st10-08 (1027741), страница 6
Текст из файла (страница 6)
Источники угроз используют для реализации угрозы уязвимости ИБ.6.11. Хорошей практикой в организациях БС РФ является разработка моделей угроз инарушителей ИБ для организации в целом, а также при необходимости для ее отдельных банковских процессов.Степень детализации параметров моделей угроз и нарушителей ИБ может быть различнаи определяется реальными потребностями для каждой организации в отдельности.7. Ñèñòåìà èíôîðìàöèîííîé áåçîïàñíîñòèîðãàíèçàöèé áàíêîâñêîé ñèñòåìûÐîññèéñêîé Ôåäåðàöèè7.1.
Общие положения7.1.1. Выполнение требований к СИБ организации БС РФ является основой для обеспечения должного уровня ИБ. Формирование требований к СИБ организации БС РФ должно проводиться на основе:— положений настоящего раздела стандарта;— выполнения деятельности в рамках СМИБ организации БС РФ, определенной в разделе 8настоящего стандарта (в частности, деятельности по разработке планов обработки рисков нарушения ИБ).Требования к СИБ организации БС РФ должны быть оформлены документально в соответствии с Рекомендациями в области стандартизации Банка России РС БР ИББС2.0 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
Методические рекомендации по документации в области обеспечения информационнойбезопасности в соответствии с требованиями СТО БР ИББС1.0”.7.1.2. Положения подразделов 7.2—7.9 настоящего стандарта образуют базовый набортребований к СИБ, применимый к большинству организаций БС РФ. В соответствии с особенностями конкретной организации БС РФ данный базовый набор требований может быть расширен путем выполнения деятельности в рамках процессов СМИБ организации БС РФ, например, определения области действия СОИБ организации БС РФ, анализа и оценки рисков нарушения ИБ.1На данных уровнях и уровне бизнеспроцессов реализация угроз внешними нарушителями ИБ, действующими самостоятельно,без соучастия внутренних, практически невозможна.СТО БР ИББС1.02008 177.1.3.
Требования к СИБ должны быть сформированы в том числе для следующих областей:— назначения и распределения ролей и обеспечения доверия к персоналу;— обеспечения ИБ на стадиях ЖЦ АБС;— защиты от НСД и НРД, управления доступом и регистрацией всех действий в АБС, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;— антивирусной защиты;— использования ресурсов Интернета;— использования СКЗИ;— защиты банковских платежных и информационных технологических процессов.В конкретной организации БС РФ требования к СИБ могут формироваться и для другихобластей и направлений деятельности.7.1.4. При распределении прав доступа работников и клиентов к информационным активам организации БС РФ следует руководствоваться принципами:— “знать своего клиента”1;— “знать своего служащего”2;— “необходимо знать”3,а также рекомендуется использовать принцип “двойное управление”4.7.1.5.
Формирование ролей должно осуществляться на основании существующих бизнеспроцессов организации БС РФ и проводиться с целью исключения концентрации полномочий иснижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.Формирование ролей не должно выполняться по принципу фиксации фактически сложившихся прав и полномочий персонала организации БС РФ.7.1.6. Для обеспечения ИБ и контроля за качеством обеспечения ИБ в организации БС РФдолжны быть определены роли, связанные с деятельностью по обеспечению ИБ. Руководствоорганизации БС РФ должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением ИБ.7.1.7.
ИБ АБС должна обеспечиваться на всех стадиях ЖЦ АБС, автоматизирующих банковские технологические процессы, с учетом интересов всех сторон, вовлеченных в процессыЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации БС РФ).7.1.8. При принятии руководством организации БС РФ решений об использовании сетиИнтернет, при формировании документов, регламентирующих порядок использования сетиИнтернет, а также иных документов, связанных с обеспечением ИБ при использовании сетиИнтернет, необходимо учитывать следующие положения:— сеть Интернет не имеет единого органа управления (за исключением службы управленияпространством имен и адресов) и не является юридическим лицом, с которым можно былобы заключить договор (соглашение).
Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;— существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет;— существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;— гарантии по обеспечению ИБ при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.7.1.9.
В рамках банковских платежных технологических процессов в качестве активов,защищаемых в первую очередь, следует рассматривать:— банковский платежный технологический процесс;— платежную информацию.1“Знать своего клиента” (Know your Customer): принцип, используемый регулирующими органами для выражения отношения кфинансовым организациям с точки зрения знания деятельности их клиентов.2“Знать своего служащего” (Know your Employee): принцип, демонстрирующий озабоченность организации по поводу отношенияслужащих к своим обязанностям и возможных проблем, таких, как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью.3“Необходимо знать” (Need to Know): принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработкеинформации на уровне минимально необходимых для выполнения определенных обязанностей.4“Двойное управление” (Dual Control): принцип сохранения целостности процесса и борьбы с искажением функций системы,требующий дублирования (алгоритмического, временного, ресурсного или иного) действий до завершения определенных транзакций.18 СТО БР ИББС1.020087.2.
Общие требования по обеспечению информационной безопасностипри назначении и распределении ролей и обеспечении доверия к персоналу7.2.1. В организации БС РФ должны быть выделены и документально определены роли ееработников.Формирование ролей, связанных с выполнением деятельности по обеспечению ИБ, среди прочего должно осуществляться на основании требований 7го и 8го разделов настоящегостандарта.7.2.2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.7.2.3. С целью снижения рисков нарушения ИБ не рекомендуется, чтобы в рамках однойроли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в системе и контроля их выполнения.7.2.4.
В организации БС РФ должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями),позволяющих получить контроль над защищаемым информационным активом организацииБС РФ.7.2.5. В организации БС РФ должны быть документально определены процедуры приемана работу, влияющую на обеспечение ИБ, включающие:— проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;— проверку в части профессиональных навыков и оценку профессиональной пригодности.Указанные процедуры должны предусматривать документальную фиксацию результатовпроводимых проверок.7.2.6. Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) — при выявлении фактов их нештатного поведения, участия в инцидентах ИБили подозрений в таком поведении или участии.7.2.7.
Все работники организации БС РФ должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.При взаимодействии с внешними организациями и клиентами требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договоры (соглашения) сними.7.2.8. Обязанности персонала по выполнению требований по обеспечению ИБ должнывключаться в трудовые контракты (соглашения, договоры) и(или) должностные инструкции.Невыполнение работниками организации БС РФ требований по обеспечению ИБ должноприравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.7.3.
Общие требования по обеспечению информационной безопасностиавтоматизированных банковских систем на стадиях жизненного цикла7.3.1. При формировании требований по обеспечению ИБ рекомендуется рассматриватьследующие общие стадии модели ЖЦ АБС:1.
разработка технических заданий;2. проектирование;3. создание и тестирование;4. приемка и ввод в действие;5. эксплуатация;6. сопровождение и модернизация;7. снятие с эксплуатации.В случае разработки АБС в организации БС РФ рекомендуется рассматривать все стадииЖЦ АБС, а в случае приобретения готовых АБС рекомендуется рассматривать стадии 4—7ЖЦ АБС.7.3.2. Разработка технических заданий и приемка АБС должны осуществляться по согласованию и при участии подразделения (лиц) в организации БС РФ, ответственных за обеспечение ИБ.СТО БР ИББС1.02008 197.3.3.
Ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации АБС должны осуществляться под контролем подразделения (лиц) в организации, ответственных за обеспечение ИБ.7.3.4. Привлекаемые для разработки и(или) производства средств и систем защиты АБСна договорной основе специализированные организации должны иметь лицензии на данныйвид деятельности в соответствии с законодательством РФ.7.3.5. Разрабатываемые АБС и(или) их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз ИБ(источников угроз), описанных в модели угроз организации БС РФ.
Приобретаемые организацией БС РФ готовые АБС и(или) их компоненты рекомендуется снабжать указанной документацией.Также документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты должна содержать описание реализованных защитных мер, предпринятых разработчиком относительно безопасности разработки и безопасности поставки.В договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов организациям БС РФ должны включаться положения по сопровождению поставляемых изделий навесь срок их службы. В случае невозможности включения в договор (контракт) указанных положений должен быть приобретен полный комплект рабочей конструкторской документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика. Еслиоба указанных варианта неприемлемы, например, вследствие высокой стоимости или позициифирмыпоставщика (разработчика), руководство организации БС РФ должно оценить и документально оформить допустимость риска нарушения ИБ, возникающего при невозможностисопровождения АБС и их компонентов.7.3.6.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
