за
исключением службы управления пространством имен и адресов) и не
является юридическим лицом, с которым можно было бы заключить договор
(соглашение). Провайдеры (посредники) сети Интернет могут обеспечить
только те услуги, которые реализуются непосредственно ими;
- существует вероятность несанкционированного доступа, потери и
искажения информации, передаваемой посредством сети Интернет;
- существует вероятность атаки злоумышленников на оборудование,
программное обеспечение и информационные ресурсы, подключенные /
доступные из сети Интернет;
- гарантии по обеспечению ИБ при использовании сети Интернет
никаким органом/учреждением/организацией не предоставляются.
7.1.9. В рамках банковских платежных технологических процессов в
качестве активов, защищаемых в первую очередь, следует рассматривать:
- банковский платежный технологический процесс;
- платежную информацию.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".