IBBS-1-0-2006 (1027734), страница 5
Текст из файла (страница 5)
Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна бытьадекватной степени влияния на цели организации, фиксироваться в политиках, контролироватьсяи совершенствоваться.6.2.4. Адекватность ролей функциям и процедурам и их сопоставимость с крите#риями и системой оценки.
Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должнаучитываться необходимая последовательность их выполнения. Роль должна быть согласована скритериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.6.2.5. Доступность услуг и сервисов.
Организация должна обеспечить доступность длясвоих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами.6.2.6. Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем(прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.1Здесь и далее по тексту стандарта рассматриваются проблемы, прямо или косвенно относящиеся к ИБ.СТО БР ИББС1.02006137. Ìîäåëè óãðîç è íàðóøèòåëåé èíôîðìàöèîííîéáåçîïàñíîñòè îðãàíèçàöèé ÁÑ ÐÔ7.1.
Модели угроз и нарушителей (прогноз ИБ) должны быть основным инструментомменеджмента организации при развертывании, поддержании и совершенствовании системыобеспечения ИБ организации.7.2. Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и можетбыть представлена в виде иерархии следующих основных уровней:— физического (линии связи, аппаратные средства и пр.);— сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторыи пр.);— сетевых приложений и сервисов;— операционных систем (ОС);— систем управления базами данных (СУБД);— банковских технологических процессов и приложений;— бизнеспроцессов организации.7.3.
На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными.7.4. Главной целью злоумышленника является получение контроля над активами на уровне бизнеспроцессов. Прямое нападение на уровне бизнеспроцессов, например, путем раскрытия конфиденциальной банковской аналитической информации, более эффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляемое через нижние уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. временных) и поэтому менееэффективное по соотношению “затраты/получаемый результат”.7.5.
Организация должна определить конкретные объекты защиты на каждом из уровнейинформационной инфраструктуры.7.6. Наиболее актуальные источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:— внешние источники угроз: лица, распространяющие вирусы и другие вредоносные программы, хакеры, фрикеры1; и иные лица, осуществляющие несанкционированный доступ(НСД);— внутренние источники угроз, реализующие угрозы в рамках своих полномочий и за их пределами (персонал, имеющий права доступа к аппаратному оборудованию, в том числесетевому, администраторы сетевых приложений и т.п.);— комбинированные источники угроз: внешние и внутренние, действующие совместно и/илисогласованно.7.7.
Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов:— внутренние, реализующие угрозы в рамках своих полномочий и за их пределами (администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.);— комбинированные источники угроз: внешние и внутренние, действующие в сговоре2.7.8.
Наиболее актуальные источники угроз на уровне бизнеспроцессов:— внутренние источники, реализующие угрозы в рамках своих полномочий и за их пределами (авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.);— комбинированные источники угроз: внешние (например, конкуренты) и внутренние, действующие в сговоре.7.9. Также необходимо учитывать угрозы, связанные с природными и техногенными катастрофами и террористической деятельностью.7.10. Источники угроз для реализации угрозы используют уязвимости объектов и системы защиты.1Фрикер — злоумышленник, скрытно подключающийся с помощью различных устройств и приемов к телефонным сетям, обеспечивая себе связь с любой точкой мира, с указанием номера законного абонента, который и оплачивает телефонные услуги.2На данных уровнях и уровне бизнеспроцессов реализация угроз внешними источниками, действующими самостоятельно, безсоучастия внутренних, практически невозможна.14СТО БР ИББС1.020067.11.
Хорошей практикой является разработка моделей угроз и нарушителей ИБ для данной организации.Модель угроз ИБ включает описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможнойпотери (например, конфиденциальности, целостности, доступности активов), масштабов потенциального ущерба.Для источников угроз — людей — может быть разработана модель нарушителя ИБ, включающая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы,и возможной мотивации их действий.Степень детализации параметров моделей угроз и нарушителей ИБ может быть различнаи определяется реальными потребностями для каждой организации в отдельности.7.12.
При анализе угроз ИБ необходимо исходить из того, что эти угрозы непосредственно влияют на операционные риски деятельности организации. Операционные риски сказываются на бизнеспроцессах организации.7.13. Операционные риски порождаются следующими эксплуатационными факторами:технические неполадки, ошибочные (случайные) и/или преднамеренные злоумышленные действия персонала организации, ее клиентов при их непосредственном доступе к АБС организаций и другими факторами.7.14. Наиболее эффективным способом минимизации рисков нарушения ИБ для собственника является разработка совокупности мероприятий, методов и средств, создаваемых иподдерживаемых для обеспечения требуемого уровня безопасности информационных активовв соответствии с политикой ИБ организации БС РФ, разрабатываемой в том числе и на основемоделей угроз и нарушителей ИБ.8.
Ïîëèòèêà èíôîðìàöèîííîé áåçîïàñíîñòèîðãàíèçàöèé ÁÑ ÐÔ8.1. Состав и назначение политики информационной безопасности организации БС РФ8.1.1. Собственник (и/или менеджмент) организации должен обеспечить разработку, принятие и внедрение политики ИБ организации БС РФ, включая выделение требуемых для реализации этой политики ресурсов.8.1.2. Политика ИБ должна описывать цели и задачи СМИБ и определять совокупностьправил, требований и руководящих принципов в области ИБ, которыми руководствуется организация в своей деятельности.8.1.3.
Должны быть назначены лица, ответственные за реализацию политики ИБ и поддержание ее в актуальном состоянии.8.2. Общие (основные) требования по обеспечению информационной безопасности,отображаемые в политиках информационной безопасности организации БС РФ8.2.1. Общие требования по обеспечению информационной безопасностидля организации БС РФ8.2.1.1.
Требования ИБ должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла комплекс.8.2.1.2. Требования ИБ должны определять содержание и цели деятельности организации БС РФ в рамках процессов управления ИБ.8.2.1.3. Эти требования должны быть сформулированы как минимум для следующих областей:— назначения и распределения ролей и доверия к персоналу;— стадий жизненного цикла АБС;— защиты от НСД, управления доступом и регистрацией в АБС, в телекоммуникационномоборудовании и автоматических телефонных станциях и т.д.;— антивирусной защиты;— использования ресурсов Интернет;— использования средств криптографической защиты информации;— защиты банковских платежных и информационных технологических процессов.Политика ИБ организации БС РФ может учитывать и другие области, такие, как обеспечение непрерывности, физическая защита и т.д., отвечающие ее бизнесцелям.СТО БР ИББС1.02006158.2.2.
Общие требования по обеспечению информационной безопасностипри назначении и распределении ролей и обеспечении доверия к персоналу8.2.2.1. Роль — это заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом, например, сотрудником организации, и неким объектом, например, программноаппаратным средством.Для эффективного выполнения целей организации и задач по управлению активами должны быть выделены и определены соответствующие роли персонала организации. Роли следуетперсонифицировать с установлением ответственности за их исполнение.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
