Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Для целей настоящего стандарта используются следующие термины.
3.1. Автоматизированная банковская система: система, состоящая из
персонала и комплекса средств автоматизации его деятельности,
реализующая банковскую информационную технологию.
3.2. Активы организации банковской системы Российской Федерации:
все, представляющее ценность для организации БС РФ с точки зрения
достижения ее целей.
Примечание. К активам организации БС РФ могут относиться:
- банковские ресурсы (финансовые, людские, вычислительные,
телекоммуникационные и пр.);
- информационные активы, в т.ч. различные виды банковской
информации (платежной, финансово-аналитической, служебной, управляющей
и пр.) на следующих фазах их жизненного цикла: генерация (создание),
обработка, хранение, передача, уничтожение;
- банковские процессы (банковские платежные технологические
процессы, банковские информационные технологические процессы, процессы
жизненного цикла автоматизированных банковских систем и др.);
- банковские продукты и услуги, предоставляемые клиентам.
3.3. Аудит информационной безопасности организации банковской
системы Российской Федерации: периодический, независимый от объекта
аудита и документированный процесс получения свидетельств аудита и
объективной их оценки с целью установления степени выполнения в
организациях БС РФ установленных требований по обеспечению
информационной безопасности.
Примечания. 1. Внутренние аудиты ("аудиты первой стороной")
проводятся самой организацией или от ее имени для анализа менеджмента
или других внутренних целей и могут служить основанием для
самодеклараций организации о соответствии требованиям по ИБ.
2. Внешние аудиты включают "аудиты второй стороной" и "аудиты
третьей стороной". Аудиты второй стороной проводятся сторонами,
заинтересованными в деятельности организации, например, потребителями
или другими лицами от их имени. Аудиты третьей стороной проводятся
внешними независимыми организациями.
3.4. Аутентификация электронного сообщения: процесс проверки
сообщения, позволяющий установить, что сообщение исходит из указанного
источника и не было изменено при передаче.
3.5. Банковская информационная технология: приемы, способы и
методы применения средств вычислительной техники при выполнении
функций хранения, обработки, передачи и использования финансовой или
другой связанной с функционированием организаций БС РФ информации.
3.6. Банковская технология: совокупность методов деятельности и
процессов в банковской отрасли, а также описание способов
деятельности.
Примечание. В зависимости от вида деятельности выделяют:
банковский информационный технологический процесс, банковский
платежный технологический процесс и др.
3.7. Банковский информационный технологический процесс: часть
банковского технологического процесса, содержащая операции над
неплатежной информацией, необходимой для функционирования организации
БС РФ.
Примечание. Неплатежная информация, необходимая для
функционирования организации банковской системы, может включать в себя
данные статистической отчетности и внутрихозяйственной деятельности,
аналитическую, финансовую, справочную информацию.
3.8. Банковский платежный технологический процесс: часть
банковского технологического процесса, содержащая расчетные, учетные,
кассовые и иные банковские операции над платежной информацией,
связанные с перемещением денежных средств с одного счета на другой,
открытием (закрытием) счетов или контролем за данными операциями.
Примечание. Платежная информация может включать в себя платежные
(расчетные) сообщения и информацию, связанную с проведением расчетных,
учетных, кассовых и иных операций.
3.9. Банковский технологический процесс: технологический процесс,
содержащий операции по изменению и (или) определению состояния
банковской информации, используемой при функционировании или
необходимой для реализации банковских услуг.
Примечания. 1. Операции над банковской информацией могут
выполняться вручную или быть автоматизированными, например, с помощью
комплексов средств автоматизации автоматизированных банковских систем.
2. Операции над банковской информацией требуют указания ролей их
участников (исполнителей и лиц, принимающих решения или имеющих
полномочия по изменению технологических процессов, в том числе
персонала автоматизированных банковских систем).
3.10. Информационная безопасность организации банковской системы
Российской Федерации: состояние защищенности интересов (целей)
организации БС РФ в условиях угроз в информационной сфере.
Примечания. 1. Защищенность достигается обеспечением совокупности
свойств информационной безопасности - конфиденциальностью,
целостностью, доступностью информационных активов и инфраструктуры.
Приоритетность свойств информационной безопасности определяется
значимостью информационных активов для интересов (целей) организации.
2. Информационная сфера представляет собой совокупность
информации, информационной инфраструктуры, субъектов, осуществляющих
сбор, формирование, распространение, хранение и использование
информации, а также системы регулирования возникающих при этом
отношений.
3.11. Информационные активы организации банковской системы
Российской Федерации: активы организации БС РФ, представляющие
ценность для нее с точки зрения достижения целей и имеющие отношение к
ее информационной сфере.
3.12. Инцидент информационной безопасности: действительное,
предпринимаемое или вероятное нарушение информационной безопасности.
Примечание. Нарушение может вызываться либо ошибкой людей, либо
неправильным функционированием технических средств, либо природными
факторами (например, пожар или наводнение), либо преднамеренными
злоумышленными действиями, приводящими к нарушению конфиденциальности,
целостности, доступности, учетности или неотказуемости.
3.13. Ключ кода аутентификации электронного сообщения: данные,
используемые при создании и проверке кода аутентификации электронного
сообщения.
3.14. Код аутентификации электронного сообщения: данные,
используемые для установления подлинности и контроля целостности
электронного сообщения.
3.15. Модель зрелости процессов управления информационной
безопасностью организации банковской системы Российской Федерации:
схема для измерения проработанности процессов управления
информационной безопасностью организации БС РФ.
3.16. Мониторинг информационной безопасности организации
банковской системы Российской Федерации: постоянное наблюдение за
объектами, влияющими на обеспечение информационной безопасности в
организации БС РФ, сбор, анализ и обобщение результатов наблюдения под
заданные цели.
Примечания. 1. Объектом мониторинга в зависимости от целей может
быть автоматизированная банковская система или ее часть, банковские
информационные технологические процессы, информационные банковские
услуги и пр.
2. Цели мониторинга информационной безопасности определяются
службой безопасности организации БС РФ.
3.17. Оценка соответствия информационной безопасности организации
банковской системы Российской Федерации установленным требованиям:
любая деятельность, связанная с прямым или косвенным определением
того, что выполняются или не выполняются соответствующие требования
информационной безопасности в организации БС РФ.
3.18. Политика информационной безопасности организации: одно или
несколько правил, процедур, практических приемов и руководящих
принципов в области информационной безопасности, которыми
руководствуется организация в своей деятельности.
3.19. Процесс: совокупность взаимосвязанных и взаимодействующих
видов деятельности, преобразующая входы в выходы.
3.20. Роль в организации банковской системы Российской Федерации:
заранее определенная совокупность правил, устанавливающих допустимое
взаимодействие между субъектом и объектом в организации БС РФ.
Примечания. 1. К субъектам относятся лица из числа руководства
организации, ее персонала, клиентов или инициируемые от их имени
процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное
средство, программно-аппаратное средство, информационные ресурс,
услуга, процесс, система, над которыми выполняются действия.
3.21. Свидетельство аудита: записи, изложение фактов или другой
информации, связанной с критериями аудита, которые могут быть
перепроверены.
Примечание. Свидетельство аудита может быть качественным или
количественным.
3.22. Требование: положение нормативного документа, содержащее
критерии, которые должны быть соблюдены.
3.23. Управление информационной безопасностью организации
банковской системы Российской Федерации: совокупность целенаправленных
действий, осуществляемых для достижения заявленных целей организации
БС РФ в условиях угроз в информационной сфере.
Примечание. Совокупность действий включает оценку ситуации и
состояния объекта управления (например, оценку и управление рисками),
выбор управляющих воздействий и их реализацию (планирование, внедрение
и обслуживание защитных мер (средств управления информационной
безопасностью)).
3.24. Уязвимость: недостатки или слабые места активов, которые
могут быть использованы угрозой.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".