Реферат: Распоряжение от 18 ноября 2004 года n р-609 Стандарт Банка России Обеспечение информационной безопасности
#G0
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
РАСПОРЯЖЕНИЕ
от 18 ноября 2004 года N Р-609
Стандарт Банка России
Обеспечение информационной безопасности
организаций банковской системы Российской Федерации
Общие положения
Дата введения: 2004-12-01
Предисловие
1. РАЗРАБОТАН ООО НПФ “Кристалл” по заказу Центрального банка Российской Федерации (Банка России).
ДОРАБОТАН редакционной группой в следующем составе:
Банк России: Лахтиков А.И., Курило А.П., Гиленко В.Д., Поспелов А.Л., Гвоздев И.М., Харламов В.П.
ООО НПФ “Кристалл”: Андрианов В.В., Голованов В.Б., Каминский В.Г., Алексеев В.М., Зефиров С.Л.
РАССМОТРЕН И РЕКОМЕНДОВАН к применению Подкомитетом 3 “Защита информации в кредитно-финансовой сфере” Технического комитета 362 “Защита информации” национального органа по стандартизации следующим составом членов подкомитета: Банк России, Ассоциация российских банков, Акционерный коммерческий Сберегательный банк Российской Федерации, Ассоциация региональных банков, Московская межбанковская валютная биржа, Национальная валютная ассоциация, ОАО “Альфа-банк”, ОАО Россельхозбанк, ГНИИИ ПТЗИ Федеральной службы по техническому и экспортному контролю, аудиторская компания KPMG, ОАО Банк “Петрокоммерц”, Институт Банковского Дела Ассоциации российских банков, Банк “Российский кредит”.
2. ВНЕСЕН Техническим комитетом 362 национального органа по стандартизации.
3. ПРИНЯТ и введен в действие Распоряжением Банка России от 18 ноября 2004 года N Р-609.
^ 4. ВВЕДЕН ВПЕРВЫЕ.
Настоящий проект стандарта не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
Введение
Банковская система Российской Федерации (БС РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем информационной безопасности банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем (АБС), эксплуатирующихся организациями БС РФ, и т.д.
Особенности банковских систем таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы информационным активам, то есть угрозы ИБ, представляют реальную опасность.
Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционные, кредитные и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.
Деятельность, относящаяся к обеспечению ИБ, должна контролироваться, поэтому Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки рисков и принятия мер, необходимых для управления этими рисками.
Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ.
^ Основные цели стандартизации по обеспечению ИБ организаций БС РФ:
- повышение доверия к БС РФ;
- повышение стабильности функционирования организаций БС РФ и на этой основе - стабильности функционирования БС РФ в целом;
- достижение адекватности мер по защите от реальных угроз ИБ;
- предотвращение и/или снижение ущерба от инцидентов ИБ.
^ Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:
- установление единых требований по обеспечению ИБ организаций БС РФ;
- повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.
^ 1. Область применения
Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее по тексту - организации БС РФ) и устанавливает положения (политики, требования и т.п.) по обеспечению информационной безопасности в организациях БС РФ.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным правовым актом Банка России или условиями договора.
^ 2. Нормативные ссылки
Настоящий стандарт разработан с учетом следующих стандартов и документов:
#M12293 0 1200030741 3271140448 77 4085579542 247265662 4293216508 3918392535 2960271974 3918384079ГОСТ 1.1-2002 Межгосударственная система стандартизации. Термины и определения#S.
#M12293 1 1200012103 3271140448 79 186611970 29942 4293091740 3198724103 4294961312 4293091740ГОСТ 3.1109-82 Единая система технологической документации. Термины и определения основных понятий#S.
#M12293 2 1200006979 3271140448 24886 194006634 247265662 4292920720 557313239 2960271974 3594606034ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения#S.
#M12293 3 1200006921 3271140448 24886 1078109146 247265662 4292923239 3918392535 2960271974 2928416159ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания#S.
#M12293 4 1200030150 3271140448 4294967276 3655372054 247265662 4293216508 557313239 2960271974 2851215321ГОСТ Р 51897-2002 Менеджмент риска. Термины и определения#S.
#M12293 5 1200030314 3271140448 4294967276 2381386422 247265662 4293218078 557313239 2960271974 2851215321ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты#S.
#M12293 6 1200015260 3271140448 4294967276 4292200620 285992821 247265662 4293218087 557313239 2960271974ГОСТ Р ИСО 9000-2001 Системы менеджмента качества. Основные положения и словарь#S.
#M12293 7 1200029952 3271140448 4294967276 1245057128 3562303830 247265662 4292923237 557313239 2960271974ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель#S.
#M12293 8 1200029953 3271140448 4294967276 1245057128 2288318198 247265662 4292923237 557313239 2960271974ГОСТ Р ИСО/МЭК 15408-2-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности#S.
#M12293 9 1200029954 3271140448 4294967276 1245057128 1014332566 247265662 4292923237 557313239 2960271974ГОСТ Р ИСО/МЭК 15408-3-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия безопасности#S.
#M12293 10 1200009075 3271140448 4294967276 1245057128 2626363987 247265662 4292923237 557313239 2960271974ГОСТ Р ИСО/МЭК 12207-99 Информационная технология. Процессы жизненного цикла программных средств#S.
ГОСТ Р ИСО/МЭК ТО 15271-2002 Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств).
ISO/IEC IS 17799-2000. Information Technology. Code of practice for information security management.
BS 7799-2-2002. Information security management systems. Specification with guidance for use.
ISO/IEC TR 13335. Information Technology. Security techniques. Guidelines for the management of IT security.
ISO TR 13569. Banking and related financial services. Information security guidelines.
ISO/IEC TR 18044. Information Technology. Security techniques. Information security incident management.
ISO/IEC IS 15288-2002. Information Technology. Life Cycle Management. System Life Cycle Processes.
ISO/IEC TR 15504-98. Information Technology. Software Process Assessment.
COBIT Control Objectives for Information and related Technology, 3rd Edition, July 2000.
OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation.
CRAMM UK Government’s Risk Analysis and Management Method.
^ 3. Термины и определения
Для целей настоящего стандарта используются следующие термины.
3.1. Автоматизированная банковская система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая банковскую информационную технологию.
3.2. Активы организации банковской системы Российской Федерации: Все, представляющее ценность для организации БС РФ с точки зрения достижения ее целей.
Примечание.
К активам организации БС РФ могут относиться:
- банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);
- информационные активы, в т.ч. различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;
- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);
- банковские продукты и услуги, предоставляемые клиентам.
3.3. Аудит информационной безопасности организации банковской системы Российской Федерации: Периодический, независимый от объекта аудита и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях БС РФ установленных требований по обеспечению информационной безопасности.
Примечания.
1. Внутренние аудиты (“аудиты первой стороной”) проводятся самой организацией или от ее имени для анализа менеджмента или других внутренних целей и могут служить основанием для самодеклараций организации о соответствии требованиям по ИБ.
2. Внешние аудиты включают “аудиты второй стороной” и “аудиты третьей стороной”. Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например, потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми организациями.
3.4. Аутентификация электронного сообщения: Процесс проверки сообщения, позволяющий установить, что сообщение исходит из указанного источника и не было изменено при передаче.
3.5. Банковская информационная технология: Приемы, способы и методы применения средств вычислительной техники при выполнении функций хранения, обработки, передачи и использования финансовой или другой связанной с функционированием организаций БС РФ, информации.
3.6. ^ Банковская технология: Совокупность методов деятельности и процессов в банковской отрасли, а также описание способов деятельности.
Примечание.
В зависимости от вида деятельности выделяют: банковский информационный технологический процесс, банковский платежный технологический процесс и др.
3.7. ^ Банковский информационный технологический процесс: Часть банковского технологического процесса, содержащая операции над неплатежной информацией, необходимой для функционирования организации БС РФ.
Примечание.
Неплатежная информация, необходимая для функционирования организации банковской системы, может включать в себя данные статистической отчетности и внутрихозяйственной деятельности, аналитическую, финансовую, справочную информацию.
3.8. ^ Банковский платежный технологический процесс: Часть банковского технологического процесса, содержащая расчетные, учетные, кассовые и иные банковские операции над платежной информацией, связанные с перемещением денежных средств с одного счета на другой, открытием (закрытием) счетов или контролем за данными операциями.
Примечание.
Платежная информация может включать в себя платежные (расчетные) сообщения и информацию, связанную с проведением расчетных, учетных, кассовых и иных операций.
3.9. ^ Банковский технологический процесс: Технологический процесс, содержащий операции по изменению и(или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг.
Примечания.
1. Операции над банковской информацией могут выполняться вручную или быть автоматизированными, например, с помощью комплексов средств автоматизации автоматизированных банковских систем.
2. Операции над банковской информацией требуют указания ролей их участников (исполнителей и лиц, принимающих решения или имеющих полномочия по изменению технологических процессов, в том числе персонала автоматизированных банковских систем).
3.10. ^ Информационная безопасность организации банковской системы Российской Федерации: Состояние защищенности интересов (целей) организации БС РФ в условиях угроз в информационной сфере.
Примечания.
1. Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.
2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
3.11. ^ Информационные активы организации банковской системы Российской Федерации: Активы организации БС РФ, представляющие ценность для нее с точки зрения достижения целей и имеющие отношение к ее информационной сфере.
3.12. ^ Инцидент информационной безопасности: Действительное, предпринимаемое или вероятное нарушение информационной безопасности.
Примечание.
Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.
3.13. Ключ кода аутентификации электронного сообщения: Данные, используемые при создании и проверке кода аутентификации электронного сообщения.
3.14. Код аутентификации электронного сообщения: Данные, используемые для установления подлинности и контроля целостности электронного сообщения.
3.15. Модель зрелости процессов управления информационной безопасностью организации банковской системы Российской Федерации: Схема для измерения проработанности процессов управления информационной безопасностью организации БС РФ.
3.16. ^ Мониторинг информационной безопасности организации банковской системы Российской Федерации: Постоянное наблюдение за объектами, влияющими на обеспечение информационной безопасности в организации БС РФ, сбор, анализ и обобщение результатов наблюдения под заданные цели.
Примечания.
1. Объектом мониторинга в зависимости от целей может быть автоматизированная банковская система или ее часть, банковские информационные технологические процессы, информационные банковские услуги и пр.
2. Цели мониторинга информационной безопасности определяются службой безопасности организации БС РФ.
3.17. Оценка соответствия информационной безопасности организации банковской системы Российской Федерации установленным требованиям: Любая деятельность, связанная с прямым или косвенным определением того, что выполняются или не выполняются соответствующие требования информационной безопасности в организации БС РФ.
3.18. ^ Политика информационной безопасности организации: Одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности.
3.19. Процесс: Совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующая входы в выходы.
3.20. Роль в организации банковской системы Российской Федерации: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом в организации БС РФ.
Примечания.
1. К субъектам относятся лица из числа руководства организации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационные ресурс, услуга, процесс, система, над которыми выполняются действия.
3.21. Свидетельство аудита: Записи, изложение фактов или другой информации, связанной с критериями аудита, которые могут быть перепроверены.
Примечание.
Свидетельство аудита может быть качественным или количественным.
3.22. Требование: Положение нормативного документа, содержащее критерии, которые должны быть соблюдены.
3.23. Управление информационной безопасностью организации банковской системы Российской Федерации: Совокупность целенаправленных действий, осуществляемых для достижения заявленных целей организации БС РФ в условиях угроз в информационной сфере.
Примечание.
Совокупность действий включает оценку ситуации и состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер (средств управления информационной безопасностью)).
3.24. Уязвимость: Недостатки или слабые места активов, которые могут быть использованы угрозой.
^ 4. Обозначения и сокращения
БС - банковская система;
РФ - Российская Федерация;
АБС - автоматизированная банковская система;
ИБ - информационная безопасность;
ОС - операционная система;
СУБД - система управления базами данных;
НСД - несанкционированный доступ;
ЖЦ - жизненный цикл;
ЭВМ - электронная вычислительная машина;
ЛВС - локальная вычислительная сеть;
СКЗИ - средство криптографической защиты информации;
ЭЦП - электронная цифровая подпись;
КА - код аутентификации.
^ 5. Исходная концептуальная схема (парадигма)
обеспечения информационной безопасности организаций
БС РФ
5.1. В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника и злоумышленника за контроль над информационными активами. Однако другие, незлоумышленные действия, также лежат в сфере рассмотрения данного стандарта.
_______________
Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.
Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий (адаптировано из #M12293 0 9017477 1265885411 24575 2640336664 938 1614229093 1416427265 13 4234530487ст.27 УК РФ#S). Далее по тексту данные лица именуются злоумышленниками (нарушителями).
В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, наносится ущерб.
5.2. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. Внешний злоумышленник, скорее да, чем нет, может иметь сообщника(ов) внутри организации.
5.3. Собственник практически никогда не знает о готовящемся нападении, оно всегда бывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер.
5.4. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем эксперимента, подбора “отмычек” к системе обеспечения ИБ организации. Таким образом, он отрабатывает наиболее эффективный метод нападения. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности. В том числе и для этой цели собственник создает уполномоченный орган - свою службу обеспечения ИБ (подразделения (лица) в организации, ответственные за обеспечение ИБ).
5.5. Сложно и ресурсоемко, а значит, малоэффективно искать следы такой активности и по факту настраивать свою систему обеспечения ИБ. Поэтому главный инструмент собственника - основанный на опыте прогноз (составление модели угроз и модели нарушителя).
_______________
Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используются имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.
Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ в организации БС РФ при минимальных ресурсных затратах.
5.6. Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника - разработать на основе точного прогноза политику ИБ и в соответствии с ней построить систему управления ИБ.
5.7. Политика ИБ организаций БС РФ разрабатывается на основе принципов обеспечения ИБ организаций БС РФ, моделей угроз и нарушителей, идентификации активов, подлежащих защите, оценки рисков и с учетом особенностей и интересов конкретного собственника.
Собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).
5.8. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ в финансовой организации оказывают серьезное влияние отношения как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника. Поэтому этими отношениями необходимо управлять.
5.9. Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень ИБ может снижаться. Это неминуемо ведет к возрастанию рисков ИБ.
Для того чтобы этого не допустить, необходимо проводить регулярный мониторинг и аудит системы обеспечения ИБ организаций БС РФ и своевременно принимать меры по поддержанию эффективности системы управления ИБ на необходимом уровне за счет руководства и управления ИБ организации на основе циклической модели: “планирование - реализация - проверка - совершенствование - планирование - +”.
5.10. Далеко не каждый собственник располагает потенциалом для составления точного прогноза (модели угроз и модели нарушителя). Такой прогноз может и должен составляться с учетом опыта ведущих специалистов банковской системы, а также с учетом международного опыта в этой сфере. Аналогично должны разрабатываться и основные требования ИБ организаций БС РФ.
5.11. Стратегия обеспечения ИБ организаций БС РФ, таким образом, заключается в использовании по имеющемуся плану заранее разработанных мер по обеспечению ИБ, противостоящих атакам злоумышленников. В случае реализации не предусмотренных планом угроз должен быть использован дополнительный (специально разработанный) план действий, позволяющий свести к минимуму возможные потери.
6. Основные принципы обеспечения информационной
безопасности организаций БС РФ
^ 6.1. Общие принципы безопасного функционирования организации
6.1.1. Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на ее бизнес-цели.
_______________
Здесь и далее по тексту стандарта рассматриваются проблемы, прямо или косвенно относящиеся к ИБ.
6.1.2. Прогнозируемость развития проблем. Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.
6.1.3. Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес-цели.
6.1.4. Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
6.1.5. Эффективность защитных мер. Организация должна эффективно реализовывать принятые защитные меры.
6.1.6. Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
6.1.7. Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.
6.1.8. Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.
^ 6.2. Специальные принципы обеспечения
информационной безопасности организации
Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации.
6.2.1. Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутрибанковском документе. Неопределенность приводит к “расплывчатости” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.
6.2.2. Знание своих клиентов и служащих. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.
6.2.3. Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.
6.2.4. Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.
6.2.5. Доступность услуг и сервисов. Организация должна обеспечить доступность для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами.
6.2.6. Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.
^ 7. Модели угроз и нарушителей
информационной безопасности организаций БС РФ
7.1. Модели угроз и нарушителей (прогноз ИБ) должны быть основным инструментом менеджмента организации при развертывании, поддержании и совершенствовании системы обеспечения ИБ организации.
7.2. Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:
- физического (линии связи, аппаратные средства и пр.);
- сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);
- сетевых приложений и сервисов;
- операционных систем (ОС);
- систем управления базами данных (СУБД);
- банковских технологических процессов и приложений;
- бизнес-процессов организации.
7.3. На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными.
7.4. Главной целью злоумышленника является получение контроля над активами на уровне бизнес-процессов. Прямое нападение на уровне бизнес-процессов, например, путем раскрытия конфиденциальной банковской аналитической информации, более эффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляемое через нижние уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. временных) и поэтому менее эффективное по соотношению “затраты/получаемый результат”.
7.5. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.
7.6. Наиболее актуальные источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:
- внешние источники угроз: лица, распространяющие вирусы и другие вредоносные программы, хакеры, фрикеры; и иные лица, осуществляющие несанкционированный доступ (НСД);
_______________
Фрикер - злоумышленник, скрытно подключающийся с помощью различных устройств и приемов к телефонным сетям, обеспечивая себе связь с любой точкой мира, с указанием номера законного абонента, который и оплачивает телефонные услуги.
- внутренние источники угроз, реализующие угрозы в рамках своих полномочий и за их пределами (персонал, имеющий права доступа к аппаратному оборудованию, в том числе, сетевому, администраторы сетевых приложений и т.п.);
- комбинированные источники угроз: внешние и внутренние, действующие совместно и/или согласованно.
7.7. Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов:
- внутренние, реализующие угрозы в рамках своих полномочий и за их пределами (администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.);
- комбинированные источники угроз: внешние и внутренние, действующие в сговоре.
_______________
На данных уровнях и уровне бизнес-процессов реализация угроз внешними источниками, действующими самостоятельно без соучастия внутренних, практически невозможна.
7.8. Наиболее актуальные источники угроз на уровне бизнес-процессов:
- внутренние источники, реализующие угрозы в рамках своих полномочий и за их пределами (авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.);
- комбинированные источники угроз: внешние (например, конкуренты) и внутренние, действующие в сговоре.
7.9. Также необходимо учитывать угрозы, связанные с природными и техногенными катастрофами и террористической деятельностью.
7.10. Источники угроз для реализации угрозы используют уязвимости объектов и системы защиты.
7.11. Хорошей практикой является разработка моделей угроз и нарушителей ИБ для данной организации.
Модель угроз ИБ включает описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери (например, конфиденциальности, целостности, доступности активов), масштабов потенциального ущерба.
Для источников угроз - людей может быть разработана модель нарушителя ИБ, включающая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.
Степень детализации параметров моделей угроз и нарушителей ИБ может быть различна и определяется реальными потребностями для каждой организации в отдельности.
7.12. При анализе угроз ИБ необходимо исходить из того, что эти угрозы непосредственно влияют на операционные риски деятельности организации. Операционные риски сказываются на бизнес-процессах организации.
7.13. Операционные риски порождаются следующими эксплуатационными факторами: технические неполадки, ошибочные (случайные) и/или преднамеренные злоумышленные действия персонала организации, ее клиентов при их непосредственном доступе к АБС организаций и другими факторами.
7.14. Наиболее эффективным способом минимизации рисков нарушения ИБ для собственника является разработка совокупности мероприятий, методов и средств, создаваемых и поддерживаемых для обеспечения требуемого уровня безопасности информационных активов (системы обеспечения ИБ) в соответствии с политикой ИБ организации БС РФ, разрабатываемой в том числе и на основе моделей угроз и нарушителей ИБ.
^ 8. Политика информационной безопасности
организаций БС РФ
8.1. Состав и назначение политики
информационной безопасности организаций БС РФ
8.1.1. Собственник (и/или менеджмент) организации должен обеспечить разработку, принятие и внедрение политики ИБ организации БС РФ, включая выделение требуемых для реализации этой политики ресурсов.
8.1.2. Политика ИБ должна описывать цели и задачи системы обеспечения ИБ и определять совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется организация в своей деятельности.
8.1.3. Должны быть назначены лица, ответственные за реализацию политики ИБ и поддержание ее в актуальном состоянии.
^ 8.2. Общие (основные) требования по обеспечению
информационной безопасности, отображаемые
в политиках информационной безопасности организации
8.2.1. Общие требования по обеспечению информационной безопасности для организации БС РФ
8.2.1.1. Требования ИБ должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла комплекс.
8.2.1.2. Требования ИБ должны определять содержание и цели деятельности организации БС РФ в рамках процессов управления ИБ.
8.2.1.3. Эти требования должны быть сформулированы как минимум для следующих областей:
- назначение и распределение ролей и доверия к персоналу;
- стадий жизненного цикла АБС;
- защиты от НСД, управления доступом и регистрацией в АБС, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;
- антивирусной защиты;
- использования ресурсов Интернет;
- использования средств криптографической защиты информации;
- защиты банковских платежных и информационных технологических процессов.
Политика ИБ организации БС РФ может учитывать и другие области, такие, как обеспечение непрерывности, физическая защита и т.д., отвечающие ее бизнес-целям.
8.2.2. Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу
8.2.2.1. Роль - это заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом, например, сотрудником организации, и неким объект
еще рефераты
Еще работы по разное
Реферат по разное
Система массового обучения населения в сфере икт
17 Сентября 2013
Реферат по разное
Впомощь библиотекам и библиотечным системам (Информационный список литературы по основным направлениям библиотечно-библиографической деятельности) Вып. 38 Омск 2009
17 Сентября 2013
Реферат по разное
47-я научно-техническая конференция аспирантов, магистрантов и студентов бгуир 25-29 апреля 2011 года
17 Сентября 2013
Реферат по разное
Проблема автоматизации учета заявок и выполненных работ техническим отделом шгпи
17 Сентября 2013