Страницы: 1 2 СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ РАСПОРЯЖЕНИЕ ЦЕНТРАЛЬНЫЙ БАНК РФ 21 июня 2010 г. N Р-705 (Д) Дата введения: 2010-06-21 Предисловие 1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 21 июня 2010 года N Р-705. 2. ВЗАМЕН СТО БР ИББС-1.0-2008. Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России. Введение Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем ИБ банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем, эксплуатирующихся организациями БС РФ. Особенности БС РФ таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы ИБ представляют существенную опасность. Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репутационный, стратегический и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности. Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки риска нарушения ИБ и принятия мер, необходимых для управления этим риском. Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы документов в области стандартизации, в целом составляющих комплекс документов в области стандартизации по обеспечению ИБ организаций БС РФ. Основные цели стандартизации по обеспечению ИБ организаций БС РФ: - развитие и укрепление БС РФ; - повышение доверия к БС РФ; - поддержание стабильности организаций БС РФ и на этой основе - стабильности БС РФ в целом; - достижение адекватности мер защиты реальным угрозам ИБ; - предотвращение и (или) снижение ущерба от инцидентов ИБ. Основные задачи стандартизации по обеспечению ИБ организаций БС РФ: - установление единых требований по обеспечению ИБ организаций БС РФ; - повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ. 1. Область применения Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее - организации БС РФ) и устанавливает положения по обеспечению ИБ в организациях БС РФ. Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах. Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе нормативными актами Банка России. Обязательность применения настоящего стандарта может быть установлена договорами, заключенными организациями БС РФ, или решением организации БС РФ. В этих случаях требования настоящего стандарта, содержащие положения долженствования, применяются на обязательной основе, а рекомендации применяются по решению организации БС РФ. 2. Нормативные ссылки В настоящем стандарте использованы нормативные ссылки на следующие стандарты: ГОСТ Р ИСО 9001-2008 Система менеджмента качества. Требования 3. Термины и определения Термины, установленные настоящим стандартом, применяются во всех видах документации и во всех видах деятельности по обеспечению ИБ в рамках Комплекса БР ИББС <*>. -------------------------------- <*> См. п. 3.4. 3.1. Банковская система Российской Федерации: Банк России и кредитные организации, а также филиалы и представительства иностранных банков [1]. 3.2. Стандарт: Документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Примечание. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения. 3.3. Рекомендации в области стандартизации: Документ, содержащий советы организационно-методического характера, которые касаются проведения работ по стандартизации и способствуют применению основополагающего стандарта. 3.4. Комплекс БР ИББС: Взаимоувязанная совокупность документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации". 3.5. Менеджмент: Скоординированная деятельность по руководству и управлению. 3.6. Система: Множество (совокупность) материальных объектов (элементов) любой, в том числе различной физической, природы и информационных объектов, взаимодействующих между собой для достижения общей цели, обладающее системным свойством (свойствами). Примечание. Системным свойством (свойствами) является свойство, которое не имеет ни один из элементов и ни одно из подмножеств элементов при любом способе членения. Системное свойство не выводимо непосредственно из свойств элементов и частей. 3.7. Информация: Сведения (сообщения, данные) независимо от формы их представления [3]. 3.8. Инфраструктура: Комплекс взаимосвязанных обслуживающих структур, составляющих основу для решения проблемы (задачи). 3.9. Информационная инфраструктура: Система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. Примечание. Информационная инфраструктура: включает совокупность информационных центров, банков данных и знаний, систем связи; обеспечивает доступ потребителей к информационным ресурсам. 3.10. Документ: Зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. [ГОСТ Р 52069.0-2003] Примечание. Под материальным носителем подразумевается изделие (материал), на котором записана информация и которое обеспечивает возможность сохранения этой информации и снятие ее копий, например, бумага, магнитная лента или карта, магнитный или лазерный диск, фотопленка и т.п. 3.11. Процесс: Совокупность взаимосвязанных ресурсов и деятельности, преобразующая входы в выходы. 3.12. Технология: Совокупность взаимосвязанных методов, способов, приемов предметной деятельности. 3.13. Технологический процесс: Процесс, реализующий некоторую технологию. 3.14. Автоматизированная система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. [ГОСТ 34.003-90] 3.15. Авторизация: Предоставление прав доступа. 3.16. Идентификация: Процесс присвоения идентификатора (уникального имени); сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. 3.17. Аутентификация: Проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности). 3.18. Регистрация: Фиксация данных о совершенных действиях (событиях). 3.19. Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом. Примечания. 1. К субъектам относятся лица из числа руководителей организации банковской системы Российской Федерации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами. 2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия. 3.20. Угроза: Опасность, предполагающая возможность потерь (ущерба). 3.21. Риск: Мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы. 3.22. Актив: Все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении. Примечание. К активам организации банковской системы Российской Федерации могут относиться: работники (персонал), финансовые (денежные) средства, средства вычислительной техники, телекоммуникационные средства и пр.; различные виды банковской информации - платежная, финансово-аналитическая, служебная, управляющая, персональные данные и пр.; банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы); банковские продукты и услуги, предоставляемые клиентам. 3.23. Информационный актив: Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации банковской системы Российской Федерации; находящаяся в распоряжении организации банковской системы Российской Федерации и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме. 3.24. Классификация информационных активов: Разделение существующих информационных активов организации банковской системы Российской Федерации по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ. 3.25. Объект среды информационного актива: Материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.). 3.26. Ресурс: Актив организации банковской системы Российской Федерации, который используется или потребляется в процессе выполнения некоторой деятельности. 3.27. Банковский технологический процесс: Технологический процесс, реализующий операции по изменению и (или) определению состояния активов организации банковской системы Российской Федерации, используемых при функционировании или необходимых для реализации банковских услуг. Примечания. 1. Операции над активами организации банковской системы Российской Федерации могут выполняться вручную или быть автоматизированными, например, с помощью автоматизированных банковских систем. 2. В зависимости от вида деятельности выделяют: банковский платежный технологический процесс, банковский информационный технологический процесс и др. 3.28. Банковский платежный технологический процесс: часть банковского технологического процесса, реализующая банковские операции над информационными активами организации банковской системы Российской Федерации, связанные с перемещением денежных средств с одного счета на другой и (или) контролем данных операций. 3.29. Банковский информационный технологический процесс: Часть банковского технологического процесса, реализующая операции по изменению и (или) определению состояния информационных активов, необходимых для функционирования организации банковской системы Российской Федерации и не являющихся платежной информацией. Примечания. 1. Платежная информация - информация, содержащаяся в документах, на основании которой совершаются операции, связанные с перемещением денежных средств с одного счета на другой. 2. Неплатежная информация, необходимая для функционирования организации банковской системы Российской Федерации, может включать в себя, например, данные статистической отчетности и внутрихозяйственной деятельности, аналитическую, финансовую, справочную информацию. 3.30. Автоматизированная банковская система: Автоматизированная система, реализующая технологию выполнения функций организации банковской системы Российской Федерации. 3.31. Комплекс средств автоматизации автоматизированной банковской системы: Совокупность всех компонентов автоматизированной банковской системы организации банковской системы Российской Федерации, за исключением людей. 3.32. Безопасность: Состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз. 3.33. Информационная безопасность; ИБ: Безопасность, связанная с угрозами в информационной сфере. Примечания. 1. Защищенность достигается обеспечением совокупности свойств ИБ - доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей) организации банковской системы Российской Федерации. 2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений. 3.34. Доступность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы. 3.35. Целостность информационных активов: Свойство ИБ организации банковской системы Российской Федерации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах. 3.36. Конфиденциальность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что обработка, хранение и передача информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам. 3.37. Система информационной безопасности; СИБ: Совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение. 3.38. Система менеджмента информационной безопасности; СМИБ: Часть менеджмента организации банковской системы Российской Федерации, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ. 3.39. Система обеспечения информационной безопасности; СОИБ: Совокупность СИБ и СМИБ организации банковской системы Российской Федерации. 3.40. Область действия системы обеспечения информационной безопасности; область действия СОИБ: Совокупность информационных активов и элементов информационной инфраструктуры организации банковской системы Российской Федерации. 3.41. Осознание необходимости обеспечения информационной безопасности; осознание ИБ: Понимание руководством организации банковской системы Российской Федерации необходимости самостоятельно на основе принятых в этой организации ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению ИБ, а также поддерживать эту деятельность адекватно прогнозу. Примечание. Осознание ИБ является внутренней побудительной причиной для руководства банковской системы Российской Федерации инициировать и поддерживать деятельность по обеспечению ИБ, в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по обеспечению ИБ определяется соответственно либо возникшими проблемами организации, либо внешними факторами, например, требованиями законов. 3.42. Защитная мера: Сложившаяся практика, процедура или механизм, которые используются для уменьшения риска нарушения ИБ организации банковской системы Российской Федерации. 3.43. Угроза информационной безопасности; угроза ИБ: Угроза нарушения свойств ИБ - доступности, целостности или конфиденциальности информационных активов организации банковской системы Российской Федерации. 3.44. Уязвимость информационной безопасности; уязвимость ИБ: Слабое место в инфраструктуре организации банковской системы Российской Федерации, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ. 3.45. Ущерб: Утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации банковской системы Российской Федерации, наступивший в результате реализации угроз ИБ через уязвимости ИБ. 3.46. Инцидент информационной безопасности; инцидент ИБ: Событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ. Примечания. 1. Реализация угрозы ИБ - реализация нарушения свойств ИБ информационных активов организации банковской системы Российской Федерации. 2. Нарушение может вызываться источниками угроз ИБ: либо случайными факторами (ошибкой персонала, неправильным функционированием технических средств, природными факторами, например, пожаром или наводнением), либо преднамеренными действиями, приводящими к нарушению доступности, целостности или конфиденциальности информационных активов. 3.47. Нарушитель информационной безопасности; нарушитель ИБ: Субъект, реализующий угрозы ИБ организации банковской системы Российской Федерации, нарушая предоставленные ему полномочия по доступу к активам организации банковской системы Российской Федерации или по распоряжению ими. 3.48. Модель нарушителя информационной безопасности; модель нарушителя ИБ: Описание и классификация нарушителей ИБ, включая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а также способы реализации угроз ИБ со стороны указанных нарушителей. 3.49. Модель угроз информационной безопасности; модель угроз ИБ: Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба. 3.50. Риск нарушения информационной безопасности; риск нарушения ИБ: Риск, связанный с угрозой ИБ. 3.51. Оценка риска нарушения информационной безопасности: Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации банковской системы Российской Федерации на всех стадиях их жизненного цикла. 3.52. Обработка риска нарушения информационной безопасности: Процесс выбора и осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию или уходу от риска. 3.53. Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ. 3.54. Допустимый риск нарушения информационной безопасности: Риск нарушения ИБ, предполагаемый ущерб от которого организация банковской системы Российской Федерации в данное время и в данной ситуации готова принять. 3.55. Документация: Совокупность взаимосвязанных документов, объединенных общей целевой направленностью. 3.56. План работ по обеспечению информационной безопасности: Документ, устанавливающий перечень намеченных к выполнению работ или мероприятий по обеспечению ИБ организации банковской системы Российской Федерации, их последовательность, объем (в той или иной форме), сроки выполнения, ответственных лиц и конкретных исполнителей. 3.57. Свидетельства выполнения деятельности по обеспечению информационной безопасности: Документ или элемент документа, содержащий достигнутые результаты (промежуточные или окончательные), относящиеся к обеспечению ИБ организации банковской системы Российской Федерации. 3.58. Политика информационной безопасности; политика ИБ: Документация, определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенная для организации банковской системы Российской Федерации в целом. 3.59. Частная политика информационной безопасности; частная политика ИБ: Документация, детализирующая положения политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации банковской системы Российской Федерации. 3.60. Мониторинг: Постоянное наблюдение за объектами и субъектами, влияющими на ИБ организации банковской системы Российской Федерации, а также сбор, анализ и обобщение результатов наблюдений. 3.61. Аудит информационной безопасности; аудит ИБ: Систематический, независимый и документируемый процесс получения свидетельств деятельности организации банковской системы Российской Федерации по обеспечению ИБ, установления степени выполнения в организации банковской системы Российской Федерации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии ИБ организации банковской системы Российской Федерации. Примечание. Аудит ИБ выполняется работниками организации, являющейся внешней по отношению к организации банковской системы Российской Федерации. 3.62. Критерии оценки (аудита) информационной безопасности; критерии оценки (аудита) ИБ: Совокупность требований в области ИБ, определенных стандартом Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" или его частью. 3.63. Свидетельства оценки соответствия (аудита) информационной безопасности установленным критериям; свидетельства оценки соответствия (аудита) ИБ: Записи, изложение фактов или другая информация, которые имеют отношение к критериям оценки соответствия (самооценки соответствия, аудита) ИБ и могут быть проверены. Примечание. Свидетельства оценки соответствия (самооценки соответствия, аудита) ИБ могут быть качественными или количественными. 3.64. Выводы аудита информационной безопасности; выводы аудита ИБ: Результат оценки собранных свидетельств аудита ИБ. 3.65. Заключение по результатам аудита информационной безопасности (аудиторское заключение); заключение по результатам аудита ИБ: Качественная или количественная оценка соответствия установленным критериям аудита ИБ, представленная аудиторской группой после рассмотрения всех выводов аудита ИБ в соответствии с целями аудита ИБ. 3.66. Область аудита информационной безопасности; область аудита ИБ: Содержание и границы аудита ИБ. Примечание. Область аудита ИБ обычно включает местонахождение, организационную структуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту ИБ, а также охватываемый период времени. 3.67. Программа аудита информационной безопасности; программа аудита ИБ: План деятельности по проведению одного или нескольких аудитов ИБ (и других проверок ИБ), запланированных на конкретный период времени и направленных на достижение конкретной цели. Примечание. Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ). 4. Обозначения и сокращения АБС - автоматизированная банковская система; БС - банковская система; ЖЦ - жизненный цикл; ИБ - информационная безопасность; ИСПДн - информационная система персональных данных; НСД - несанкционированный доступ; НРД - нерегламентированные действия в рамках предоставленных полномочий; РФ - Российская Федерация; СКЗИ - средство криптографической защиты информации; СМИБ - система менеджмента информационной безопасности; СИБ - система информационной безопасности; СОИБ - система обеспечения информационной безопасности; ЭВМ - электронная вычислительная машина; ЭЦП - электронная цифровая подпись. 5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации 5.1. Сущность бизнеса заключается в вовлечении актива, принадлежащего собственнику (организации БС РФ), в бизнес-процесс. Эта деятельность всегда подвержена рискам, так как и на сам актив, и на бизнес-процесс могут воздействовать различного рода угрозы. Угрозы реализуются через их источники и имеют соответствующую вероятность реализации. Выделяют источники угроз природного, техногенного и антропогенного характера. Источники угроз антропогенного характера могут быть как злоумышленные, так и незлоумышленные. 5.2. В основе исходной концептуальной схемы ИБ организаций БС РФ лежит противоборство собственника <*> и злоумышленника <**> с целью получения контроля над информационными активами. Однако другие, незлоумышленные, действия или источники угроз также лежат в сфере рассмотрения настоящего стандарта. -------------------------------- <*> Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику. <**> Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий (адаптировано из ст. 27 УК РФ). Если злоумышленнику удается установить такой контроль, то как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, наносится ущерб. 5.3. Руководство организации БС РФ должно знать, что защищать. Для этого необходимо определить и защитить все информационные активы (ресурсы), реализация угроз в отношении которых может нанести ущерб организации БС РФ. 5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности. Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ. Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает. 5.5. Практически никогда не известно о готовящемся нападении, оно, как правило, бывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер. 5.6. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем выявления уязвимостей ИБ. Путем поиска или создания уязвимостей ИБ он отрабатывает наиболее эффективный метод нападения (получения контроля над активом). С целью снижения рисков нарушения ИБ и управления ими собственник создает уполномоченный орган - свою службу ИБ (подразделение (лица) в организации БС РФ, ответственные за обеспечение ИБ), организует создание и эксплуатацию СОИБ, а также организует эксплуатацию АБС в соответствии с правилами и требованиями, задаваемыми СОИБ. Одна из задач службы ИБ - выявление следов активности нарушителя. 5.7. Один из главных инструментов собственника в обеспечении ИБ - основанный на опыте прогноз (составление модели угроз и модели нарушителя) <*>. -------------------------------- <*> Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используются имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз. Чем обоснованнее и точнее сделан прогноз, тем потенциально ниже риски нарушения ИБ организации БС РФ при минимальных ресурсных затратах. При этом следует учитывать, что со временем угрозы, их источники и риски могут изменяться. Поэтому модели следует периодически пересматривать. 5.8. Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ организации БС РФ - разработать политику ИБ организации БС РФ и в соответствии с ней реализовать, эксплуатировать и совершенствовать СОИБ организации БС РФ. 5.9. Политика ИБ организаций БС РФ разрабатывается на основе накопленного в организации БС РФ опыта в области обеспечения ИБ, результатов идентификации активов, подлежащих защите, результатов оценки рисков, с учетом особенностей бизнеса и технологий, требований законодательства Российской Федерации, нормативных актов Банка России, а также интересов и бизнес-целей конкретной организации БС РФ. 5.10. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ организации БС РФ серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником или менеджментом организации БС РФ, представляющим интересы собственника. Поэтому этими отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности организации БС РФ является ее персонал, собственник должен всемерно поощрять заинтересованность и осведомленность персонала в решении проблем ИБ. 5.11. Далеко не каждая организация БС РФ располагает потенциалом для самостоятельного составления моделей угроз и нарушителя, а также политики ИБ. В этом случае эти документы должны составляться с привлечением сторонних организаций. Модели угроз и нарушителя должны учитывать разработки ведущих специалистов банковской системы, а также международный опыт в этой сфере. 5.12. При разработке моделей угроз и моделей нарушителя необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью нарушитель выберет наиболее слабо контролируемый, где его деятельность будет оставаться необнаруженной максимально долго. Поэтому все операции в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны особенно тщательно контролироваться. 5.13. Стратегия обеспечения ИБ организаций БС РФ, таким образом, заключается как в эффективном использовании по имеющемуся плану заранее разработанных мер по обеспечению ИБ, противостоящих атакам злоумышленников, так и в регулярном пересмотре моделей и политик ИБ, а также корректировке СОИБ. В случае реализации угроз должен быть использован дополнительный (специально разработанный) план действий, позволяющий свести к минимуму возможные потери и восстановить СОИБ. 5.14. Любой целенаправленной деятельности (бизнесу) свойственны риски. Это объективная реальность, и понизить эти риски можно лишь до определенного остаточного уровня. Оставшаяся (остаточная) часть риска, определяемая в том числе факторами среды деятельности организации БС РФ, должна быть признана приемлемой и принята либо отклонена. В этом случае от риска следует либо уклониться (изменить среду деятельности), либо перевести на кого-нибудь (например, застраховать). Таким образом, уровень защищенности интересов (целей) организации БС РФ определяется, во-первых, величиной принятых ею остаточных рисков, а во-вторых, эффективностью работ по поддержанию принятых рисков на допустимом, низком (остаточном) уровне. 5.15. Риски нарушения ИБ должны быть согласованы и иерархически связаны с рисками основной (бизнес) деятельности организации БС РФ через возможный ущерб. Риски нарушения ИБ выражаются в возможности потери состояния защищенности интересов (целей) организации БС РФ в информационной сфере и возникновения ущерба бизнесу организации БС РФ или убытков. Потеря состояния защищенности интересов (целей) организации БС РФ в информационной сфере заключается в утрате свойств доступности, целостности или конфиденциальности информационных активов, утрате заданных целями бизнеса параметров или доступности сервисов инфраструктуры организации БС РФ. 5.16. Уязвимость ИБ создает предпосылки к реализации угрозы через нее (инцидент ИБ). Реализация угрозы нарушения ИБ приводит к утрате защищенности интересов (целей) организации БС РФ в информационной сфере, в результате чего организации БС РФ наносится ущерб. Тяжесть ущерба совместно с вероятностью приводящего к нему инцидента ИБ определяют величину риска. 5.17. Постоянный анализ и изучение инфраструктуры организации БС РФ с целью выявления и устранения уязвимостей ИБ - основа эффективной работы СОИБ. 5.18. Анализ и оценка рисков нарушения ИБ должна основываться на идентификации активов организации БС РФ, на их ценности для целей и задач организации БС РФ, на моделях угроз и нарушителей ИБ организации БС РФ. 5.19. При принятии решений о внедрении защитных мер для противодействия идентифицированным угрозам (рискам) необходимо учитывать, что тем самым одновременно может увеличиваться сложность СОИБ организации БС РФ, что, в свою очередь, как правило, порождает новые риски. Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на общую структуру рисков организации. 5.20. Организация БС РФ осуществляет свою деятельность путем реализации совокупности процессов, среди которых возможно выделение следующих групп: - основные процессы, обеспечивающие достижение целей и задач организации БС РФ; - вспомогательные процессы, обеспечивающие качество, в том числе обеспечение ИБ организации БС РФ; - процессы менеджмента (управления), обеспечивающие поддержку параметров основных и вспомогательных процессов в заданных пределах и их корректировку в случае изменения внешних или внутренних условий. Такое разделение процессов является условным, так как основные и вспомогательные процессы нередко образуют единое целое, например, функционирование защитных мер составляет часть группы основных процессов. В то же время процессы менеджмента отделены от основных и вспомогательных процессов, которые являются объектами менеджмента. 5.21. Совокупность защитных мер, реализующих обеспечение ИБ организации БС РФ, и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение, составляет СИБ организации БС РФ. Совокупность процессов менеджмента ИБ, включая ресурсное и административное (организационное) обеспечение этих процессов, составляет СМИБ организации БС РФ. Совокупность СИБ и СМИБ составляет СОИБ организации БС РФ. 5.22. Процессы эксплуатации защитных мер функционируют в реальном времени. Совокупность защитных мер и процессов их эксплуатации должна обеспечивать текущий, требуемый уровень ИБ в условиях штатного функционирования, а также в условиях реализации угроз, учтенных в моделях организации БС РФ и приводящих к возникновению: - локальных инцидентов ИБ; - широкомасштабных катастроф и аварий различной природы, последствия которых могут иметь отношение к ИБ организации БС РФ. 5.23. СОИБ должна быть определена, спланирована и регламентирована в организации БС РФ. Однако даже правильно выстроенные процессы и используемые защитные меры в силу объективных причин со временем имеют тенденцию к ослаблению своей эффективности. Это неминуемо ведет к деградации системы защиты и возрастанию рисков нарушения ИБ. Для поддержания системы защиты на должном уровне в качестве оперативной меры используется мониторинг событий и инцидентов в СИБ. Менеджмент событий и инцидентов безопасности, полученных в результате мониторинга, позволяет избежать деградации и обеспечить требуемый уровень безопасности активов. Для оценки состояния ИБ защищаемого актива и выявления признаков деградации используемых защитных мер проводится оценка (самооценка) соответствия системы требованиям настоящего стандарта. 5.24. Для реализации и поддержания ИБ в организации БС РФ необходима реализация четырех групп процессов: - планирование СОИБ организации БС РФ ("планирование"); - реализация СОИБ организации БС РФ ("реализация"); - мониторинг и анализ СОИБ организации БС РФ ("проверка"); - поддержка и улучшение СОИБ организации БС РФ ("совершенствование"). Указанные группы процессов составляют СМИБ организации БС РФ. 5.25. Менеджмент ИБ есть часть общего корпоративного менеджмента организации БС РФ, которая ориентирована на содействие достижению целей деятельности организации через обеспечение защищенности ее информационной сферы. Группы процессов СМИБ организации БС РФ следует организовывать в виде циклической модели Деминга "... - планирование - реализация - проверка - совершенствование - планирование -...", которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001-2005 [4]. Организация и выполнение процессов СМИБ необходимы в том числе для обеспечения уверенности в том, что хороший практический опыт организации БС РФ документируется, становится обязательным к применению, а СОИБ совершенствуется. 5.26. Основой для построения СОИБ организации БС РФ являются требования законодательства Российской Федерации, нормативные акты Банка России, контрактные требования организации БС РФ, а также условия ведения бизнеса, выраженные на основе идентификации активов организации БС РФ, построения модели нарушителей и угроз. 5.27. Рисунок 1 иллюстрирует взаимосвязь СИБ, СМИБ и СОИБ организации БС РФ. ------------------------------------------------------------------------------- | - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - | | СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ | | | ---------------------------- | | | \/ | | | | ----------------------------------------------------- | | | | СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ | | | | | -------------------- --------------------- | | | | ---| | Реализация | | Планирование | |<-- | | | | | | СОИБ | | СОИБ | | | | | | | | -------------------- --------------------- | | | | | | | | | | | | | | | \/ | | | | | ----|--|---------------------------------------------------|--|---\ | | | > | | СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ | | > | | | ----|--|---------------------------------------------------|--|---/ | | | | | | | | | | | | | \/ | | | | | | | -------------------- --------------------- | | | | | | | | Проверка | | Совершенствование | |--- | | | -->| | СОИБ | | СОИБ | | | | | | -------------------- --------------------- | | | | ----------------------------------------------------- | | | | /\ | | | ------------------------------ | | - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - | ------------------------------------------------------------------------------- Рисунок 1. СОИБ организации БС РФ 5.28. Руководству организации БС РФ необходимо инициировать, поддерживать и контролировать выполнение процессов СОИБ. Степень выполнения указанной деятельности со стороны руководства организации определяется осознанием необходимости обеспечения ИБ организации БС РФ. Осознание необходимости обеспечения ИБ организации БС РФ проявляется в использовании руководством организации БС РФ бизнес-преимуществ обеспечения ИБ, способствующих формированию условий для дальнейшего развития бизнеса организации с допустимыми рисками. 5.29. Осознание необходимости обеспечения ИБ является внутренним побудительным мотивом руководства организации БС РФ постоянно инициировать, поддерживать, анализировать и контролировать СОИБ, в отличие от ситуации, когда решение о выполнении указанных видов деятельности принимается либо в результате возникших проблем, либо определяется внешними факторами. 5.30. Осознание необходимости обеспечения ИБ организации БС РФ выражается посредством выполнения в рамках СМИБ деятельности со стороны руководства, направленной на инициирование, поддержание, анализ и контроль СОИБ организации БС РФ. 6. Модели угроз и нарушителей информационной безопасности организаций банковской системы Российской Федерации 6.1. Модели угроз и нарушителей должны быть основным инструментом организации БС РФ при развертывании, поддержании и совершенствовании СОИБ. 6.2. Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней: - физического (линии связи, аппаратные средства и пр.); - сетевого оборудования (маршрутизаторы, коммутаторы, концентраторы и пр.); - сетевых приложений и сервисов; - операционных систем (ОС); - систем управления базами данных (СУБД); - банковских технологических процессов и приложений; - бизнес-процессов организации. 6.3. На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными. 6.4. Главной целью злоумышленника является получение контроля над информационными активами на уровне бизнес-процессов. Прямое нападение на уровне бизнес-процессов, например, путем раскрытия конфиденциальной банковской аналитической информации, более эффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляемое через нижние уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. временных) и поэтому менее эффективное по соотношению "затраты/получаемый результат". Другими целями злоумышленника могут являться, например, нарушение функционирования бизнес-процессов организации БС РФ путем нарушения доступности или целостности информационных активов, например, посредством распространения вредоносных программ или нарушения правил эксплуатации ЭВМ или их сетей. 6.5. Организация должна определить конкретные объекты среды информационных активов на каждом из уровней информационной инфраструктуры. 6.6. Основными источниками угроз ИБ являются: - неблагоприятные события природного, техногенного и социального характера; - террористы и криминальные элементы; - зависимость от поставщиков/провайдеров/партнеров/клиентов; - сбои, отказы, разрушения/повреждения программных и технических средств; - работники организации БС РФ, реализующие угрозы ИБ с использованием легально предоставленных им прав и полномочий (внутренние нарушители ИБ); - работники организации БС РФ, реализующие угрозы ИБ вне легально предоставленных им прав и полномочий, а также субъекты, не являющиеся работниками организации БС РФ, но осуществляющие попытки НСД и НРД (внешние нарушители ИБ); - несоответствие требованиям надзорных и регулирующих органов, действующему законодательству. 6.7. Наиболее актуальные источники угроз на физическом уровне, уровне сетевого оборудования и уровне сетевых приложений: - внешние нарушители ИБ: лица, разрабатывающие/распространяющие вирусы и другие вредоносные программные коды; лица, организующие DoS, DDoS и иные виды атак; лица, осуществляющие попытки НСД и НРД; - внутренние нарушители ИБ: персонал, имеющий права доступа к аппаратному оборудованию, в том числе сетевому, администраторы серверов, сетевых приложений и т.п.; - комбинированные источники угроз: внешние и внутренние нарушители ИБ, действующие совместно и (или) согласованно; - сбои, отказы, разрушения/повреждения программных и технических средств. 6.8. Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов: - внутренние нарушители ИБ: администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.; - комбинированные источники угроз: внешние и внутренние нарушители ИБ, действующие в сговоре <*>. -------------------------------- <*> На данных уровнях и уровне бизнес-процессов реализация угроз внешними нарушителями ИБ, действующими самостоятельно, без соучастия внутренних, практически невозможна. 6.9. Наиболее актуальные источники угроз на уровне бизнес-процессов: - внутренние нарушители ИБ: авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.; - комбинированные источники угроз: внешние нарушители ИБ (например, конкуренты) и внутренние, действующие в сговоре; - несоответствие требованиям надзорных и регулирующих органов, действующему законодательству. 6.10. Источники угроз используют для реализации угрозы уязвимости ИБ. 6.11. Хорошей практикой в организациях БС РФ является разработка моделей угроз и нарушителей ИБ для организации в целом, а также при необходимости для ее отдельных банковских процессов. Степень детализации параметров моделей угроз и нарушителей ИБ может быть различна и определяется реальными потребностями для каждой организации в отдельности. 7. Система информационной безопасности организаций банковской системы Российской Федерации 7.1. Общие положения 7.1.1. Выполнение требований к СИБ организации БС РФ является основой для обеспечения должного уровня ИБ. Формирование требований к СИБ организации БС РФ должно проводиться на основе: - положений настоящего раздела стандарта; - выполнения деятельности в рамках СМИБ организации БС РФ, определенной в разделе 8 настоящего стандарта (в частности, деятельности по разработке планов обработки рисков нарушения ИБ). Требования к СИБ организации БС РФ должны быть оформлены документально в соответствии с Рекомендациями в области стандартизации Банка России РС БР ИББС-2.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0". 7.1.2. Положения подразделов 7.2 - 7.11 настоящего стандарта образуют базовый набор требований к СИБ, применимый к большинству организаций БС РФ. В соответствии с особенностями конкретной организации БС РФ данный базовый набор требований может быть расширен путем выполнения деятельности в рамках процессов СМИБ организации БС РФ, например, определения области действия СОИБ организации БС РФ, анализа и оценки рисков нарушения ИБ. 7.1.3. Требования к СИБ должны быть сформированы в том числе для следующих областей: - назначения и распределения ролей и обеспечения доверия к персоналу; - обеспечения ИБ на стадиях ЖЦ АБС; - защиты от НСД и НРД, управления доступом и регистрацией всех действий в АБС, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.; - антивирусной защиты; - использования ресурсов сети Интернет; - использования СКЗИ; - защиты банковских платежных и информационных технологических процессов, в том числе банковских технологических процессов, в рамках которых обрабатываются персональные данные. В конкретной организации БС РФ требования к СИБ могут формироваться и для других областей и направлений деятельности. 7.1.4. При распределении прав доступа работников и клиентов к информационным активам организации БС РФ следует руководствоваться принципами: - "знать своего клиента" <*>; -------------------------------- <*> "Знать своего клиента" (Know your Customer): принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов. - "знать своего служащего" <*>; -------------------------------- <*> "Знать своего служащего" (Know your Employee): принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких, как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью. - "необходимо знать" <*>, а также рекомендуется использовать принцип "двойное управление" <**>. -------------------------------- <*> "Необходимо знать" (Need to Know): принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей. <**> "Двойное управление" (Dual Control): принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий дублирования (алгоритмического, временного, ресурсного или иного) действий до завершения определенных транзакций. 7.1.5. Формирование ролей должно осуществляться на основании существующих бизнес-процессов организации БС РФ и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности. Формирование ролей не должно выполняться по принципу фиксации фактически сложившихся прав и полномочий персонала организации БС РФ. 7.1.6. Для обеспечения ИБ и контроля за качеством обеспечения ИБ в организации БС РФ должны быть определены роли, связанные с деятельностью по обеспечению ИБ. Руководство организации БС РФ должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением ИБ. 7.1.7. ИБ АБС должна обеспечиваться на всех стадиях ЖЦ АБС, автоматизирующих банковские технологические процессы, с учетом интересов всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации БС РФ). 7.1.8. При принятии руководством организации БС РФ решений об использовании сети Интернет, при формировании документов, регламентирующих порядок использования сети Интернет, а также иных документов, связанных с обеспечением ИБ при использовании сети Интернет, необходимо учитывать следующие положения: - сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими; - существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет; - существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет; - гарантии по обеспечению ИБ при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются. 7.1.9. В рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать: - банковский платежный технологический процесс; - платежную информацию. 7.2. Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу 7.2.1. В организации БС РФ должны быть выделены и документально определены роли ее работников. Формирование ролей, связанных с выполнением деятельности по обеспечению ИБ среди прочего должно осуществляться на основании требований 7 и 8 разделов настоящего стандарта. 7.2.2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях. 7.2.3. С целью снижения рисков нарушения ИБ не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в системе и контроля их выполнения. 7.2.4. В организации БС РФ должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации БС РФ. 7.2.5. В организации БС РФ должны быть документально определены процедуры приема на работу, влияющую на обеспечение ИБ, включающие: - проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов; - проверку в части профессиональных навыков и оценку профессиональной пригодности. Указанные процедуры должны предусматривать документальную фиксацию результатов проводимых проверок. 7.2.6. Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) - при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии. 7.2.7. Все работники организации БС РФ должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. При взаимодействии с внешними организациями и клиентами требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними. 7.2.8. Обязанности персонала по выполнению требований по обеспечению ИБ должны включаться в трудовые контракты (соглашения, договоры) и (или) должностные инструкции. Невыполнение работниками организации БС РФ требований по обеспечению ИБ должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности. 7.3. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла 7.3.1. При формировании требований по обеспечению ИБ рекомендуется рассматривать следующие общие стадии модели ЖЦ АБС: 1) разработка технических заданий; 2) проектирование; 3) создание и тестирование; 4) приемка и ввод в действие; 5) эксплуатация; 6) сопровождение и модернизация; 7) снятие с эксплуатации. В случае разработки АБС в организации БС РФ рекомендуется рассматривать все стадии ЖЦ АБС, а в случае приобретения готовых АБС рекомендуется рассматривать стадии 4 - 7 ЖЦ АБС. 7.3.2. Разработка технических заданий и приемка АБС должны осуществляться по согласованию и при участии подразделения (лиц) в организации БС РФ, ответственного за обеспечение ИБ. 7.3.3. Ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации АБС должны осуществляться под контролем подразделения (лиц) в организации, ответственного за обеспечение ИБ. 7.3.4. Привлекаемые для разработки и (или) производства средств и систем защиты АБС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ. 7.3.5. Разрабатываемые АБС и (или) их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз ИБ (источников угроз), описанных в модели угроз организации БС РФ. Приобретаемые организацией БС РФ готовые АБС и (или) их компоненты рекомендуется снабжать указанной документацией. Также документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты должна содержать описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки. В договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов организациям БС РФ должны включаться положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных положений должен быть приобретен полный комплект рабочей конструкторской документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости или позиции фирмы-поставщика (разработчика), руководство организации БС РФ должно оценить и документально оформить допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов. 7.3.6. При разработке технических заданий на системы дистанционного банковского обслуживания должно быть учтено, что защита данных должна обеспечиваться в условиях: - попыток доступа к банковской информации анонимных, неавторизованных злоумышленников при использовании сетей общего пользования; - возможности ошибок авторизованных пользователей систем; - возможности ненамеренного или неадекватного использования конфиденциальных данных авторизованными пользователями. 7.3.7. На стадии тестирования должны обеспечиваться анонимность данных и проверка адекватности разграничения доступа. 7.3.8. На стадии эксплуатации АБС должны быть документально определены и выполняться процедуры контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер. Результаты выполнения контроля должны документироваться. 7.3.9. На стадии сопровождения (модернизации) должны быть документально определены и выполняться процедуры контроля, обеспечивающие защиту от: - умышленного несанкционированного раскрытия, модификации или уничтожения информации; - неумышленной модификации, раскрытия или уничтожения информации; - отказа в обслуживании или ухудшения обслуживания. Результаты выполнения контроля должны документироваться. 7.3.10. На стадии сопровождения (модернизации) при любом внесении изменения в АБС должны проводиться процедуры проверки функциональности, результаты которой должны документально фиксироваться. 7.3.11. На стадии снятия с эксплуатации должны быть документально определены и выполняться процедуры, обеспечивающие удаление информации, несанкционированное использование которой может нанести ущерб бизнес-деятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС и с внешних носителей, за исключением архивов электронных документов и протоколов электронного взаимодействия, ведение и сохранность которых в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами. Результаты выполнения процедур должны документироваться. 7.4. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации 7.4.1. Должен быть документально определен перечень информационных активов (их типов) организации БС РФ. Права доступа работников и клиентов организации БС РФ к данным активам должны быть документально зафиксированы. 7.4.2. В составе АБС должны применяться встроенные защитные меры, а также рекомендуются к использованию сертифицированные или разрешенные руководством организации БС РФ к применению средства защиты информации от НСД и НРД. 7.4.3. В организации БС РФ должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации; управления доступом; контроля целостности; регистрации событий и действий. Процедуры управления доступом должны исключать возможность "самосанкционирования". Результаты контроля процедур должны документироваться. 7.4.4. В организации БС РФ необходимо документально определить процедуры мониторинга и анализа данных регистрации, действий и операций, позволяющие выявлять неправомерные или подозрительные операции и транзакции. Для проведения процедур мониторинга и анализа данных регистрации, действий и операций рекомендуется использовать специализированные программные и (или) технические средства. Процедуры мониторинга и анализа должны использовать документально определенные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга и анализа должны применяться на регулярной основе, например, ежедневно, ко всем выполненным операциям и транзакциям. 7.4.5. Порядок доступа работников организации БС РФ в помещения, в которых размещаются объекты среды информационных активов, должен быть регламентирован во внутренних документах организации БС РФ, а его выполнение должно контролироваться. Результаты контроля выполнения порядка доступа должны оформляться документально. 7.4.6. Используемые в организации БС РФ АБС, в том числе системы дистанционного банковского обслуживания, должны обеспечивать среди прочего возможность регистрации: - операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов; - проводимых транзакций, имеющих финансовые последствия; - операций, связанных с назначением и распределением прав пользователей. 7.4.7. Системы дистанционного банковского обслуживания должны реализовывать защитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций, например, ЭЦП. Протоколам операций, выполняемых посредством систем дистанционного банковского обслуживания, рекомендуется придать свойство юридической значимости, например, путем внесения соответствующих положений в договоры на дистанционное банковское обслуживание. 7.4.8. При заключении договоров со сторонними организациями рекомендуется юридическое оформление договоренностей, предусматривающих необходимый уровень взаимодействия, в случае выхода инцидента ИБ за рамки отдельной организации БС РФ. Примером такого взаимодействия может служить приостановка выполнения распределенной между несколькими организациями транзакции в случае, если имеющиеся данные мониторинга и анализа протоколов операций позволяют предположить, что выполнение данной транзакции является частью замысла злоумышленников. 7.4.9. Должны быть документально оформлены и доведены до сведения работников и клиентов организации БС РФ процедуры, определяющие действия в случае компрометации информации, необходимой для их идентификации, аутентификации и (или) авторизации, в том числе произошедшей по их вине, включая информацию о способах распознавания таких случаев. Эти процедуры должны предусматривать документирование работниками и клиентами всех своих действий и их результатов. 7.4.10. В системах дистанционного банковского обслуживания должны быть реализованы механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имен. 7.4.11. В организации БС РФ должны применяться защитные меры, направленные на обеспечение защиты от НСД и НРД, повреждения или нарушения целостности информации, необходимой для регистрации, идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД и НРД к такой информации должны регистрироваться. При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанной информации, необходимо выполнить документированные процедуры соответствующего пересмотра прав доступа. 7.4.12. Работа всех пользователей АБС должна осуществляться под уникальными учетными записями. 7.5. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты 7.5.1. На всех автоматизированных рабочих местах и серверах АБС организации БС РФ, если иное не предусмотрено технологическим процессом, должны применяться средства антивирусной защиты. Процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС должны быть документированы и осуществляться администраторами АБС или иными официально уполномоченными лицами. Рекомендуется организовать автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных. Установка и обновление антивирусных средств в организации должны контролироваться представителями подразделения (лицами) в организации, ответственными за обеспечение ИБ. 7.5.2. В организации БС РФ рекомендуется организовать функционирование постоянной антивирусной защиты в автоматическом режиме. 7.5.3. Должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов. 7.5.4. В организации БС РФ должна быть организована антивирусная фильтрация всего трафика электронного почтового обмена. 7.5.5. Рекомендуется организовать построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах. 7.5.6. Должны быть документально определены и выполняться процедуры предварительной проверки устанавливаемого или изменяемого программного обеспечения на отсутствие вирусов. После установки или изменения программного обеспечения должна быть выполнена антивирусная проверка. Результаты установки, изменения программного обеспечения и антивирусной проверки должны документироваться. 7.5.7. Должны быть документально определены процедуры, выполняемые в случае обнаружения компьютерных вирусов, в которых, в частности, необходимо зафиксировать: - необходимые меры по отражению и устранению последствий вирусной атаки; - порядок официального информирования руководства; - порядок приостановления при необходимости работы (на период устранения последствий вирусной атаки). 7.5.8. Должны быть документально определены и выполняться процедуры контроля за отключением и обновлением антивирусных средств на всех автоматизированных рабочих местах и серверах АБС. Результаты контроля должны документироваться. 7.5.9. Ответственность за выполнение требований по антивирусной защите должна быть возложена на руководителя функционального подразделения организации БС РФ, а обязанности по выполнению предписанных мер антивирусной защиты должны быть возложены на каждого работника организации, имеющего доступ к ЭВМ и (или) АБС. 7.6. Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет 7.6.1. Решение об использовании сети Интернет для производственной и (или) собственной хозяйственной деятельности должно документально приниматься руководством организации БС РФ. При этом цели использования сети Интернет должны быть явно перечислены, например, сеть Интернет в организации БС РФ может использоваться для: - ведения дистанционного банковского обслуживания; - получения и распространения информации, связанной с банковской деятельностью (например, путем создания информационных web-сайтов организации БС РФ); - информационно-аналитической работы в интересах организации; - обмена электронными сообщениями, например, почтовыми. Использование сети Интернет в неустановленных целях должно быть запрещено. С целью ограничения использования сети Интернет в неустановленных целях в организации БС РФ рекомендуется провести выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей. Наделение работников организации БС РФ правами пользователя конкретного пакета должно оформляться документально и выполняться в соответствии с его должностными обязанностями, в частности, в соответствии с назначенными ему ролями. 7.6.2. В организации БС РФ должен быть документально определен порядок подключения и использования ресурсов сети Интернет, включающий в том числе положение о контроле со стороны подразделения (лиц) в организации, ответственного за обеспечение ИБ. 7.6.3. В организациях БС РФ, осуществляющих дистанционное банковское обслуживание клиентов, в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет должны применяться средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты информации и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. 7.6.4. Рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line. 7.6.5. При осуществлении дистанционного банковского обслуживания должны применяться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистрироваться регламентированным образом. 7.6.6. Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить повторное выполнение указанных процедур. Для доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение. 7.6.7. Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер. Перечень указанных защитных мер и порядок их использования должны быть определены документально. Рекомендуется организовать почтовый обмен с сетью Интернет через ограниченное количество точек, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой репликации почтовых сообщений между ними (интернет-киоски). 7.6.8. Электронная почта должна архивироваться. Архив должен быть доступен подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Порядок доступа к информации архива должен быть документально определен. 7.6.9. Рекомендуется не применять практику хранения и обработки банковской информации (в т.ч. открытой) на ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line. Наличие банковской информации на таких ЭВМ должно определяться бизнес-целями организации БС РФ и документально санкционироваться ее руководством. 7.6.10. При взаимодействии с сетью Интернет должны быть документально определены и использоваться защитные меры противодействия атакам хакеров и распространению спама <*>. -------------------------------- <*> Спам - общее наименование не запрошенных пользователями электронных посланий и рекламных писем, рассылаемых в сети Интернет по ставшим известными рассылающей стороне адресам пользователей. 7.7. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации 7.7.1. Средства криптографической защиты информации, или шифровальные (криптографические) средства (далее - СКЗИ), предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи. Необходимость использования СКЗИ определяется организацией БС РФ самостоятельно, если иное не предусмотрено законодательством РФ. Применение СКЗИ в организации БС РФ должно проводиться в соответствии с моделью угроз ИБ и моделью нарушителя ИБ, принятыми организацией БС РФ. Рекомендуется утвердить частную политику ИБ, касающуюся применения СКЗИ в организации БС РФ. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2. Работы по обеспечению с помощью СКЗИ безопасности информации проводятся в соответствии с действующими в настоящее время нормативными документами, регламентирующими вопросы эксплуатации СКЗИ, технической документацией на СКЗИ и лицензионными требованиями ФСБ России. 7.7.2. Для обеспечения безопасности необходимо использовать СКЗИ, которые: - допускают встраивание в технологические процессы обработки электронных сообщений, обеспечивают взаимодействие с прикладным Страницы: 1 2 |