IBBS-1.0-2004 (1027736), страница 4
Текст из файла (страница 4)
При назначении взаимосвязанных ролей должнаучитываться необходимая последовательность их выполнения. Роль должна быть согласована скритериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.6.2.5. Доступность услуг и сервисов. Организация должна обеспечить доступность длясвоих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами.6.2.6.
Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем(прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.7. Модели угроз и нарушителей информационной безопасности организаций БС РФ7.1.
Модели угроз и нарушителей (прогноз ИБ) должны быть основным инструментомменеджмента организации при развертывании, поддержании и совершенствовании системыобеспечения ИБ организации.7.2. Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и можетбыть представлена в виде иерархии следующих основных уровней:— физического (линии связи, аппаратные средства и пр.);— сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);— сетевых приложений и сервисов;— операционных систем (ОС);— систем управления базами данных (СУБД);СТО БР ИББС1.0200411— банковских технологических процессов и приложений;— бизнеспроцессов организации.7.3.
На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными.7.4. Главной целью злоумышленника является получение контроля над активами на уровне бизнеспроцессов. Прямое нападение на уровне бизнеспроцессов, например, путем раскрытия конфиденциальной банковской аналитической информации, более эффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляемое через нижние уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. временных) и поэтому менееэффективное по соотношению “затраты/получаемый результат”.7.5. Организация должна определить конкретные объекты защиты на каждом из уровнейинформационной инфраструктуры.7.6. Наиболее актуальные источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:— внешние источники угроз: лица, распространяющие вирусы и другие вредоносные программы, хакеры, фрикеры1; и иные лица, осуществляющие несанкционированный доступ (НСД);— внутренние источники угроз, реализующие угрозы в рамках своих полномочий и за их пределами (персонал, имеющий права доступа к аппаратному оборудованию, в том числе,сетевому, администраторы сетевых приложений и т.п.);— комбинированные источники угроз: внешние и внутренние, действующие совместно и/илисогласованно.7.7.
Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов:— внутренние, реализующие угрозы в рамках своих полномочий и за их пределами (администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.);— комбинированные источники угроз: внешние и внутренние, действующие в сговоре2.7.8. Наиболее актуальные источники угроз на уровне бизнеспроцессов:— внутренние источники, реализующие угрозы в рамках своих полномочий и за их пределами (авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.);— комбинированные источники угроз: внешние (например, конкуренты) и внутренние, действующие в сговоре.7.9. Также необходимо учитывать угрозы, связанные с природными и техногенными катастрофами и террористической деятельностью.7.10.
Источники угроз для реализации угрозы используют уязвимости объектов и системы защиты.7.11. Хорошей практикой является разработка моделей угроз и нарушителей ИБ для данной организации.Модель угроз ИБ включает описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможнойпотери (например, конфиденциальности, целостности, доступности активов), масштабов потенциального ущерба.Для источников угроз — людей может быть разработана модель нарушителя ИБ, включающая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы,и возможной мотивации их действий.Степень детализации параметров моделей угроз и нарушителей ИБ может быть различнаи определяется реальными потребностями для каждой организации в отдельности.7.12.
При анализе угроз ИБ необходимо исходить из того, что эти угрозы непосредственно влияют на операционные риски деятельности организации. Операционные риски сказываются на бизнеспроцессах организации.7.13. Операционные риски порождаются следующими эксплуатационными факторами:технические неполадки, ошибочные (случайные) и/или преднамеренные злоумышленные действия персонала организации, ее клиентов при их непосредственном доступе к АБС организаций и другими факторами.1Фрикер — злоумышленник, скрытно подключающийся с помощью различных устройств и приемов к телефонным сетям, обеспечивая себе связь с любой точкой мира, с указанием номера законного абонента, который и оплачивает телефонные услуги.2На данных уровнях и уровне бизнеспроцессов реализация угроз внешними источниками, действующими самостоятельно безсоучастия внутренних, практически невозможна.12СТО БР ИББС1.020047.14. Наиболее эффективным способом минимизации рисков нарушения ИБ для собственника является разработка совокупности мероприятий, методов и средств, создаваемых иподдерживаемых для обеспечения требуемого уровня безопасности информационных активов(системы обеспечения ИБ) в соответствии с политикой ИБ организации БС РФ, разрабатываемой в том числе и на основе моделей угроз и нарушителей ИБ.8.
Политика информационной безопасности организаций БС РФ8.1. Состав и назначение политики информационной безопасностиорганизаций БС РФ8.1.1. Собственник (и/или менеджмент) организации должен обеспечить разработку, принятие и внедрение политики ИБ организации БС РФ, включая выделение требуемых для реализации этой политики ресурсов.8.1.2. Политика ИБ должна описывать цели и задачи системы обеспечения ИБ и определять совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется организация в своей деятельности.8.1.3. Должны быть назначены лица, ответственные за реализацию политики ИБ и поддержание ее в актуальном состоянии.8.2. Общие (основные) требования по обеспечению информационной безопас"ности, отображаемые в политиках информационной безопасности организации8.2.1.
Общие требования по обеспечению информационной безопасностидля организации БС РФ8.2.1.1. Требования ИБ должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла комплекс.8.2.1.2. Требования ИБ должны определять содержание и цели деятельности организации БС РФ в рамках процессов управления ИБ.8.2.1.3. Эти требования должны быть сформулированы как минимум для следующих областей:— назначения и распределения ролей и доверия к персоналу;— стадий жизненного цикла АБС;— защиты от НСД, управления доступом и регистрацией в АБС, в телекоммуникационномоборудовании и автоматических телефонных станциях и т.д.;— антивирусной защиты;— использования ресурсов Интернет;— использования средств криптографической защиты информации;— защиты банковских платежных и информационных технологических процессов.Политика ИБ организации БС РФ может учитывать и другие области, такие, как обеспечение непрерывности, физическая защита и т.д., отвечающие ее бизнесцелям.8.2.2.
Общие требования по обеспечению информационной безопасностипри назначении и распределении ролей и обеспечении доверия к персоналу8.2.2.1. Роль — это заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом, например, сотрудником организации, и неким объектом, например, программноаппаратным средством.Для эффективного выполнения целей организации и задач по управлению активами должны быть выделены и определены соответствующие роли персонала организации. Роли следуетперсонифицировать с установлением ответственности за их исполнение.
Формирование ролей, как правило, должно осуществляться на основании бизнеспроцессов. Ответственностьдолжна быть зафиксирована в должностных инструкциях.8.2.2.2. При определении ролей для сотрудников организации БС РФ необходимо учитывать цели организации, имеющиеся ресурсы, функциональные и процедурные требования, критерии оценки эффективности выполнения правил для данной роли.8.2.2.3.
Не рекомендуется, чтобы одна персональная роль целиком отражала цель, например, включала все правила, требуемые для реализации бизнеспроцесса. Совокупность правил,составляющих роли, не должна быть критичной для организации с точки зрения последствий успешного нападения на ее исполнителя. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля, например,исполнителя и администратора, администратора и контролера или других комбинаций.8.2.2.4.
Роль должна быть обеспечена ресурсами, необходимыми и достаточными для еевыполнения.СТО БР ИББС1.02004138.2.2.5. Роли должны группироваться и взаимодействовать так, чтобы организационнаяструктура соответствовала целям организации. Роль одного из руководителей организации(уполномоченного менеджера, высшего менеджера и т.п.) должна включать задачу координации своевременности и качества выполнения ролей сотрудников для достижения целей организации.8.2.2.6. Ненадлежащее выполнение правил назначения и распределения ролей создаетуязвимости.8.2.2.7. Для контроля за качеством выполнения требований ИБ в организации должны бытьвыделены и определены роли по обеспечению ИБ.8.2.2.8.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
