st-10-xx (1027738), страница 4
Текст из файла (страница 4)
При этом следуетучитывать, что со временем угрозы, их источники и риски могут изменяться. Поэтомумодели следует периодически пересматривать.5.8.Наиболее правильный и эффективный способ добиться минимизации рисковнарушения ИБ организации БС РФ – разработать политику ИБ организации БС РФ и всоответствии с ней реализовать, эксплуатировать и совершенствовать СОИБ организации БС РФ.5.9. Политика ИБ организаций БС РФ разрабатывается на основе накопленногов организации БС РФ опыта в области обеспечения ИБ, результатов идентификацииактивов, подлежащих защите, результатов оценки рисков, с учетом особенностей бизнеса и технологий, требований законодательства Российской Федерации, нормативныхактов Банка России, а также интересов и бизнес-целей конкретной организации БС РФ.5.10. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ организации БС РФ серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником илименеджментом организации БС РФ, представляющим интересы собственника.
Поэтомуэтими отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности организации БС РФ является ее персонал, собственник долженвсемерно поощрять заинтересованность и осведомленность персонала в решениипроблем ИБ.1)Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер.
Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используется имеющийся опыт и знания, поэтому, чем выше знания, тем точнее прогноз.проект 11.05.2010СТО БР ИББС–1.0–20хх155.11. Далеко не каждая организация БС РФ располагает потенциалом для самостоятельного составления моделей угроз и нарушителя, а также политики ИБ. В этомслучае эти документы должны составляться с привлечением сторонних организаций.Модели угроз и нарушителя должны учитывать разработки ведущих специалистов банковской системы, а также международный опыт в этой сфере.5.12. При разработке моделей угроз и моделей нарушителя необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью нарушительвыберет наиболее слабо контролируемый, где его деятельность будет оставаться необнаруженной максимально долго.
Поэтому все операции в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации должны особенно тщательно контролироваться.5.13. Стратегия обеспечения ИБ организаций БС РФ, таким образом, заключается как в эффективном использовании по имеющемуся плану заранее разработанныхмер по обеспечению ИБ, противостоящих атакам злоумышленников, так и в регулярном пересмотре моделей и политик ИБ, а также корректировке СОИБ. В случае реализации угроз должен быть использован дополнительный (специально разработанный)план действий, позволяющий свести к минимуму возможные потери и восстановитьСОИБ.5.14.
Любой целенаправленной деятельности (бизнесу) свойственны риски. Это объективная реальность и понизить эти риски можно лишь до определенного остаточного уровня. Оставшаяся (остаточная) часть риска, определяемая, в том числе, факторами среды деятельности организации БС РФ, должна быть признана приемлемой ипринята, либо отклонена. В этом случае от риска следует либо уклониться (изменитьсреду деятельности), либо перевести на кого-нибудь (например, застраховать).
Такимобразом, уровень защищенности интересов (целей) организации БС РФ определяется,во–первых, величиной принятых ею остаточных рисков, а во-вторых, эффективностьюработ по поддержанию принятых рисков на допустимом, низком (остаточном) уровне.5.15. Риски нарушения ИБ должны быть согласованы и иерархически связаны срисками основной (бизнес) деятельности организации БС РФ через возможный ущерб.Риски нарушения ИБ выражаются в возможности потери состояния защищенности интересов (целей) организации БС РФ в информационной сфере и возникновенияущерба бизнесу организации БС РФ или убытков.Потеря состояния защищенности интересов (целей) организации БС РФ в информационной сфере заключается в утрате свойств доступности, целостности иликонфиденциальности информационных активов, утрате заданных целями бизнеса параметров или доступности сервисов инфраструктуры организации БС РФ.5.16. Уязвимость ИБ создает предпосылки к реализации угрозы через нее (инцидент ИБ).
Реализация угрозы нарушения ИБ приводит к утрате защищенности интересов (целей) организации БС РФ в информационной сфере, в результате чего организации БС РФ наносится ущерб. Тяжесть ущерба совместно с вероятностью приводящегок нему инцидента ИБ определяют величину риска.5.17. Постоянный анализ и изучение инфраструктуры организации БС РФ с целью выявления и устранения уязвимостей ИБ – основа эффективной работы СОИБ.5.18.
Анализ и оценка рисков нарушения ИБ должна основываться на идентификации активов организации БС РФ, на их ценности для целей и задач организации БСРФ, на моделях угроз и нарушителей ИБ организации БС РФ.5.19. При принятии решений о внедрении защитных мер для противодействияидентифицированным угрозам (рискам) необходимо учитывать, что тем самым одновременно может увеличиваться сложность СОИБ организации БС РФ, что, в свою очепроект 11.05.201016СТО БР ИББС–1.0–20ххредь, как правило, порождает новые риски. Поэтому при выборе решения о внедрениизащитных мер для обработки существующих рисков, должны учитываться вопросыэксплуатации защитных мер и их влияния на общую структуру рисков организации.5.20.
Организация БС РФ осуществляет свою деятельность путем реализациисовокупности процессов, среди которых возможно выделение следующих групп:– основные процессы, обеспечивающие достижение целей и задач организацииБС РФ;– вспомогательные процессы, обеспечивающие качество, в том числе, обеспечение ИБ организации БС РФ;– процессы менеджмента (управления), обеспечивающие поддержку параметровосновных и вспомогательных процессов в заданных пределах и их корректировку вслучае изменения внешних или внутренних условий.Такое разделение процессов является условным, так как основные и вспомогательные процессы нередко образуют единое целое, например, функционирование защитных мер составляет часть группы основных процессов.
В то же время процессыменеджмента отделены от основных и вспомогательных процессов, которые являютсяобъектами менеджмента.5.21. Совокупность защитных мер, реализующих обеспечение ИБ организацииБС РФ, и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение, составляет СИБ организации БС РФ.Совокупность процессов менеджмента ИБ, включая ресурсное и административное (организационное) обеспечение этих процессов, составляет СМИБ организации БСРФ.Совокупность СИБ и СМИБ составляет СОИБ организации БС РФ.5.22.
Процессы эксплуатации защитных мер функционируют в реальном времени. Совокупность защитных мер и процессов их эксплуатации должна обеспечивать текущий, требуемый уровень ИБ в условиях штатного функционирования, а также в условиях реализации угроз, учтенных в моделях организации БС РФ и приводящих к возникновению:– локальных инцидентов ИБ;– широкомасштабных катастроф и аварий различной природы, последствия которых могут иметь отношения к ИБ организации БС РФ.5.23.
СОИБ должна быть определена, спланирована и регламентирована в организации БС РФ. Однако, даже правильно выстроенные процессы и используемые защитные меры в силу объективных причин со временем имеют тенденцию к ослаблению своей эффективности. Это неминуемо ведет к деградации системы защиты и возрастанию рисков нарушения ИБ.Для поддержания системы защиты на должном уровне в качестве оперативноймеры используется мониторинг событий и инцидентов в СИБ.
Менеджмент событий иинцидентов безопасности, полученных в результате мониторинга, позволяет избежатьдеградации и обеспечить требуемый уровень безопасности активов.Для оценки состояния ИБ защищаемого актива и выявления признаков деградации используемых защитных мер, проводится оценка (самооценка) соответствия системы требованиям настоящего стандарта.5.24. Для реализации и поддержания ИБ в организации БС РФ необходима реализация четырех групп процессов:– планирование СОИБ организации БС РФ («планирование»);– реализация СОИБ организации БС РФ («реализация»);проект 11.05.2010СТО БР ИББС–1.0–20хх17– мониторинг и анализ СОИБ организации БС РФ («проверка»);– поддержка и улучшение СОИБ организации БС РФ («совершенствование»).Указанные группы процессов составляют СМИБ организации БС РФ.5.25. Менеджмент ИБ есть часть общего корпоративного менеджмента организации БС РФ, которая ориентирована на содействие достижению целей деятельности организации через обеспечение защищенности ее информационной сферы.Группы процессов СМИБ организации БС РФ следует организовывать в видециклической модели Деминга «…- планирование – реализация – проверка – совершенствование – планирование -…», которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001–2005 [4].
Организация ивыполнение процессов СМИБ необходимы, в том числе, для обеспечения уверенностив том, что хороший практический опыт организации БС РФ документируется, становится обязательным к применению, а СОИБ совершенствуется.5.26. Основой для построения СОИБ организации БС РФ являются требованиязаконодательства Российской Федерации, нормативные акты Банка России, контрактные требования организации БС РФ, а также условия ведения бизнеса, выраженные наоснове идентификации активов организации БС РФ, построения модели нарушителейи угроз.5.27.
Рисунок 1 иллюстрирует взаимосвязь СИБ, СМИБ и СОИБ организации БСРФ.СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИСИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИРеализацияСОИБПланированиеСОИБСИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИПроверкаСОИБСовершенствованиеСОИБРисунок 1. СОИБ организации БС РФ5.28. Руководству организации БС РФ необходимо инициировать, поддерживатьи контролировать выполнение процессов СОИБ. Степень выполнения указанной деятельности со стороны руководства организации определяется осознанием необходимости обеспечения ИБ организации БС РФ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
