СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ. Распоряжение. Центральный банк РФ (ЦБР). 25.12.08 Р-1674

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа

7.1. Общие положения

     7.1.1.  Выполнение  требований  к  СИБ организации БС РФ является
основой  для обеспечения должного уровня ИБ. Формирование требований к
СИБ организации БС РФ должно проводиться на основе:
     - положений настоящего раздела стандарта;
     - выполнения  деятельности  в  рамках  СМИБ  организации  БС  РФ,
определенной   в   разделе   8   настоящего  стандарта  (в  частности,
деятельности по разработке планов обработки рисков нарушения ИБ).
     Требования   к  СИБ  организации  БС  РФ  должны  быть  оформлены
документально в соответствии с Рекомендациями в области стандартизации
Банка  России  РС БР ИББС-2.0 "Обеспечение информационной безопасности
организаций  банковской  системы  Российской  Федерации.  Методические
рекомендации  по  документации  в  области  обеспечения информационной
безопасности в соответствии с требованиями СТО БР ИББС-1.0".
     7.1.2.  Положения  подразделов  7.2  -  7.9  настоящего стандарта
образуют  базовый  набор  требований  к  СИБ, применимый к большинству
организаций   БС   РФ.   В  соответствии  с  особенностями  конкретной
организации  БС РФ данный базовый набор требований может быть расширен
путем  выполнения  деятельности в рамках процессов СМИБ организации БС
РФ,  например,  определения  области  действия СОИБ организации БС РФ,
анализа и оценки рисков нарушения ИБ.
     7.1.3.  Требования к СИБ должны быть сформированы в том числе для
следующих областей:
     - назначения  и  распределения  ролей  и  обеспечения  доверия  к
персоналу;
     - обеспечения ИБ на стадиях ЖЦ АБС;
     - защиты  от  НСД  и НРД, управления доступом и регистрацией всех
действий  в  АБС,  в телекоммуникационном оборудовании, автоматических
телефонных станциях и т.д.;
     - антивирусной защиты;
     - использования ресурсов Интернета;
     - использования СКЗИ;
     - защиты  банковских  платежных  и информационных технологических
процессов.
     В   конкретной   организации   БС   РФ  требования  к  СИБ  могут
формироваться и для других областей и направлений деятельности.
     7.1.4.  При  распределении  прав  доступа работников и клиентов к
информационным  активам  организации  БС  РФ следует руководствоваться
принципами:
     - "знать своего клиента" <*>;
--------------------------------
     <*>   "Знать  своего  клиента"  (Know  your  Customer):  принцип,
используемый   регулирующими   органами   для  выражения  отношения  к
финансовым   организациям   с  точки  зрения  знания  деятельности  их
клиентов.

     - "знать своего служащего" <*>;
--------------------------------
     <*>  "Знать  своего  служащего"  (Know  your  Employee): принцип,
демонстрирующий озабоченность организации по поводу отношения служащих
к  своим  обязанностям и возможных проблем, таких, как злоупотребление
имуществом,  аферы или финансовые трудности, которые могут приводить к
проблемам с безопасностью.

     - "необходимо знать" <*>,
--------------------------------
     <*>  "Необходимо  знать"  (Need to Know): принцип, ограничивающий
полномочия  по доступу к информации и ресурсам по обработке информации
на   уровне   минимально   необходимых   для  выполнения  определенных
обязанностей.

     а  также  рекомендуется использовать принцип "двойное управление"
<*>.
--------------------------------
     <*>  "Двойное  управление"  (Dual  Control):  принцип  сохранения
целостности  процесса и борьбы с искажением функций системы, требующий
дублирования  (алгоритмического,  временного,  ресурсного  или  иного)
действий до завершения определенных транзакций.

     7.1.5.  Формирование  ролей  должно  осуществляться  на основании
существующих  бизнес-процессов организации БС РФ и проводиться с целью
исключения  концентрации  полномочий  и  снижения риска инцидентов ИБ,
связанных  с  потерей  информационными  активами  свойств доступности,
целостности или конфиденциальности.
     Формирование  ролей  не  должно  выполняться по принципу фиксации
фактически сложившихся прав и полномочий персонала организации БС РФ.
     7.1.6.  Для обеспечения ИБ и контроля за качеством обеспечения ИБ
в   организации  БС  РФ  должны  быть  определены  роли,  связанные  с
деятельностью  по обеспечению ИБ. Руководство организации БС РФ должно
осуществлять  координацию своевременности и качества выполнения ролей,
связанных с обеспечением ИБ.
     7.1.7.  ИБ  АБС  должна  обеспечиваться  на  всех стадиях ЖЦ АБС,
автоматизирующих   банковские   технологические   процессы,  с  учетом
интересов  всех  сторон,  вовлеченных  в  процессы  ЖЦ (разработчиков,
заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных
подразделений организации БС РФ).
     7.1.8.  При  принятии  руководством  организации БС РФ решений об
использовании    сети    Интернет,    при   формировании   документов,
регламентирующих  порядок  использования  сети  Интернет, а также иных
документов,   связанных  с  обеспечением  ИБ  при  использовании  сети
Интернет, необходимо учитывать следующие положения:
     - сеть   Интернет   не   имеет   единого  органа  управления  (за
исключением  службы  управления  пространством  имен  и  адресов) и не
является  юридическим лицом, с которым можно было бы заключить договор
(соглашение).  Провайдеры  (посредники) сети Интернет могут обеспечить
только те услуги, которые реализуются непосредственно ими;
     - существует  вероятность  несанкционированного доступа, потери и
искажения информации, передаваемой посредством сети Интернет;
     - существует  вероятность  атаки злоумышленников на оборудование,
программное обеспечение   и  информационные  ресурсы,  подключенные  /
доступные из сети Интернет;
     - гарантии  по  обеспечению  ИБ  при  использовании сети Интернет
никаким органом/учреждением/организацией не предоставляются.
     7.1.9.  В рамках банковских платежных технологических процессов в
качестве активов, защищаемых в первую очередь, следует рассматривать:
     - банковский платежный технологический процесс;
     - платежную информацию.

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа