Страницы: 1 2
программным обеспечением на уровне обработки запросов на
криптографические преобразования и выдачи результатов;
- поставляются разработчиками с полным комплектом
эксплуатационной документации, включая описание ключевой системы,
правила работы с ней, а также обоснование необходимого
организационно-штатного обеспечения;
- сертифицированы уполномоченным государственным органом либо
имеют разрешение ФСБ России.
7.7.3. Установка и ввод в эксплуатацию, а также эксплуатация СКЗИ
должны осуществляться в соответствии с эксплуатационной и технической
документацией к этим средствам.
7.7.4. При применении СКЗИ должны поддерживаться непрерывность
процессов протоколирования работы СКЗИ и обеспечения целостности
программного обеспечения для среды функционирования СКЗИ,
представляющую собой совокупность технических и программных средств,
совместно с которыми происходит штатное функционирование СКЗИ и
которые способны повлиять на выполнение предъявляемых к СКЗИ
требований.
7.7.5. ИБ процессов изготовления криптографических ключей СКЗИ
должна обеспечиваться комплексом технологических, организационных,
технических и программных мер и средств защиты.
7.7.6. Для повышения уровня безопасности при эксплуатации СКЗИ и
их ключевых систем рекомендуется реализовать процедуры мониторинга,
регистрирующего все значимые события, состоявшиеся в процессе обмена
криптографически защищенными данными, и все инциденты ИБ.
7.7.7. Порядок применения СКЗИ определяется руководством
организации БС РФ на основании указанных выше в данном разделе
документов и должен включать:
- порядок ввода в действие, включая процедуры встраивания СКЗИ в
АБС;
- порядок эксплуатации;
- порядок восстановления работоспособности в аварийных случаях;
- порядок внесения изменений;
- порядок снятия с эксплуатации;
- порядок управления ключевой системой;
- порядок обращения с носителями ключевой информации, включая
действия при смене и компрометации ключей.
7.7.8. Криптографические ключи могут изготавливаться
организациями БС РФ и (или) клиентом организации БС РФ самостоятельно.
Отношения, возникающие между организациями БС РФ и их клиентами,
регулируются заключаемыми договорами.
7.8. Общие требования по обеспечению информационной безопасности
банковских платежных технологических процессов
7.8.1. СИБ банковского платежного технологического процесса
должна соответствовать требованиям пунктов 7.2 - 7.7, 7.8 настоящего
стандарта.
7.8.2. Банковский платежный технологический процесс должен быть
документирован в организации БС РФ.
7.8.3. Должны быть документально определены перечни программного
обеспечения, устанавливаемого и (или) используемого в ЭВМ и АБС и
необходимого для выполнения конкретных банковских платежных
технологических процессов. Состав установленного и используемого в ЭВМ
и АБС программного обеспечения должен соответствовать определенному
перечню. Выполнение данных требований должно контролироваться с
документированием результатов.
7.8.4. Порядок обмена платежной информацией должен быть
зафиксирован в договорах между участниками, осуществляющими обмен
платежной информацией.
7.8.5. Работники организации БС РФ, в том числе администраторы
автоматизированных систем и средств защиты информации, не должны
обладать полномочиями для бесконтрольного создания, авторизации,
уничтожения и изменения платежной информации, а также проведения
несанкционированных операций по изменению состояния банковских счетов.
7.8.6. Результаты технологических операций по обработке платежной
информации должны контролироваться (проверяться) и удостоверяться
лицами/автоматизированными процессами.
Рекомендуется, чтобы обработку платежной информации и контроль
(проверку) результатов обработки осуществляли разные
работники/автоматизированные процессы.
7.8.7. Обязанности по администрированию средств защиты платежной
информации рекомендуется возлагать приказом или распоряжением по
организации БС РФ на администраторов ИБ с отражением этих обязанностей
в их должностных инструкциях.
7.8.8. Комплекс мер по обеспечению ИБ банковского платежного
технологического процесса должен предусматривать в том числе:
- защиту платежной информации от искажения, фальсификации,
переадресации, несанкционированного уничтожения, ложной авторизации
электронных платежных сообщений;
- доступ работника организации БС РФ только к тем ресурсам
банковского платежного технологического процесса, которые необходимы
ему для исполнения должностных обязанностей или реализации прав,
предусмотренных технологией обработки платежной информации;
- контроль (мониторинг) исполнения установленной технологии
подготовки, обработки, передачи и хранения платежной информации;
- аутентификацию входящих электронных платежных сообщений;
- двустороннюю аутентификацию автоматизированных рабочих мест
(рабочих станций и серверов), участников обмена электронными
платежными сообщениями;
- возможность ввода платежной информации в АБС только для
авторизованных пользователей;
- контроль, направленный на исключение возможности совершения
злоумышленных действий (двойной ввод, сверка, установление ограничений
в зависимости от суммы совершаемых операций и т.д.);
- восстановление платежной информации в случае ее умышленного
(случайного) разрушения (искажения) или выхода из строя средств
вычислительной техники;
- сверку выходных электронных платежных сообщений с
соответствующими входными и обработанными электронными платежными
сообщениями при осуществлении межбанковских расчетов;
- доставку электронных платежных сообщений участникам обмена.
Кроме того, в организации БС РФ рекомендуется организовать
авторизованный ввод платежной информации в АБС двумя работниками с
последующей программной сверкой результатов ввода на совпадение
(принцип "двойного управления").
7.8.9. При проектировании, разработке и эксплуатации систем
дистанционного банковского обслуживания должны быть документально
определены и выполняться процедуры, реализующие в том числе механизмы:
- снижения вероятности выполнения непреднамеренных или случайных
операций или транзакций авторизованными клиентами;
- доведения информации о возможных рисках, связанных с
выполнением операций или транзакций до клиентов.
Клиенты систем дистанционного банковского обслуживания должны
быть обеспечены детальными инструкциями, описывающими процедуры
выполнения операций или транзакций.
7.8.10. Должны быть документально определены процедуры
обслуживания средств вычислительной техники, используемых в банковском
платежном технологическом процессе, включая замену их программных и
(или) аппаратных частей.
7.8.11. Должна осуществляться и быть регламентирована процедура
периодического контроля всех реализованных программно-техническими
средствами функций (требований) по обеспечению ИБ платежной
информации. Регламентирующие документы должны быть согласованы со
службой либо лицом, отвечающим в организации БС РФ за обеспечение ИБ.
7.8.12. Должна осуществляться и быть регламентирована процедура
восстановления всех реализованных программно-техническими средствами
функций по обеспечению ИБ платежной информации. Регламентирующие
документы должны быть согласованы со службой либо лицом, отвечающим в
организации БС РФ за обеспечение ИБ.
7.9. Общие требования по обеспечению информационной безопасности
банковских информационных технологических процессов
7.9.1. СИБ банковского информационного технологического процесса
должна соответствовать требованиям пунктов 7.2 - 7.7, 7.9 настоящего
стандарта.
7.9.2. В организации БС РФ рекомендуется провести классификацию
неплатежной информации.
Классификацию неплатежной информации следует проводить в
соответствии со степенью тяжести последствий потери ее свойств ИБ, в
частности, свойств доступности, целостности и конфиденциальности.
7.9.3. Для каждого из типов неплатежных информационных активов
(типов неплатежной информации), полученных в результате классификации,
должен быть документально определен набор требований по их защите.
7.9.4. Обязанности по администрированию средств защиты
неплатежной информации рекомендуется возлагать приказом или
распоряжением по организации БС РФ на администраторов ИБ с отражением
этих обязанностей в их должностных инструкциях.
7.9.5. Для каждой АБС должен быть документально определен порядок
контроля ее функционирования со стороны лиц, отвечающих за ИБ.
7.9.6. Банковские информационные технологические процессы должны
быть документированы в организации БС РФ. Указанные документы должны
быть согласованы со службой ИБ. Указанные технологические процессы
должны быть реализованы в рамках созданных для этих целей АБС. Не
входящие в состав данных АБС серверы, офисные ЭВМ и другое
оборудование рекомендуется изолировать от АБС на уровне локальных
вычислительных сетей способом, согласованным со службой либо лицом,
отвечающим в организации за ИБ.
7.9.7. Должны быть документально определены перечни программного
обеспечения, устанавливаемого и (или) используемого в ЭВМ и АБС и
необходимого для выполнения конкретных банковских информационных
технологических процессов. Состав установленного и используемого в ЭВМ
и АБС программного обеспечения должен соответствовать определенному
перечню. Выполнение данных требований должно контролироваться с
документированием результатов.
7.9.8. Должна быть регламентирована и осуществляться процедура
периодического контроля всех реализованных программно-техническими
средствами и организационными мерами функций (требований) по
обеспечению ИБ неплатежной информации. Регламентирующие документы
должны быть согласованы со службой либо лицом, отвечающим в
организации за ИБ.
7.9.9. Должна быть регламентирована и осуществляться процедура
восстановления всех реализованных программно-техническими средствами и
организационными мерами функций по обеспечению ИБ неплатежной
информации. Регламентирующие документы должны быть согласованы со
службой либо лицом, отвечающим в организации за ИБ.
7.10. Общие требования по обработке персональных данных в
организации БС РФ
7.10.1. В организации БС РФ должны быть определены, документально
зафиксированы и утверждены руководством организации БС РФ цели
обработки персональных данных.
7.10.2. В организации БС РФ должна быть определена необходимость
уведомления Уполномоченного органа по защите прав субъектов
персональных данных об обработке персональных данных.
7.10.3. Для каждой цели обработки персональных данных должны быть
определены, документально зафиксированы и утверждены руководством
организации БС РФ:
- объем и содержание персональных данных;
- сроки обработки, в том числе сроки хранения персональных
данных;
- необходимость получения согласия субъектов персональных данных.
7.10.4. В организации БС РФ рекомендуется проводить классификацию
персональных данных в соответствии со степенью тяжести последствий
потери свойств безопасности персональных данных для субъекта
персональных данных.
Рекомендуется выделять следующие категории персональных данных:
- персональные данные, отнесенные в соответствии с Федеральным
законом "О персональных данных" [5] к специальным категориям
персональных данных;
- персональные данные, отнесенные в соответствии с Федеральным
законом "О персональных данных" [5] к биометрическим персональным
данным;
- персональные данные, которые не могут быть отнесены к
специальным категориям персональных данных, к биометрическим
персональным данным, к общедоступным или обезличенным персональным
данным;
- персональные данные, отнесенные в соответствии с Федеральным
законом "О персональных данных" [5] к общедоступным или обезличенным
персональным данным.
7.10.5. Передача персональных данных организацией БС РФ третьему
лицу должна осуществляться с согласия субъекта персональных данных. В
том случае, если организация БС РФ поручает обработку персональных
данных третьему лицу на основании договора, существенным условием
такого договора является обязанность обеспечения третьим лицом
конфиденциальности персональных данных и безопасности персональных
данных при их обработке.
7.10.6. Организация БС РФ должна прекратить обработку
персональных данных и уничтожить собранные персональные данные, если
иное не установлено законодательством РФ, в следующих случаях и в
сроки, установленные законодательством РФ:
- по достижении целей обработки или при утрате необходимости в их
достижении;
- по требованию субъекта персональных данных или Уполномоченного
органа по защите прав субъектов персональных данных - если
персональные данные являются неполными, устаревшими, недостоверными,
незаконно полученными или не являются необходимыми для заявленной цели
обработки;
- при отзыве субъектом персональных данных согласия на обработку
своих персональных данных, если такое согласие требуется в
соответствии с законодательством РФ;
- при невозможности устранения оператором допущенных нарушений
при обработке персональных данных.
В организации БС РФ должен быть определен и документально
зафиксирован порядок уничтожения персональных данных (в том числе и
материальных носителей персональных данных).
7.10.7. В организации БС РФ должен быть определен и документально
зафиксирован порядок обработки обращений субъектов персональных данных
(или их законных представителей) по вопросам обработки их персональных
данных.
7.10.8. В организации БС РФ должен быть определен и документально
зафиксирован порядок действий в случае запросов Уполномоченного органа
по защите прав субъектов персональных данных или иных надзорных
органов, осуществляющих контроль и надзор в области персональных
данных.
7.10.9. В организации БС РФ должен быть определен и документально
зафиксирован подход к отнесению АБС к информационным системам
персональных данных (ИСПДн).
В организации БС РФ должен быть определен и документально
зафиксирован перечень ИСПДн. В перечень ИСПДн должны быть включены как
минимум АБС, целью создания и использования которых является обработка
персональных данных.
АБС, реализующие банковские платежные технологические процессы,
не относятся к ИСПДн.
7.10.10. Для каждой ИСПДн организации БС РФ должны быть
определены и документально зафиксированы:
- цель обработки персональных данных;
- объем и содержание обрабатываемых персональных данных;
- перечень действий с персональными данными и способы их
обработки.
Объем и содержание персональных данных, а также перечень действий
и способы обработки персональных данных должны соответствовать целям
обработки. В том случае, если для выполнения банковского
информационного технологического процесса, реализацию которого
поддерживает ИСПДн, нет необходимости в обработке определенных
персональных данных, эти персональные данные должны быть удалены.
7.10.11. Банковские информационные технологические процессы, в
рамках которых обрабатываются персональные данные в ИСПДн, должны быть
документированы в организации БС РФ.
При этом рекомендуется исключать фиксацию на одном материальном
носителе и персональных данных, и иных видов информационных активов, а
также персональных данных, цели обработки которых заведомо
несовместимы.
При обработке различных категорий персональных данных для каждой
категории персональных данных рекомендуется использовать отдельный
материальный носитель.
7.10.12. В организации БС РФ должен быть определен и
документально зафиксирован перечень (список) работников,
осуществляющих обработку персональных данных в ИСПДн либо имеющих
доступ к персональным данным.
Допускается указание работников в перечне (списке) на ролевой
основе в соответствии с занимаемой должностью на основании требований
раздела 7.2 настоящего стандарта.
Возможно существование перечня (списка) в электронном виде при
условии предоставления работникам прав доступа в ИСПДн только на
основании распорядительного документа в документально зафиксированном
в организации БС РФ порядке.
Доступ работников организации БС РФ к персональным данным и
обработка персональных данных работниками организации БС РФ должны
осуществляться только для выполнения их должностных обязанностей.
7.10.13. Работники организации БС РФ, осуществляющие обработку
персональных данных в ИСПДн, должны быть проинформированы о факте
обработки ими персональных данных, категориях обрабатываемых
персональных данных, а также должны быть ознакомлены под роспись со
всей совокупностью требований по обработке и обеспечению безопасности
персональных данных в части, касающейся их должностных обязанностей.
7.10.14. В организации БС РФ должен быть определен и
документально зафиксирован порядок доступа работников организации БС
РФ и иных лиц в помещения, в которых ведется обработка персональных
данных.
7.10.15. В организации БС РФ должен быть определен и
документально зафиксирован порядок хранения материальных носителей
персональных данных, устанавливающий:
- места хранения материальных носителей персональных данных;
- требования по обеспечению безопасности персональных данных при
хранении их носителей;
- работников, ответственных за реализацию требований по
обеспечению безопасности персональных данных;
- порядок контроля выполнения требований по обеспечению
безопасности персональных данных при хранении материальных носителей
персональных данных.
7.10.16. При обработке в организации БС РФ персональных данных на
бумажных носителях, в частности, при использовании в организации БС РФ
типовых форм документов, характер информации в которых предполагает
или допускает включение в них персональных данных, должны соблюдаться
требования, установленные "Положением об особенностях обработки
персональных данных, осуществляемой без использования средств
автоматизации", утвержденным Постановлением Правительства РФ от 15
сентября 2008 г. N 687 [6].
7.11. Общие требования по обеспечению информационной безопасности
банковских технологических процессов, в рамках которых обрабатываются
персональные данные
7.11.1. СИБ банковского платежного технологического процесса, в
рамках которого обрабатываются персональные данные, должна
соответствовать требованиям пункта 7.8 настоящего стандарта.
СИБ банковского информационного технологического процесса, в
рамках которого обрабатываются персональные данные вне ИСПДн, должна
соответствовать требованиям пункта 7.9 настоящего стандарта.
СИБ банковского информационного технологического процесса, в
рамках которого обрабатываются персональные данные в ИСПДн, должна
соответствовать требованиям пунктов 7.9 и 7.11 настоящего стандарта.
7.11.2. Все ИСПДн организаций БС РФ относятся к специальным в
соответствии с пунктом 8 Порядка проведения классификации
информационных систем персональных данных, утвержденного Приказом
Федеральной службы по техническому и экспортному контролю, Федеральной
службы безопасности Российской Федерации и Министерства информационных
технологий и связи Российской Федерации от 13 февраля 2008 г. N
55/86/20 "Об утверждении Порядка проведения классификации
информационных систем персональных данных" [7].
7.11.3. В организации БС РФ должны быть определены и
документально зафиксированы критерии классификации ИСПДн и порядок
проведения классификации ИСПДн.
Классификация ИСПДн должна проводиться в том числе на основе
категорий обрабатываемых в ИСПДн персональных данных.
Результаты классификации ИСПДн должны быть документально
определены и утверждены руководством организации БС РФ.
7.11.4. Требования по обеспечению безопасности персональных
данных при их обработке в ИСПДн определяются для каждого класса ИСПДн
на основе:
- требований 7-го и 8-го разделов настоящего стандарта с учетом
положений рекомендаций в области стандартизации Банка России РС БР
ИББС-2.3 "Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Требования по обеспечению
безопасности персональных данных в информационных системах
персональных данных организаций банковской системы Российской
Федерации", детализирующих указанные требования;
Требования 7-го и 8-го разделов настоящего стандарта направлены
на нейтрализацию актуальных <*> (применительно к большинству
организаций БС РФ) угроз безопасности персональных данных при
обработке в ИСПДн организаций БС РФ и образуют базовый набор
требований, применимый к большинству организаций БС РФ. С учетом
специфики обработки и обеспечения безопасности персональных данных в
организациях БС РФ угрозы утечки персональных данных по техническим
каналам являются для организаций БС РФ неактуальными.
--------------------------------
<*> Актуальными являются те угрозы, риск реализации которых в
организации БС РФ является недопустимым.
- оценки рисков нарушения безопасности персональных данных.
Результатом оценки рисков нарушения безопасности персональных
данных является Модель угроз безопасности персональных данных,
содержащая актуальные для организации БС РФ угрозы ИБ, на основе
которой вырабатываются требования, учитывающие особенности обработки
персональных данных в конкретной организации БС РФ, и расширяющие
требования 7-го и 8-го разделов настоящего стандарта и (или) положения
рекомендаций в области стандартизации Банка России РС БР ИББС-2.3
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Требования по обеспечению безопасности
персональных данных в информационных системах персональных данных
организаций банковской системы Российской Федерации".
8. Система менеджмента информационной безопасности
организаций банковской системы Российской Федерации
8.1. Общие положения
8.1.1. Для реализации, эксплуатации, контроля и поддержания на
должном уровне СОИБ в организации БС РФ следует реализовать ряд
процессов СМИБ, сгруппированных в виде циклической модели Деминга:
"...- планирование - реализация - проверка - совершенствование -
планирование -...".
8.1.2. Целью выполнения деятельности в рамках группы процессов
"планирование" является запуск "цикла" СМИБ путем определения
первоначальных планов построения, ввода в действие и контроля СОИБ, а
также определения планов по совершенствованию СОИБ на основании
решений, принятых на этапе "совершенствование". Выполнение
деятельности на стадии "планирование" заключается в
определении/корректировке области действия СОИБ, формализации подхода
к оценке рисков ИБ и распределении ресурсов, проведении оценки рисков
ИБ и определении/коррекции планов их обработки. Важно, чтобы все
решения по реализации/корректировке СОИБ были приняты руководством
организации БС РФ (далее - руководство).
8.1.3. Этап "реализация" выполняется по результатам выполнения
этапов "планирование" и (или) "совершенствование" и заключается в
выполнении всех планов, связанных с построением, вводом в действие и
совершенствованием СОИБ, определенных на этапе "планирование", и (или)
реализации решений, определенных на этапе "совершенствование" и не
требующих выполнения деятельности по планированию соответствующих
улучшений. В том числе важным является выполнение таких видов
деятельности, как организация обучения и повышение осведомленности в
области ИБ, реализация обнаружения и реагирования на инциденты ИБ,
обеспечение непрерывности бизнеса организации БС РФ.
Организация БС РФ должна выбирать защитные меры, адекватные
моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и
объема возможных потерь от реализации угроз. Организация БС РФ должна
применять только те защитные меры, правильность работы которых может
быть проверена, при этом организация БС РФ должна регулярно оценивать
адекватность защитных мер и эффективность их реализации с учетом
влияния защитных мер на бизнес-цели организации.
8.1.4. Целью выполнения деятельности в рамках группы процессов
"проверка" является обеспечение достаточной уверенности в том, что
СОИБ, включая защитные меры, функционирует надлежащим образом и
адекватна существующим угрозам ИБ, а также внутренним и (или) внешним
условиям функционирования организации БС РФ, связанным с ИБ. Кроме
того, необходимо рассмотреть любые изменения в допущениях или в
области оценки рисков. Указанная деятельность может проводиться в
любое время и с любой частотой, в зависимости от того, что является
подходящим для конкретной ситуации. На этапе "проверка" необходимо
осуществлять мониторинг и контроль используемых защитных мер,
периодически выполнять деятельность по самооценке соответствия ИБ
организации БС РФ требованиям настоящего стандарта (далее - самооценка
ИБ) и проводить аудит ИБ, анализировать функционирование СОИБ в целом,
в том числе со стороны руководства.
Организация БС РФ должна своевременно обнаруживать проблемы,
прямо или косвенно относящиеся к ИБ, потенциально способные повлиять
на ее бизнес-цели. Рекомендуется выявлять причинно-следственную связь
возможных проблем и строить на этой основе прогноз их развития.
Результат выполнения деятельности на этапе "проверка" является
основой для выполнения деятельности по совершенствованию СОИБ.
8.1.5. Группа процессов "совершенствование" включает в себя
деятельность по принятию решений о реализации тактических и (или)
стратегических улучшений СОИБ. Указанная деятельность, т.е. переход к
этапу "совершенствование", реализуется только тогда, когда выполнение
процессов этапа "проверка" дало результат, требующий совершенствования
СОИБ. При этом сама деятельность по совершенствованию СОИБ должна
реализовываться в рамках групп процессов "реализация" и при
необходимости - "планирование". Пример первой ситуации - введение в
действие существующего плана обеспечения непрерывности бизнеса,
поскольку на стадии "проверка" определена необходимость в этом. Пример
второй ситуации - идентификация новой угрозы и последующие обновления
оценки рисков на стадии "планирование". При этом важно, чтобы все
заинтересованные стороны немедленно извещались о про водимых
улучшениях СОИБ и при необходимости проводилось соответствующее
обучение.
Организация БС РФ должна накапливать, обобщать и использовать как
свой опыт, так и опыт других организаций на всех уровнях принятия
решений и их исполнения.
8.1.6. Для успешного функционирования СМИБ в организации БС РФ
следует выполнить следующие группы требований:
- требования к организации и функционированию службы ИБ
организации БС РФ;
- требования к определению/коррекции области действия СОИБ;
- требования к выбору/коррекции подхода к оценке рисков нарушения
ИБ и проведению оценки рисков нарушения ИБ;
- требования к разработке планов обработки рисков нарушения ИБ;
- требования к разработке/коррекции внутренних документов,
регламентирующих деятельность в области обеспечения ИБ;
- требования к принятию руководством организации БС РФ решений о
реализации и эксплуатации СОИБ;
- требования к организации реализации планов обработки рисков
нарушения ИБ;
- требования к разработке и организации реализации программ по
обучению и повышению осведомленности в области ИБ;
- требования к организации обнаружения и реагирования на
инциденты безопасности;
- требования к организации обеспечения непрерывности бизнеса и
его восстановления после прерываний;
- требования к мониторингу и контролю защитных мер;
- требования к проведению самооценки ИБ;
- требования к проведению аудита ИБ;
- требования к анализу функционирования СОИБ;
- требования к анализу СОИБ со стороны руководства организации БС
РФ;
- требования к принятию решений по тактическим улучшениям СОИБ;
- требования к принятию решений по стратегическим улучшениям
СОИБ.
8.2. Требования к организации и функционированию службы
информационной безопасности организации банковской системы Российской
Федерации
8.2.1. Для реализации, эксплуатации, контроля и поддержания на
должном уровне СОИБ руководству следует сформировать службу ИБ
(назначить уполномоченное лицо), а также утвердить цели и задачи ее
деятельности.
Служба ИБ должна иметь утвержденные руководством полномочия и
ресурсы, необходимые для выполнения установленных целей и задач, а
также назначенного из числа руководства куратора. При этом служба ИБ и
служба информатизации (автоматизации) не должны иметь общего куратора.
Рекомендуется наделить службу ИБ собственным бюджетом.
Организациям БС РФ, имеющим сеть филиалов или региональных
представительств, рекомендуется выделять соответствующие подразделения
ИБ (уполномоченных лиц) на местах, обеспечив их необходимыми ресурсами
и нормативной базой.
8.2.2. Служба ИБ (уполномоченное лицо) должна быть наделена
следующими минимальными полномочиями:
- организовывать составление и контролировать выполнение всех
планов по обеспечению ИБ организации БС РФ;
- разрабатывать и вносить предложения по изменению политик ИБ
организации;
- организовывать изменение существующих и принятие руководством
новых внутренних документов, регламентирующих деятельность по
обеспечению ИБ организации БС РФ;
- определять требования к мерам обеспечения ИБ организации БС РФ;
- контролировать работников организации БС РФ в части выполнения
ими требований внутренних документов, регламентирующих деятельность в
области обеспечения ИБ, в первую очередь работников, имеющих
максимальные полномочия по доступу к защищаемым информационным
активам;
- осуществлять мониторинг событий, связанных с обеспечением ИБ;
- участвовать в расследовании событий, связанных с инцидентами
ИБ, и в случае необходимости выходить с предложениями по применению
санкций в отношении лиц, осуществивших НСД и НРД, например, нарушивших
требования инструкций, руководств и т.п. по обеспечению ИБ организации
БС РФ;
- участвовать в действиях по восстановлению работоспособности АБС
после сбоев и аварий;
- участвовать в создании, поддержании, эксплуатации и
совершенствовании СОИБ организации БС РФ.
8.3. Требования к определению/коррекции области действия системы
обеспечения информационной безопасности
8.3.1. Должна быть документально определена/скорректирована опись
структурированных по классам защищаемых информационных активов (типов
информационных активов - типов информации). Классификацию
информационных активов рекомендуется проводить на основании оценок
ценности информационных активов для интересов (целей) организации БС
РФ, например, в соответствии с тяжестью последствий потери свойств ИБ
информационных активов.
8.3.2. В случае наличия в организации БС РФ классификации
информационных активов опись информационных активов должна содержать
информацию о принадлежности конкретного информационного актива к
выделенным типам информационных активов.
8.3.3. Опись информационных активов (типов информационных
активов) должна содержать перечень их объектов среды. Перечень
объектов среды должен покрывать все уровни информационной
инфраструктуры организации БС РФ, определенной в разделе 6 настоящего
стандарта.
8.3.4. Должны быть документально определены процедуры анализа и
пересмотра области действия СОИБ, в частности, процедуры пересмотра
при изменении перечня информационных активов организации (типов
информационных активов).
8.3.5. В организации БС РФ должны быть документально определены
роли по определению/коррекции области действия СОИБ, по составлению и
пересмотру описи информационных активов (типов информационных
активов), находящихся в области действия СОИБ. В организации БС РФ
должны быть назначены ответственные за выполнение указанных ролей.
8.4. Требования к выбору/коррекции подхода к оценке рисков
нарушения информационной безопасности и проведению оценки рисков
нарушения информационной безопасности
8.4.1. В организации БС РФ должна быть принята/корректироваться
методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения
ИБ.
8.4.2. В организации БС РФ должны быть определены критерии
принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.
8.4.3. Методика оценки рисков нарушения ИБ/подход к оценке рисков
нарушения ИБ организации БС РФ должна определять способ и порядок
качественного или количественного оценивания риска нарушения ИБ на
основании оценивания:
- степени возможности реализации угроз ИБ выявленными и (или)
предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз
и нарушителя в результате их воздействия на объекты среды
информационных активов организации БС РФ (типов информационных
активов);
- степени тяжести последствий от потери свойств ИБ, в частности,
свойств доступности, целостности и конфиденциальности, для
рассматриваемых информационных активов (типов информационных активов).
Порядок оценки рисков нарушения ИБ должен определять необходимые
процедуры оценки рисков нарушения ИБ, а также последовательность их
выполнения.
8.4.4. Оценка рисков нарушения ИБ проводится для свойств ИБ всех
информационных активов (типов информационных активов) области действия
СОИБ.
8.4.5. В организации БС РФ рекомендуется создать и поддерживать в
актуальном состоянии единый информационный ресурс (базу данных),
содержащий информацию об инцидентах ИБ.
8.4.6. Полученные в результате оценивания рисков нарушения ИБ
величины рисков должны быть соотнесены с уровнем допустимого риска,
принятого в организации БС РФ. Результатом выполнения указанной
процедуры является документально оформленный перечень недопустимых
рисков нарушения ИБ.
8.4.7. В организации БС РФ должны быть документально определены
роли, связанные с деятельностью по определению/коррекции методики
оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ и
назначены ответственные за выполнение указанных ролей.
8.4.8. В организации БС РФ должны быть документально определены
роли по оценке рисков нарушения ИБ и назначены ответственные за
выполнение указанных ролей.
8.5. Требования к разработке планов обработки рисков нарушения
информационной безопасности
8.5.1. По каждому из рисков нарушения ИБ, который является
недопустимым, должен быть документально определен план, определяющий
один из возможных способов его обработки:
- перенос риска на сторонние организации (например, путем
страхования указанного риска);
- уход от риска (например, путем отказа от деятельности,
выполнение которой приводит к появлению риска);
- осознанное принятие риска;
- формирование требований по обеспечению ИБ, снижающих риск
нарушения ИБ до допустимого уровня, и формирования планов по их
реализации.
8.5.2. Планы обработки рисков нарушения ИБ должны быть
согласованы с руководителем службы ИБ либо лицом, отвечающим в
организации БС РФ за обеспечение ИБ, и утверждены руководством.
8.5.3. Планы реализаций требований по обеспечению ИБ должны
содержать последовательность и сроки реализации и внедрения
организационных, технических и иных защитных мер.
8.5.4. В организации БС РФ должны быть документально определены
роли по разработке планов обработки рисков нарушения ИБ и назначены
ответственные за выполнение указанных ролей.
8.6. Требования к разработке/коррекции внутренних документов,
регламентирующих деятельность в области обеспечения информационной
безопасности
8.6.1. Разработку/коррекцию внутренних документов,
регламентирующих деятельность в области обеспечения ИБ в организации
БС РФ, рекомендуется проводить с учетом рекомендаций по стандартизации
Банка России РС БР ИББС-2.0 "Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Методические
рекомендации по документации в области обеспечения информационной
безопасности в соответствии с требованиями СТО БР ИББС-1.0".
8.6.2. В организации БС РФ должны
разрабатываться/корректироваться следующие внутренние документы:
- политика ИБ организации БС РФ;
- частные политики ИБ организации БС РФ;
- документы, регламентирующие процедуры выполнения отдельных
видов деятельности, связанных с обеспечением ИБ организации БС РФ.
Кроме того, должны быть определены перечень и формы документов,
являющихся свидетельством выполнения деятельности по обеспечению ИБ в
организации БС РФ.
Политика ИБ организации БС РФ должна быть утверждена
руководством.
8.6.3. В политике (в частных политиках) ИБ должны определяться /
корректироваться:
- цели и задачи обеспечения ИБ;
- основные области обеспечения ИБ;
- типы основных защищаемых информационных активов;
- модели угроз и нарушителей;
- совокупность правил, требований и руководящих принципов в
области ИБ;
- основные требования по обеспечению ИБ;
- принципы противодействия угрозам ИБ по отношению к типам
основных защищаемых информационных активов;
- основные принципы повышения уровня осознания и осведомленности
в области ИБ;
- принципы реализации и контроля выполнения требований политики
ИБ.
8.6.4. Разработка/корректировка внутренних документов,
регламентирующих деятельность в области обеспечения ИБ, должна
проводиться на основе:
- законодательства Российской Федерации;
- комплекса БР ИББС, в частности, требований 7 и 8 разделов
настоящего стандарта;
- нормативных актов и предписаний регулирующих и надзорных
органов;
- договорных требований организации БС РФ со сторонними
организациями;
- результатов оценки рисков, выполненной с соответствующей уровню
разрабатываемого документа детализацией рассматриваемых информационных
активов (типов информационных активов).
8.6.5. Совокупность внутренних документов, регламентирующих
деятельность в области обеспечения ИБ, должна содержать требования по
обеспечению ИБ всех выявленных информационных активов (типов
информационных активов), находящихся в области действия СОИБ
организации БС РФ.
8.6.6. Документы, регламентирующие процедуры выполнения отдельных
видов деятельности, связанных с обеспечением ИБ, должны детализировать
положения политики (частных политик) ИБ и не противоречить им.
8.6.7. В случае наличия в структурных подразделениях организации
БС РФ работников, ответственных за обеспечение ИБ, в организации БС РФ
должен быть утвержден руководством порядок взаимодействия
(координирования работы) службы ИБ с указанными работниками.
8.6.8. В составе внутренних документов, регламентирующих
деятельность в области обеспечения ИБ, необходимо определить:
- перечень свидетельств выполнения деятельности;
- ответственность работников организации БС РФ за выполнение этой
деятельности.
8.6.9. Должны быть документально определены процедуры выделения и
распределения ролей в области обеспечения ИБ.
8.6.10. Должен быть документально определен порядок разработки,
поддержки, пересмотра и контроля исполнения внутренних документов,
регламентирующих деятельность по обеспечению ИБ в организации БС РФ.
8.6.11. В организации БС РФ должны быть документально определены
роли по разработке, поддержке, пересмотру и контролю исполнения
внутренних документов, регламентирующих деятельность по обеспечению
ИБ, а также назначены ответственные за выполнение указанных ролей.
8.7. Требования к принятию руководством организации банковской
системы Российской Федерации решений о реализации и эксплуатации
системы обеспечения информационной безопасности
8.7.1. Решения о реализации и эксплуатации СОИБ должны
утверждаться руководством организации БС РФ. В частности, в
организации БС РФ требуется документально оформить решения
руководства:
- об анализе и принятии остаточных рисков нарушения ИБ;
- о планировании этапов внедрения СОИБ, в частности, требований
по обеспечению ИБ, изложенных в 7-м и 8-м разделах настоящего
стандарта;
- о распределении ролей в области обеспечения ИБ организации БС
РФ;
- о принятии со стороны руководства планов внедрения защитных
мер, направленных на реализацию требований 7-го и 8-го разделов
настоящего стандарта и снижение рисков ИБ;
- о выделении ресурсов, необходимых для реализации и эксплуатации
СОИБ.
8.7.2. Все планы внедрения СОИБ, в частности, планы реализации
требований 7-го и 8-го разделов настоящего стандарта, планы обработки
рисков нарушения ИБ и внедрения защитных мер должны быть утверждены
руководством. Указанные планы должны документально фиксировать:
- последовательность выполнения мероприятий в рамках указанных
планов;
- сроки начала и окончания запланированных мероприятий;
- должностных лиц (подразделения), ответственных за выполнение
каждого указанного мероприятия.
8.7.3. Должен быть документально определен порядок разработки,
пересмотра и контроля исполнения планов по обеспечению ИБ организации
БС РФ.
8.7.4. В организации БС РФ должны быть документально оформлены
решения руководства, связанные с назначением и распределением ролей
для всех структурных подразделений в соответствии с положениями
внутренних документов, регламентирующих деятельность по обеспечению ИБ
организации БС РФ.
8.8. Требования к организации реализации планов внедрения системы
обеспечения информационной безопасности
8.8.1. Должны быть документально определены и выполняться
проектирование/приобретение/развертывание, внедрение, эксплуатация,
контроль и сопровождение эксплуатации защитных мер (СИБ),
предусмотренных планами реализаций требований по обеспечению ИБ.
8.8.2. Для построения элементов СИБ применительно к конкретной
области или сфере деятельности организации БС РФ должны быть
реализованы конкретные защитные меры, применяемые к объектам среды в
соответствии с существующими в организации БС РФ требованиями по
обеспечению ИБ, сформулированными в политике ИБ и других внутренних
документах организации БС РФ.
8.8.3. В организации БС РФ должны быть документально определены
роли, связанные с реализацией планов обработки рисков нарушения ИБ и с
реализацией требуемых защитных мер, и назначены ответственные за
выполнение указанных ролей.
8.9. Требования к разработке и организации реализации программ по
обучению и повышению осведомленности в области информационной
безопасности
8.9.1. Должна быть организована документально оформленная и
утвержденная руководством работа с персоналом организации БС РФ в
направлении повышения осведомленности и обучения в области ИБ, включая
разработку и реализацию планов и программ обучения и повышения
осведомленности в области ИБ и контроля результатов выполнения
указанных планов.
8.9.2. В планах обучения и повышения осведомленности должны быть
установлены требования к периодичности обучения и повышения
осведомленности.
8.9.3. Программы обучения и повышения осведомленности должны
включать информацию:
- по существующим политикам ИБ;
- по применяемым в организации БС РФ защитным мерам;
- по правильному использованию защитных мер в соответствии с
внутренними документами организации БС РФ;
- о значимости и важности деятельности работников для обеспечения
ИБ организации БС РФ.
8.9.4. В организации БС РФ должен быть определен перечень
документов, являющихся свидетельством выполнения программ обучения и
повышения осведомленности в области ИБ. В частности, такими
документами могут являться:
- документы (журналы), подтверждающие прохождение руководителями
и работниками организации БС РФ обучения в области ИБ с указанием
уровня образования, навыков, опыта и квалификации обучаемых;
- документы, содержащие результаты проверок обучения работников
организации БС РФ;
- документы, содержащие результаты проверок осведомленности в
области ИБ в организации БС РФ.
8.9.5. Для работника, получившего новую роль, должно быть
организовано обучение или инструктаж в области ИБ, соответствующее
полученной роли.
8.9.6. В организации БС РФ должны быть документально определены
роли по разработке, реализации планов и программ обучения и повышения
осведомленности в области ИБ и по контролю результатов, а также
назначены ответственные за выполнение указанных ролей.
8.10. Требования к организации обнаружения и реагирования на
инциденты информационной безопасности
8.10.1. В организации БС РФ должны быть документы,
регламентирующие процедуры обработки инцидентов, включающие:
- процедуры обнаружения инцидентов ИБ;
- процедуры информирования об инцидентах;
- процедуры классификации инцидентов и оценки ущерба, нанесенного
инцидентом ИБ;
- процедуры реагирования на инцидент;
- процедуры анализа причин инцидентов ИБ и оценки результатов
реагирования на инциденты ИБ (при необходимости с участием внешних
экспертов в области ИБ).
8.10.2. В организации БС РФ рекомендуется сформировать и
поддерживать в актуальном состоянии централизованную базу данных
инцидентов ИБ. Должны быть документально определены процедуры по
хранению информации об инцидентах ИБ, практиках анализа инцидентов ИБ
и результатах реагирования на инциденты ИБ.
8.10.3. Должны быть документально определены порядки действий
работников организации БС РФ при обнаружении нетипичных событий,
связанных с ИБ, и информировании о данных событиях. Работники
организации должны быть осведомлены об указанных порядках.
8.10.4. Процедуры расследования инцидентов ИБ должны учитывать
действующее законодательство Российской Федерации, положения
нормативных актов Банка России, а также внутренних документов
организации БС РФ в области ИБ.
8.10.5. В организациях БС РФ должны приниматься и выполняться
документально оформленные решения по всем выявленным инцидентам ИБ.
8.10.6. В организации БС РФ должны быть документально определены
роли по обнаружению, классификации, реагированию, анализу и
расследованию инцидентов ИБ и назначены ответственные за выполнение
указанных ролей.
8.11. Требования к организации обеспечения непрерывности бизнеса
и его восстановления после прерываний
8.11.1. В описи защищаемых информационных активов должны быть
выделены информационные активы, существенные для обеспечения
непрерывности бизнеса организации БС РФ.
8.11.2. В организации БС РФ должны быть документально определены
требования по обеспечению ИБ, регламентирующие вопросы обеспечения
непрерывности бизнеса и его восстановления после прерывания.
8.11.3. Должен быть документально определен план обеспечения
непрерывности бизнеса и его восстановления после возможного
прерывания. План должен содержать инструкции и порядок действий
работников организации БС РФ по восстановлению бизнеса. В частности, в
состав плана должны быть включены:
- условия активизации плана;
- действия, которые должны быть предприняты после инцидента ИБ;
- процедуры восстановления;
- процедуры тестирования и проверки плана;
- план обучения и повышения осведомленности работников
организации БС РФ;
- обязанности работников организации с указанием ответственных за
выполнение каждого из положений плана.
8.11.4. Разработка планов обеспечения непрерывности бизнеса и его
восстановления после прерывания должна основываться на документально
оформленных результатах оценки рисков нарушения ИБ организации БС РФ
применительно к информационным активам, существенным для обеспечения
непрерывности бизнеса и его восстановления после прерывания.
8.11.5. В организации БС РФ должны быть документально определены,
реализованы и использоваться защитные меры обеспечения непрерывности
бизнеса применительно к информационным активам, существенным для
обеспечения непрерывности бизнеса и его восстановления после
прерывания.
Реализация и использование защитных мер обеспечения непрерывности
бизнеса и его восстановления после прерывания должны основываться на
соответствующих требованиях по обеспечению ИБ.
8.11.6. План обеспечения непрерывности бизнеса и его
восстановления после прерывания должен быть согласован с существующими
в организации процедурами обработки инцидентов ИБ.
8.11.7. Должно быть документально определено и выполняться
периодическое тестирование плана обеспечения непрерывности бизнеса и
его восстановления после прерывания. По результатам тестирования при
необходимости проводится соответствующая корректировка плана. Сценарий
тестирования должен быть составлен с учетом существующей в организации
БС РФ модели угроз и нарушителей, а также результатов оценки рисков.
8.11.8. В организации БС РФ должна быть реализована программа
обучения и повышения осведомленности работников в области обеспечения
непрерывности бизнеса и его восстановления после прерываний.
8.11.9. Должны быть документально определены и выполняться
процедуры регулярного пересмотра и обновления плана обеспечения
непрерывности бизнеса и его восстановления после прерывания для
обеспечения уверенности в их эффективности. Процедуры пересмотра и
обновления плана должны учитывать изменения в приоритетах, целях и
интересах бизнеса организации БС РФ; пересмотр моделей угроз; оценку
рисков нарушения ИБ.
8.11.10. В организации БС РФ должны быть документально определены
роли по разработке плана обеспечения непрерывности бизнеса и его
восстановления после прерывания и назначены ответственные за
выполнение указанных ролей.
8.12. Требования к мониторингу и контролю защитных мер
8.12.1. Должны быть документально определены процедуры
мониторинга СОИБ и контроля защитных мер, включая контроль параметров
конфигурации и настроек средств и механизмов защиты. Указанные
процедуры должны проводиться персоналом организации БС РФ,
ответственным за обеспечение ИБ, и охватывать все реализованные и
эксплуатируемые защитные меры, входящие в СИБ.
8.12.2. Результаты выполнения процедур мониторинга СОИБ и
контроля защитных мер должны документально фиксироваться.
8.12.3. Должны быть документально определены и выполняться
процедуры сбора и хранения информации о действиях работников
организации БС РФ, событиях и параметрах, имеющих отношение к
функционированию защитных мер.
8.12.4. Информация обо всех инцидентах, выявленных в процессе
мониторинга СОИБ и контроля защитных мер, должна включаться в базу
данных инцидентов ИБ.
8.12.5. Процедуры мониторинга СОИБ и контроля защитных мер должны
подвергаться регулярным и документально зафиксированным пересмотрам в
связи с изменениями в составе и способах использования защитных мер,
выявлением новых угроз и уязвимостей ИБ, а также на основе данных об
инцидентах ИБ. Порядок выполнения процедур пересмотра должен быть
документально определен.
8.12.6. В организации БС РФ должны быть документально определены
роли, связанные с выполнением процедур мониторинга СОИБ и контроля
защитных мер, а также пересмотром указанных процедур, и назначены
ответственные за выполнение указанных ролей.
8.13. Требования к проведению самооценки информационной
безопасности
8.13.1. Самооценка ИБ должна проводиться в соответствии со
стандартом Банка России СТО БР ИББС-1.2 "Обеспечение информационной
безопасности организаций банковской системы Российской Федерации.
Методика оценки соответствия информационной безопасности организаций
банковской системы Российской Федерации требованиям СТО БР ИББС-1.0".
Порядок проведения самооценки ИБ рекомендуется организовывать в
соответствии с рекомендациями по стандартизации Банка России РС БР
ИББС-2.1 "Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Руководство по самооценке
соответствия информационной безопасности организаций банковской
системы Российской Федерации требованиям СТО БР ИББС-1.0".
8.13.2. Должна быть документально определена и реализована
программа самооценок ИБ, содержащая информацию, необходимую для
планирования и организации самооценок ИБ, их контроля, анализа и
совершенствования, а также обеспечения их ресурсами, необходимыми для
эффективного и результативного проведения указанных самооценок ИБ в
заданные сроки.
8.13.3. В организации БС РФ должны быть документально определены:
- порядок формирования, сбора и хранения свидетельств самооценки
ИБ;
- периодичность проведения самооценки ИБ;
- порядок хранения и использования результатов самооценки ИБ.
8.13.4. Для каждой проводимой в организации БС РФ самооценки ИБ
необходимо документально оформить план проведения самооценки,
определяющий:
- цель самооценки ИБ;
- объекты и деятельность, подвергающиеся самооценке ИБ;
- порядок и сроки выполнения мероприятий самооценки ИБ;
- распределение ролей среди работников организации БС, связанных
с проведением самооценки ИБ.
8.13.5. По результатам проведения самооценок ИБ должны быть
подготовлены отчеты. Результаты самооценок ИБ, а также соответствующие
отчеты должны быть доведены до руководства организации БС РФ.
8.13.6. В организации БС РФ должны быть документально определены
роли, связанные с выполнением программы самооценок ИБ, и назначены
ответственные за выполнение указанных ролей.
8.14. Требования к проведению аудита информационной безопасности
8.14.1. Аудит ИБ организации БС РФ должен проводиться в
соответствии с требованиями стандартов Банка России СТО БР ИББС-1.1
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Аудит информационной безопасности" и СТО
БР ИББС-1.2 "Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Методика оценки соответствия
информационной безопасности организаций банковской системы Российской
Федерации требованиям СТО БР ИББС-1.0".
8.14.2. Должна быть документально определена и реализовываться
программа аудитов ИБ, содержащая информацию, необходимую для
планирования и организации аудитов ИБ, их контроля, анализа и
совершенствования, а также обеспечения их ресурсами, необходимыми для
эффективного и результативного проведения указанных аудитов ИБ в
заданные сроки.
8.14.3. Для каждого проводимого в организации БС РФ аудита ИБ
необходимо документально оформить план аудита, определяющий:
- цель аудита ИБ;
- критерии аудита ИБ;
- область аудита ИБ;
- дату и продолжительность проведения аудита ИБ;
- состав аудиторской группы;
- описание деятельности и мероприятий по проведению аудита;
- распределение ресурсов при проведении аудита.
8.14.4. В организации БС РФ должны быть оформлены договоры с
аудиторскими организациями, а также документально определены:
- порядок хранения, доступа и использования материалов,
получаемых в процессе проведения аудита ИБ;
- порядок взаимодействия с аудиторской организацией в процессе
проведения аудита ИБ;
- порядок взаимодействия аудиторской группы и руководства,
позволяющий представителям аудиторской группы при необходимости
непосредственно обращаться к руководству;
- порядок организации опроса работников;
- порядок организации наблюдения за деятельностью работников
организации БС РФ со стороны представителей аудиторской организации.
8.14.5. По результатам проведения аудита должны быть подготовлены
отчеты. Результаты аудитов, а также соответствующие отчеты должны быть
доведены до руководства.
8.14.6. Должен быть документально определен порядок хранения,
доступа и использования материалов, получаемых в процессе проведения
аудитов, в частности, отчетов аудитов.
8.14.7. В организации БС РФ должны быть документально определены
роли, связанные с организацией выполнения программ аудитов и планов
отдельных аудитов, и назначены ответственные за выполнение указанных
ролей.
8.15. Требования к анализу функционирования системы обеспечения
информационной безопасности
8.15.1. В организации БС РФ должен проводиться анализ
функционирования СОИБ, использующий в том числе:
- результаты мониторинга СОИБ и контроля защитных мер;
- сведения об инцидентах ИБ;
- результаты проведения аудитов ИБ, самооценок ИБ;
- данные об угрозах, возможных нарушителях и уязвимостях ИБ;
- данные об изменениях внутри организации БС РФ, например, данные
об изменениях в процессах и технологиях, реализуемых в рамках
основного процессного потока, изменениях во внутренних документах
организации БС РФ;
- данные об изменениях вне организации БС РФ, например, данные об
изменениях в законодательстве Российской Федерации, изменениях в
требованиях комплекса БР ИББС, изменениях в договорных обязательствах
организации.
8.15.2. Анализ функционирования СОИБ должен включать в том числе:
- анализ соответствия комплекса внутренних документов,
регламентирующих деятельность по обеспечению ИБ в организации БС РФ,
требованиям законодательства Российской Федерации, требованиям
стандартов Банка России, в частности, требованиям настоящего
стандарта, контрактным требованиям организации;
- анализ соответствия внутренних документов нижних уровней
иерархии, регламентирующих деятельность по обеспечению ИБ в
организации БС РФ, требованиям политик ИБ организации БС РФ;
- оценку адекватности модели угроз организации БС РФ существующим
угрозам ИБ;
- оценку рисков в области ИБ организации, включая оценку уровня
остаточного и допустимого риска;
- проверку адекватности используемых защитных мер требованиям
внутренних документов организации БС РФ и результатам оценки рисков;
- анализ отсутствия разрывов в технологических процессах
обеспечения ИБ, а также несогласованности в использовании защитных
мер.
8.15.3. Результаты анализа функционирования СОИБ должны
документироваться.
8.15.4. В организации БС РФ должны быть документально определены
роли, связанные с процедурами анализа функционирования СОИБ, и
назначены ответственные за выполнение указанных ролей.
8.16. Требования к анализу системы обеспечения информационной
безопасности со стороны руководства организации банковской системы
Российской Федерации
8.16.1. В организации БС РФ должен быть утвержден перечень
документов (данных), необходимых для формирования информации,
предоставляемой руководству с целью проведения анализа СОИБ. В
частности, в указанный перечень документов должны входить:
- отчеты с результатами мониторинга СОИБ и контроля защитных мер;
- отчеты с результатами анализа функционирования СОИБ;
- отчеты с результатами аудитов ИБ;
- отчеты с результатами самооценок ИБ;
- документы, содержащие информацию о способах и методах защиты,
защитных мерах или процедурах их использования, которые могли бы
использоваться для улучшения функционирования СОИБ;
- документы, содержащие информацию о новых выявленных уязвимостях
и угрозах ИБ;
- документы, содержащие информацию о действиях, предпринятых по
итогам предыдущих анализов СОИБ, осуществленных руководством;
- документы, содержащие информацию об изменениях, которые могли
бы повлиять на организацию СОИБ, например, изменения в
законодательстве Российской Федерации и (или) в положениях стандартов
Банка России;
- документы, содержащие информацию по выявленным инцидентам ИБ;
- документы, подтверждающие выполнение требуемой деятельности по
обеспечению ИБ, например, выполнение планов обработки рисков;
- документы, подтверждающие выполнение требований непрерывности
бизнеса и его восстановления после прерывания.
8.16.2. В организации БС РФ должен быть определен и утвержден
руководством план выполнения деятельности по контролю и анализу СОИБ.
В частности, указанный план должен содержать положения по проведению
совещаний на уровне руководства, на которых в том числе производятся
поиск и анализ проблем ИБ, влияющих на бизнес организации БС РФ.
8.16.3. В организации БС РФ должны быть документально определены
роли, связанные с подготовкой информации, необходимой для анализа СОИБ
руководством, и назначены ответственные за выполнение указанных ролей.
8.17. Требования к принятию решений по тактическим <*> улучшениям
системы обеспечения информационной безопасности
--------------------------------
<*> К тактическим улучшениям СОИБ следует относить корректирующие
или превентивные действия, связанные с пересмотром отдельных процедур
выполнения деятельности в рамках СОИБ организации БС РФ и не требующие
пересмотра политики ИБ и частных политик ИБ организации БС РФ. Как
правило, тактические улучшения СОИБ не требуют выполнения деятельности
в рамках этапа "планирование" СМИБ.
8.17.1. Для принятия решений, связанных с тактическими
улучшениями СОИБ, необходимо рассмотреть среди прочего документально
оформленные результаты:
- аудитов ИБ;
- самооценок ИБ;
- мониторинга СОИБ и контроля защитных мер;
- анализа функционирования СОИБ;
- обработки инцидентов ИБ;
- выявления новых угроз и уязвимостей ИБ;
- оценки рисков;
- анализа перечня защитных мер, возможных для применения;
- стратегических улучшений СОИБ;
- анализа СОИБ со стороны руководства;
- анализа успешных практик в области ИБ (собственных или других
организаций).
8.17.2. Решения по тактическим улучшениям СОИБ должны быть
документально зафиксированы и содержать либо выводы об отсутствии
необходимости тактических улучшений СОИБ, либо должны быть указаны
направления тактических улучшений СОИБ в виде корректирующих или
превентивных действий, например:
- пересмотр процедур выполнения отдельных видов деятельности по
обеспечению ИБ;
- пересмотр процедур эксплуатации отдельных видов защитных мер;
- пересмотр процедур обнаружения и обработки инцидентов;
- уточнение описи информационных активов;
- пересмотр программы обучения и повышения осведомленности
персонала;
- пересмотр плана обеспечения непрерывности бизнеса и его
восстановления после прерывания;
- пересмотр планов обработки рисков;
- вынесение санкций в отношении персонала;
- пересмотр процедур мониторинга СОИБ и контроля защитных мер;
- пересмотр программ аудитов;
- корректировка соответствующих внутренних документов,
регламентирующих процедуры выполнения деятельности по обеспечению ИБ и
эксплуатации защитных мер;
- ввод новых или замена используемых защитных мер.
8.17.3. Вся деятельность по реализации тактических улучшений
должна документально регистрироваться. Должны быть определены
документы, содержащие планы реализации тактических улучшений СОИБ, и
документы, в которых фиксируются результаты выполнения указанных
планов.
8.17.4. Деятельность, связанная с реализацией тактических
улучшений СОИБ, должна быть санкционирована и контролироваться
руководством службы ИБ организации БС РФ.
8.17.5. Должны быть документально определены и выполняться
процедуры согласования и информирования заинтересованных сторон о
тактических улучшениях СОИБ, в частности, об изменениях, относящихся к
обеспечению ИБ, к ответственности в области ИБ, к требованиям по
обеспечению ИБ, а также должны быть документально зафиксированы
результаты выполнения указанных процедур.
8.17.6. В случаях принятия решений по тактическим улучшениям СОИБ
должны быть назначены ответственные за их реализацию.
8.18. Требования к принятию решений по стратегическим <*>
улучшениям системы обеспечения информационной безопасности
--------------------------------
<*> К стратегическим улучшениям СОИБ следует относить
корректирующие или превентивные действия, связанные с пересмотром
политики ИБ и частных политик ИБ организации БС РФ, с последующим
выполнением соответствующих тактических улучшений СОИБ. Стратегические
улучшения СОИБ всегда требуют выполнения деятельности в рамках этапа
"планирование" СМИБ.
8.18.1. Для принятия решений, связанных со стратегическими
улучшениями СОИБ, необходимо рассмотреть среди прочего документально
оформленные результаты:
- аудитов ИБ;
- самооценок ИБ;
- мониторинга СОИБ и контроля защитных мер;
- анализа функционирования СОИБ;
- обработки инцидентов ИБ;
- выявления новых информационных активов организации БС РФ или их
типов;
- выявления новых угроз и уязвимостей ИБ;
- оценки рисков;
- пересмотра основных рисков ИБ;
- анализа СОИБ со стороны руководства;
- анализа успешных практик в области ИБ (собственных или других
организаций);
а также изменения:
- в законодательстве Российской Федерации;
- в нормативных актах Банка России, в частности, требованиях
настоящего стандарта;
- интересов, целей и задач бизнеса организации БС РФ;
- контрактных обязательств организации БС РФ.
8.18.2. Решения по стратегическим улучшениям СОИБ должны быть
документально зафиксированы и содержать либо выводы об отсутствии
необходимости стратегических улучшений СОИБ, либо указывать
направления стратегических улучшений СОИБ в виде корректирующих или
превентивных действий, например:
- уточнение/пересмотр целей и задач обеспечения ИБ, определенных
в рамках политики ИБ или частных политик ИБ организации БС РФ;
- изменение в области действия СОИБ;
- уточнение описи типов информационных активов;
- пересмотр моделей угроз и нарушителей;
- изменение подходов к оценке рисков ИБ, критериев принятия риска
ИБ.
8.18.3. Вся деятельность по реализации стратегических улучшений
должна документально регистрироваться. Должны быть определены
документы, содержащие планы реализации стратегических улучшений СОИБ,
и документы, в которых фиксируются результаты выполнения указанных
планов.
8.18.4. Деятельность, связанная с реализацией стратегических
улучшений СОИБ, должна быть санкционирована и контролироваться
руководством организации БС РФ.
8.18.5. В случае стратегических улучшений СОИБ должна быть
выполнена деятельность по реализации соответствующих тактических
улучшений СОИБ для всех необходимых процедур обеспечения ИБ,
используемых защитных мер и соответствующих внутренних документов. В
частности, необходимо выполнить:
- выработку планов тактических улучшений СОИБ;
- уточнение планов обработки рисков;
- уточнение программы внедрения защитных мер;
- уточнение процедур использования защитных мер.
8.18.6. Должны быть документально определены и выполняться
процедуры согласования и информирования заинтересованных сторон о
стратегических улучшениях СОИБ, в частности, об изменениях,
относящихся к обеспечению ИБ, к ответственности в области ИБ, к
требованиям по обеспечению ИБ, а также должны быть документально
зафиксированы результаты выполнения указанных процедур.
8.18.7. В случаях принятия решений по стратегическим улучшениям
СОИБ должны быть назначены ответственные за их реализацию.
9. Проверка и оценка информационной безопасности
организаций банковской системы Российской Федерации
9.1. Проверка и оценка ИБ организаций БС РФ проводится путем
выполнения следующих процессов:
- мониторинга и контроля защитных мер;
- самооценки ИБ;
- аудита ИБ;
- анализа функционирования СОИБ (в том числе со стороны
руководства).
Указанные процессы являются частью группы процессов "проверка"
СМИБ, требования к которым приведены в разделе 8 настоящего стандарта.
9.2. Основными целями мониторинга и контроля защитных мер в
организации БС РФ являются оперативное и постоянное наблюдение, сбор,
анализ и обработка данных под заданные цели. Такими целями анализа
могут быть:
- контроль за реализацией положений внутренних документов по
обеспечению ИБ в организации БС РФ;
- выявление нештатных, в том числе злоумышленных, действий в АБС
организации;
- выявление инцидентов ИБ.
Мониторинг и контроль защитных мер проводится персоналом
организации БС РФ, ответственным за ИБ.
Требования к проведению мониторинга и контроля защитных мер в
организации БС РФ определены в подразделе 8.12 настоящего стандарта.
9.3. При подготовке к аудиту ИБ рекомендуется проведение
самооценки ИБ. Самооценка ИБ проводится собственными силами и по
инициативе руководства организации.
Порядок проведения самооценки ИБ в организации БС РФ определен в
рекомендациях в области стандартизации Банка России РС БР ИББС-2.1
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Руководство по самооценке соответствия
информационной безопасности организаций банковской системы Российской
Федерации требованиям стандарта СТО БР ИББС-1.0".
В процессе самооценки ИБ проводятся оценка степени выполнения
требований настоящего стандарта и на ее основе - вычисление итогового
уровня ИБ организации БС РФ. Порядок проведения указанной деятельности
(оценка и вычисление) регламентируется стандартом Банка России СТО БР
ИББС-1.2 "Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Методика оценки соответствия
информационной безопасности организаций банковской системы Российской
Федерации требованиям СТО БР ИББС-1.0".
9.4. Аудит ИБ, проводимый внешними по отношению к организации БС
РФ независимыми проверяющими организациями, является одной из форм
проверки и оценки (контроля) выполнения организацией БС РФ требований
настоящего стандарта.
Аудит ИБ проводится как для собственных целей самой организации
БС РФ, так и с целью повышения доверия к ней со стороны других
организаций.
Аудит ИБ проводится в соответствии с требованиями подраздела 8.14
настоящего стандарта, а также в соответствии с требованиями стандартов
Банка России СТО БР ИББС-1.1 "Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Аудит
информационной безопасности".
В процессе аудита ИБ проводятся оценка степени выполнения
требований настоящего стандарта и на ее основе - вычисление итогового
уровня ИБ организации БС РФ. Порядок проведения указанной деятельности
(оценка и вычисление) регламентируется стандартом Банка России СТО БР
ИББС-1.2 "Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Методика оценки соответствия
информационной безопасности организаций банковской системы Российской
Федерации требованиям СТО БР ИББС-1.0".
В качестве проверяющих организаций рекомендуется привлекать
организации, имеющие квалификацию и опыт проведения оценки
соответствия ИБ требованиям настоящего стандарта.
Порядок проведения работ по контролю и надзору, включающий, в
частности, вопросы:
проведения ведомственного контроля (с участием Банка России,
предприятий лицензиатов, самооценки);
государственного контроля, предусмотренного Федеральным законом
"О персональных данных" [5], со стороны ФСБ России и ФСТЭК России;
взаимодействия сторон при проведении указанных видов контроля;
согласования планов, информационного взаимодействия, форм
предоставления отчетности и т.д.;
а также регламентация обеспечения безопасности персональных
данных при использовании средств криптографической защиты информации
будут изложены в отдельных документах.
9.5. Анализ функционирования СОИБ проводится персоналом
организации БС РФ, ответственным за обеспечение ИБ, а также
руководством, в том числе на основании подготовленных для руководства
документов (данных).
Основными целями проведения анализа функционирования СОИБ
являются:
- оценка эффективности СОИБ;
- оценка соответствия СОИБ требованиям законодательства
Российской Федерации и стандартов Банка России;
- оценка соответствия СОИБ существующим и возможным угрозам ИБ;
- оценка следования принципам ИБ и выполнения требований по
обеспечению ИБ, закрепленным в политике ИБ организации БС РФ, а также
в иных внутренних документах организации БС РФ.
Результаты, полученные в ходе анализа функционирования СОИБ,
являются среди прочего основой для совершенствования СОИБ.
Требования к проведению анализа функционирования СОИБ определены
в подразделах 8.15 и 8.16 настоящего стандарта.
9.6. В настоящем стандарте требование получения лицензии на
деятельность по технической защите конфиденциальной информации
(информации ограниченного доступа) при проведении мероприятий по
обеспечению безопасности в специальных ИСПДн для собственных нужд
организаций БС РФ, а также требование проведения аттестации
специальных ИСПДн не устанавливаются. В случае введения в действие
стандарта в организации БС РФ указанные требования не являются
обязательными при проведении комплекса мероприятий по обеспечению
безопасности персональных данных в специальных ИСПДн организаций БС
РФ.
9.7. Получение организацией БС РФ лицензии ФСБ России - в
соответствии с требованиями законодательства Российской Федерации.
Библиография
[1] Федеральный закон "О банках и банковской деятельности" от
01.12.1990 N 395-1 в редакции Федерального закона от 03.02.1996
N 17-ФЗ, от 31.07.1998 N 151-ФЗ, от 05.07.1999 N 126-ФЗ, от 08.07.1999
N 136-ФЗ, от 19.06.2001 N 82-ФЗ, от 07.08.2001 N 121-ФЗ, от 21.03.2002
N 31-ФЗ с изменениями, внесенными Постановлением Конституционного суда
РФ от 23.02.1999 N 4-П.
[2] Федеральный закон "О Центральном банке Российской Федерации
(Банке России)" от 10 июля 2002 г. N 86-ФЗ.
[3] Федеральный закон "Об информации, информационных технологиях
и о защите информации" от 27 июля 2006 г. N 149-ФЗ.
[4] ISO/IEC IS 27001-2005 Information technology. Security
techniques. Information security management systems. Requirements.
[5] Федеральный закон "О персональных данных" от 27 июля 2006 г.
N 152-ФЗ.
[6] Постановление Правительства РФ от 15 сентября 2008 г. N 687
"Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации".
[7] Приказ Федеральной службы по техническому и экспортному
контролю, Федеральной службы безопасности Российской Федерации и
Министерства информационных технологий и связи Российской Федерации от
13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения
классификации информационных систем персональных данных".
Ключевые слова: банковская система Российской Федерации, система
менеджмента информационной безопасности, политика информационной
безопасности.Страницы: 1 2 |