st-10-xx (1027738), страница 5
Текст из файла (страница 5)
Осознание необходимости обеспечения ИБорганизации БС РФ проявляется в использовании руководством организации БС РФпроект 11.05.201018СТО БР ИББС–1.0–20ххбизнес-преимуществ обеспечения ИБ, способствующих формированию условий длядальнейшего развития бизнеса организации с допустимыми рисками.5.29. Осознание необходимости обеспечения ИБ является внутренним побудительным мотивом руководства организации БС РФ постоянно инициировать, поддерживать, анализировать и контролировать СОИБ в отличие от ситуации, когда решениео выполнении указанных видов деятельности принимается либо в результате возникших проблем, либо определяется внешними факторами.5.30. Осознание необходимости обеспечения ИБ организации БС РФ выражается посредством выполнения в рамках СМИБ деятельности со стороны руководства,направленной на инициирование, поддержание, анализ и контроль СОИБ организацииБС РФ.6. Модели угроз и нарушителей информационной безопасностиорганизаций банковской системы Российской Федерации6.1.
Модели угроз и нарушителей должны быть основным инструментом организации БС РФ при развертывании, поддержании и совершенствовании СОИБ.6.2. Деятельность организации БС РФ поддерживается входящей в ее составинформационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:– физического (линии связи, аппаратные средства и пр.);– сетевого оборудования (маршрутизаторы, коммутаторы, концентраторы ипр.);– сетевых приложений и сервисов;– операционных систем (ОС);– систем управления базами данных (СУБД);– банковских технологических процессов и приложений;– бизнес-процессов организации.6.3.
На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными.6.4. Главной целью злоумышленника является получение контроля над информационными активами на уровне бизнес-процессов. Прямое нападение на уровне бизнес-процессов, например, путем раскрытия конфиденциальной банковской аналитической информации, более эффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляемое через нижние уровни, требующее специфическихопыта, знаний и ресурсов (в т.ч. временных) и поэтому менее эффективное по соотношению «затраты/получаемый результат».Другими целями злоумышленника могут являться, например, нарушение функционирования бизнес-процессов организации БС РФ путем нарушения доступности илицелостности информационных активов, например посредством распространения вредоносных программ или нарушения правил эксплуатации ЭВМ или их сетей.6.5.
Организация должна определить конкретные объекты среды информационных активов на каждом из уровней информационной инфраструктуры.6.6. Основными источниками угроз ИБ являются:– неблагоприятные события природного, техногенного и социального характера;– террористы и криминальные элементы;проект 11.05.2010СТО БР ИББС–1.0–20хх19– зависимость от поставщиков/провайдеров/партнеров/клиентов;– сбои, отказы, разрушения/повреждения программных и технических средств;– работники организации БС РФ, реализующие угрозы ИБ с использованиемлегально предоставленных им прав и полномочий (внутренние нарушители ИБ);– работники организации БС РФ, реализующие угрозы ИБ вне легально предоставленных им прав и полномочий, а также субъекты, не являющиеся работникамиорганизации БС РФ, но осуществляющие попытки НСД и НРД (внешние нарушителиИБ);– несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.6.7. Наиболее актуальные источники угроз на физическом уровне, уровне сетевого оборудования и уровне сетевых приложений:– внешние нарушители ИБ: лица, разрабатывающие/распространяющие вирусы и другие вредоносные программные коды; лица, организующие DoS, DDoS и иныевиды атак; лица, осуществляющие попытки НСД и НРД;– внутренние нарушители ИБ: персонал, имеющий права доступа к аппаратному оборудованию, в том числе, сетевому, администраторы серверов, сетевых приложений и т.
п.;– комбинированные источники угроз: внешние и внутренние нарушители ИБ,действующие совместно и(или) согласованно;– сбои, отказы, разрушения/повреждения программных и технических средств.6.8. Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов:– внутренние нарушители ИБ: администраторы ОС, администраторы СУБД,пользователи банковских приложений и технологий, администраторы ИБ и т. д.;– комбинированные источники угроз: внешние и внутренние нарушители ИБ,действующие в сговоре 1).6.9.
Наиболее актуальные источники угроз на уровне бизнес-процессов:– внутренние нарушители ИБ: авторизованные пользователи и операторы АБС,представители менеджмента организации и пр.;– комбинированные источники угроз: внешние нарушители ИБ (например, конкуренты) и внутренние, действующие в сговоре;– несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.6.10. Источники угроз используют для реализации угрозы уязвимости ИБ.6.11. Хорошей практикой в организациях БС РФ является разработка моделейугроз и нарушителей ИБ для организации в целом, а также, при необходимости, для ееотдельных банковских процессов.Степень детализации параметров моделей угроз и нарушителей ИБ может бытьразлична и определяется реальными потребностями для каждой организации в отдельности.1)На данных уровнях и уровне бизнес-процессов реализация угроз внешними нарушителями ИБ,действующими самостоятельно без соучастия внутренних, практически невозможна.проект 11.05.201020СТО БР ИББС–1.0–20хх7.
Система информационной безопасности организацийбанковской системы Российской Федерации7.1. Общие положения7.1.1 Выполнение требований к СИБ организации БС РФ является основой дляобеспечения должного уровня ИБ. Формирование требований к СИБ организации БСРФ должно проводиться на основе:- положений настоящего раздела стандарта;- выполнения деятельности в рамках СМИБ организации БС РФ, определеннойв разделе 8 настоящего стандарта (в частности, деятельности по разработке плановобработки рисков нарушения ИБ).Требования к СИБ организации БС РФ должны быть оформлены документальнов соответствии с Рекомендациями в области стандартизации Банка России РС БРИББС-2.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в областиобеспечения информационной безопасности в соответствии с требованиями СТО БРИББС-1.0».7.1.2.
Положения подразделов 7.2-7.11 настоящего стандарта образуют базовыйнабор требований к СИБ, применимый к большинству организаций БС РФ. В соответствии с особенностями конкретной организации БС РФ данный базовый набор требований может быть расширен путем выполнения деятельности в рамках процессовСМИБ организации БС РФ, например, определения области действия СОИБ организации БС РФ, анализа и оценки рисков нарушения ИБ.7.1.3. Требования к СИБ должны быть сформированы, в том числе для следующих областей:– назначения и распределения ролей и обеспечения доверия к персоналу;– обеспечения ИБ на стадиях ЖЦ АБС;– защиты от НСД и НРД, управления доступом и регистрацией всех действий вАБС, в телекоммуникационном оборудовании, автоматических телефонных станциях ит. д.;– антивирусной защиты;– использования ресурсов Интернет;– использования СКЗИ;– защиты банковских платежных и информационных технологических процессов, в том числе банковских технологических процессов, в рамках которых обрабатываются персональные данные.В конкретной организации БС РФ требования к СИБ могут формироваться и длядругих областей и направлений деятельности.7.1.4.
При распределении прав доступа работников и клиентов к информационным активам организации БС РФ следует руководствоваться принципами:– «знать своего клиента» 1);– «знать своего служащего» 1) ;1)«Знать своего клиента» (Know your Customer): принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов.проект 11.05.2010СТО БР ИББС–1.0–20хх21– «необходимо знать» 2),а также рекомендуется использовать принцип «двойное управление» 3) .7.1.5.
Формирование ролей должно осуществляться на основании существующихбизнес-процессов организации БС РФ и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.Формирование ролей не должно выполняться по принципу фиксации фактических сложившихся прав и полномочий персонала организации БС РФ.7.1.6. Для обеспечения ИБ и контроля за качеством обеспечения ИБ в организации БС РФ должны быть определены роли, связанные с деятельностью по обеспечению ИБ. Руководство организации БС РФ должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением ИБ.7.1.7.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
