IBBS-1-0-2006 (1027734), страница 6
Текст из файла (страница 6)
Формирование ролей, как правило, должно осуществляться на основании бизнеспроцессов. Ответственностьдолжна быть зафиксирована в должностных инструкциях.8.2.2.2. При определении ролей для сотрудников организации БС РФ необходимо учитывать цели организации, имеющиеся ресурсы, функциональные и процедурные требования, критерии оценки эффективности выполнения правил для данной роли.8.2.2.3. Не рекомендуется, чтобы одна персональная роль целиком отражала цель, например, включала все правила, требуемые для реализации бизнеспроцесса.
Совокупность правил,составляющих роли, не должна быть критичной для организации с точки зрения последствий успешного нападения на ее исполнителя. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля, например,исполнителя и администратора, администратора и контролера или других комбинаций.8.2.2.4. Роль должна быть обеспечена ресурсами, необходимыми и достаточными для еевыполнения.8.2.2.5. Роли должны группироваться и взаимодействовать так, чтобы организационнаяструктура соответствовала целям организации. Роль одного из руководителей организации (уполномоченного менеджера, высшего менеджера и т.п.) должна включать задачу координации своевременности и качества выполнения ролей сотрудников для достижения целей организации.8.2.2.6. Ненадлежащее выполнение правил назначения и распределения ролей создаетуязвимости.8.2.2.7.
Для контроля за качеством выполнения требований ИБ в организации должны бытьвыделены и определены роли по обеспечению ИБ.8.2.2.8. При приеме на работу должны быть проверены идентичность личности, заявляемая квалификация, точность и полнота биографических фактов, наличие рекомендаций.8.2.2.9. Лиц, которых предполагается принять на работу, связанную с защищаемыми активами или операциями, следует подвергать проверке в части профессиональных навыков иоценки профессиональной пригодности. Рекомендуется выполнять контрольные проверки ужеработающих сотрудников регулярно, а также внепланово при выявлении фактов их нештатногоповедения, или участия в инцидентах ИБ, или подозрений в таком поведении или участии.8.2.2.10. Весь персонал организации БС РФ должен давать письменное обязательство особлюдении конфиденциальности, приверженности правилам корпоративной этики, включаятребования по недопущению конфликта интересов. При этом условие о соблюдении конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей.Для внешних организаций требования по ИБ регламентируются положениями, включаемыми в договоры (соглашения).8.2.2.11.
Персонал организации должен быть компетентным для выполнения своих функций в области обеспечения ИБ. Компетентность персонала следует обеспечивать с помощьюпроцессов обучения в области ИБ, осведомленности персонала и периодической проверки уровня компетентности.8.2.2.12. Обязанности персонала по выполнению требований ИБ в соответствии с положениями ISO TR 13569 и ISO/IEC IS 177992005 следует включать в трудовые контракты (соглашения, договоры).8.2.3.
Общие требования по обеспечению информационной безопасностиавтоматизированных банковских систем на стадиях жизненного цикла8.2.3.1. ИБ АБС должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) АБС, автоматизирующих банковские технологические процессы, с учетом всех сторон, вовлеченных впроцессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих инадзорных подразделений организации).8.2.3.2.
При заказе АБС модель ЖЦ (стадии ЖЦ, этапы работ и процессы ЖЦ, выполняемые на этих стадиях) рекомендуется определять в соответствии с ГОСТ 34.60190 и документом ISO/IEC IS 152882002.16СТО БР ИББС1.020068.2.3.3. Разработка технических заданий, проектирование, создание и тестирование иприемка средств и систем защиты АБС должны осуществляться по согласованию с подразделениями (лицами) в организации БС РФ, ответственными за обеспечение ИБ.8.2.3.4. Ввод в действие, эксплуатация, снятие с эксплуатации АБС в части вопросов ИБдолжны осуществляться при участии подразделения (лиц) в организации, ответственного заобеспечение ИБ.8.2.3.5. На стадиях, связанных с разработкой АБС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция иверификация, поставка, ввод в действие), разработчиком должна быть обеспечена защита отугроз:— неверной формулировки требований к АБС;— выбора неадекватной модели ЖЦ АБС, в том числе неадекватного выбора процессов ЖЦи вовлеченных в них участников;— принятия неверных проектных решений;— внесения разработчиком дефектов на уровне архитектурных решений;— внесения разработчиком недокументированных возможностей в АБС;— неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований кАБС;— разработки некачественной документации;— сборки АБС разработчиком/производителем с нарушением требований, что приводит кпоявлению недокументированных возможностей в АБС либо к неадекватной реализациитребований;— неверного конфигурирования АБС;— приемки АБС, не отвечающей требованиям заказчика;— внесения недокументированных возможностей в АБС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ.8.2.3.6.
Привлекаемые для разработки и(или) производства средств и систем защиты АБСна договорной основе специализированные организации должны иметь лицензии на данныйвид деятельности в соответствии с законодательством РФ.8.2.3.7. При приобретении организациями БС РФ готовых АБС и их компонентов разработчиком должна быть предоставлена документация, содержащая в том числе описание защитных мер, предпринятых разработчиком в отношении угроз, перечисленных в п. 8.2.3.5.Также разработчиком должна быть представлена документация, содержащая описаниезащитных мер, предпринятых разработчиком АБС, и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, включаяописание модели жизненного цикла, оценки уязвимости.
Данная документация может быть представлена в рамках декларации о соответствии или быть результатом оценки соответствия изделия, проведенной в рамках соответствующей системы оценки.В договор (контракт) о поставке АБС и их компонентов организациям БС РФ рекомендуетсявключать положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных требований к разработчику должнабыть рассмотрена возможность приобретения полного комплекта рабочей конструкторскойдокументации на изделие, обеспечивающего возможность сопровождения АБС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости, руководство организации БС РФ должно обеспечить анализ влиянияугрозы невозможности сопровождения АБС и их компонентов на обеспечение непрерывностибизнеса.8.2.3.8.
На стадии эксплуатации в соответствии с документом ISO TR 13569 должна бытьобеспечена защита от следующих угроз:— умышленное несанкционированное раскрытие, модификация или уничтожение информации;— неумышленная модификация или уничтожение информации;— недоставка или ошибочная доставка информации;— отказ в обслуживании или ухудшение обслуживания.Кроме этого, актуальной является угроза отказа от авторства сообщения.8.2.3.9. На стадии сопровождения должна быть обеспечена защита от угроз:— внесения изменений в АБС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;— невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния АБС.СТО БР ИББС1.02006178.2.3.10.
На стадии снятия с эксплуатации должно быть обеспечено удаление информации, несанкционированное использование которой может нанести ущерб бизнесдеятельностиорганизации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС или с внешних носителей.8.2.3.11. Требования ИБ должны включаться во все договоры и контракты на проведениеработ или оказание услуг на всех стадиях ЖЦ АБС.8.2.4.
Общие требования по обеспечению информационной безопасностипри управлении доступом и регистрации8.2.4.1. При распределении прав доступа персонала и клиентов к активам организацииБС РФ следует руководствоваться специальным принципом “знание своих клиентов и служащих” (см. п. 6.2.2), выражаемым следующим образом:— “знать своего клиента”1;— “знать своего служащего”2;— “необходимо знать”3,а также руководствоваться принципом “двойное управление”4.8.2.4.2. В составе АБС должны применяться встроенные механизмы защиты информации, а также могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД.8.2.4.3.
В организации должны обеспечиваться: идентификация, аутентификация, авторизация; управление доступом; контроль целостности; регистрация, включая:— функционирование системы парольной защиты электронных вычислительных машин (ЭВМ)и локальных вычислительных сетей (ЛВС). Рекомендуется организовать службу централизованной парольной защиты для генерации, распространения, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями;— непротиворечивая и прозрачная административнотехническая поддержка задач управления доступом к ресурсам ЭВМ и/или ЛВС.
Назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ и/или ЛВС санкционируется руководителем функционального подразделения организации, несущего персональную ответственность за обеспечение ИБ в данном подразделении;— контроль доступа пользователей к ресурсам ЭВМ и/или ЛВС. Оперативный контроль доступа пользователей осуществляется подразделениями (лицами) в организации, ответственными за обеспечение ИБ;— формирование уникальных идентификаторов сообщений и идентификаторов пользователей (виды идентификаторов определяются особенностями конкретного технологического процесса);— регистрация действий персонала и пользователей в специальном электронном журнале.Данный электронный журнал должен быть доступным для чтения, просмотра, анализа,хранения и резервного копирования только администратору ИБ.














