IBBS-1.0-2004 (1027736), страница 3
Текст из файла (страница 3)
Уязвимость: Недостатки или слабые места активов, которые могут быть использованы угрозой.4. Обозначения и сокращенияБС — банковская система;РФ — Российская Федерация;АБС — автоматизированная банковская система;ИБ — информационная безопасность;ОС — операционная система;СУБД — система управления базами данных;НСД — несанкционированный доступ;ЖЦ — жизненный цикл;ЭВМ — электронная вычислительная машина;ЛВС — локальная вычислительная сеть;СКЗИ — средство криптографической защиты информации;ЭЦП — электронная цифровая подпись;КА — код аутентификации.5. Исходная концептуальная схема (парадигма) обеспеченияинформационной безопасности организаций БС РФ5.1. В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника1 и злоумышленника2 за контроль над информационными активами.
Однако другие, незлоумышленные действия, также лежат в сфере рассмотрения данного стандарта.В случае если злоумышленник устанавливает контроль над информационными активами,как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы,наносится ущерб.5.2. Наибольшими возможностями для нанесения ущерба организации БС РФ обладаетее собственный персонал. Внешний злоумышленник, скорее да, чем нет, может иметь сообщника(ов) внутри организации.1Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативноправовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.2Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознаниемего опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий(адаптировано из ст.
27 УК РФ). Далее по тексту данные лица именуются злоумышленниками (нарушителями).СТО БР ИББС1.0200495.3. Собственник практически никогда не знает о готовящемся нападении, оно всегдабывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели ивремени характер.5.4. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем эксперимента, подбора “отмычек” к системе обеспечения ИБ организации.
Таким образом, он отрабатывает наиболее эффективный метод нападения. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности. В том числе и для этой цели собственник создает уполномоченный орган — свою службуобеспечения ИБ (подразделения (лица) в организации, ответственные за обеспечение ИБ).5.5. Сложно и ресурсоемко, а значит, малоэффективно искать следы такой активности ипо факту настраивать свою систему обеспечения ИБ. Поэтому главный инструмент собственника — основанный на опыте прогноз (составление модели угроз и модели нарушителя)1.Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем нижериски нарушения ИБ в организации БС РФ при минимальных ресурсных затратах.5.6. Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника — разработать на основе точного прогноза политику ИБ и в соответствии с ней построить систему управления ИБ.5.7.
Политика ИБ организаций БС РФ разрабатывается на основе принципов обеспечения ИБ организаций БС РФ, моделей угроз и нарушителей, идентификации активов, подлежащих защите, оценки рисков и с учетом особенностей и интересов конкретного собственника.Собственник должен знать, что он должен защищать.
Собственник должен знать и уметьвыделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).5.8. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ в финансовой организации оказывают серьезное влияниеотношения как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника.
Поэтому этими отношениями необходимо управлять.5.9. Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень ИБ может снижаться. Это неминуемо ведет к возрастанию рисков ИБ.Для того чтобы этого не допустить, необходимо проводить регулярный мониторинг и аудит системы обеспечения ИБ организаций БС РФ и своевременно принимать меры по поддержанию эффективности системы управления ИБ на необходимом уровне за счет руководства иуправления ИБ организации на основе циклической модели: “планирование — реализация —проверка — совершенствование — планирование — …”.5.10.
Далеко не каждый собственник располагает потенциалом для составления точногопрогноза (модели угроз и модели нарушителя). Такой прогноз может и должен составляться сучетом опыта ведущих специалистов банковской системы, а также с учетом международногоопыта в этой сфере. Аналогично должны разрабатываться и основные требования ИБ организаций БС РФ.5.11. Стратегия обеспечения ИБ организаций БС РФ, таким образом, заключается в использовании по имеющемуся плану заранее разработанных мер по обеспечению ИБ, противостоящих атакам злоумышленников. В случае реализации не предусмотренных планом угроз должен быть использован дополнительный (специально разработанный) план действий, позволяющий свести к минимуму возможные потери.6.
Основные принципы обеспечения информационной безопасностиорганизаций БС РФ6.1. Общие принципы безопасного функционирования организации6.1.1. Своевременность обнаружения проблем. Организация должна своевременнообнаруживать проблемы2, потенциально способные повлиять на ее бизнесцели.6.1.2. Прогнозируемость развития проблем. Организация должна выявлять причинноследственную связь возможных проблем и строить на этой основе точный прогноз их развития.1Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. МоделиИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе)используются имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.2Здесь и далее по тексту стандарта рассматриваются проблемы, прямо или косвенно относящиеся к ИБ.10СТО БР ИББС1.020046.1.3.
Оценка влияния проблем на бизнес"цели. Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнесцели.6.1.4. Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.6.1.5. Эффективность защитных мер. Организация должна эффективно реализовыватьпринятые защитные меры.6.1.6. Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всехуровнях принятия решений и их исполнения.6.1.7. Непрерывность принципов безопасного функционирования. Организациядолжна обеспечивать непрерывность реализации принципов безопасного функционирования.6.1.8.
Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетомвлияния защитных мер на бизнесцели организации.6.2. Специальные принципы обеспеченияинформационной безопасности организацииРеализация специальных принципов обеспечения ИБ направлена на повышение уровнязрелости процессов управления ИБ в организации.6.2.1. Определенность целей.
Функциональные цели и цели ИБ организации должныбыть явно определены во внутрибанковском документе. Неопределенность приводит к “расплывчатости” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.6.2.2. Знание своих клиентов и служащих. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживатькорпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.6.2.3.
Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна бытьадекватной степени влияния на цели организации, фиксироваться в политиках, контролироватьсяи совершенствоваться.6.2.4. Адекватность ролей функциям и процедурам и их сопоставимость с крите"риями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
