IBBS-1-0-2006 (1027734), страница 3
Текст из файла (страница 3)
Внутренние аудиты (“аудиты первой стороной”) проводятся самой организацией или от ее именидля анализа менеджмента или других внутренних целей и могут служить основанием для самодекларацийорганизации о соответствии требованиям по ИБ.8СТО БР ИББС1.020062. Внешние аудиты включают “аудиты второй стороной” и “аудиты третьей стороной”. Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например, потребителями или другими лицами от их имени.
Аудиты третьей стороной проводятся внешними независимыми организациями.3. Независимость при аудите предполагает полную свободу аудитора (самостоятельность) в отборе и анализе свидетельства аудита (изложение фактов или другой информации, связанной с критериямиаудита) в отношении объекта аудита.3.17. оценка соответствия информационной безопасности организации банковскойсистемы Российской Федерации установленным требованиям: любая деятельность, связанная с прямым или косвенным определением того, что выполняются или не выполняются соответствующие требования информационной безопасности в организации банковской системы Российской Федерации.4. Îáîçíà÷åíèÿ è ñîêðàùåíèÿАБС — автоматизированная банковская система;БС — банковская система;ЖЦ — жизненный цикл;ИБ — информационная безопасность;КА — код аутентификации;ЛВС — локальная вычислительная сеть;РФ — Российская Федерация;СКЗИ — средство криптографической защиты информации;СМИБ — система менеджмента информационной безопасности;ЭВМ — электронная вычислительная машина;ЭЦП — электронная цифровая подпись.5.
Èñõîäíàÿ êîíöåïòóàëüíàÿ ñõåìà (ïàðàäèãìà)îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòèîðãàíèçàöèé ÁÑ ÐÔ5.1. Любая целенаправленная деятельность (бизнес) порождает риски, сущность которых — естественная неопределенность будущего. Это — объективная реальность, и понизитьэти риски можно лишь до уровня неопределенности сущностей, характеризующих природу бизнеса. Оставшаяся часть риска, определяемого факторами среды деятельности организацииБС РФ, на которые организация не в силах влиять, должна быть неизбежно принята.
При этомстепень необходимой защищенности информационной сферы организации определяется анализом и оценкой рисков ИБ, которые должны быть согласованы с рисками основной (бизнес)деятельности организации БС РФ.5.2. Деятельность организации БС РФ осуществляется через реализацию трех групп высокоуровневых процессов: основные процессы (процессы основной деятельности), вспомогательные процессы (процессы по видам обеспечения), процессы менеджмента (управления)организацией. Процессы по обеспечению ИБ организации БС РФ составляют один из видоввспомогательных процессов, реализующих поддержку (обеспечение) процессов основной деятельности организации в целях достижения ею максимально возможного результата.5.3. В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника1 и злоумышленника2 за контроль над информационными активами.
Однако другие, незлоумышленные, действия также лежат в сфере рассмотрения данного стандарта.В случае если злоумышленник устанавливает контроль над информационными активами,как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы,может быть нанесен ущерб.1Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативноправовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.2Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознаниемего опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий(адаптировано из ст.
27 УК РФ). Далее по тексту данные лица именуются злоумышленниками (нарушителями).СТО БР ИББС1.0200695.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладаетее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, атакже сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации.5.5. Собственник практически никогда не знает о готовящемся нападении, оно всегдабывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели ивремени характер.5.6. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем эксперимента, подбора “отмычек” к системе менеджмента ИБ (СМИБ) организации.
Таким образом, он отрабатывает наиболее эффективныйметод нападения. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности. В том числе и для этой цели собственник создает уполномоченный орган — своюслужбу ИБ (подразделения (лица) в организации, ответственные за обеспечение ИБ).5.7. Сложно и ресурсоемко, а значит, малоэффективно искать следы такой активности ипо факту настраивать СМИБ. Поэтому главный инструмент собственника — основанный на опыте прогноз (составление модели угроз и модели нарушителя)1, а также работа с персоналоморганизации по повышению его бдительности в возможных критических условиях, готовности испособности к адекватным действиям в условиях потенциальной злоумышленной активности.Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем нижериски нарушения ИБ в организации БС РФ при минимальных ресурсных затратах.5.8.
Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника — разработать на основе точного прогноза, базирующегося в томчисле и на анализе и оценке рисков ИБ, политику ИБ организации и в соответствии с ней реализовать, эксплуатировать и совершенствовать СМИБ организации.5.9. Политика ИБ организаций БС РФ разрабатывается на основе принципов обеспечения ИБ организаций БС РФ, моделей угроз и нарушителей, идентификации активов, подлежащих защите, оценки рисков с учетом особенностей бизнеса и технологий, а также интересовконкретного собственника.Собственник должен знать, что он должен защищать.
Собственник должен знать и уметьвыделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).При этом собственник принимает решение относительно принятия конкретного риска илиже внедрения мер контроля и процедур по обработке существующих рисков.При принятии решений о внедрении защитных мер (мер контроля) для противодействияидентифицированным угрозам (рискам) собственник должен учитывать, что тем самым он увеличивает сложность своей системы управления ИБ, а повышение сложности управления ИБ порождает новые уязвимости.
Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков, а не принятия или переноса рисков должны учитываться вопросыэксплуатации защитных мер и их влияния на структуру рисков организации.5.10. Далеко не каждый собственник располагает потенциалом для составления точногопрогноза (модели угроз и модели нарушителя).
Такой прогноз может и должен составляться сучетом опыта ведущих специалистов банковской системы, а также с учетом международногоопыта в этой сфере. Аналогично должны разрабатываться и основные требования ИБ организаций БС РФ.При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управлениябезопасностью организации.
Поэтому все точки в банковских технологических процессах, гдеосуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться.5.11. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ в организации серьезное влияние оказывают отношения как вколлективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
