st10-08 (1027741), страница 3
Текст из файла (страница 3)
Целостность информационных активов: Свойство ИБ организации банковскойсистемы Российской Федерации сохранять неизменность или обнаруживать факт изменения всвоих информационных активах.3.36. Конфиденциальность информационных активов: Свойство ИБ организации банковской системы Российской Федерации, состоящее в том, что обработка, хранение и передаСТО БР ИББС1.020089ча информационных активов осуществляются таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.3.37. Система информационной безопасности; СИБ: Совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.3.38.
Система менеджмента информационной безопасности; СМИБ: Часть менеджмента организации банковской системы Российской Федерации, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ.3.39. Система обеспечения информационной безопасности; СОИБ: СовокупностьСИБ и СМИБ организации банковской системы Российской Федерации.3.40. Область действия системы обеспечения информационной безопасности; об.ласть действия СОИБ: Совокупность информационных активов и элементов информационнойинфраструктуры организации банковской системы Российской Федерации.3.41. Осознание необходимости обеспечения информационной безопасности;осознание ИБ: Понимание руководством организации банковской системы Российской Федерации необходимости самостоятельно на основе принятых в этой организации ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению ИБ, а также поддерживать эту деятельностьадекватно прогнозу.Примечание.Осознание ИБ является внутренней побудительной причиной для руководства банковской системыРоссийской Федерации инициировать и поддерживать деятельность по обеспечению ИБ, в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по обеспечению ИБ определяется соответственно либо возникшими проблемами организации, либо внешними факторами, например, требованиями законов.3.42.
Защитная мера: Сложившаяся практика, процедура или механизм, которые используются для уменьшения риска нарушения ИБ организации банковской системы РоссийскойФедерации.3.43. Угроза информационной безопасности; угроза ИБ: Угроза нарушения свойствИБ — доступности, целостности или конфиденциальности информационных активов организации банковской системы Российской Федерации.3.44. Уязвимость информационной безопасности; уязвимость ИБ: Слабое место винфраструктуре организации банковской системы Российской Федерации, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ.3.45. Ущерб: Утрата активов, повреждение (утрата свойств) активов и(или) инфраструктуры организации или другой вред активам и(или) инфраструктуре организации банковскойсистемы Российской Федерации, наступивший в результате реализации угроз ИБ через уязвимости ИБ.3.46.
Инцидент информационной безопасности; инцидент ИБ: Событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ, т.е. реализацию нарушения свойств ИБ информационных активов организации банковской системы Российской Федерации.Примечание.Нарушение может вызываться источниками угроз ИБ: либо случайными факторами (ошибкой персонала, неправильным функционированием технических средств, природными факторами, например, пожаром или наводнением), либо преднамеренными действиями, приводящими к нарушению доступности,целостности или конфиденциальности информационных активов.3.47. Нарушитель информационной безопасности; нарушитель ИБ: Субъект, реализующий угрозы ИБ организации банковской системы Российской Федерации, нарушая предоставленные ему полномочия по доступу к активам организации банковской системы РоссийскойФедерации или по распоряжению ими.3.48. Модель нарушителя информационной безопасности; модель нарушителя ИБ:Описание и классификация нарушителей ИБ, включая описание их опыта, знаний, доступныхресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а такжеспособы реализации угроз ИБ со стороны указанных нарушителей.3.49.
Модель угроз информационной безопасности; модель угроз ИБ: Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угрозИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба.10 СТО БР ИББС1.020083.50. Риск нарушения информационной безопасности; риск нарушения ИБ: Риск,связанный с угрозой ИБ.3.51. Оценка риска нарушения информационной безопасности: Систематический идокументированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации банковской системы Российской Федерации на всех стадиях их жизненного цикла.3.52.
Обработка риска нарушения информационной безопасности: Процесс выбораи осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию или уходу от риска.3.53. Остаточный риск нарушения информационной безопасности: Риск, остающийсяпосле обработки риска нарушения ИБ.3.54. Допустимый риск нарушения информационной безопасности: Риск нарушения ИБ, предполагаемый ущерб от которого организация банковской системы Российской Федерации в данное время и в данной ситуации готова принять.3.55. Документация: Совокупность взаимосвязанных документов, объединенных общейцелевой направленностью.3.56. План работ по обеспечению информационной безопасности: Документ, устанавливающий перечень намеченных к выполнению работ или мероприятий по обеспечению ИБорганизации банковской системы Российской Федерации, их последовательность, объем (в тойили иной форме), сроки выполнения, ответственных лиц и конкретных исполнителей.3.57.
Свидетельства выполнения деятельности по обеспечению информационнойбезопасности: Документ или элемент документа, содержащий достигнутые результаты (промежуточные или окончательные), относящиеся к обеспечению ИБ организации банковской системы Российской Федерации.3.58. Политика информационной безопасности; политика ИБ: Документация, определяющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенная для организации банковской системы Российской Федерации вцелом.3.59. Частная политика информационной безопасности; частная политика ИБ: Документация, детализирующая положения политики ИБ применительно к одной или несколькимобластям ИБ, видам и технологиям деятельности организации банковской системы РоссийскойФедерации.3.60.
Мониторинг: Постоянное наблюдение за объектами и субъектами, влияющими наИБ организации банковской системы Российской Федерации, а также сбор, анализ и обобщение результатов наблюдений.3.61. Аудит информационной безопасности; аудит ИБ: Систематический, независимый и документируемый процесс получения свидетельств деятельности организации банковской системы Российской Федерации по обеспечению ИБ, установления степени выполнения ворганизации банковской системы Российской Федерации критериев ИБ, а также допускающийвозможность формирования профессионального аудиторского суждения о состоянии ИБ организации банковской системы Российской Федерации.Примечание.Аудит ИБ выполняется работниками организации, являющейся внешней по отношению к организации банковской системы Российской Федерации.3.62.
Критерии оценки (аудита) информационной безопасности; критерии оценки(аудита) ИБ: Совокупность требований в области ИБ, определенных стандартом Банка РоссииСТО БР ИББС1.0 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” или его частью.3.63.
Свидетельства оценки соответствия (аудита) информационной безопасностиустановленным критериям; свидетельства оценки соответствия (аудита) ИБ: Записи, изложение фактов или другая информация, которые имеют отношение к критериям оценки соответствия (самооценки соответствия, аудита) ИБ и могут быть проверены.Примечание.Свидетельства оценки соответствия (самооценки соответствия, аудита) ИБ могут быть качественными или количественными.3.64. Выводы аудита информационной безопасности; выводы аудита ИБ: Результатоценки собранных свидетельств аудита ИБ.3.65. Заключение по результатам аудита информационной безопасности (аудитор.ское заключение); заключение по результатам аудита ИБ: Качественная или количественная оценка соответствия установленным критериям аудита ИБ, представленная аудиторскойгруппой после рассмотрения всех выводов аудита ИБ в соответствии с целями аудита ИБ.СТО БР ИББС1.02008 113.66.
Область аудита информационной безопасности; область аудита ИБ: Содержание и границы аудита ИБ.Примечание.Область аудита ИБ обычно включает местонахождение, организационную структуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту ИБ, а также охватываемыйпериод времени.3.67. Программа аудита информационной безопасности; программа аудита ИБ:План деятельности по проведению одного или нескольких аудитов ИБ (и других проверок ИБ),запланированных на конкретный период времени и направленных на достижение конкретнойцели.Примечание.Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения,контроля, анализа и совершенствования аудитов ИБ (и других проверок ИБ).4.
Îáîçíà÷åíèÿ è ñîêðàùåíèÿАБС — автоматизированная банковская система;БС — банковская система;ЖЦ — жизненный цикл;ИБ — информационная безопасность;НСД — несанкционированный доступ;НРД — нерегламентированные действия в рамках предоставленных полномочий;РФ — Российская Федерация;СКЗИ — средство криптографической защиты информации;СМИБ — система менеджмента информационной безопасности;СИБ — система информационной безопасности;СОИБ — система обеспечения информационной безопасности;ЭВМ — электронная вычислительная машина;ЭЦП — электронная цифровая подпись.5.
Èñõîäíàÿ êîíöåïòóàëüíàÿ ñõåìà (ïàðàäèãìà)îáåñïå÷åíèÿ èíôîðìàöèîííîé áåçîïàñíîñòèîðãàíèçàöèé áàíêîâñêîé ñèñòåìûÐîññèéñêîé Ôåäåðàöèè5.1. Сущность бизнеса заключается в вовлечении актива, принадлежащего собственнику(организации БС РФ), в бизнеспроцесс. Эта деятельность всегда подвержена рискам, так каки на сам актив, и на бизнеспроцесс могут воздействовать различного рода угрозы.Угрозы реализуются через их источники и имеют соответствующую вероятность реализации.Выделяют источники угроз природного, техногенного и антропогенного характера.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
