st-10-xx (1027738), страница 3
Текст из файла (страница 3)
Защитная мера: сложившаяся практика, процедура или механизм, которыеиспользуются для уменьшения риска нарушения ИБ организации банковской системыРоссийской Федерации.3.43. Угроза информационной безопасности; угроза ИБ: Угроза нарушениясвойств ИБ - доступности, целостности или конфиденциальности информационных активов организации банковской системы Российской Федерации.3.44.
Уязвимость информационной безопасности; уязвимость ИБ: Слабоеместо в инфраструктуре организации банковской системы Российской Федерации,включая СОИБ, которое может быть использовано для реализации или способствоватьреализации угрозы ИБ.3.45. Ущерб: Утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации банковской системы Российской Федерации, наступивший в результате реализации угроз ИБ через уязвимости ИБ.3.46. Инцидент информационной безопасности; инцидент ИБ: Событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозыИБ.П р име ча ни я:1. Реализация угрозы ИБ - реализация нарушения свойств ИБ информационных активов организации банковской системы Российской Федерации.2 .Нарушение может вызываться источниками угроз ИБ: либо случайными факторами (ошибкойперсонала, неправильным функционированием технических средств, природными факторами, например,пожаром или наводнением), либо преднамеренными действиями, приводящими к нарушению доступности, целостности или конфиденциальности информационных активов.проект 11.05.2010СТО БР ИББС–1.0–20хх113.47.
Нарушитель информационной безопасности; нарушитель ИБ: Субъект,реализующий угрозы ИБ организации банковской системы Российской Федерации, нарушая предоставленные ему полномочия по доступу к активам организации банковскойсистемы Российской Федерации или по распоряжению ими.3.48. Модель нарушителя информационной безопасности; модель нарушителя ИБ: Описание и классификация нарушителей ИБ, включая описание их опыта,знаний, доступных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а также способы реализации угроз ИБ со стороны указанных нарушителей.3.49.
Модель угроз информационной безопасности; модель угроз ИБ: Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных дляреализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба.3.50.
Риск нарушения информационной безопасности; риск нарушения ИБ:Риск, связанный с угрозой ИБ.3.52. Оценка риска нарушения информационной безопасности: Систематический и документированный процесс выявления, сбора, использования и анализаинформации, позволяющей провести оценивание рисков нарушения ИБ, связанных сиспользованием информационных активов организации банковской системы Российской Федерации на всех стадиях их жизненного цикла.3.53. Обработка риска нарушения информационной безопасности: Процессвыбора и осуществления защитных мер, снижающих риск нарушения ИБ, или мер попереносу, принятию или уходу от риска.3.54.
Остаточный риск нарушения информационной безопасности: Риск, остающийся после обработки риска нарушения ИБ.3.55. Допустимый риск нарушения информационной безопасности: Риск нарушения ИБ, предполагаемый ущерб от которого организация банковской системы Российской Федерации в данное время и в данной ситуации готова принять.3.56. Документация: Совокупность взаимосвязанных документов, объединенных общей целевой направленностью.3.57. План работ по обеспечению информационной безопасности: Документ, устанавливающий перечень намеченных к выполнению работ или мероприятийпо обеспечению ИБ организации банковской системы Российской Федерации, их последовательность, объем (в той или иной форме), сроки выполнения, ответственныхлиц и конкретных исполнителей.3.58. Свидетельства выполнения деятельности по обеспечению информационной безопасности: Документ или элемент документа, содержащий достигнутыерезультаты (промежуточные или окончательные), относящиеся к обеспечению ИБ организации банковской системы Российской Федерации.3.59.
Политика информационной безопасности; политика ИБ: Документация,определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенная для организации банковской системы Российской Федерации в целом.3.60. Частная политика информационной безопасности; частная политикаИБ: Документация, детализирующая положения политики ИБ применительно к однойили нескольким областям ИБ, видам и технологиям деятельности организации банковской системы Российской Федерации.проект 11.05.201012СТО БР ИББС–1.0–20хх3.61. Мониторинг: Постоянное наблюдение за объектами и субъектами, влияющими на ИБ организации банковской системы Российской Федерации, а также сбор,анализ и обобщение результатов наблюдений.3.62.
Аудит информационной безопасности; аудит ИБ: Систематический, независимый и документируемый процесс получения свидетельств деятельности организации банковской системы Российской Федерации по обеспечению ИБ, установлениястепени выполнения в организации банковской системы Российской Федерации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения о состоянии ИБ организации банковской системы Российской Федерации.П р име ча ни е – Аудит ИБ выполняется работниками организации, являющейся внешней по отношению к организации банковской системы Российской Федерации.3.63. Критерии оценки (аудита) информационной безопасности; критерииоценки (аудита) ИБ: Совокупность требований в области ИБ, определенных стандартом Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
Общие положения" или его частью.3.64. Свидетельства оценки соответствия (аудита) информационной безопасности установленным критериям; свидетельства оценки соответствия (аудита) ИБ: Записи, изложение фактов или другая информация, которые имеют отношениек критериям оценки соответствия (самооценки соответствия, аудита) ИБ и могут бытьпроверены.П р име ча ни е – Свидетельства оценки соответствия (самооценки соответствия, аудита) ИБ могут быть качественными или количественными.3.65.
Выводы аудита информационной безопасности; выводы аудита ИБ:Результат оценки собранных свидетельств аудита ИБ.3.66. Заключение по результатам аудита информационной безопасности(аудиторское заключение); заключение по результатам аудита ИБ: Качественнаяили количественная оценка соответствия установленным критериям аудита ИБ, представленные аудиторской группой после рассмотрения всех выводов аудита ИБ в соответствии с целями аудита ИБ.3.67. Область аудита информационной безопасности; область аудита ИБ:Содержание и границы аудита ИБ.П р име ча ни е – Область аудита ИБ обычно включает местонахождение, организационнуюструктуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту ИБ,а также охватываемый период времени.3.68.
Программа аудита информационной безопасности; программа аудитаИБ: План деятельности по проведению одного или нескольких аудитов ИБ (и другихпроверок ИБ), запланированных на конкретный период времени и направленных надостижение конкретной цели.П р име ча ни е – Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ).4.
Обозначения и сокращенияАБС – автоматизированная банковская система;БС – банковская система;ЖЦ – жизненный цикл;ИБ – информационная безопасность;проект 11.05.2010СТО БР ИББС–1.0–20хх13ИСПДн – информационная система персональных данных;НСД – несанкционированный доступ;НРД – нерегламентированные действия в рамках предоставленных полномочий;РФ – Российская Федерация;СКЗИ – средство криптографической защиты информации;СМИБ – система менеджмента информационной безопасности;СИБ – система информационной безопасности;СОИБ – система обеспечения информационной безопасности;ЭВМ – электронная вычислительная машина;ЭЦП – электронная цифровая подпись;5.
Исходная концептуальная схема (парадигма) обеспеченияинформационной безопасности организаций банковскойсистемы Российской Федерации5.1. Сущность бизнеса заключается в вовлечении актива, принадлежащего собственнику (организации БС РФ) в бизнес-процесс. Эта деятельность всегда подвержена рискам, так как и на сам актив, и на бизнес-процесс могут воздействовать различного рода угрозы.Угрозы реализуются через их источники и имеют соответствующую вероятностьреализации.Выделяют источники угроз природного, техногенного и антропогенного характера. Источники угроз антропогенного характера могут быть как злоумышленные, так инезлоумышленные.5.2. В основе исходной концептуальной схемы ИБ организаций БС РФ лежит противоборство собственника 1) и злоумышленника 2) с целью получения контроля над информационными активами.
Однако другие, незлоумышленные действия или источникиугроз, также лежат в сфере рассмотрения настоящего стандарта.Если злоумышленнику удается установить такой контроль, то как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, наносится ущерб.5.3. Руководство организации БС РФ должно знать, что защищать.
Для этого необходимо определить и защитить все информационные активы (ресурсы), реализацияугроз в отношении которых может нанести ущерб организации БС РФ.5.4. Наибольшими возможностями для нанесения ущерба организации БС РФобладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами, либо нерегламен-1)Под собственником здесь понимается субъект хозяйственной деятельности, имеющий прававладения, распоряжения или пользования активами, который заинтересован или обязан (согласно требований законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.2)Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и моглопредвидеть возможность наступления этих последствий (адаптировано из ст.27.
УК РФ).проект 11.05.201014СТО БР ИББС–1.0–20ххтированная деятельность для получения контроля над активами. При этом он будетстремиться к сокрытию следов своей деятельности.Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутриорганизации БС РФ.Незлоумышленные действия собственных работников создают либо уязвимостиИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает.5.5. Практически никогда не известно о готовящемся нападении, оно, как правило, бывает неожиданным. Нападения, как правило, носят локальный и конкретный поместу, цели и времени характер.5.6.
Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем выявления уязвимостей ИБ.Путем поиска или создания уязвимостей ИБ он отрабатывает наиболее эффективныйметод нападения (получения контроля над активом).С целью снижения рисков нарушения ИБ и управления ими собственник создаетуполномоченный орган - свою службу ИБ (подразделение (лица) в организации БС РФ,ответственные за обеспечение ИБ), организует создание и эксплуатацию СОИБ, а также организует эксплуатацию АБС в соответствии с правилами и требованиями, задаваемыми СОИБ. Одна из задач службы ИБ – выявление следов активности нарушителя.5.7. Один из главных инструментов собственника в обеспечении ИБ– основанныйна опыте прогноз (составление модели угроз и модели нарушителя) 1)Чем обоснованнее и точнее сделан прогноз, тем потенциально ниже риски нарушения ИБ организации БС РФ при минимальных ресурсных затратах.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
