st10-08 (1027741), страница 5
Текст из файла (страница 5)
Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на общую структуру рисков организации.5.20. Организация БС РФ осуществляет свою деятельность путем реализации совокупности процессов, среди которых возможно выделение следующих групп:— основные процессы, обеспечивающие достижение целей и задач организации БС РФ;— вспомогательные процессы, обеспечивающие качество, в том числе обеспечение ИБ организации БС РФ;— процессы менеджмента (управления), обеспечивающие поддержку параметров основныхи вспомогательных процессов в заданных пределах и их корректировку в случае изменения внешних или внутренних условий.Такое разделение процессов является условным, так как основные и вспомогательныепроцессы нередко образуют единое целое, например, функционирование защитных мер составляет часть группы основных процессов. В то же время процессы менеджмента отделены от основных и вспомогательных процессов, которые являются объектами менеджмента.5.21.
Совокупность защитных мер, реализующих обеспечение ИБ организации БС РФ ипроцессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение, составляет СИБ организации БС РФ.Совокупность процессов менеджмента ИБ, включая ресурсное и административное (организационное) обеспечение этих процессов, составляет СМИБ организации БС РФ.Совокупность СИБ и СМИБ составляет СОИБ организации БС РФ.5.22.
Процессы эксплуатации защитных мер функционируют в реальном времени. Совокупность защитных мер и процессов их эксплуатации должна обеспечивать текущий, требуемый уровень ИБ в условиях штатного функционирования, а также в условиях реализации угроз,учтенных в моделях организации БС РФ и приводящих к возникновению:— локальных инцидентов ИБ;— широкомасштабных катастроф и аварий различной природы, последствия которых могутиметь отношение к ИБ организации БС РФ.14 СТО БР ИББС1.020085.23.
СОИБ должна быть определена, спланирована и регламентирована в организацииБС РФ. Однако даже правильно выстроенные процессы и используемые защитные меры в силуобъективных причин со временем имеют тенденцию к ослаблению своей эффективности. Этонеминуемо ведет к деградации системы защиты и возрастанию рисков нарушения ИБ.Для поддержания системы защиты на должном уровне в качестве оперативной меры используется мониторинг событий и инцидентов в СИБ.
Менеджмент событий и инцидентов безопасности, полученных в результате мониторинга, позволяет избежать деградации и обеспечитьтребуемый уровень безопасности активов.Для оценки состояния ИБ защищаемого актива и выявления признаков деградации используемых защитных мер проводится оценка (самооценка) соответствия системы требованиям настоящего стандарта.5.24. Для реализации и поддержания ИБ в организации БС РФ необходима реализациячетырех групп процессов:— планирование СОИБ организации БС РФ (“планирование”);— реализация СОИБ организации БС РФ (“реализация”);— мониторинг и анализ СОИБ организации БС РФ (“проверка”);— поддержка и улучшение СОИБ организации БС РФ (“совершенствование”).Указанные группы процессов составляют СМИБ организации БС РФ.5.25.
Менеджмент ИБ есть часть общего корпоративного менеджмента организацииБС РФ, которая ориентирована на содействие достижению целей деятельности организациичерез обеспечение защищенности ее информационной сферы.Группы процессов СМИБ организации БС РФ следует организовывать в виде циклической модели Деминга “… — планирование — реализация — проверка — совершенствование —планирование — …”, которая является основой модели менеджмента стандартов качестваГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 270012005 [4]. Организация и выполнение процессов СМИБнеобходимы в том числе для обеспечения уверенности в том, что хороший практический опыторганизации БС РФ документируется, становится обязательным к применению, а СОИБ совершенствуется.5.26. Основой для построения СОИБ организации БС РФ являются требования законодательства Российской Федерации, нормативные акты Банка России, контрактные требованияорганизации БС РФ, а также условия ведения бизнеса, выраженные на основе идентификацииактивов организации БС РФ, построения модели нарушителей и угроз.5.27.
Рисунок 1 иллюстрирует взаимосвязь СИБ, СМИБ и СОИБ организации БС РФ.СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИСИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИРеализацияСОИБПланированиеСОИБСИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИПроверкаСОИБСовершенствованиеСОИБРисунок 1. СОИБ организации БС РФСТО БР ИББС1.02008 155.28. Руководству организации БС РФ необходимо инициировать, поддерживать и контролировать выполнение процессов СОИБ. Степень выполнения указанной деятельности со стороны руководства организации определяется осознанием необходимости обеспечения ИБ организации БС РФ. Осознание необходимости обеспечения ИБ организации БС РФ проявляетсяв использовании руководством организации БС РФ бизнеспреимуществ обеспечения ИБ, способствующих формированию условий для дальнейшего развития бизнеса организации с допустимыми рисками.5.29.
Осознание необходимости обеспечения ИБ является внутренним побудительныммотивом руководства организации БС РФ постоянно инициировать, поддерживать, анализировать и контролировать СОИБ, в отличие от ситуации, когда решение о выполнении указанныхвидов деятельности либо принимается в результате возникших проблем, либо определяетсявнешними факторами.5.30. Осознание необходимости обеспечения ИБ организации БС РФ выражается посредством выполнения в рамках СМИБ деятельности со стороны руководства, направленной на инициирование, поддержание, анализ и контроль СОИБ организации БС РФ.6.
Ìîäåëè óãðîç è íàðóøèòåëåé èíôîðìàöèîííîéáåçîïàñíîñòè îðãàíèçàöèé áàíêîâñêîé ñèñòåìûÐîññèéñêîé Ôåäåðàöèè6.1. Модели угроз и нарушителей должны быть основным инструментом организацииБС РФ при развертывании, поддержании и совершенствовании СОИБ.6.2. Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и можетбыть представлена в виде иерархии следующих основных уровней:— физического (линии связи, аппаратные средства и пр.);— сетевого оборудования (маршрутизаторы, коммутаторы, концентраторы и пр.);— сетевых приложений и сервисов;— операционных систем (ОС);— систем управления базами данных (СУБД);— банковских технологических процессов и приложений;— бизнеспроцессов организации.6.3. На каждом из уровней угрозы и их источники (в т.ч.
злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными.6.4. Главной целью злоумышленника является получение контроля над информационными активами на уровне бизнеспроцессов. Прямое нападение на уровне бизнеспроцессов, например, путем раскрытия конфиденциальной банковской аналитической информации, болееэффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляемое через нижние уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. временных) и поэтому менее эффективное по соотношению “затраты/получаемый результат”.Другими целями злоумышленника могут являться, например, нарушение функционирования бизнеспроцессов организации БС РФ путем нарушения доступности или целостностиинформационных активов, например, посредством распространения вредоносных программ илинарушения правил эксплуатации ЭВМ или их сетей.6.5.
Организация должна определить конкретные объекты среды информационных активов на каждом из уровней информационной инфраструктуры.6.6. Основными источниками угроз ИБ являются:— неблагоприятные события природного, техногенного и социального характера;— террористы и криминальные элементы;— зависимость от поставщиков/провайдеров/партнеров/клиентов;— сбои, отказы, разрушения/повреждения программных и технических средств;— работники организации БС РФ, реализующие угрозы ИБ с использованием легально предоставленных им прав и полномочий (внутренние нарушители ИБ);— работники организации БС РФ, реализующие угрозы ИБ вне легально предоставленныхим прав и полномочий, а также субъекты, не являющиеся работниками организации БС РФ,но осуществляющие попытки НСД и НРД (внешние нарушители ИБ);— несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.16 СТО БР ИББС1.020086.7.
Наиболее актуальные источники угроз на физическом уровне, уровне сетевого оборудования и уровне сетевых приложений:— внешние нарушители ИБ: лица, разрабатывающие/распространяющие вирусы и другиевредоносные программные коды; лица, организующие DoS, DDoS и иные виды атак; лица,осуществляющие попытки НСД и НРД;— внутренние нарушители ИБ: персонал, имеющий права доступа к аппаратному оборудованию, в том числе сетевому, администраторы серверов, сетевых приложений и т.п.;— комбинированные источники угроз: внешние и внутренние нарушители ИБ, действующиесовместно и(или) согласованно;— сбои, отказы, разрушения/повреждения программных и технических средств.6.8.
Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов:— внутренние нарушители ИБ: администраторы ОС, администраторы СУБД, пользователибанковских приложений и технологий, администраторы ИБ и т.д.;— комбинированные источники угроз: внешние и внутренние нарушители ИБ, действующиев сговоре1.6.9. Наиболее актуальные источники угроз на уровне бизнеспроцессов:— внутренние нарушители ИБ: авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.;— комбинированные источники угроз: внешние нарушители ИБ (например, конкуренты) ивнутренние, действующие в сговоре;— несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.6.10.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
