st-10-xx (1027738)
Текст из файла
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ)СТАНДАРТ БАНКА РОССИИСТО БР ИББС–1.0–20ххОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫРОССИЙСКОЙ ФЕДЕРАЦИИ.ОБЩИЕ ПОЛОЖЕНИЯДата введения: 20хх-хх-ххИздание официальноеМосква20ххпроект 11.05.2010IIСТО БР ИББС–1.0–20ххПредисловие1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от __ _____20__ года № Р-____.2. ВЗАМЕН СТО БР ИББС–1.0–2008.Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения БанкаРоссии.проект 11.05.2010СТО БР ИББС–1.0–20ххIIIСодержаниеВведение .................................................................................................................................... VВведение ....................................................................................................................................
V1. Область применения ............................................................................................................. 62. Нормативные ссылки............................................................................................................. 63. Термины и определения........................................................................................................ 64. Обозначения и сокращения ................................................................................................ 125. Исходная концептуальная схема (парадигма) обеспечения информационнойбезопасности организаций банковской системы Российской Федерации.......................
136. Модели угроз и нарушителей информационной безопасности организацийбанковской системы Российской Федерации .................................................................... 187. Система информационной безопасности организаций банковской системыРоссийской Федерации............................................................................................. 207.1. Общие положения ....................................................................................................
207.2. Общие требования по обеспечению информационной безопасности приназначении и распределении ролей и обеспечении доверия к персоналу .......... 227.3. Общие требования по обеспечению информационной безопасностиавтоматизированных банковских систем на стадиях жизненного цикла .............. 237.4.
Общие требования по обеспечению информационной безопасности приуправлении доступом и регистрации....................................................................... 247.5. Общие требования по обеспечению информационной безопасностисредствами антивирусной защиты .......................................................................... 267.6. Общие требования по обеспечению информационной безопасности прииспользовании ресурсов сети Интернет .................................................................
277.7. Общие требования по обеспечению информационной безопасности прииспользовании средств криптографической защиты информации....................... 287.8. Общие требования по обеспечению информационной безопасностибанковских платежных технологических процессов............................................... 297.9.
Общие требования по обеспечению информационной безопасностибанковских информационных технологических процессов ................................... 317.10. Общие требования по обработке персональных данных в организацииБС РФ......................................................................................................................... 327.11. Общие требования по обеспечению информационной безопасностибанковскихтехнологическихпроцессов,врамкахкоторыхобрабатываются персональные данные.................................................................
358. Системаменеджментаинформационнойбезопасностиорганизацийбанковской системы Российской Федерации .................................................................... 368.1. Общие положения .................................................................................................... 368.2. Требования к организации и функционированию службы информационнойбезопасности организации банковской системы Российской Федерации ............ 388.3. Требования к определению/коррекции области действия системыобеспечения информационной безопасности ........................................................ 39проект 11.05.2010IVСТО БР ИББС–1.0–20хх8.4. Требования к выбору/коррекции подхода к оценке рисков нарушенияинформационной безопасности и проведению оценки рисков нарушенияинформационной безопасности...............................................................................398.5.
Требования к разработке планов обработки рисков нарушенияинформационной безопасности...............................................................................408.6. Требования кразработке/коррекции внутренних документов,регламентирующихдеятельностьвобластиобеспеченияинформационной безопасности...............................................................................418.7. Требования к принятию руководством организации банковской системыРоссийской Федерации решений о реализации и эксплуатации системыобеспечения информационной безопасности ........................................................428.8.
Требования к организации реализации планов внедрения системыобеспечения информационной безопасности ........................................................438.9. Требования к разработке и организации реализации программ пообучению и повышению осведомленности в области информационнойбезопасности .............................................................................................................438.10. Требования к организации обнаружения и реагирования на инцидентыинформационной безопасности...............................................................................448.11.
Требования к организации обеспечения непрерывности бизнеса и еговосстановления после прерываний .........................................................................448.12. Требования к мониторингу и контролю защитных мер ........................................458.13. Требования к проведению самооценки информационной безопасности ...........468.14. Требования к проведению аудита информационной безопасности ...................478.15. Требования к анализу функционирования системы обеспеченияинформационной безопасности...............................................................................488.16.
Требования к анализу системы обеспечения информационнойбезопасности со стороны руководства организации банковской системыРоссийской Федерации.............................................................................................498.17. Требования к принятию решений по тактическим улучшениям системыобеспечения информационной безопасности ........................................................508.18. Требования к принятию решений по стратегическим улучшениямсистемы обеспечения информационной безопасности .........................................519. Проверка и оценка информационной безопасности организаций банковскойсистемы Российской Федерации ........................................................................................
52Библиография .......................................................................................................................... 55проект 11.05.2010СТО БР ИББС–1.0–20ххVВведениеБанковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельностиБанка России [2].
Важнейшим условием реализации этих целей является обеспечениенеобходимого и достаточного уровня информационной безопасности (ИБ) организацийБС РФ, их активов (в т.ч. информационных), который во многом определяется уровнемИБ банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем, эксплуатирующихся организациями БС РФ.Особенности БС РФ таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежнойсистемы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ.
Поэтому для организаций БС РФ угрозы ИБпредставляют существенную опасность.Для противостояния таким угрозам и обеспечения эффективности мероприятийпо ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репутационный, стратегический и иные риски) в организациях БС РФ следуетобеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени.
По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим, Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки риска нарушения ИБ и принятия мер, необходимых для управления этим риском.Исходя из этого, разработан настоящий стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы документов в области стандартизации, в целом составляющих комплекс документовв области стандартизации по обеспечению ИБ организаций БС РФ.Основные цели стандартизации по обеспечению ИБ организаций БС РФ:– развитие и укрепление БС РФ;– повышение доверия к БС РФ;– поддержание стабильности организаций БС РФ и на этой основе –стабильности БС РФ в целом;– достижение адекватности мер защиты реальным угрозам ИБ;– предотвращение и (или) снижение ущерба от инцидентов ИБ.Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:– установление единых требований по обеспечению ИБ организаций БС РФ;– повышение эффективности мероприятий по обеспечению и поддержанию ИБорганизаций БС РФ.проект 11.05.20106СТО БР ИББС–1.0–20ххСТАНДАРТ БАНКА РОССИИОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫРОССИЙСКОЙ ФЕДЕРАЦИИОбщие положенияДата введения 2009–хх–хх1.
Область примененияНастоящий стандарт распространяется на организации банковской системы Российской Федерации (далее — организации БС РФ) и устанавливает положения по обеспечению ИБ в организациях БС РФ.Настоящий стандарт рекомендован для применения путем включения ссылок нанего и (или) прямого использования устанавливаемых в нем положений во внутреннихнормативных и методических документах организаций БС РФ, а также в договорах.Положения настоящего стандарта применяются на добровольной основе, еслитолько в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе,нормативными актами Банка России.Обязательность применения настоящего стандарта может быть установлена договорами, заключенными организациями БС РФ, или решением организации БС РФ.
Вэтих случаях, требования настоящего стандарта, содержащие положения долженствования, применяются на обязательной основе, а рекомендации, применяются по решению организации БС РФ.2. Нормативные ссылкиВ настоящем стандарте использованы нормативные ссылки на следующие стандарты:ГОСТ Р ИСО 9001–2001 Система менеджмента качества. Требования3. Термины и определенияТермины, установленные настоящим стандартом, применяются во всех видахдокументации и во всех видах деятельности по обеспечению ИБ в рамках КомплексаБР ИББС 1 .3.1.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
