Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
А.1. Информационная безопасность организации
банковской системы
А.1.1. Информационная безопасность организации банковской системы
Российской Федерации: состояние защищенности интересов (целей)
организации БС РФ в условиях угроз в информационной сфере.
Примечания. 1. Защищенность достигается обеспечением совокупности
свойств информационной безопасности - конфиденциальностью,
целостностью, доступностью информационных активов и инфраструктуры.
Приоритетность свойств информационной безопасности определяется
значимостью информационных активов для интересов (целей) организации.
2. Информационная сфера представляет собой совокупность
информации, информационной инфраструктуры, субъектов, осуществляющих
сбор, формирование, распространение, хранение и использование
информации, а также системы регулирования возникающих при этом
отношений.
А.1.2. Организация: юридическое лицо, которое имеет в
собственности, хозяйственном ведении или оперативном управлении
обособленное имущество и отвечает по своим обязательствам этим
имуществом, может от своего имени приобретать и осуществлять
имущественные и личные неимущественные права, нести обязанности, быть
истцом и ответчиком в суде.
[ГОСТ Р 40.002-2000, статья 3.6]
А.1.3. Банковская система Российской Федерации: Банк России и
кредитные организации, а также филиалы и представительства иностранных
банков.
[Федеральный закон "О банках и банковской деятельности" от
01.12.1990 N 395-1 в редакции ФЗ от 03.02.1996 N 17-ФЗ, от 31.07.1998
N 151-ФЗ, от 05.07.1999 N 126-ФЗ, от 08.07.1999 N 136-ФЗ, от
19.06.2001 N 82-ФЗ, от 07.08.2001 N 121-ФЗ, от 21.03.2002 N 31-ФЗ с
изменениями, внесенными Постановлением Конституционного Суда
Российской Федерации от 23.02.1999 N 4-П]
А.1.4. Безопасность: отсутствие недопустимого риска.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.1]
А.1.5. Безопасность Российской Федерации: состояние защищенности
жизненно важных интересов личности, общества и государства.
[Закон Российской Федерации "О безопасности"]
А.1.6. Безопасность информации: состояние защищенности
информации, обрабатываемой средствами вычислительной техники или
автоматизированной системы от внутренних или внешних угроз.
[Гостехкомиссия России. Руководящий документ. Защита от
несанкционированного доступа к информации. Термины и определения,
статья 21]
А.1.7. Информационная безопасность Российской Федерации:
состояние защищенности ее национальных интересов в информационной
сфере, определяющихся совокупностью сбалансированных интересов
личности, общества и государства.
[Доктрина информационной безопасности Российской Федерации от
09.09.2000]
А.1.8. Информация: сведения о лицах, предметах, фактах, событиях,
явлениях и процессах независимо от формы их представления.
[ГОСТ Р 51275-99. Защита информации. Объект информатизации.
Факторы, воздействующие на информацию, пункт 2.1]
А.1.9. Риск: сочетание вероятности нанесения ущерба и тяжести
этого ущерба.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.2]
А.1.10. Допустимый риск: риск, который в данной ситуации
считается приемлемым для руководства.
А.1.11. Вероятность: мера того, что событие может произойти.
Примечание. ГОСТ Р 50799.10 дает математическое определение
вероятности: "действительное число в интервале от 0 до 1, относящееся
к случайному событию". Число может отражать относительную частоту в
серии наблюдений или степень уверенности в том, что некоторое событие
произойдет. Для высокой степени уверенности вероятность близка к
единице.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3]
А.1.12. Ущерб: физическое повреждение или другой вред здоровью
людей, имуществу (активам) или окружающей среде.
А.1.13. Управление информационной безопасностью организации
банковской системы Российской Федерации: совокупность целенаправленных
действий, осуществляемых для достижения заявленных целей организации
БС РФ в условиях угроз в информационной сфере.
Примечание. Совокупность действий включает оценку ситуации и
состояния объекта управления (например, оценку и управление рисками),
выбор управляющих воздействий и их реализацию (планирование, внедрение
и обслуживание защитных мер (средств управления информационной
безопасностью).
А.1.14. Оценка соответствия информационной безопасности
организации банковской системы Российской Федерации установленным
требованиям: любая деятельность, связанная с прямым или косвенным
определением того, что выполняются или не выполняются соответствующие
требования информационной безопасности в организации БС РФ.
А.1.15. Аудит информационной безопасности организации банковской
системы Российской Федерации: периодический, независимый от объекта
аудита и документированный процесс получения свидетельств аудита и
объективной их оценки с целью определения степени выполнения в
организациях БС РФ установленных требований по обеспечению
информационной безопасности.
Примечания. 1. Внутренние аудиты ("аудиты первой стороной")
проводятся самой организацией или от ее имени для анализа менеджмента
или других внутренних целей и могут служить основанием для
самодеклараций организации о соответствии требованиям по ИБ.
2. Внешние аудиты включают "аудиты второй стороной" и "аудиты
третьей стороной". Аудиты второй стороной проводятся сторонами,
заинтересованными в деятельности организации, например потребителями
или другими лицами от их имени. Аудиты третьей стороной проводятся
внешними независимыми организациями.
А.1.16. Модель зрелости процессов управления информационной
безопасностью организации банковской системы Российской Федерации:
схема для измерения проработанности процессов менеджмента
информационной безопасностью организации БС РФ.
А.1.17. Мониторинг информационной безопасности организации
банковской системы Российской Федерации: постоянное наблюдение за
объектами, влияющими на обеспечение информационной безопасности в
организации БС РФ, сбор, анализ и обобщение результатов наблюдения под
заданные цели.
Примечания. 1. Объектом мониторинга в зависимости от целей могут
быть автоматизированная банковская система или ее часть, банковские
информационные технологические процессы, информационные банковские
услуги и пр.
2. Цели мониторинга информационной безопасности определяются
службой безопасности организации БС РФ.
А.1.18. Нормативный документ: документ, устанавливающий правила,
общие принципы или характеристики, касающиеся различных видов
деятельности или их результатов.
Примечания. 1. Под документом следует понимать зафиксированную на
материальном носителе информацию с реквизитами, позволяющими ее
идентифицировать.
2. Термины, обозначающие различные виды нормативных документов,
определяются в дальнейшем исходя из того, что документ и его
содержание рассматриваются как единое целое.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации.
Термины и определения, статья 4.1]
А.1.19. Положение (нормативного документа): логическая единица
содержания нормативного документа, которая имеет форму требования,
правила, рекомендации или комментария.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации.
Термины и определения, статья 6.1]
А.1.20. Требование: положение нормативного документа, содержащее
критерии, которые должны быть соблюдены.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации.
Термины и определения, статья 6.1.1]
А.1.21. Правило: положение нормативного документа, описывающее
действие, которое должно быть выполнено.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации.
Термины и определения, статья 6.1.2]
А.1.22. Политика информационной безопасности организации: одно
или несколько правил, процедур, практических приемов и руководящих
принципов в области информационной безопасности, которыми
руководствуется организация в своей деятельности.
А.1.23. Свидетельство аудита: записи, изложение фактов или другой
информации, связанной с критериями аудита, которые могут быть
перепроверены.
Примечание. Свидетельство аудита может быть качественным или
количественным.
Связи между понятиями данной группы графически представлены на
рисунке А.1. Изображения связей заимствованы из ГОСТ Р ИСО/МЭК
9000-2001 "Системы менеджмента качества. Основные положения и
словарь". На рисунке линиями (веерными или в виде дерева) без стрелок
показаны родовидовые связи, когда субординатные понятия в рамках
иерархии наследуют признаки суперординатного понятия и содержат
описания тех признаков, которые отличают их от суперординатных
(вышестоящих) и координатных (соподчиненных) понятий. В виде грабель
показаны партитивные отношения между понятиями, когда субординатные
понятия в рамках одной иерархической системы являются частью одного
суперординатного понятия. Чертой со стрелками с каждого конца показаны
ассоциативные связи, определяющие природу взаимоотношений между
понятиями в рамках данной системы понятий, например причина и
следствие, действие и место, действие и результат, инструмент и
функция, материал и продукция.
------------------------------------------------------------------------------
| -------------- ------ ------- ---------------------- |
| |Безопасность|<------- |Риск|<---->|Ущерб| | Банковская система | |
| -------------- | ------ ------- |Российской Федерации| |
| /\ /\ | | /\ ---------------------- |
| | ---------- | | -------- | | |
| | | | | \/ | | |
| \/ | | | ------|------ -------|----- | |
| -----|-------- | | | |Вероятность| |Организация| | |
| |Безопасность|<--- | | | ------------- ------------- | |
| | информации | | | | ----------- /\ | |
| -------------- | | | --------|-------- | | |
| /\ /\ | | ----->|Допустимый риск| | | |
| | | | | ----------------- | | |
| | ----- | | ---------------------- | | |
| \/ | | ----->| Безопасность | | | |
| -----|------ | | |Российской Федерации| | | |
| |Информация| | | ---------------------- | | |
| ------------ | | ------------|---------------- | | |
| | ----->|Информационная Безопасность| | | |
| | | Российской Федерации | | | |
| | ----------------------------- | | |
| -------------- | | | |
| \/ | \/ \/ |
| ---------------- -------|-----|------------------|------|- |
| | Политика |<--->|Информационная безопасность организации| |
| |информационной| |банковской системы Российской Федерации| |
| | безопасности | ----------------------------------------- |
| | организации | /\ |
| ---------------- | |
| \/ ------------- |
| ------------------------|-- -------------------------- |Нормативный| |
| |Управление информационной| | Оценка соответствия | | документ | |
| |безопасностью организации|---| информационной | ------------- |
| | банковской системы | | |безопасности организации| -----|----- |
| | Российской Федерации | | | банковской системы | |Положение|--- |
| --------------------------- | | Российской Федерации | ----------- | |
| /\ | -------------------------- | | |
| | | /\ | | |
| | | -------------------- | | |
| \/ | \/| | |
| ------------|-------------- | -------------------------- ---|-|------ | |
| |Модель зрелости процессов| | | Аудит информационной | |Требование| | |
| |управления информационной| |-|безопасности организации| ------------ | |
| |безопасностью организации| | | банковской системы | --------- | |
| | банковской системы | | | Российской Федерации | |Правило|----- |
| | Российской Федерации | | -------------------------- --------- |
| --------------------------- | /\ |
| | ------------------------ |
| | \/ |
| | --------------------------- -------|------- |
| | |Мониторинг информационной| |Свидетельство| |
| --|безопасности организации | | аудита | |
| | банковской системы | --------------- |
| | Российской Федерации | |
| --------------------------- |
------------------------------------------------------------------------------
Рисунок А.1. Понятия, относящиеся к информационной
безоопасности организации БС РФ
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".