IBBS-1.0-2004 (1027736), страница 2
Текст из файла (страница 2)
Основные положения и словарь.ГОСТ Р ИСО/МЭК 1540812002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1.Введение и общая модель.ГОСТ Р ИСО/МЭК 1540822002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2.Функциональные требования безопасности.ГОСТ Р ИСО/МЭК 1540832002 Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3.Требования доверия безопасности.ГОСТ Р ИСО/МЭК 1220799 Информационная технология. Процессы жизненного циклапрограммных средств.ГОСТ Р ИСО/МЭК ТО 152712002 Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств).ISO/IEC IS 177992000 Information Technology.
Code of practice for information security management.BS 779922002 Information security management systems. Specification with guidance for use.ISO/IEC TR 13335 Information Technology. Security techniques. Guidelines for the management of IT security.СТО БР ИББС1.020046ISO TR 13569 Banking and related financial services. Information security guidelines.ISO/IEC TR 18044 Information Technology. Security techniques. Information security incidentmanagement.ISO/IEC IS 152882002 Information Technology.
Life Cycle Management. System Life CycleProcesses.ISO/IEC TR 1550498 Information Technology. Software Process Assessment.COBIT Control Objectives for Information and related Technology, 3rd Edition, July 2000.OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation.CRAMM UK Government’s Risk Analysis and Management Method.3. Термины и определенияДля целей настоящего стандарта используются следующие термины.3.1.
Автоматизированная банковская система: Система, состоящая из персонала икомплекса средств автоматизации его деятельности, реализующая банковскую информационную технологию.3.2. Активы организации банковской системы Российской Федерации: Все, представляющее ценность для организации БС РФ с точки зрения достижения ее целей.————Примечание.К активам организации БС РФ могут относиться:банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);информационные активы, в т.ч. различные виды банковской информации (платежной, финансовоаналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковскихсистем и др.);банковские продукты и услуги, предоставляемые клиентам.3.3.
Аудит информационной безопасности организации банковской системы Рос"сийской Федерации: Периодический, независимый от объекта аудита и документированныйпроцесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях БС РФ установленных требований по обеспечению информационной безопасности.Примечания.1. Внутренние аудиты (“аудиты первой стороной”) проводятся самой организацией или от ее именидля анализа менеджмента или других внутренних целей и могут служить основанием для самодекларацийорганизации о соответствии требованиям по ИБ.2.
Внешние аудиты включают “аудиты второй стороной” и “аудиты третьей стороной”. Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например, потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми организациями.3.4. Аутентификация электронного сообщения: Процесс проверки сообщения, позволяющий установить, что сообщение исходит из указанного источника и не было изменено припередаче.3.5.
Банковская информационная технология: Приемы, способы и методы применения средств вычислительной техники при выполнении функций хранения, обработки, передачии использования финансовой или другой связанной с функционированием организаций БС РФ,информации.3.6. Банковская технология: Совокупность методов деятельности и процессов в банковской отрасли, а также описание способов деятельности.Примечание.В зависимости от вида деятельности выделяют: банковский информационный технологическийпроцесс, банковский платежный технологический процесс и др.3.7. Банковский информационный технологический процесс: Часть банковского технологического процесса, содержащая операции над неплатежной информацией, необходимойдля функционирования организации БС РФ.Примечание.Неплатежная информация, необходимая для функционирования организации банковской системы, может включать в себя данные статистической отчетности и внутрихозяйственной деятельности, аналитическую, финансовую, справочную информацию.3.8.
Банковский платежный технологический процесс: Часть банковского технологического процесса, содержащая расчетные, учетные, кассовые и иные банковские операции надСТО БР ИББС1.020047платежной информацией, связанные с перемещением денежных средств с одного счета на другой, открытием (закрытием) счетов или контролем за данными операциями.Примечание.Платежная информация может включать в себя платежные (расчетные) сообщения и информацию,связанную с проведением расчетных, учетных, кассовых и иных операций.3.9.
Банковский технологический процесс: Технологический процесс, содержащий операции по изменению и(или) определению состояния банковской информации, используемойпри функционировании или необходимой для реализации банковских услуг.Примечания.1. Операции над банковской информацией могут выполняться вручную или быть автоматизированными, например, с помощью комплексов средств автоматизации автоматизированных банковских систем.2. Операции над банковской информацией требуют указания ролей их участников (исполнителей илиц, принимающих решения или имеющих полномочия по изменению технологических процессов, в томчисле персонала автоматизированных банковских систем).3.10. Информационная безопасность организации банковской системы РоссийскойФедерации: Состояние защищенности интересов (целей) организации БС РФ в условиях угроз в информационной сфере.Примечания.1.
Защищенность достигается обеспечением совокупности свойств информационной безопасности — конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры.Приоритетность свойств информационной безопасности определяется значимостью информационныхактивов для интересов (целей) организации.2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.3.11.
Информационные активы организации банковской системы Российской Фе"дерации: Активы организации БС РФ, представляющие ценность для нее с точки зрения достижения целей и имеющие отношение к ее информационной сфере.3.12. Инцидент информационной безопасности: Действительное, предпринимаемоеили вероятное нарушение информационной безопасности.Примечание.Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.3.13.
Ключ кода аутентификации электронного сообщения: Данные, используемыепри создании и проверке кода аутентификации электронного сообщения.3.14. Код аутентификации электронного сообщения: Данные, используемые для установления подлинности и контроля целостности электронного сообщения.3.15. Модель зрелости процессов управления информационной безопасностью ор"ганизации банковской системы Российской Федерации: Схема для измерения проработанности процессов управления информационной безопасностью организации БС РФ.3.16. Мониторинг информационной безопасности организации банковской систе"мы Российской Федерации: Постоянное наблюдение за объектами, влияющими на обеспечение информационной безопасности в организации БС РФ, сбор, анализ и обобщение результатов наблюдения под заданные цели.Примечания.1.
Объектом мониторинга в зависимости от целей может быть автоматизированная банковская система или ее часть, банковские информационные технологические процессы, информационные банковские услуги и пр.2. Цели мониторинга информационной безопасности определяются службой безопасности организации БС РФ.3.17. Оценка соответствия информационной безопасности организации банковскойсистемы Российской Федерации установленным требованиям: Любая деятельность, связанная с прямым или косвенным определением того, что выполняются или не выполняются соответствующие требования информационной безопасности в организации БС РФ.3.18. Политика информационной безопасности организации: Одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационнойбезопасности, которыми руководствуется организация в своей деятельности.3.19.
Процесс: Совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующая входы в выходы.8СТО БР ИББС1.020043.20. Роль в организации банковской системы Российской Федерации: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом в организации БС РФ.Примечания.1. К субъектам относятся лица из числа руководства организации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.2. Объектами могут быть аппаратное средство, программное средство, программноаппаратноесредство, информационные ресурс, услуга, процесс, система, над которыми выполняются действия.3.21.
Свидетельство аудита: Записи, изложение фактов или другой информации, связанной с критериями аудита, которые могут быть перепроверены.Примечание.Свидетельство аудита может быть качественным или количественным.3.22. Требование: Положение нормативного документа, содержащее критерии, которыедолжны быть соблюдены.3.23. Управление информационной безопасностью организации банковской систе"мы Российской Федерации: Совокупность целенаправленных действий, осуществляемых длядостижения заявленных целей организации БС РФ в условиях угроз в информационной сфере.Примечание.Совокупность действий включает оценку ситуации и состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение иобслуживание защитных мер (средств управления информационной безопасностью).3.24.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
