Страницы: 1 2
автоматизированных систем данной организации.
8.2.9.3. В качестве объектов защиты должны рассматриваться:
- информационные ресурсы;
- управляющая информация АБС;
- банковский информационный технологический процесс.
8.2.9.4. Организация БС РФ несет ответственность за:
- достоверность информации, официально предоставляемой внешним
организациям и гражданам;
- достоверность и выполнение регламента предоставления внешним
организациям и гражданам информации, обязательность и порядок
предоставления которой определены законодательством Российской
Федерации и/или нормативными документами Банка России;
- обеспечение соответствующего законодательству Российской
Федерации уровня защиты как собственной информации, так и информации,
официально полученной из внешних организаций и от граждан.
8.2.9.5. Если в АБС обрабатывается информация, требующая по
решению руководства защиты, то соответствующим распоряжением должен
быть назначен администратор информационной безопасности. Допускается
назначение одного администратора информационной безопасности на
несколько АБС, а также совмещение выполнения указанных функций с
другими обязанностями.
При этом совмещение в одном лице функций администратора АБС и
администратора информационной безопасности АБС не допускается.
8.2.9.6. Администратор АБС не должен иметь служебных полномочий
(а при возможности и технических средств) по настройке параметров
системы, влияющих на полномочия пользователей по доступу к информации.
Однако он должен иметь право добавить в систему нового пользователя
без всяких полномочий по доступу к информации, а также удалить из
системы такого пользователя.
Администратор информационной безопасности АБС должен иметь
служебные полномочия и технические возможности по контролю действий
соответствующих администраторов АБС (без вмешательства в их действия)
и пользователей, а также полномочия (а при возможности и технические
средства) по настройке для каждого пользователя только тех параметров
системы, которые определяют права доступа к информации.
Устанавливаемые права доступа к информации должны назначаться
подразделением организации БС РФ, ответственным за эту информацию
(владельцем информационного актива).
Администратор информационной безопасности не должен иметь права
добавить нового пользователя в АБС, а также удалить из нее
существующего пользователя.
В случае отсутствия у администратора информационной безопасности
технических возможностей по настройке параметров АБС, влияющих на
полномочия пользователей по доступу к информации, эти настройки
выполняются администратором АБС, но с обязательным предварительным
согласованием устанавливаемых прав доступа пользователей к информации
с администратором информационной безопасности.
Для каждой АБС должен быть определен порядок контроля ее
функционирования со стороны лиц, отвечающих за ИБ.
8.2.9.7. Процессы подготовки, ввода, обработки и хранения
информации, а также порядок установки, настройки, эксплуатации и
восстановления необходимых технических и программных средств должны
быть регламентированы и обеспечены инструктивными и методическими
материалами, согласованными со службой информационной безопасности.
8.2.9.8. Должна осуществляться и быть регламентирована процедура
периодического тестирования всех реализованных программно-техническими
средствами функций (требований) по обеспечению ИБ. Регламентирующие
документы должны быть согласованы со службой информационной
безопасности.
8.2.9.9. Должна осуществляться и быть регламентирована процедура
восстановления системы обеспечения ИБ.
9. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
ОРГАНИЗАЦИИ БС РФ
9.1. Управление ИБ организации БС РФ включает в себя:
- разработку политики информационной безопасности;
- разработку технических, организационных и административных
планов обеспечения реализации политики информационной безопасности;
- разработку нормативно-методических документов обеспечения ИБ;
- создание административного и кадрового обеспечения комплекса
средств управления ИБ организации;
- обеспечение штатного функционирования комплекса средств ИБ
организации;
- осуществление контроля (мониторинга) функционирования системы
управления ИБ организации;
- обучение с целью поддержки (повышения) квалификации персонала
организации;
- оценку рисков, связанных с нарушениями ИБ.
9.2. Для реализации этих задач рекомендуется иметь в составе
организации (самостоятельную или в составе службы безопасности) службу
(уполномоченное лицо) по информационной безопасности. Службу
(уполномоченное лицо) по информационной безопасности рекомендуется
наделить следующими полномочиями:
- управлять всеми планами по обеспечению ИБ организации;
- разрабатывать и вносить предложения по изменению политики ИБ
организации;
- изменять существующие и принимать новые нормативно-методические
документы по обеспечению ИБ организации;
- выбирать средства управления и обеспечения ИБ организации;
- контролировать пользователей, в первую очередь пользователей,
имеющих максимальные полномочия;
- контролировать активность, связанную с доступом и
использованием средств антивирусной защиты, а также с применением
других средств обеспечения ИБ;
- осуществлять мониторинг событий, связанных с ИБ;
- расследовать события, связанные с нарушениями ИБ, и в случае
необходимости выходить с предложениями по применению санкций в
отношении лиц, осуществивших противоправные действия, например
нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ
организации;
- участвовать в действиях по восстановлению работоспособности АБС
после сбоев и аварий;
- создавать, поддерживать и совершенствовать систему управления
ИБ организации.
Хорошей практикой является создание службы ИБ и выделение ей
своего собственного бюджета.
Хорошей практикой является, когда служба ИБ организации имеет
собственного куратора на уровне первого лица в руководстве организации
БС РФ (или заместителя председателя правления и т.п.). При этом служба
ИБ и служба информатизации (автоматизации) не должны иметь общего
куратора.
9.3. Система управления ИБ реализуется службой ИБ в виде
совокупности взаимозависимых и постоянно действующих процессов
(контроля, мониторинга, анализа и т.д.) штатного функционирования
используемых защитных мер и должного исполнения персоналом
предъявляемых к ним требований ИБ.
9.4. Для успешного функционирования системы управления ИБ и
поддержки действующих в ней процессов стандарт BS 7799-2 рекомендует
выделять четыре основных процесса: планирование процессов выполнения
требований ИБ; реализация и эксплуатация защитных мер; проверка
процессов выполнения требований ИБ и защитных мер; совершенствование
процессов выполнения требований ИБ и защитных мер. Их выполнение
должно быть реализовано в виде непрерывного цикла - "планирование -
реализация - проверка - совершенствование - планирование - ...".
9.5. Планирование процессов выполнения требований ИБ должно
включать в себя определение целей и политики ИБ, требований ИБ и
процессов их реализации. К планированию следует относить процессы
формирования политики ИБ, формирования требований ИБ, оценки рисков,
выбора защитных мер. Процессы выполнения требований ИБ должны быть
спланированы так, чтобы они позволили выбрать защитные меры,
обеспечивающие достижение результатов в соответствии с установленными
целями и политиками ИБ <*>.
------------------------------------
<*> Для соответствующих областей ИБ (организационных,
административных, технических и т.д.) защитные меры могут быть выбраны
на основе рекомендаций, изложенных в стандартах ISO/IEC IS 17799, ГОСТ
Р ИСО/МЭК 15408, руководстве ISO TR 13569 и др.
9.6. Реализация и эксплуатация защитных мер должна включать в
себя внедрение выбранных защитных мер (организационных мер,
технических средств обеспечения ИБ и пр.) с помощью процессов
оптимального размещения и тестирования на их соответствие
установленным требованиям ИБ.
9.7. Проверка процессов выполнения требований ИБ и защитных мер
должна включать в себя проверку и оценку соответствия процессов
выполнения требований ИБ установленным требованиям ИБ, а также
проверку и оценку соответствия ИБ организации требованиям настоящего
стандарта. Проверка и оценка должны производиться с помощью процессов
аудита ИБ, мониторинга ИБ.
9.8. Совершенствование процессов выполнения требований ИБ и
защитных мер должно включать в себя корректирующие и превентивные
действия в отношении процессов выполнения требований ИБ и защитных мер
по результатам оценки соответствия реализации процессов ИБ в
организации и изменений в среде организации. Корректирующие действия
должны включать определение причин несоответствия или характера
изменений в среде организации, корректировки процессов выполнения
требований ИБ и защитных мер. Превентивные действия должны включать
процессы определения потенциальных причин несоответствия, а также
реализацию превентивных изменений.
9.9. Качество функционирования системы управления ИБ следует
оценивать по полноте, адекватности и уровню зрелости поддерживаемых ею
процессов.
9.10. Организационная основа управления ИБ в организациях должна
определяться целями бизнеса организации на финансовом рынке, размерами
организации, наличием сети филиалов и другими факторами.
Для организаций, имеющих сеть филиалов или региональных
представительств, рекомендуется выделить соответствующие подразделения
ИБ на местах, обеспечив их необходимыми ресурсами и нормативной базой.
10. МОДЕЛЬ ЗРЕЛОСТИ ПРОЦЕССОВ УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ОРГАНИЗАЦИЙ БС РФ
10.1. Модель зрелости является мерой проработанности процессов
управления ИБ, применяемых в рамках организации.
10.2. Уровень проработанности процессов управления ИБ
определяется тем, насколько полно и последовательно менеджмент банка
руководствуется принципами ИБ, реализует политики и требования ИБ,
использует накопленный опыт и совершенствует систему управления ИБ.
10.3. Модель зрелости предназначена для определения:
- текущего статуса организации;
- положения (рейтинга) данной организации в рамках БС РФ;
- направлений дальнейшего развития с учетом рекомендаций
международных стандартов;
- перспективных целей организации в части совершенствования ИБ.
10.4. Модель зрелости процессов управления ИБ организации в
настоящем стандарте основывается на модели зрелости, определенной
стандартом COBIT, которая определяет шесть уровней зрелости
организации - с нулевого по пятый.
Нулевой уровень характеризует полное отсутствие каких-либо
процессов управления ИБ в рамках деятельности организации. Организация
не осознает существования проблем ИБ.
Первый уровень ("начальный") характеризует наличие документально
зафиксированных свидетельств осознания организацией существования
проблем обеспечения ИБ. Однако используемые процессы управления ИБ не
стандартизованы, применяются эпизодически и бессистемно. Общий подход
к управлению ИБ не выработан.
Второй уровень ("повторяемый") характеризует проработанность
процессов управления ИБ до уровня, когда их выполнение обеспечивается
различными людьми, решающими одну и ту же задачу. Однако отсутствуют
регулярное обучение и тренировки по стандартным процедурам, а
ответственность возложена на исполнителя. Руководство организации в
значительной степени полагается на знания исполнителей, что влечет за
собой высокую вероятность возможных ошибок.
Третий уровень ("определенный") характеризует то, что процессы
стандартизованы, документированы и доведены до персонала посредством
обучения. Однако порядок использования данных процессов оставлен на
усмотрение самого персонала. Это определяет вероятность отклонений от
стандартных процедур, которые могут быть не выявлены. Применяемые
процедуры не оптимальны и недостаточно современны, но являются
отражением практики, используемой в организации.
Четвертый уровень ("управляемый") характеризует то, что
обеспечиваются мониторинг и оценка соответствия используемых в
организации процессов. При выявлении низкой эффективности реализуемых
процессов управления ИБ обеспечивается их оптимизация. Процессы
управления ИБ находятся в стадии непрерывного совершенствования и
основываются на хорошей практике. Средства автоматизации управления ИБ
используются частично и в ограниченном объеме.
Пятый уровень ("оптимизированный") характеризует проработанность
процессов управления ИБ до уровня лучшей практики, основанной на
результатах непрерывного совершенствования и сравнения уровня зрелости
относительно других организаций. Защитные меры в организации
используются комплексно, обеспечивая основу совершенствования
процессов управления ИБ. Организация способна к быстрой адаптации при
изменениях в окружении и бизнесе.
10.5. Модель зрелости управления ИБ организации ориентирована на
оценку процессов управления ИБ, указанных в разделе 9 настоящего
стандарта, и оценку выполнения базовых требований ИБ в организации.
10.6. Рекомендуемыми уровнями зрелости процессов управления ИБ
для организаций, способными обеспечить качественное предоставление
основного набора банковских услуг, являются уровни не ниже четвертого.
10.7. С учетом состава процессов управления ИБ четвертый уровень
зрелости характеризуется следующими основными показателями:
- разработана нормативная и распорядительная документация по ИБ
(политика ИБ, должностные инструкции для персонала и т.п.);
- создана организационная структура управления ИБ. Четко
определена ответственность персонала за деятельность, связанную с
обеспечением ИБ;
- финансирование ИБ осуществляется по отдельной статье бюджета
организации;
- есть назначенный куратор службы ИБ;
- осуществляется приобретение необходимых средств обеспечения ИБ;
- защитные меры (технические, технологические, организационные)
встроены в АБС и банковские технологические процессы. В процессе
внедрения защитных мер используется анализ затрат и результатов;
- последовательно выполняется анализ ИБ организации и рисков
нарушения ИБ, а также возможных негативных воздействий;
- краткие занятия с работниками организации по вопросам
обеспечения ИБ носят обязательный характер;
- введена аттестация персонала по вопросам обеспечения
безопасности;
- проверки на возможность вторжения в АБС являются
стандартизованным и формализованным процессом;
- осуществляется оценка соответствия организации требованиям ИБ;
- стандартизованы идентификация, аутентификация и авторизация
пользователей. Защитные меры совершенствуются с учетом накопленного в
организации практического опыта;
- уровень стандартизации и документирования процессов управления
ИБ позволяет проводить аудит ИБ в достаточном объеме;
- процессы обеспечения ИБ координируются со службой безопасности
всей организации;
- деятельность по обеспечению ИБ увязана с целями бизнеса;
- руководство организации понимает проблемы ИБ и участвует в их
решении через назначенного куратора службы ИБ из состава высшего
руководства организации.
10.8. Уровень зрелости следует оценивать для каждого из
реализуемых в организации процессов управления ИБ, состав которых
определяется целями организации, ее организационной структурой и т.д.
10.9. По результатам оценки зрелости каждого из процессов
управления ИБ должен формироваться общий итоговый рейтинг зрелости
организации.
Учет вклада уровня зрелости процессов в общий рейтинг зрелости
организации следует осуществлять в соответствии с рейтингом процесса в
обеспечении достижения целей управления ИБ.
Низкий уровень зрелости одного процесса управления ИБ может
негативно повлиять на общий рейтинг зрелости организации. Например,
если уровень зрелости процесса контроля (мониторинга или аудита)
системы управления ИБ организации оценивается как низкий - нулевой,
первый или второй, то общий рейтинг зрелости организации не может
превышать уровень зрелости данного процесса.
11. АУДИТ И МОНИТОРИНГ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БС РФ
11.1. Аудит ИБ организаций БС РФ может быть внутренним или
внешним. Порядок и периодичность проведения внутреннего аудита ИБ
организации в целом (или ее отдельных структурных подразделений) или
АБС определяется руководством организации на основе потребностей в
такой деятельности. Внешний аудит ИБ проводится независимыми
аудиторами.
11.2. Цель аудита ИБ организации состоит в проверке и оценке ее
соответствия требованиям настоящего стандарта и других принятых в
организации нормативных актов по ИБ. Аудит ИБ должен проводиться
периодически. Внешний аудит ИБ организаций БС РФ должен проводиться не
реже одного раза в год.
11.3. При проведении аудита ИБ организации должны использоваться
стандартные процедуры документальной проверки, опрос и интервью с
руководством и персоналом организации. При необходимости уточнения
результатов документальной проверки, опросов и интервью в рамках
внутреннего аудита ИБ в качестве дополнительного способа может
применяться "проверка на месте", которая проводится для обеспечения
уверенности в том, что конкретные защитные меры реализуются, правильно
используются и проверяются с помощью тестирования. Обстоятельства, при
которых требуется дополнительный способ в рамках внутреннего аудита
ИБ, должны быть определены и согласованы в плане проведения аудита ИБ
в организации.
11.4. При проведении внутреннего аудита ИБ могут использоваться
журналы регистрации инцидентов ИБ, ведущиеся службами безопасности
организации и формируемые на основе данных мониторинга ИБ.
11.5. Мониторинг ИБ должен проводиться персоналом организации,
ответственным за ИБ, с целью обнаружения и регистрации отклонений
защитных мер от требований ИБ и оценки полноты реализации положений
политики ИБ, инструкций и руководств обеспечения ИБ в организации.
Основными целями мониторинга ИБ в организации являются
оперативное и постоянное наблюдение, сбор, анализ и обработка данных
под заданные цели, определяемые системой управления ИБ в организации.
Такими целями анализа могут быть:
- контроль за реализацией положений нормативных актов по
обеспечению ИБ в организации;
- выявление нештатных (или злоумышленных) действий в АБС
организации;
- выявление потенциальных нарушений ИБ.
Для целей оперативного и постоянного наблюдения объектов
мониторинга могут использоваться как специализированные (например,
программные) средства, так и штатные (входящие в коммерческие продукты
и системы) средства регистрации действий пользователей, процессов и
т.п.
11.6. При проведении внешнего аудита ИБ руководство организации
должно обеспечить документальное и, если это необходимо, техническое
подтверждение того, что:
- политика ИБ отражает требования бизнеса и цели организации;
- организационная структура управления ИБ создана;
- процессы выполнения требований ИБ исполняются и удовлетворяют
поставленным целям;
- защитные меры (например, межсетевые экраны, средства управления
физическим доступом) настроены и используются правильно;
- остаточные риски оценены и остаются приемлемыми для
организации;
- система управления ИБ соответствует определенному уровню
зрелости управления ИБ;
- рекомендации предшествующих аудитов ИБ реализованы.
11.7. Аудиторский отчет должен храниться в организации в течение
установленного времени. Доступ к аудиторскому отчету должен быть
разрешен только руководству организации и руководителям подразделения
(лицам), ответственным за ИБ в организации.
12. НАПРАВЛЕНИЯ РАЗВИТИЯ СТАНДАРТА
Реализация положений настоящего стандарта обеспечивается
соответствующими руководствами, методическими указаниями и системой
оценки ИБ в организациях БС РФ.
Положения настоящего стандарта могут уточняться и расширяться по
предложениям, поступившим от организаций - разработчиков данного
стандарта или иных организаций, использующих стандарт в практической
деятельности. Данные предложения должны быть одобрены Банком России и
могут быть включены в стандарт в соответствии с регламентом
деятельности Технического комитета по стандартизации 362 Федерального
агентства по техническому регулированию и метрологии.
БИБЛИОГРАФИЯ
[1] Федеральный закон "О банках и банковской деятельности" от
01.12.1990 N 395-1 в редакции ФЗ от 03.02.1996 N 17-ФЗ, от 31.07.1998
N 151-ФЗ, от 05.07.1999 N 126-ФЗ, от 08.07.1999 N 136-ФЗ, от
19.06.2001 N 82-ФЗ, от 07.08.2001 N 121-ФЗ, от 21.03.2002 N 31-ФЗ, с
изменениями, внесенными постановлением Конституционного Суда
Российской Федерации от 23.02.1999 N 4-П.
[2] Федеральный закон "О Центральном банке Российской Федерации
(Банке России)" от 10 июля 2002 г. N 86-ФЗ.
Приложение А
(справочное)
ТЕРМИНОСИСТЕМЫ, ИСПОЛЬЗУЕМЫЕ В СТАНДАРТЕ
А.1. Информационная безопасность организации
банковской системы
А.1.1. Информационная безопасность организации банковской системы
Российской Федерации: состояние защищенности интересов (целей)
организации БС РФ в условиях угроз в информационной сфере.
Примечания. 1. Защищенность достигается обеспечением совокупности
свойств информационной безопасности - конфиденциальностью,
целостностью, доступностью информационных активов и инфраструктуры.
Приоритетность свойств информационной безопасности определяется
значимостью информационных активов для интересов (целей) организации.
2. Информационная сфера представляет собой совокупность
информации, информационной инфраструктуры, субъектов, осуществляющих
сбор, формирование, распространение, хранение и использование
информации, а также системы регулирования возникающих при этом
отношений.
А.1.2. Организация: юридическое лицо, которое имеет в
собственности, хозяйственном ведении или оперативном управлении
обособленное имущество и отвечает по своим обязательствам этим
имуществом, может от своего имени приобретать и осуществлять
имущественные и личные неимущественные права, нести обязанности, быть
истцом и ответчиком в суде.
[ГОСТ Р 40.002-2000, статья 3.6]
А.1.3. Банковская система Российской Федерации: Банк России и
кредитные организации, а также филиалы и представительства иностранных
банков.
[Федеральный закон "О банках и банковской деятельности" от
01.12.1990 N 395-1 в редакции ФЗ от 03.02.1996 N 17-ФЗ, от 31.07.1998
N 151-ФЗ, от 05.07.1999 N 126-ФЗ, от 08.07.1999 N 136-ФЗ, от
19.06.2001 N 82-ФЗ, от 07.08.2001 N 121-ФЗ, от 21.03.2002 N 31-ФЗ с
изменениями, внесенными Постановлением Конституционного Суда
Российской Федерации от 23.02.1999 N 4-П]
А.1.4. Безопасность: отсутствие недопустимого риска.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.1]
А.1.5. Безопасность Российской Федерации: состояние защищенности
жизненно важных интересов личности, общества и государства.
[Закон Российской Федерации "О безопасности"]
А.1.6. Безопасность информации: состояние защищенности
информации, обрабатываемой средствами вычислительной техники или
автоматизированной системы от внутренних или внешних угроз.
[Гостехкомиссия России. Руководящий документ. Защита от
несанкционированного доступа к информации. Термины и определения,
статья 21]
А.1.7. Информационная безопасность Российской Федерации:
состояние защищенности ее национальных интересов в информационной
сфере, определяющихся совокупностью сбалансированных интересов
личности, общества и государства.
[Доктрина информационной безопасности Российской Федерации от
09.09.2000]
А.1.8. Информация: сведения о лицах, предметах, фактах, событиях,
явлениях и процессах независимо от формы их представления.
[ГОСТ Р 51275-99. Защита информации. Объект информатизации.
Факторы, воздействующие на информацию, пункт 2.1]
А.1.9. Риск: сочетание вероятности нанесения ущерба и тяжести
этого ущерба.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.2]
А.1.10. Допустимый риск: риск, который в данной ситуации
считается приемлемым для руководства.
А.1.11. Вероятность: мера того, что событие может произойти.
Примечание. ГОСТ Р 50799.10 дает математическое определение
вероятности: "действительное число в интервале от 0 до 1, относящееся
к случайному событию". Число может отражать относительную частоту в
серии наблюдений или степень уверенности в том, что некоторое событие
произойдет. Для высокой степени уверенности вероятность близка к
единице.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3]
А.1.12. Ущерб: физическое повреждение или другой вред здоровью
людей, имуществу (активам) или окружающей среде.
А.1.13. Управление информационной безопасностью организации
банковской системы Российской Федерации: совокупность целенаправленных
действий, осуществляемых для достижения заявленных целей организации
БС РФ в условиях угроз в информационной сфере.
Примечание. Совокупность действий включает оценку ситуации и
состояния объекта управления (например, оценку и управление рисками),
выбор управляющих воздействий и их реализацию (планирование, внедрение
и обслуживание защитных мер (средств управления информационной
безопасностью).
А.1.14. Оценка соответствия информационной безопасности
организации банковской системы Российской Федерации установленным
требованиям: любая деятельность, связанная с прямым или косвенным
определением того, что выполняются или не выполняются соответствующие
требования информационной безопасности в организации БС РФ.
А.1.15. Аудит информационной безопасности организации банковской
системы Российской Федерации: периодический, независимый от объекта
аудита и документированный процесс получения свидетельств аудита и
объективной их оценки с целью определения степени выполнения в
организациях БС РФ установленных требований по обеспечению
информационной безопасности.
Примечания. 1. Внутренние аудиты ("аудиты первой стороной")
проводятся самой организацией или от ее имени для анализа менеджмента
или других внутренних целей и могут служить основанием для
самодеклараций организации о соответствии требованиям по ИБ.
2. Внешние аудиты включают "аудиты второй стороной" и "аудиты
третьей стороной". Аудиты второй стороной проводятся сторонами,
заинтересованными в деятельности организации, например потребителями
или другими лицами от их имени. Аудиты третьей стороной проводятся
внешними независимыми организациями.
А.1.16. Модель зрелости процессов управления информационной
безопасностью организации банковской системы Российской Федерации:
схема для измерения проработанности процессов менеджмента
информационной безопасностью организации БС РФ.
А.1.17. Мониторинг информационной безопасности организации
банковской системы Российской Федерации: постоянное наблюдение за
объектами, влияющими на обеспечение информационной безопасности в
организации БС РФ, сбор, анализ и обобщение результатов наблюдения под
заданные цели.
Примечания. 1. Объектом мониторинга в зависимости от целей могут
быть автоматизированная банковская система или ее часть, банковские
информационные технологические процессы, информационные банковские
услуги и пр.
2. Цели мониторинга информационной безопасности определяются
службой безопасности организации БС РФ.
А.1.18. Нормативный документ: документ, устанавливающий правила,
общие принципы или характеристики, касающиеся различных видов
деятельности или их результатов.
Примечания. 1. Под документом следует понимать зафиксированную на
материальном носителе информацию с реквизитами, позволяющими ее
идентифицировать.
2. Термины, обозначающие различные виды нормативных документов,
определяются в дальнейшем исходя из того, что документ и его
содержание рассматриваются как единое целое.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации.
Термины и определения, статья 4.1]
А.1.19. Положение (нормативного документа): логическая единица
содержания нормативного документа, которая имеет форму требования,
правила, рекомендации или комментария.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации.
Термины и определения, статья 6.1]
А.1.20. Требование: положение нормативного документа, содержащее
критерии, которые должны быть соблюдены.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации.
Термины и определения, статья 6.1.1]
А.1.21. Правило: положение нормативного документа, описывающее
действие, которое должно быть выполнено.
[ГОСТ 1.1-2002. Межгосударственная система стандартизации.
Термины и определения, статья 6.1.2]
А.1.22. Политика информационной безопасности организации: одно
или несколько правил, процедур, практических приемов и руководящих
принципов в области информационной безопасности, которыми
руководствуется организация в своей деятельности.
А.1.23. Свидетельство аудита: записи, изложение фактов или другой
информации, связанной с критериями аудита, которые могут быть
перепроверены.
Примечание. Свидетельство аудита может быть качественным или
количественным.
Связи между понятиями данной группы графически представлены на
рисунке А.1. Изображения связей заимствованы из ГОСТ Р ИСО/МЭК
9000-2001 "Системы менеджмента качества. Основные положения и
словарь". На рисунке линиями (веерными или в виде дерева) без стрелок
показаны родовидовые связи, когда субординатные понятия в рамках
иерархии наследуют признаки суперординатного понятия и содержат
описания тех признаков, которые отличают их от суперординатных
(вышестоящих) и координатных (соподчиненных) понятий. В виде грабель
показаны партитивные отношения между понятиями, когда субординатные
понятия в рамках одной иерархической системы являются частью одного
суперординатного понятия. Чертой со стрелками с каждого конца показаны
ассоциативные связи, определяющие природу взаимоотношений между
понятиями в рамках данной системы понятий, например причина и
следствие, действие и место, действие и результат, инструмент и
функция, материал и продукция.
------------------------------------------------------------------------------
| -------------- ------ ------- ---------------------- |
| |Безопасность|<------- |Риск|<---->|Ущерб| | Банковская система | |
| -------------- | ------ ------- |Российской Федерации| |
| /\ /\ | | /\ ---------------------- |
| | ---------- | | -------- | | |
| | | | | \/ | | |
| \/ | | | ------|------ -------|----- | |
| -----|-------- | | | |Вероятность| |Организация| | |
| |Безопасность|<--- | | | ------------- ------------- | |
| | информации | | | | ----------- /\ | |
| -------------- | | | --------|-------- | | |
| /\ /\ | | ----->|Допустимый риск| | | |
| | | | | ----------------- | | |
| | ----- | | ---------------------- | | |
| \/ | | ----->| Безопасность | | | |
| -----|------ | | |Российской Федерации| | | |
| |Информация| | | ---------------------- | | |
| ------------ | | ------------|---------------- | | |
| | ----->|Информационная Безопасность| | | |
| | | Российской Федерации | | | |
| | ----------------------------- | | |
| -------------- | | | |
| \/ | \/ \/ |
| ---------------- -------|-----|------------------|------|- |
| | Политика |<--->|Информационная безопасность организации| |
| |информационной| |банковской системы Российской Федерации| |
| | безопасности | ----------------------------------------- |
| | организации | /\ |
| ---------------- | |
| \/ ------------- |
| ------------------------|-- -------------------------- |Нормативный| |
| |Управление информационной| | Оценка соответствия | | документ | |
| |безопасностью организации|---| информационной | ------------- |
| | банковской системы | | |безопасности организации| -----|----- |
| | Российской Федерации | | | банковской системы | |Положение|--- |
| --------------------------- | | Российской Федерации | ----------- | |
| /\ | -------------------------- | | |
| | | /\ | | |
| | | -------------------- | | |
| \/ | \/| | |
| ------------|-------------- | -------------------------- ---|-|------ | |
| |Модель зрелости процессов| | | Аудит информационной | |Требование| | |
| |управления информационной| |-|безопасности организации| ------------ | |
| |безопасностью организации| | | банковской системы | --------- | |
| | банковской системы | | | Российской Федерации | |Правило|----- |
| | Российской Федерации | | -------------------------- --------- |
| --------------------------- | /\ |
| | ------------------------ |
| | \/ |
| | --------------------------- -------|------- |
| | |Мониторинг информационной| |Свидетельство| |
| --|безопасности организации | | аудита | |
| | банковской системы | --------------- |
| | Российской Федерации | |
| --------------------------- |
------------------------------------------------------------------------------
Рисунок А.1. Понятия, относящиеся к информационной
безоопасности организации БС РФ
А.2. Банковские технологии и технологические процессы
А.2.1. Банковская технология: система методов, способов, приемов
деятельности в банковской отрасли.
А.2.2. Банковский технологический процесс: технологический
процесс, содержащий операции по изменению и (или) определению
состояния банковской информации, используемой при функционировании или
необходимой для реализации банковских услуг, функционирования
организации БС РФ.
Примечания. 1. Операции над банковской информацией могут
выполняться вручную или быть автоматизированными, например с помощью
комплексов средств автоматизации автоматизированных банковских систем.
2. Операции над банковской информацией требуют указания ролей их
участников (исполнителей и лиц, принимающих решения или имеющих
полномочия по изменению технологических процессов, в том числе
персонала автоматизированных банковских систем).
А.2.3. Банковский платежный технологический процесс: часть
банковского технологического процесса, содержащая расчетные, учетные,
кассовые и иные банковские операции над платежной информацией,
связанные с перемещением денежных средств с одного счета на другой,
открытием (закрытием) счетов или контролем за данными операциями.
Примечание. Платежная информация может включать в себя платежные
(расчетные) сообщения и информацию, связанную с проведением расчетных,
учетных, кассовых и иных технологических операций.
А.2.4. Банковский информационный технологический процесс: часть
банковского технологического процесса, содержащая операции над
неплатежной информацией, необходимой для функционирования организации
БС РФ.
Примечание. Неплатежная информация, необходимая для
функционирования организации БС РФ, может включать в себя данные
статистической отчетности и внутрихозяйственной деятельности,
аналитическую, финансовую, справочную информацию.
А.2.5. Автоматизированная банковская система: система, состоящая
из персонала и комплекса средств автоматизации его деятельности,
реализующая банковскую информационную технологию выполнения
установленных функций.
А.2.6. Банковская информационная технология: приемы, способы и
методы применения средств вычислительной техники при выполнении
функций хранения, обработки, передачи и использования финансовой или
другой связанной с функционированием организаций БС РФ информации.
А.2.7. Роль в организации: заранее определенная совокупность
правил, устанавливающих допустимое взаимодействие между субъектом и
объектом в организации.
Примечания. 1. К субъектам относятся лица из числа руководства
организации, ее персонала, клиентов или инициируемые от их имени
процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное
средство, программно-аппаратное средство, информационные ресурс,
услуга, процесс, система, над которыми выполняются действия.
А.2.8. Технология: система взаимосвязанных методов, способов,
приемов предметной деятельности.
[ГОСТ Р 52069.0-2003. Защита информации. Система стандартов.
Основные положения, пункт 3.10]
А.2.9. Банк: кредитная организация, которая имеет исключительное
право осуществлять в совокупности следующие банковские операции:
привлечение во вклады денежных средств физических и юридических лиц;
размещение указанных средств от своего имени и за свой счет на
условиях возвратности, платности, срочности; открытие и ведение
банковских счетов физических и юридических лиц.
[Федеральный закон "О банках и банковской деятельности" от
01.12.1990 N 395-1 в редакции ФЗ от 03.02.1996 N 17-ФЗ, от 31.07.1998
N 151-ФЗ, от 05.07.1999 N 126-ФЗ, от 08.07.1999 N 136-ФЗ, от
19.06.2001 N 82-ФЗ, от 07.08.2001 N 121-ФЗ, от 21.03.2002 N 31-ФЗ с
изменениями, внесенными Постановлением Конституционного Суда
Российской Федерации от 23.02.1999 N 4-П]
А.2.10. Процесс: совокупность взаимосвязанных и взаимодействующих
видов деятельности, преобразующая входы в выходы.
Примечания. 1. Входами к процессу обычно являются выходы других
процессов.
2. Процессы в организации, как правило, планируются и
осуществляются в управляемых условиях с целью добавления ценности.
3. Процесс, в котором подтверждение соответствия конечной
продукции затруднено или экономически нецелесообразно, часто относят к
"специальному процессу".
[ГОСТ Р ИСО 9000-2001. Системы менеджмента качества. Основные
положения и словарь, статья 3.4.1]
А.2.11. Технологический процесс: процесс, содержащий
целенаправленные действия по изменению и (или) определению состояния
предмета труда.
Примечания. 1. Технологический процесс может быть отнесен к
изделию, его составной части или к методам обработки, формообразования
и сборки.
2. К предметам труда относятся заготовки и изделия.
[ГОСТ 3.1109-82. Единая система технологической документации.
Термины и определения основных понятий, статья 1]
А.2.12. Автоматизированная система: система, состоящая из
персонала и комплекса средств автоматизации его деятельности,
реализующая информационную технологию выполнения установленных
функций.
Примечания. 1. В зависимости от вида деятельности выделяют,
например, следующие виды АС: автоматизированные системы управления
(АСУ), системы автоматизированного проектирования (САПР),
автоматизированные системы научных исследований (АСНИ) и др.
2. В зависимости от вида управляемого объекта (процесса) АСУ
делят, например, на АСУ технологическими процессами (АСУТП), АСУ
предприятиями (АСУП) и т.д.
[ГОСТ 34.003-90. Информационная технология. Комплекс стандартов
на автоматизированные системы. Термины и определения, статья 1.1]
А.2.13. Информационная технология: приемы, способы и методы
применения средств вычислительной техники при выполнении функций
хранения, обработки, передачи и использования данных.
[ГОСТ 34.003-90. Информационная технология. Комплекс стандартов
на автоматизированные системы. Термины и определения, приложение]
А.2.14. Система: множество (совокупность) материальных объектов
(элементов) любой, в том числе различной, физической природы и
информационных объектов, взаимодействующих между собой для достижения
общей цели, обладающее системным свойством (свойствами), т.е.
свойством, которого не имеет ни один из элементов и ни одно из
подмножеств элементов при любом способе членения. Системное свойство
не выводимо непосредственно из свойств элементов и частей.
[Рекомендации по стандартизации Р 50.1.031-2001. Информационные
технологии поддержки жизненного цикла продукции. Терминологический
словарь. Часть 1. Стадии жизненного цикла продукции, статья 3.1.5]
А.2.15. Комплекс средств автоматизации АС: совокупность всех
компонентов автоматизированной системы, за исключением людей.
[ГОСТ 34.003. Информационная технология. Комплекс стандартов на
автоматизированные системы. Термины и определения, статья 2.12]
Связи между понятиями данной группы графически представлены на
рисунке А.2.
-------------------------------------------------------------------------
| ------------ --------- |
| ----|Технология|---------------- |Процесс| |
| | ------------ | --------- |
| | | | /\ |
| | | | | |
| | | | \/ |
| -----|------ | --|-----|-------- |
| |Банковская| | |Технологический|------ |
| |технология| | | процесс | | |
| ------------ | ----------------- | |
| /\ | --------------- | -------|--------- |
| | | | Роль | | |Технологическая| |
| | | |в организации| | | операция | |
| | | --------------- | ----------------- |
| | | /\ | | |
| | | | | | |
| \/ | \/ | | |
| ---|-- | -----|-----------|-------------|---- |
| |Банк|<------|-------->|Банковский технологический процесс| |
| ------ | ------------------------------------ |
| /\ -------|-------- /\ --------- | |
| | |Информационная| | |Система| | |
| | | технология | | --------- | |
| | ---------------- | /\ | |
| | | | | | |
| \/ | | \/ | |
| -----|---------|----------- | ----------|--------- | |
| |Банковская информационная| | |Автоматизированная| | |
| | технология | | | система | | |
| --------------------------- | -------------------- | |
| /\ | /\ | |
| | | | | |
| \/ | \/ | |
| -----|------------ | ----------|--------- | |
| |Комплекс средств| -->|Автоматизированная| | |
| | автоматизации |--------------|банковская система| | |
| ------------------ -------------------- | |
| --------------------------------------------|---- |
| ------------|-------------- ---------------------|----- |
| |Банковский информационный| |Банковский информационный| |
| | технологический процесс | | технологический процесс | |
| --------------------------- --------------------------- |
| |
| -------- ---------- |
| |Активы|<------------------->|Ценность| |
| -------- ---------- |
| | /\ |
| | ------------------------------ |
| | \/ |
| ----------|----------- ------|----- |
| |Активы организации | |Уязвимость| |
| |банковской системы | ------------ |
| |Российской Федерации| |
| ---------------------- |
| ----------|----------------------------------- |
| ----|--- ----|---- ----|---- ----|--- -----------|---------------- |
| |Ресурс| |Процесс| |Продукт| |Услуга| | Информационные активы | |
| -------- --------- --------- -------- | организации банковской | |
| | системы Российской | |
| | Федерации | |
| ---------------------------- |
-------------------------------------------------------------------------
Рисунок А.2. Понятия, относящиеся к банковским технологиям
и банковским технологическим процессам
А.3. Риск и инцидент информационной безопасности
организации БС РФ
А.3.1. Риск: сочетание вероятности нанесения ущерба и тяжести
этого ущерба.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.2]
А.3.2. Вероятность: мера того, что событие может произойти.
Примечание. ГОСТ Р 50799.10 дает математическое определение
вероятности: "действительное число в интервале от 0 до 1, относящееся
к случайному событию". Число может отражать относительную частоту в
серии наблюдений или степень уверенности в том, что некоторое событие
произойдет. Для высокой степени уверенности вероятность близка к
единице.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3]
А.3.3. Ущерб: физическое повреждение или другой вред здоровью
людей, имуществу или окружающей среде.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.3]
А.3.4. Инцидент информационной безопасности: действительное,
предпринимаемое или вероятное нарушение информационной безопасности.
Примечание. Нарушение может вызываться либо ошибкой людей, либо
неправильным функционированием технических средств, либо природными
факторами (например, пожар или наводнение), либо преднамеренными
злоумышленными действиями, приводящими к нарушению конфиденциальности,
целостности, доступности, учетности или неотказуемости.
А.3.5. Информационная безопасность организации банковской системы
Российской Федерации: состояние защищенности интересов (целей)
организации БС РФ в информационной сфере.
Примечание. Информационная сфера представляет собой совокупность
информации, информационной инфраструктуры, субъектов, осуществляющих
сбор, формирование, распространение и использование информации, а
также системы регулирования возникающих при этом отношений.
А.3.6. Риск инцидента информационной безопасности организации
банковской системы Российской Федерации: сочетание вероятности
нанесения ущерба и тяжести этого ущерба от действительного,
предпринимаемого или вероятного нарушения состояния защищенности
интересов (целей) организации БС РФ в информационной сфере.
А.3.7. Нарушение информационной безопасности организации
банковской системы Российской Федерации: событие, вызывающее ущерб
состояния защищенности интересов (целей) организации БС РФ в
информационной сфере.
А.3.8. Вызывающее ущерб событие: событие, при котором опасная
ситуация приводит к ущербу.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.4]
А.3.9. Опасная ситуация: обстоятельства, в которых люди,
имущество или окружающая среда подвергаются опасности.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.6]
А.3.10. Опасность: потенциальный источник возникновения ущерба.
Примечание. Термин "опасность" может быть конкретизирован в части
определения природы опасности или вида ожидаемого ущерба (например,
опасность электрического шока, опасность разрушения, травматическая
опасность, токсическая опасность, опасность пожара, опасность
утонуть).
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.5]
А.3.11. Остаточный риск: риск, остающийся после предпринятых
защитных мер.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.9]
А.3.12. Защитная мера: мера, используемая для уменьшения риска.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.8]
А.3.13. Анализ риска: систематическое использование информации
для выявления опасности и количественной оценки риска.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.10]
А.3.14. Оценивание риска: основанная на результатах анализа риска
процедура проверки, устанавливающая, не превышен ли допустимый риск.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.11]
А.3.15. Оценка риска: общий процесс анализа и оценивания риска.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.12]
А.3.16. Допустимый риск: риск, который в данной ситуации считают
приемлемым при существующих общественных ценностях.
[ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в
стандарты, пункт 3.7]
А.3.17. Управление риском: действия, осуществляемые для
выполнения решений в рамках менеджмента риска.
Примечание. Управление риском может включать в себя мониторинг,
переоценивание и действия, направленные на обеспечение соответствия
принятым решениям.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.4.2]
А.3.18. Менеджмент риска: скоординированные действия по
руководству и управлению организацией в отношении риска.
Примечание. Обычно менеджмент риска включает в себя оценку риска,
обработку риска, принятие риска и коммуникацию риска.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.1.7]
А.3.19. Обработка риска: процесс выбора и осуществления мер по
модификации риска.
Примечания. 1. Термин "обработка риска" иногда используют для
обозначения самих мер.
2. Меры по обработке риска могут включать в себя избежание,
оптимизацию, перенос или сохранение риска.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.4.1]
А.3.20. Принятие риска: решение принять риск.
Примечание. Принятие риска зависит от критериев риска.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.4.10]
А.3.21. Коммуникация риска: обмен информацией о риске или
совместное использование этой информации между лицом, принимающим
решение, и другими причастными сторонами.
Примечание. Информация может касаться существования, природы,
формы, вероятности, тяжести, приемлемости, мероприятий или других
аспектов риска.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.2.4]
А.3.22. Оптимизация риска: процесс, связанный с риском,
направленный на минимизацию негативных и максимальное использование
позитивных последствий и, соответственно, их вероятности.
Примечания. 1. С точки зрения безопасности оптимизация риска
направлена на снижение риска.
2. Оптимизация риска зависит от критериев риска с учетом
стоимости и законодательных требований.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.4.3]
А.3.23. Перенос риска: разделение с другой стороной бремени
потерь или выгод от риска.
Примечания. 1. Законодательные или обязательные требования могут
ограничивать, запрещать или поручать перенос определенного риска.
2. Перенос риска может быть осуществлен страхованием или другими
соглашениями.
3. Перенос риска может создавать новый риск или модифицировать
существующий риск.
4. Перемещение источника не является переносом риска.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.4.7]
А.3.24. Сохранение риска: принятие бремени потерь или выгоды от
конкретного риска.
Примечание. Сохранение риска не включает в себя обработку риска в
результате страхования или перенос риска другими средствами.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.4.9]
А.3.25. Критерии риска: правила, по которым оценивают значимость
риска.
Примечание. Критерии риска могут включать в себя сопутствующие
стоимость и выгоды, законодательные и обязательные требования,
социально-экономические и экологические аспекты, озабоченность
причастных сторон, приоритеты и другие затраты на оценку.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.1.6]
А.3.26. Снижение риска: действия, предпринятые для уменьшения
вероятности, негативных последствий или того и другого вместе,
связанных с риском.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.4.4]
А.3.27. Причастная сторона: любой индивидуум, группа или
организация, которые могут воздействовать на риск, подвергаться
воздействию или ощущать себя подверженными действию риска.
Примечания. 1. Лицо, принимающее решение, также является
причастной стороной.
2. Причастная сторона включает в себя заинтересованную сторону,
но имеет более широкое значение, чем заинтересованная сторона.
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.2.1]
А.3.28. Заинтересованная сторона: лицо или группа лиц,
заинтересованные в деятельности или успехе организации.
Примеры: потребители, владельцы, работники организации,
поставщики, банкиры, ассоциации, партнеры или общество.
Примечание. Группа лиц может состоять из организации, ее части
или нескольких организаций (ГОСТ Р ИСО 9000).
[ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения,
статья 3.2.2]
Связи между понятиями данной группы графически представлены на
рисунке А.3.
-----------------------------------------------------------------------
| -------------------------- ----------------- |
| |Нарушение информационной| |Остаточный риск|<---- |
| |безопасности организации| ----------------- \/ |
| | банковской системы | /\ -----|---- |
| | Российской Федерации | | |Защитные| |
| -------------------------- \/ | меры | |
| --------|------- ------------ ---|---- ---------- |
| | Инцидент | |Допустимый|<----->| Риск |----------------- |
| |информационной| | риск | -------- ---|--- -------|----- |
| | безопасности | ------------ /\/\ /\ |Ущерб| |Вероятность| |
| ---------------- | | | ------- ------------- |
| /\ | | | /\ |
| | -------------------- | | | |
| \/ \/ | | \/ |
| --------|---------|--- | | -|------------- |
| | Риск инцидента | | | | Вызывающее | |
| | информационной | | | |ущерб событие| |
| | безопасности | | | --------------- |
| | организации | | | /\ |
| | банковской системы | | | | |
| |Российской Федерации| | | \/ |
| ---------------------- | | ------|----------- |
| /\ | | |Опасная ситуация| |
| | | | ------------------ |
| \/ | | /\ |
| ------------------|------- -------- | | |
| | Информационная | \/ \/ \/ |
| |безопасность организации| ----|--- ----|------- ----|------ |
| | банковской системы | |Оценка|--|Менеджмент|--- |Опасность| |
| | Российской Федерации | | риска| | риска | | ----------- |
| -------------------------- -------- ------------ | |
| -------- | | | ----|--------- |
| |Анализ|-------------------- | | |Коммуникация| |
| |риска | | | | | риска | |
| -------- | | | -------------- |
| /\ ------|----- | ---|------ ---------- |
| ---->|Оценивание| | |Принятие|<-->|Критерии| |
| | риска | | | риска | | риска | |
| ------------ | ---------- ---------- |
| | /\ |
| ----------|------ | |
| |Обработка риска| \/ |
| ----------------- -------|---- |
| ------------------------|--- |Причастная| |
| ----|---- ------|----- -------|----- | сторона | |
| |Перенос| |Сохранение| |Оптимизация| ------------ |
| | риска | | риска | | риска | -----------|------ |
| --------- ------------ ------------- |Заинтересованная| |
| /\ | сторона | |
| | ------------------ |
| \/ |
| --------|------- |
| |Снижение риска| |
| ---------------- |
-----------------------------------------------------------------------
Рисунок А.3. Понятия, относящиеся к рискам и инцидентам
информационной безопасности организации БС РФ
А.4. Информационные активы организации БС РФ
А.4.1. Информационные активы организации банковской системы
Российской Федерации: активы организации БС РФ, представляющие
ценность для нее с точки зрения достижения целей и имеющие отношение к
ее информационной сфере.
А.4.2. Активы организации банковской системы Российской
Федерации: все, представляющее ценность для организации БС РФ с точки
зрения достижения ее целей.
Примечание. К активам организации БС РФ могут относиться:
- банковские ресурсы (финансовые, людские, вычислительные,
телекоммуникационные и пр.);
- информационные активы, в т.ч. различные виды банковской
информации (платежной, финансово-аналитической служебной, управляющей
и пр.) на следующих фазах их жизненного цикла: генерация (создание),
обработка, хранение, передача, уничтожение;
- банковские процессы (банковские платежные технологические
процессы, банковские информационные технологические процессы, процессы
жизненного цикла автоматизированных банковских систем и др.);
- банковские продукты и услуги, предоставляемые клиентам.
А.4.3. Активы: все, что имеет ценность для организации.
[ISO/IEC TR 13335-1: 1996 Information techno-ogy - Guide-ines for
the management of IT Security (GMITS) - Part 1: Concepts and mode-s
for IT Security, пункт 3.2]
А.4.4. Ресурс: объект, который используется или использован в
течение выполнения процесса.
Примечания. 1. Ресурс может включать разнообразные объекты типа
персонала, средств обслуживания, капитального оборудования,
инструментов и предприятий коммунального обслуживания типа
электроэнергии, воды, топлива и инфраструктуры связи.
2. Ресурсы могут быть многократного использования, возобновляемые
или расходуемые.
[ISO/IEC 15288 Information techno-ogy - -ife Cyc-e Management -
System -ife Cyc-e Processes]
А.4.5. Процесс: совокупность взаимосвязанных и взаимодействующих
видов деятельности, преобразующая входы в выходы.
Примечания. 1. Входами к процессу обычно являются выходы других
процессов.
2. Процессы в организации, как правило, планируются и
осуществляются в управляемых условиях с целью добавления ценности.
3. Процесс, в котором подтверждение соответствия конечной
продукции затруднено или экономически нецелесообразно, часто относят к
"специальному процессу".
[ГОСТ Р ИСО 9000-2001, статья 3.4.1]
А.4.6. Ценность: имущество, деньги, нематериальные блага, а также
их свойства или отношения.
[ГОСТ Р 22.10.01-2001. Безопасность в чрезвычайных ситуациях.
Оценка ущерба. Термины и определения, статья 2.1.14]
А.4.7. Продукт: совокупность программных, программно-аппаратных
и/или аппаратных средств ИТ, предоставляющая определенные
функциональные возможности и предназначенная для непосредственного
использования или включения в различные системы.
[ГОСТ Р ИСО/МЭК 15408-2002. Критерии оценки безопасности
информационных технологий, пункт 2.3]
А.4.8. Услуга: действия субъектов (собственников и владельцев) по
обеспечению пользователей продуктами.
Связи между понятиями данной группы графически представлены на
рисунке А.4.
----------------------------------------------------------------------
| -------- ---------- |
| |Активы|<------------------->|Ценность| |
| -------- ---------- |
| | /\ |
| | ------------------------------ |
| | \/ |
| ----------|----------- ------|----- |
| |Активы организации | |Уязвимость| |
| |банковской системы | ------------ |
| |Российской Федерации| |
| ---------------------- |
| -----------|---------------------------------- |
| ----|--- ----|---- ----|---- ----|--- -----------|----------------|
| |Ресурс| |Процесс| |Продукт| |Услуга| | Информационные активы ||
| -------- --------- --------- -------- | организации банковской ||
| | системы Российской ||
| | Федерации ||
| ----------------------------|
----------------------------------------------------------------------
Рисунок А.4. Понятия, относящиеся к информационным активам
организации БС РФ
А.4.9. Уязвимость: недостатки или слабые места активов, которые
могут быть использованы угрозой.Страницы: 1 2 |