st10-08 (1027741), страница 4
Текст из файла (страница 4)
Источники угроз антропогенного характера могут быть как злоумышленные, так и незлоумышленные.5.2. В основе исходной концептуальной схемы ИБ организаций БС РФ лежит противоборство собственника1 и злоумышленника2 с целью получения контроля над информационными активами. Однако другие, незлоумышленные, действия или источники угроз также лежат в сферерассмотрения настоящего стандарта.Если злоумышленнику удается установить такой контроль, то как самой организацииБС РФ, так и клиентам, которые доверили ей свои собственные активы, наносится ущерб.5.3. Руководство организации БС РФ должно знать, что защищать. Для этого необходимоопределить и защитить все информационные активы (ресурсы), реализация угроз в отношениикоторых может нанести ущерб организации БС РФ.1Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативноправовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.2Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознаниемего опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий(адаптировано из ст.
27 УК РФ).12 СТО БР ИББС1.020085.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает еесобственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ.Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либоинциденты, влияющие на свойства доступности, целостности и конфиденциальности актива илипараметры системы, которая этот актив поддерживает.5.5. Практически никогда не известно о готовящемся нападении, оно, как правило, бывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер.5.6.
Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем выявления уязвимостей ИБ. Путем поиска илисоздания уязвимостей ИБ он отрабатывает наиболее эффективный метод нападения (получения контроля над активом).С целью снижения рисков нарушения ИБ и управления ими собственник создает уполномоченный орган — свою службу ИБ (подразделение (лица) в организации БС РФ, ответственное за обеспечение ИБ), организует создание и эксплуатацию СОИБ, а также организует эксплуатацию АБС в соответствии с правилами и требованиями, задаваемыми СОИБ.
Одна из задач службы ИБ — выявление следов активности нарушителя.5.7. Один из главных инструментов собственника в обеспечении ИБ — основанный на опыте прогноз (составление модели угроз и модели нарушителя)1.Чем обоснованнее и точнее сделан прогноз, тем потенциально ниже риски нарушения ИБорганизации БС РФ при минимальных ресурсных затратах. При этом следует учитывать, что современем угрозы, их источники и риски могут изменяться.
Поэтому модели следует периодически пересматривать.5.8. Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ организации БС РФ — разработать политику ИБ организации БС РФ и в соответствиис ней реализовать, эксплуатировать и совершенствовать СОИБ организации БС РФ.5.9. Политика ИБ организаций БС РФ разрабатывается на основе накопленного в организации БС РФ опыта в области обеспечения ИБ, результатов идентификации активов, подлежащих защите, результатов оценки рисков, с учетом особенностей бизнеса и технологий, требований законодательства Российской Федерации, нормативных актов Банка России, а также интересов и бизнесцелей конкретной организации БС РФ.5.10.
Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ организации БС РФ серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником или менеджментом организации БС РФ, представляющим интересы собственника. Поэтому этими отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности организации БС РФявляется ее персонал, собственник должен всемерно поощрять заинтересованность и осведомленность персонала в решении проблем ИБ.5.11. Далеко не каждая организация БС РФ располагает потенциалом для самостоятельного составления моделей угроз и нарушителя, а также политики ИБ. В этом случае эти документы должны составляться с привлечением сторонних организаций.Модели угроз и нарушителя должны учитывать разработки ведущих специалистов банковской системы, а также международный опыт в этой сфере.5.12.
При разработке моделей угроз и моделей нарушителя необходимо учитывать, чтоиз всех возможных объектов атак с наибольшей вероятностью нарушитель выберет наиболееслабо контролируемый, где его деятельность будет оставаться необнаруженной максимальнодолго. Поэтому все операции в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны особенно тщательно контролироваться.5.13. Стратегия обеспечения ИБ организаций БС РФ, таким образом, заключается как вэффективном использовании по имеющемуся плану заранее разработанных мер по обеспечению ИБ, противостоящих атакам злоумышленников, так и в регулярном пересмотре моделей и1Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. МоделиИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее.
При разработке моделей (прогнозе)используются имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.СТО БР ИББС1.02008 13политик ИБ, а также корректировке СОИБ. В случае реализации угроз должен быть использовандополнительный (специально разработанный) план действий, позволяющий свести к минимуму возможные потери и восстановить СОИБ.5.14.
Любой целенаправленной деятельности (бизнесу) свойственны риски. Это — объективная реальность, и понизить эти риски можно лишь до определенного остаточного уровня. Оставшаяся (остаточная) часть риска, определяемая в том числе факторами среды деятельности организации БС РФ, должна быть признана приемлемой и принята либо отклонена. В этом случае от рискаследует либо уклониться (изменить среду деятельности), либо перевести на когонибудь (например, застраховать). Таким образом, уровень защищенности интересов (целей) организации БС РФопределяется, вопервых, величиной принятых ею остаточных рисков, а вовторых, эффективностью работ по поддержанию принятых рисков на допустимом низком (остаточном) уровне.5.15. Риски нарушения ИБ должны быть согласованы и иерархически связаны с рискамиосновной (бизнес) деятельности организации БС РФ через возможный ущерб.Риски нарушения ИБ выражаются в возможности потери состояния защищенности интересов (целей) организации БС РФ в информационной сфере и возникновения ущерба бизнесуорганизации БС РФ или убытков.Потеря состояния защищенности интересов (целей) организации БС РФ в информационной сфере заключается в утрате свойств доступности, целостности или конфиденциальностиинформационных активов, утрате заданных целями бизнеса параметров или доступности сервисов инфраструктуры организации БС РФ.5.16.
Уязвимость ИБ создает предпосылки к реализации угрозы через нее (инцидент ИБ).Реализация угрозы нарушения ИБ приводит к утрате защищенности интересов (целей) организации БС РФ в информационной сфере, в результате чего организации БС РФ наносится ущерб.Тяжесть ущерба совместно с вероятностью приводящего к нему инцидента ИБ определяют величину риска.5.17. Постоянный анализ и изучение инфраструктуры организации БС РФ с целью выявления и устранения уязвимостей ИБ — основа эффективной работы СОИБ.5.18. Анализ и оценка рисков нарушения ИБ должна основываться на идентификации активов организации БС РФ, на их ценности для целей и задач организации БС РФ, на моделяхугроз и нарушителей ИБ организации БС РФ.5.19. При принятии решений о внедрении защитных мер для противодействия идентифицированным угрозам (рискам) необходимо учитывать, что тем самым одновременно может увеличиваться сложность СОИБ организации БС РФ, что, в свою очередь, как правило, порождаетновые риски.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
