st10-08 (1027741), страница 9
Текст из файла (страница 9)
При проектировании, разработке и эксплуатации систем дистанционного банковского обслуживания должны быть документально определены и выполняться процедуры, реализующие в том числе механизмы:— снижения вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами;— доведения информации о возможных рисках, связанных с выполнением операций илитранзакций до клиентов.Клиенты систем дистанционного банковского обслуживания должны быть обеспеченыдетальными инструкциями, описывающими процедуры выполнения операций или транзакций.7.8.10. Должны быть документально определены процедуры обслуживания средств вычислительной техники, используемых в банковском платежном технологическом процессе, включая замену их программных и(или) аппаратных частей.7.8.11.
Должна осуществляться и быть регламентирована процедура периодического контроля всех реализованных программнотехническими средствами функций (требований) пообеспечению ИБ платежной информации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в организации БС РФ за обеспечение ИБ.7.8.12. Должна осуществляться и быть регламентирована процедура восстановления всехреализованных программнотехническими средствами функций по обеспечению ИБ платежнойинформации. Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в организации БС РФ за обеспечение ИБ.7.9. Общие требования по обеспечению информационной безопасностибанковских информационных технологических процессов7.9.1.
СИБ банковского информационного технологического процесса должна соответствовать требованиям пунктов 7.2—7.7, 7.9 настоящего стандарта.7.9.2. В организации БС РФ рекомендуется провести классификацию неплатежной информации.Классификацию неплатежной информации следует проводить в соответствии со степенью тяжести последствий потери ее свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности.7.9.3.
Для каждого из типов неплатежных информационных активов (типов неплатежнойинформации), полученных в результате классификации, должен быть документально определен набор требований по их защите.7.9.4. Обязанности по администрированию средств защиты неплатежной информациирекомендуется возлагать приказом или распоряжением по организации БС РФ на администраторов ИБ с отражением этих обязанностей в их должностных инструкциях.7.9.5. Для каждой АБС должен быть документально определен порядок контроля ее функционирования со стороны лиц, отвечающих за ИБ.7.9.6. Банковские информационные технологические процессы должны быть документированы в организации БС РФ. Указанные документы должны быть согласованы со службой ИБ.Указанные технологические процессы должны быть реализованы в рамках созданных для этихСТО БР ИББС1.02008 25целей АБС. Не входящее в состав данных АБС серверы, офисные ЭВМ и другое оборудованиерекомендуется изолировать от АБС на уровне локальных вычислительных сетей способом, согласованным со службой либо лицом, отвечающим в организации за ИБ.7.9.7.
Должны быть документально определены перечни программного обеспечения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для выполнения конкретных банковских информационных технологических процессов. Состав установленного и используемого в ЭВМ и АБС программного обеспечения должен соответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.7.9.8. Должна быть регламентирована и осуществляться процедура периодического контроля всех реализованных программнотехническими средствами и организационными мерами функций (требований) по обеспечению ИБ неплатежной информации.
Регламентирующие документы должны быть согласованы со службой либо лицом, отвечающим в организации за ИБ.7.9.9. Должна быть регламентирована и осуществляться процедура восстановления всехреализованных программнотехническими средствами и организационными мерами функцийпо обеспечению ИБ неплатежной информации.
Регламентирующие документы должны бытьсогласованы со службой либо лицом, отвечающим в организации за ИБ.8. Ñèñòåìà ìåíåäæìåíòà èíôîðìàöèîííîéáåçîïàñíîñòè îðãàíèçàöèé áàíêîâñêîé ñèñòåìûÐîññèéñêîé Ôåäåðàöèè8.1. Общие положения8.1.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБв организации БС РФ следует реализовать ряд процессов СМИБ, сгруппированных в виде циклической модели Деминга (см. п. 5.25).8.1.2. Целью выполнения деятельности в рамках группы процессов “планирование” является запуск “цикла” СМИБ путем определения первоначальных планов построения, ввода вдействие и контроля СОИБ, а также определения планов по совершенствованию СОИБ на основании решений, принятых на этапе “совершенствование”.
Выполнение деятельности на стадии“планирование” заключается в определении/корректировке области действия СОИБ, формализации подхода к оценке рисков ИБ и распределении ресурсов, проведении оценки рисков ИБ иопределении/коррекции планов их обработки. Важно, чтобы все решения по реализации/корректировке СОИБ были приняты руководством организации БС РФ (далее — руководством).8.1.3. Этап “реализация” выполняется по результатам выполнения этапов “планирование”и(или) “совершенствование” и заключается в выполнении всех планов, связанных с построением, вводом в действие и совершенствованием СОИБ, определенных на этапе “планирование”и(или) реализации решений, определенных на этапе “совершенствование” и не требующих выполнения деятельности по планированию соответствующих улучшений.
В том числе важнымявляется выполнение таких видов деятельности, как организация обучения и повышение осведомленности в области ИБ, реализация обнаружения и реагирования на инциденты ИБ, обеспечение непрерывности бизнеса организации БС РФ.Организация БС РФ должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от реализации угроз.
Организация БС РФ должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация БС РФ должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитныхмер на бизнесцели организации.8.1.4. Целью выполнения деятельности в рамках группы процессов “проверка” являетсяобеспечение достаточной уверенности в том, что СОИБ, включая защитные меры, функционирует надлежащим образом и адекватна существующим угрозам ИБ, а также внутренним и(или)внешним условиям функционирования организации БС РФ, связанным с ИБ. Кроме того, необходимо рассмотреть любые изменения в допущениях или в области оценки рисков.
Указаннаядеятельность может проводиться в любое время и с любой частотой, в зависимости от того, чтоявляется подходящим для конкретной ситуации. На этапе “проверка” необходимо осуществлять мониторинг и контроль используемых защитных мер, периодически выполнять деятель26 СТО БР ИББС1.02008ность по самооценке соответствия ИБ организации БС РФ требованиям настоящего стандарта(далее — самооценке ИБ) и проводить аудит ИБ, анализировать функционирование СОИБ в целом, в том числе со стороны руководства.Организация БС РФ должна своевременно обнаруживать проблемы, прямо или косвенноотносящиеся к ИБ, потенциально способные повлиять на ее бизнесцели. Рекомендуется выявлять причинноследственную связь возможных проблем и строить на этой основе прогноз ихразвития.Результат выполнения деятельности на этапе “проверка” является основой для выполнения деятельности по совершенствованию СОИБ.8.1.5.
Группа процессов “совершенствование” включает в себя деятельность по принятию решений о реализации тактических и(или) стратегических улучшений СОИБ. Указанная деятельность, т.е. переход к этапу “совершенствование”, реализуется только тогда, когда выполнение процессов этапа “проверка” дало результат, требующий совершенствования СОИБ. Приэтом сама деятельность по совершенствованию СОИБ должна реализовываться в рамках групппроцессов “реализация” и при необходимости “планирование”. Пример первой ситуации — введение в действие существующего плана обеспечения непрерывности бизнеса, поскольку на стадии “проверка” определена необходимость в этом.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
