IBBS-1-0-2006 (1027734)
Текст из файла
ÑÒÀÍÄÀÐÒ ÁÀÍÊÀ ÐÎÑÑÈÈÑÒÎ ÁÐ ÈÁÁÑ-1.0-2006ÎÁÅÑÏÅ×ÅÍÈÅÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÎÁÙÈÅ ÏÎËÎÆÅÍÈßДата введения: 20060101Èçäàíèå îôèöèàëüíîåã. Ìîñêâà20062СТО БР ИББС1.02006Ïðåäèñëîâèå1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 26 января 2006 года№ Р27.2. ВЗАМЕН СТО БР ИББС1.02004.Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.СТО БР ИББС1.0200631. Область применения .......................................................................................
52. Нормативные ссылки ...................................................................................... 53. Термины и определения ................................................................................... 64. Обозначения и сокращения ............................................................................... 85.
Исходная концептуальная схема (парадигма) обеспеченияинформационной безопасности организаций БС РФ ................................................. 86. Основные принципы обеспечения информационной безопасности организаций БС РФ .... 126.1. Общие принципы безопасного функционирования организации ..................................... 126.2. Специальные принципы обеспечения информационной безопасности организации ........... 127.
Модели угроз и нарушителей информационной безопасности организаций БС РФ ...........138. Политика информационной безопасности организаций БС РФ .................................. 148.1. Состав и назначение политики информационной безопасности организации БС РФ .......... 148.2. Общие (основные) требования по обеспечению информационной безопасности,отображаемые в политиках информационной безопасности организации БС РФ ..............
148.2.1. Общие требования по обеспечению информационной безопасностидля организации БС РФ ................................................................................. 148.2.2. Общие требования по обеспечению информационной безопасностипри назначении и распределении ролей и обеспечении доверия к персоналу ........... 158.2.3. Общие требования по обеспечению информационной безопасностиавтоматизированных банковских систем на стадиях жизненного цикла ................ 158.2.4.
Общие требования по обеспечению информационной безопасностипри управлении доступом и регистрации .......................................................... 178.2.5. Общие требования по обеспечению информационной безопасностисредствами антивирусной защиты ................................................................... 178.2.6. Общие требования по обеспечению информационной безопасностипри использовании ресурсов сети Интернет ...................................................... 188.2.7.
Общие требования по обеспечению информационной безопасностипри использовании средств криптографической защиты информации ................... 198.2.8. Общие требования по обеспечению информационной безопасностибанковских платежных технологических процессов ........................................... 208.2.9.
Общие требования по обеспечению информационной безопасностибанковских информационных технологических процессов .................................. 219. Cистема менеджмента информационной безопасности организации БС РФ .................. 229.1. Планирование СМИБ .............................................................................................. 229.2. Реализация и эксплуатация СМИБ ............................................................................ 239.3. Проверка (мониторинг и анализ) СМИБ .................................................................... 239.4.
Совершенствование СМИБ ....................................................................................... 239.5. Система документации ............................................................................................. 239.6.
Обеспечение непрерыности бизнеса (деятельности) и восстановление после прерываний ..... 249.7. Служба информационной безопасности (уполномоченное лицо)организации БС РФ ................................................................................................ 2410. Проверка и оценка информационной безопасности организации БС РФ ...................... 2511.
Модель зрелости процессов менеджмента информационной безопасностиорганизации БС РФ ...................................................................................... 2612. Направления развития стандарта ..................................................................... 27Библиография ............................................................................................ 274СТО БР ИББС1.02006ÂâåäåíèåБанковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1].
Развитиеи укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционированияплатежной системы РФ являются целями деятельности Банка России [2]. Важнейшим условиемреализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), которыйво многом определяется уровнем информационной безопасности банковских технологическихпроцессов (платежных, информационных и пр.), автоматизированных банковских систем (АБС),эксплуатирующихся организациями БС РФ, и т.д.Особенности банковских систем таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов.
В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущербаорганизациям БС РФ. Поэтому для организаций БС РФ угрозы информационным активам, тоесть угрозы ИБ, представляют реальную опасность.Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционные, кредитные и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этимБанк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки рисков и принятия мер, необходимых для управления этими рисками.Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ,который является базовым для развивающей и обеспечивающей его группы стандартов, в целом составляющих комплекс стандартов по обеспечению ИБ организаций БС РФ.Основные цели стандартизации по обеспечению ИБ организаций БС РФ:— повышение доверия к БС РФ;— повышение стабильности функционирования организаций БС РФ и на этой основе — стабильности функционирования БС РФ в целом;— достижение адекватности мер по защите от реальных угроз ИБ;— предотвращение и(или) снижение ущерба от инцидентов ИБ.Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:— установление единых требований по обеспечению ИБ организаций БС РФ;— повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.СТО БР ИББС1.020065ÑÒÀÍÄÀÐÒ ÁÀÍÊÀ ÐÎÑÑÈÈÎÁÅÑÏÅ×ÅÍÈÅÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÎÁÙÈÅ ÏÎËÎÆÅÍÈßДата введения: 200601011.
Îáëàñòü ïðèìåíåíèÿНастоящий стандарт распространяется на организации банковской системы РоссийскойФедерации (далее по тексту — организации БС РФ) и устанавливает положения (политики, требования и т.п.) по обеспечению информационной безопасности в организациях БС РФ.Настоящий стандарт рекомендован для применения путем включения ссылок на негои(или) прямого использования устанавливаемых в нем положений во внутренних нормативныхи методических документах организаций БС РФ, а также в договорах.Положения настоящего стандарта применяются на добровольной основе, если только вотношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным правовым актом Банка России или условиями договора.Настоящий стандарт может быть введен в действие организаций БС РФ в качестве обязательного к исполнению в случае, если такая необходимость существует.2.
Íîðìàòèâíûå ññûëêèВ настоящем стандарте использованы нормативные ссылки на следующие стандарты:ГОСТ Р 1.02004 Стандартизация в Российской Федерации. Основные положенияГОСТ Р 1.42004 Стандартизация в Российской Федерации. Стандарты организаций. Общие положенияГОСТ 34.60190 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии созданияГОСТ Р 518982002 Аспекты безопасности. Правила включения в стандартыГОСТ Р ИСО 90012001 Система менеджмента качества. ТребованияГОСТ Р ИСО 1400198 Система управления окружающей средой.
Требования и руководство по применениюГОСТ Р ИСО/МЭК 154081÷32002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологийГОСТ Р ИСО/МЭК 1220799 Информационная технология. Процессы жизненного циклапрограммных средствГОСТ Р ИСО/МЭК ТО 152712002 Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств)ISO/IEC IS 133351÷2 Information Technology.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.














