Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ".
4. Общий подход к оценке рисков нарушения ИБ
4.1. Информационные активы организации БС РФ рассматриваются в
совокупности с соответствующими им объектами среды. При этом
обеспечение свойств ИБ для информационных активов выражается в
создании необходимой защиты соответствующих им объектов среды.
4.2. Угрозы ИБ реализуются их источниками (источниками угроз ИБ),
которые могут воздействовать на объекты среды информационных активов
организации БС РФ. В случае успешной реализации угрозы ИБ
информационные активы теряют часть или все свойства ИБ.
4.3. Оценка рисков нарушения ИБ проводится для типов
информационных активов (типов информации), входящих в предварительно
определенную область оценки. Для оценки рисков нарушения ИБ
предварительно определяются и документально оформляются:
- полный перечень типов информационных активов, входящих в
область оценки;
- полный перечень типов объектов среды, соответствующих каждому
из типов информационных активов области оценки;
- модель угроз ИБ, описывающую угрозы ИБ для всех выделенных в
организации БС РФ типов объектов среды на всех уровнях иерархии
информационной инфраструктуры организации БС РФ.
Формирование перечня источников угроз и моделей угроз
рекомендуется проводить с учетом положений СТО БР ИББС-1.0, а также
перечня основных источников угроз ИБ, приведенных в приложении 1.
4.4. Перечень типов информационных активов формируется на основе
результатов выполнения в организации БС РФ классификации
информационных активов. Состав перечня типов информационных активов
(классификация информации) не должен противоречить нормам
законодательства РФ, в том числе нормативных актов Банка России.
В качестве примера используется следующий перечень типов
информационных активов в организации БС РФ:
- информация ограниченного доступа:
- информация, содержащая сведения, составляющие банковскую тайну:
- платежная информация (информация, предназначенная для
проведения расчетных, кассовых и других банковских операций и учетных
операций);
- информация, содержащая сведения, составляющие коммерческую
тайну;
- персональные данные;
- управляющая информация платежных, информационных и
телекоммуникационных систем (информация, используемая для технической
настройки программно-аппаратных комплексов обработки, хранения и
передачи информации);
- открытая (общедоступная) информация.
В конкретной организации БС РФ указанный перечень может быть
изменен в соответствии с принятыми в ней подходами к классификации
информационных активов и уровнем детализации типов информационных
активов при проведении оценки рисков нарушения ИБ.
4.5. Формирование перечней типов объектов среды выполняется в
соответствии с иерархией уровней информационной инфраструктуры
организации БС РФ, определенной в СТО БР ИББС-1.0. В частности,
указанные перечни могут содержать следующие типы объектов среды:
- линии связи и сети передачи данных;
- сетевые программные и аппаратные средства, в том числе сетевые
серверы;
- файлы данных, базы данных, хранилища данных;
- носители информации, в том числе бумажные носители;
- прикладные и общесистемные программные средства;
- программно-технические компоненты автоматизированных систем;
- помещения, здания, сооружения;
- платежные и информационные технологические процессы.
4.6. Риск нарушения ИБ определяется на основании качественных
оценок:
- степени возможности реализации угроз ИБ (далее - СВР угроз ИБ)
выявленными и (или) предполагаемыми источниками угроз ИБ в результате
их воздействия на объекты среды рассматриваемых типов информационных
активов;
- степени тяжести последствий от потери свойств ИБ для
рассматриваемых типов информационных активов (далее - СТП нарушения
ИБ).
4.7. Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на
экспертной оценке, выполняемой сотрудниками службы ИБ организации БС
РФ с привлечением сотрудников подразделений информатизации. Для оценки
СТП нарушения ИБ дополнительно привлекаются сотрудники профильных
подразделений, использующих рассматриваемые типы информационных
активов. Взаимодействие сотрудников указанных подразделений
осуществляется в рамках постоянно действующей или создаваемой на время
проведения оценки рисков нарушения ИБ рабочей группы.
4.8. К экспертной оценке СВР угроз ИБ и СТП нарушения ИБ
привлекаются сотрудники организации БС РФ, обладающие необходимыми
знаниями, образованием и опытом работы.
4.8.1. Рекомендуется, чтобы эксперты, привлекаемые для оценки СВР
угроз ИБ и СТП нарушения ИБ из числа сотрудников службы ИБ или
подразделения информатизации организации БС РФ, имели:
знания законодательства РФ в области обеспечения информационной
безопасности;
знания международных и национальных стандартов в области
обеспечения информационной безопасности;
знания нормативных актов и предписаний регулирующих и надзорных
органов в области обеспечения информационной безопасности;
знания внутренних документов организации БС РФ, регламентирующих
деятельность в области обеспечения информационной безопасности;
знания о современных средствах вычислительной и
телекоммуникационной техники, операционных системах, системах
управления базами данных, а также о конкретных способах обеспечения
информационной безопасности в них;
знания о возможных источниках угроз ИБ, способах реализации угроз
ИБ, частоте реализации угроз ИБ в прошлом;
знания о способах обеспечения информационной безопасности в
платежных, информационных и телекоммуникационных системах организации
БС РФ;
понимание различных подходов к обеспечению информационной
безопасности, знания защитных мер, свойственных им ограничений.
4.8.2. Рекомендуется, чтобы эксперты, привлекаемые для оценки СТП
нарушения ИБ из числа сотрудников профильных подразделений, имели:
знания законодательства РФ в области своей профессиональной
деятельности;
знания нормативных актов и предписаний регулирующих и надзорных
органов в области своей профессиональной деятельности;
знания внутренних документов организации БС РФ, регламентирующих
их профессиональную деятельность;
знания бизнес-процессов организации БС РФ, а также организации
платежных и информационных технологических процессов в области своей
профессиональной деятельности;
понимание степени влияния возможных инцидентов ИБ на
функционирование бизнес-процессов организации БС РФ в области своей
профессиональной деятельности;
знания о платежных, информационных и телекоммуникационных
системах организации БС РФ в области своей профессиональной
деятельности.
4.8.3. Рекомендуется, чтобы каждый эксперт, привлекаемый для
оценки рисков нарушения ИБ, соответствовал следующим характеристикам:
имел высшее образование;
четырехлетний опыт постоянной работы в своей профессиональной
области;
поддерживал и совершенствовал собственные знания;
имел способность идентифицировать в организации БС РФ людей,
которые могут предоставить необходимую информацию;
обладал навыками делового и управленческого взаимодействия.
4.8.4. Если работники организации БС РФ не обладают необходимыми
знаниями и опытом для оценки СВР угроз ИБ, рекомендуется привлекать
консультантов или экспертов, которые не являются работниками
организации БС РФ.
|
Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ".