IBBS-1-0-2006 (1027734), страница 2
Текст из файла (страница 2)
Security techniques. Management of information and communications technology securityISO TR 13569 Banking and related financial services. Information security guidelinesISO/IEC IS 152882002 Systems engineering. System Life Cycle ProcessesISO/IEC TR 155041÷5 Information technology. Process assessmentISO/IEC TR 180281÷5 Information technology. Security techniques. IT network securityISO/IEC TR 18043 Information technology.
Selection, deployment and operations of intrusiondetection systems (IDS)ISO/IEC TR 180442004 Information Technology. Security techniques. Information security incident managementISO/IEC IS 177992005 (second edition) (с 2007 года — ISO/IEC IS 27002) Information Technology. Code of practice for information security management6СТО БР ИББС1.02006ISO/IEC IS 270012005 Information technology. Security techniques. Information security management systems. RequirementsITUT Recommendation X.1051 Information security management system. Requirements fortelecommunications (ISMST)BSI PAS56 Guide to Business Continuity Management (BCM)COBIT Control Objectives for Information and related Technology, 3rd Edition, July 2000OCTAVE Operationally Critical Threat, Asset, and Vulnerability EvaluationCRAMM UK Government’s Risk Analysis and Management Method3. Òåðìèíû è îïðåäåëåíèÿ3.1.
банковская система Российской Федерации: Банк России и кредитные организации, а также филиалы и представительства иностранных банков [1].3.2. активы организации банковской системы Российской Федерации: все, что имеетценность для организации банковской системы Российской Федерации и находится в ее распоряжении.————Примечание.К активам организации БС РФ могут относиться:банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);информационные активы, в т.ч.
различные виды банковской информации (платежной, финансовоаналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковскихсистем и др.);банковские продукты и услуги, предоставляемые клиентам.3.3. автоматизированная банковская система: автоматизированная система, реализующая банковский технологический процесс или его часть.3.4. роль в организации банковской системы Российской Федерации: заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом в организации БС РФ.Примечания.1.
К субъектам относятся лица из числа руководителей организации БС РФ, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.2. Объектами могут быть аппаратное средство, программное средство, программноаппаратноесредство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.3.5. банковский технологический процесс: технологический процесс, содержащий операции по изменению и(или) определению состояния банковской информации, используемойпри функционировании или необходимой для реализации банковских услуг.Примечания.1.
Операции над банковской информацией могут выполняться вручную или быть автоматизированными, например, с помощью комплексов средств автоматизации автоматизированных банковских систем.2. Операции над банковской информацией требуют указания ролей их участников (исполнителей илиц, принимающих решения или имеющих полномочия по изменению технологических процессов, в томчисле персонала автоматизированных банковских систем).3. В зависимости от вида деятельности выделяют: банковский информационный технологическийпроцесс, банковский платежный технологический процесс и др.3.6.
информационная безопасность организации банковской системы РоссийскойФедерации: состояние защищенности интересов (целей) организации банковской системыРоссийской Федерации в условиях угроз в информационной сфере.Примечания.1. Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры.Приоритетность свойств информационной безопасности определяется значимостью информационныхактивов для интересов (целей) организации.2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.3.7.
менеджмент: скоординированная деятельность по руководству и управлению.СТО БР ИББС1.020067Примечание.В английском языке термин “management” иногда относится к людям, т.е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда “management” используется в этом смысле, его следует всегда применять с определяющими словамис целью избежания путаницы с понятием “management”, определенным выше. Например, не одобряетсявыражение “руководство должно...”, в то время как “высшее руководство должно…” — приемлемо.3.8.
система менеджмента информационной безопасности организации банков#ской системы Российской Федерации; СМИБ: часть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнесриска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержкии повышения информационной безопасности организации банковской системы РоссийскойФедерации [ISO/IEC IS 27001].Примечание.Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.3.9.
осознание информационной безопасности: понимание организацией необходимости самостоятельно на основе принятых в ней ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению информационной безопасности, а также поддерживать эту деятельностьадекватно прогнозу.Примечание.Осознание информационной безопасности является внутренним побудительным мотивом организации инициировать и поддерживать деятельность по менеджменту информационной безопасности, в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности поменеджменту информационной безопасности определяется соответственно либо возникшими проблемами организации, такими, как инцидент информационной безопасности, либо внешними факторами, например, требованиями законов.3.10.
политика информационной безопасности организации банковской системыРоссийской Федерации: одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуетсяорганизация банковской системы Российской Федерации в своей деятельности.3.11.
инцидент информационной безопасности организации банковской системыРоссийской Федерации: событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности организации банковской системы Российской Федерации.Примечание.Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.3.12. риск: неопределенность, предполагающая возможность потерь (ущерба).3.13.
менеджмент риска: скоординированные действия по руководству и управлению вотношении риска с целью его минимизации.Примечание.Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска.3.14. риск нарушения информационной безопасности организации банковской сис#темы Российской Федерации: неопределенность, предполагающая возможность ущербасостояния защищенности интересов (целей) организации банковской системы РоссийскойФедерации в условиях угроз в информационной сфере.3.15. мониторинг информационной безопасности организации банковской систе#мы Российской Федерации (мониторинг ИБ): постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения.3.16. аудит информационной безопасности организации банковской системы Рос#сийской Федерации: периодический, независимый и документированный процесс получениясвидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях БС РФ установленных требований по обеспечению информационной безопасности.Примечания.1.














