Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
7.3. Общие требования по обеспечению
информационной безопасности автоматизированных
банковских систем на стадиях жизненного цикла
7.3.1. При формировании требований по обеспечению ИБ
рекомендуется рассматривать следующие общие стадии модели ЖЦ АБС:
1. разработка технических заданий;
2. проектирование;
3. создание и тестирование;
4. приемка и ввод в действие;
5. эксплуатация;
6. сопровождение и модернизация;
7. снятие с эксплуатации.
В случае разработки АБС в организации БС РФ рекомендуется
рассматривать все стадии ЖЦ АБС, а в случае приобретения готовых АБС
рекомендуется рассматривать стадии 4 - 7 ЖЦ АБС.
7.3.2. Разработка технических заданий и приемка АБС должны
осуществляться по согласованию и при участии подразделения (лиц) в
организации БС РФ, ответственных за обеспечение ИБ.
7.3.3. Ввод в действие, эксплуатация и сопровождение
(модернизация), снятие с эксплуатации АБС должны осуществляться под
контролем подразделения (лиц) в организации, ответственных за
обеспечение ИБ.
7.3.4. Привлекаемые для разработки и (или) производства средств и
систем защиты АБС на договорной основе специализированные организации
должны иметь лицензии на данный вид деятельности в соответствии с
законодательством РФ.
7.3.5. Разрабатываемые АБС и (или) их компоненты должны быть
снабжены документацией, содержащей описание реализованных защитных
мер, в том числе в отношении угроз ИБ (источников угроз), описанных в
модели угроз организации БС РФ. Приобретаемые организацией БС РФ
готовые АБС и (или) их компоненты рекомендуется снабжать указанной
документацией.
Также документация на разрабатываемые АБС или приобретаемые
готовые АБС и их компоненты должна содержать описание реализованных
защитных мер, предпринятых разработчиком относительно безопасности
разработки и безопасности поставки.
В договор (контракт) о разработке АБС или поставке готовых АБС и
их компонентов организациям БС РФ должны включаться положения по
сопровождению поставляемых изделий на весь срок их службы. В случае
невозможности включения в договор (контракт) указанных положений
должен быть приобретен полный комплект рабочей конструкторской
документации, обеспечивающий возможность сопровождения АБС и их
компонентов без участия разработчика. Если оба указанных варианта
неприемлемы, например, вследствие высокой стоимости или позиции
фирмы-поставщика (разработчика), руководство организации БС РФ должно
оценить и документально оформить допустимость риска нарушения ИБ,
возникающего при невозможности сопровождения АБС и их компонентов.
7.3.6. При разработке технических заданий на системы
дистанционного банковского обслуживания должно быть учтено, что защита
данных должна обеспечиваться в условиях:
- попыток доступа к банковской информации анонимных,
неавторизованных злоумышленников при использовании сетей общего
пользования;
- возможности ошибок авторизованных пользователей систем;
- возможности ненамеренного или неадекватного использования
конфиденциальных данных авторизованными пользователями.
7.3.7. На стадии тестирования должны обеспечиваться анонимность
данных и проверка адекватности разграничения доступа.
7.3.8. На стадии эксплуатации АБС должны быть документально
определены и выполняться процедуры контроля работоспособности
(функционирования, эффективности) реализованных в АБС защитных мер.
Результаты выполнения контроля должны документироваться.
7.3.9. На стадии сопровождения (модернизации) должны быть
документально определены и выполняться процедуры контроля,
обеспечивающие защиту от:
- умышленного несанкционированного раскрытия, модификации или
уничтожения информации;
- неумышленной модификации, раскрытия или уничтожения информации;
- отказа в обслуживании или ухудшения обслуживания.
Результаты выполнения контроля должны документироваться.
7.3.10. На стадии сопровождения (модернизации) при любом внесении
изменения в АБС должны проводиться процедуры проверки
функциональности, результаты которой должны документально
фиксироваться.
7.3.11. На стадии снятия с эксплуатации должны быть документально
определены и выполняться процедуры, обеспечивающие удаление
информации, несанкционированное использование которой может нанести
ущерб бизнес-деятельности организации, и информации, используемой
средствами обеспечения ИБ, из постоянной памяти АБС и с внешних
носителей, за исключением архивов электронных документов и протоколов
электронного взаимодействия, ведение и сохранность которых в течение
определенного срока предусмотрены соответствующими нормативными и
(или) договорными документами. Результаты выполнения процедур должны
документироваться.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".