IBBS-1.0-2004 (1027736), страница 5
Текст из файла (страница 5)
При приеме на работу должны быть проверены идентичность личности, заявляемая квалификация, точность и полнота биографических фактов, наличие рекомендаций.8.2.2.9. Лиц, которых предполагается принять на работу, связанную с защищаемыми активами или операциями, следует подвергать проверке в части профессиональных навыков иоценки профессиональной пригодности. Рекомендуется выполнять контрольные проверки ужеработающих сотрудников регулярно, а также внепланово при выявлении фактов их нештатногоповедения, или участия в инцидентах ИБ, или подозрений в таком поведении или участии.8.2.2.10.
Весь персонал организации БС РФ должен давать письменное обязательство особлюдении конфиденциальности, приверженности правилам корпоративной этики, включаятребования по недопущению конфликта интересов. При этом условие о соблюдении конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей.Для внешних организаций требования по ИБ регламентируются положениями, включаемыми в договора (соглашения).8.2.2.11. Персонал организации должен быть компетентным для выполнения своих функций в области обеспечения ИБ.
Компетентность персонала следует обеспечивать с помощьюпроцессов обучения в области ИБ, осведомленности персонала и периодической проверки уровня компетентности.8.2.2.12. Обязанности персонала по выполнению требований ИБ в соответствии с положениями ISO TR 13569 и ISO/IEC IS 177992000 следует включать в трудовые контракты (соглашения, договора).8.2.3. Общие требования по обеспечению информационной безопасностиавтоматизированных банковских систем на стадиях жизненного цикла8.2.3.1. ИБ АБС должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) АБС, автоматизирующих банковские технологические процессы, с учетом всех сторон, вовлеченных впроцессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих инадзорных подразделений организации).8.2.3.2.
При заказе АБС модель ЖЦ (стадии ЖЦ, этапы работ и процессы ЖЦ, выполняемые на этих стадиях) рекомендуется определять в соответствии с ГОСТ 34.601 и документомISO/IEC IS 15288.8.2.3.3. Разработка технических заданий, проектирование, создание и тестирование иприемка средств и систем защиты АБС должны осуществляться по согласованию с подразделениями (лицами) в организации БС РФ, ответственными за обеспечение ИБ.8.2.3.4.
Ввод в действие, эксплуатация, снятие с эксплуатации АБС в части вопросов ИБдолжны осуществляться при участии подразделения (лиц) в организации, ответственного заобеспечение ИБ.8.2.3.5. На стадиях, связанных с разработкой АБС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция иверификация, поставка, ввод в действие), разработчиком должна быть обеспечена защита отугроз:— неверной формулировки требований к АБС;— выбора неадекватной модели ЖЦ АБС, в том числе неадекватного выбора процессов ЖЦи вовлеченных в них участников;— принятия неверных проектных решений;— внесения разработчиком дефектов на уровне архитектурных решений;— внесения разработчиком недокументированных возможностей в АБС;— неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований кАБС;— разработки некачественной документации;— сборки АБС разработчиком/производителем с нарушением требований, что приводит кпоявлению недокументированных возможностей в АБС либо к неадекватной реализациитребований;14СТО БР ИББС1.02004— неверного конфигурирования АБС;— приемки АБС, не отвечающей требованиям заказчика;— внесения недокументированных возможностей в АБС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ.8.2.3.6.
Привлекаемые для разработки и(или) производства средств и систем защиты АБСна договорной основе специализированные организации должны иметь лицензии на данныйвид деятельности в соответствии с законодательством РФ.8.2.3.7. При приобретении организациями БС РФ готовых АБС и их компонентов разработчиком должна быть предоставлена документация, содержащая в том числе описание защитных мер, предпринятых разработчиком в отношении угроз, перечисленных в п. 8.2.3.5.Также разработчиком должна быть представлена документация, содержащая описаниезащитных мер, предпринятых разработчиком АБС и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, включаяописание модели жизненного цикла, оценки уязвимости. Данная документация может быть представлена в рамках декларации о соответствии или быть результатом оценки соответствия изделия, проведенной в рамках соответствующей системы оценки.В договор (контракт) о поставке АБС и их компонентов организациям БС РФ рекомендуется включать положения по сопровождению поставляемых изделий на весь срок их службы.В случае невозможности включения в договор (контракт) указанных требований к разработчикудолжна быть рассмотрена возможность приобретения полного комплекта рабочей конструкторской документации на изделие, обеспечивающего возможность сопровождения АБС и их компонентов без участия разработчика.
Если оба указанных варианта неприемлемы, например,вследствие высокой стоимости, руководство организации БС РФ должно обеспечить анализвлияния угрозы невозможности сопровождения АБС и их компонентов на обеспечение непрерывности бизнеса.8.2.3.8. На стадии эксплуатации в соответствии с документом ISO TR 13569 должна бытьобеспечена защита от следующих угроз:— умышленное несанкционированное раскрытие, модификация или уничтожение информации;— неумышленная модификация или уничтожение информации;— недоставка или ошибочная доставка информации;— отказ в обслуживании или ухудшение обслуживания.Кроме этого, актуальной является угроза отказа от авторства сообщения.8.2.3.9.
На стадии сопровождения должна быть обеспечена защита от угроз:— внесения изменений в АБС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;— невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния АБС.8.2.3.10. На стадии снятия с эксплуатации должно быть обеспечено удаление информации, несанкционированное использование которой может нанести ущерб бизнесдеятельностиорганизации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС или с внешних носителей.8.2.3.11.
Требования ИБ должны включаться во все договора и контракты на проведениеработ или оказание услуг на всех стадиях ЖЦ АБС.8.2.4. Общие требования по обеспечению информационной безопасностипри управлении доступом и регистрации8.2.4.1. При распределении прав доступа персонала и клиентов к активам организацииБС РФ следует руководствоваться специальным принципом “знание своих клиентов и служащих” (см. п. 6.2.2), выражаемым следующим образом:— “знать своего клиента”1;— “знать своего служащего”2;1“Знать своего клиента” (Know your Customer): принцип, используемый регулирующими органами для выражения отношенияк финансовым организациям с точки зрения знания деятельности их клиентов [ISO TR 13569].2“Знать своего служащего” (Know your Employee): принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких, как злоупотребление имуществом, аферы или финансовыетрудности, которые могут приводить к проблемам с безопасностью [ISO TR 13569].СТО БР ИББС1.0200415— “необходимо знать”1,а также руководствоваться принципом “двойное управление”2.8.2.4.2.
В составе АБС должны использоваться сертифицированные или разрешенные кприменению средства защиты информации от НСД.8.2.4.3. В организации должны обеспечиваться: идентификация, аутентификация, авторизация; управление доступом; контроль целостности; регистрация, включая:— функционирование системы парольной защиты электронных вычислительных машин(ЭВМ) и локальных вычислительных сетей (ЛВС). Рекомендуется организовать службуцентрализованной парольной защиты для генерации, распространения, смены, удаленияпаролей, разработки необходимых инструкций, контроля за действиями персонала поработе с паролями;— непротиворечивая и прозрачная административнотехническая поддержка задач управления доступом к ресурсам ЭВМ и/или ЛВС.
Назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ и/или ЛВС санкционируется руководителем функционального подразделения организации, несущего персональную ответственность за обеспечение ИБ в данном подразделении;— контроль доступа пользователей к ресурсам ЭВМ и/или ЛВС. Оперативный контроль доступа пользователей осуществляется подразделениями (лицами) в организации, ответственными за обеспечение ИБ;— формирование уникальных идентификаторов сообщений и идентификаторов пользователей (виды идентификаторов определяются особенностями конкретного технологического процесса);— регистрация действий персонала и пользователей в специальном электронном журнале.Данный электронный журнал должен быть доступным для чтения, просмотра, анализа,хранения и резервного копирования только администратору ИБ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
