СТАНДАРТ БАНКА РОССИИ

СТО БР ИББС-1.0-2014

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ

ОБЩИЕ ПОЛОЖЕНИЯ

Дата введения: 2014-06-01 Издание официальное

Москва 2014

Предисловие

1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 17 мая 2014 года

№ Р-399.

1. ВЗАМЕН СТО БР ИББС-1.0-2010.

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражиро- ван и распространен в качестве официального издания без разрешения Банка России.

Содержание

Введение 5

1. Область применения 6
2. Нормативные ссылки 6
3. Термины и определения 6
4. Обозначения и сокращения 11
5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации 11
6. Модели угроз и нарушителей информационной безопасности организаций

банковской системы Российской Федерации 15

1. Система информационной безопасности организаций банковской системы

Российской Федерации 16

• 1. Общие положения 16
  2. Общие требования по обеспечению информационной безопасности

при назначении и распределении ролей и обеспечении доверия к персоналу 18

• 1. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла 18
  2. Общие требования по обеспечению информационной безопасности

при управлении доступом и регистрацией 20

• 1. Общие требования по обеспечению информационной безопасности

средствами антивирусной защиты 22

• 1. Общие требования по обеспечению информационной безопасности

при использовании ресурсов сети Интернет 23

• 1. Общие требования по обеспечению информационной безопасности

при использовании средств криптографической защиты информации 24

• 1. Общие требования по обеспечению информационной безопасности

банковских платежных технологических процессов 25

• 1. Общие требования по обеспечению информационной безопасности

банковских информационных технологических процессов 26

• 1. Общие требования по обработке персональных данных в организации

банковской системы Российской Федерации 27

• 1. Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых

обрабатываются персональные данные 29

1. Система менеджмента информационной безопасности организаций

банковской системы Российской Федерации 31

• 1. Общие положения 31
  2. Требования к организации и функционированию службы информационной безопасности организации банковской системы Российской Федерации 32
  3. Требования к определению/коррекции области действия системы

обеспечения информационной безопасности 33

• 1. Требования к выбору/коррекции подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности 33
  2. Требования к разработке планов обработки рисков нарушения

информационной безопасности 33

• 1. Требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения

информационной безопасности 34

• 1. Требования к принятию руководством организации банковской системы Российской Федерации решений о реализации и эксплуатации системы обеспечения информационной безопасности 35
  2. Требования к организации реализации планов внедрения системы

обеспечения информационной безопасности 35

• 1. Требования к разработке и организации реализации программ по обучению

и повышению осведомленности в области информационной безопасности 35

• 1. Требования к организации обнаружения и реагирования на инциденты информационной безопасности 36
  2. Требования к организации обеспечения непрерывности бизнеса

и его восстановления после прерываний 36

• 1. Требования к мониторингу информационной безопасности

и контролю защитных мер 37

• 1. Требования к проведению самооценки информационной безопасности 38
  2. Требования к проведению аудита информационной безопасности 38
  3. Требования к анализу функционирования системы обеспечения информационной безопасности 39
  4. Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы

Российской Федерации 39

• 1. Требования к принятию решений по тактическим улучшениям системы обеспечения информационной безопасности 40
  2. Требования к принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности 41

1. Проверка и оценка информационной безопасности организаций

банковской системы Российской Федерации 42

Библиография 43

Введение

Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кре- дитные организации, а также представительства иностранных банков [1]. Развитие и укрепле- ние БС РФ, обеспечение стабильности и развитие национальной платежной системы являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей являет- ся обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) ор- ганизаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уров- нем ИБ банковских технологических процессов (платежных, информационных и пр.), автомати- зированных банковских систем, эксплуатирующихся организациями БС РФ.

Особенности БС РФ таковы, что негативные последствия сбоев в работе отдельных ор- ганизаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организаци- ям БС РФ. Поэтому для организаций БС РФ угрозы ИБ представляют существенную опасность. Для противостояния таким угрозам и обеспечения эффективности мероприятий по ли- квидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репу- тационный, стратегический и иные риски) в организациях БС РФ следует обеспечить достаточ- ный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих

аспектов их деятельности.

Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки риска нарушения ИБ и принятия мер, необходимых для управления этим риском.

Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы документов в области стандартизации, в целом составляющих комплекс документов в области стандартиза- ции по обеспечению ИБ организаций БС РФ.

Основные цели стандартизации по обеспечению ИБ организаций БС РФ:

• развитие и укрепление БС РФ;
• повышение доверия к БС РФ;
• поддержание стабильности организаций БС РФ и на этой основе — стабильности БС РФ в целом;
• достижение адекватности мер защиты реальным угрозам ИБ;
• предотвращение и (или) снижение ущерба от инцидентов ИБ.

Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:

• установление единых требований по обеспечению ИБ организаций БС РФ;
• повышение эффективности мероприятий по обеспечению и поддержанию ИБ организа- ций БС РФ.

СТАНДАРТ БАНКА РОССИИ

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ

ОБЩИЕ ПОЛОЖЕНИЯ

Дата введения 2014-06-01

Область применения

Настоящий стандарт распространяется на организации БС РФ и устанавливает положе- ния по обеспечению ИБ в организациях БС РФ.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах организаций БС РФ, а также в договорах.

Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законода- тельством РФ, иными нормативными правовыми актами, в том числе нормативными актами Банка России.

Обязательность применения настоящего стандарта может быть установлена договора- ми, заключенными организациями БС РФ, или решением организации БС РФ о присоединении к стандарту. В этих случаях требования настоящего стандарта, содержащие положения дол- женствования, применяются на обязательной основе, а рекомендации применяются по реше- нию организации БС РФ.

Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

Стандарт Банка России СТО БР ИББС-1.2 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия ин- формационной безопасности организаций банковской системы Российской Федерации тре- бованиям СТО БР ИББС-1.0”;

Рекомендации в области стандартизации Банка России РС БР ИББС-2.0 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безо- пасности в соответствии с требованиями СТО БР ИББС-1.0”;

Рекомендации в области стандартизации Банка России РС БР ИББС-2.1 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Ру- ководство по самооценке соответствия информационной безопасности организаций банков- ской системы Российской Федерации требованиям СТО БР ИББС-1.0”.

Термины и определения

Термины, установленные настоящим стандартом, применяются во всех видах докумен- тации и во всех видах деятельности по обеспечению ИБ в рамках Комплекса БР ИББС1.

• 1. Банковская система Российской Федерации: Банк России, кредитные организа- ции, а также представительства иностранных банков [1].
  2. Стандарт: Документ, в котором в целях добровольного многократного использова- ния устанавливаются характеристики продукции, правила осуществления и характеристики процессов проектирования (включая изыскания), производства, строительства, монтажа, на- ладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг [3].

1 См. п. 3.4.

Примечание.

Стандарт также может содержать правила и методы исследований (испытаний) и измерений, правила отбора образцов, требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.

• 1. Рекомендации в области стандартизации: Документ, содержащий советы орга- низационно-методического характера, которые касаются проведения работ по стандартиза- ции и способствуют применению основополагающего стандарта.
  2. Комплекс БР ИББС: Взаимоувязанная совокупность документов в области стан- дартизации Банка России “Обеспечение информационной безопасности организаций банков- ской системы Российской Федерации”.
  3. Менеджмент: Скоординированная деятельность по руководству и управлению.
  4. Система: Множество (совокупность) материальных объектов (элементов) любой, в том числе различной физической, природы и информационных объектов, взаимодействующих между собой для достижения общей цели, обладающее системным свойством (свойствами).

Примечание.

Системным свойством (свойствами) является свойство, которого не имеет ни один из элементов и ни одно из подмножеств элементов при любом способе членения. Системное свойство не выводимо непосред- ственно из свойств элементов и частей.

• 1. Информация: Сведения (сообщения, данные) независимо от формы их представле- ния [4].
  2. Инфраструктура: Комплекс взаимосвязанных обслуживающих структур, состав- ляющих основу для решения проблемы (задачи).
  3. Информационная инфраструктура: Система организационных структур, обеспе- чивающих функционирование и развитие информационного пространства и средств инфор- мационного взаимодействия.

Примечание.

Информационная инфраструктура:

включает совокупность информационных центров, банков данных и знаний, систем связи; обеспечивает доступ потребителей к информационным ресурсам.

• 1. Документ: Зафиксированная на материальном носителе информация с реквизита- ми, позволяющими ее идентифицировать.

[ГОСТ Р 52069.0-2003]

Примечание.

Под материальным носителем подразумевается изделие (материал), на котором записана информация и которое обеспечивает возможность сохранения этой информации и снятие ее копий, например бумага, маг- нитная лента или карта, магнитный или лазерный диск, фотопленка и т.п.

• 1. Процесс: Совокупность взаимосвязанных ресурсов и деятельности, преобразую- щая входы в выходы.
  2. Технология: Совокупность взаимосвязанных методов, способов, приемов пред- метной деятельности.
  3. Технологический процесс: Процесс, реализующий некоторую технологию.
  4. Автоматизированная система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выпол- нения установленных функций.

[ГОСТ 34.003-90]

• 1. Авторизация: Предоставление прав доступа.
  2. Идентификация: Процесс присвоения идентификатора (уникального имени); сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
  3. Аутентификация: Проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности).
  4. Регистрация: Фиксация данных о совершенных действиях (событиях).
  5. Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом.

Примечания.

1. К субъектам относятся лица из числа руководителей организации банковской системы Российской Федерации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное сред- ство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.
   1. Угроза: Опасность, предполагающая возможность потерь (ущерба).
   2. Риск: Мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.
   3. Актив: Все, что имеет ценность для организации БС РФ и находится в ее распоря- жении.

Примечание.

К активам организации БС РФ могут относиться:

работники (персонал), финансовые (денежные) средства, средства вычислительной техники, телеком- муникационные средства и пр.;

различные виды банковской информации — платежная, финансово-аналитическая, служебная, управ- ляющая, персональные данные и пр.;

банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы);

банковские продукты и услуги, предоставляемые клиентам.

• 1. Информационный актив: Информация с реквизитами, позволяющими ее иденти- фицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении орга- низации БС РФ и представленная на любом материальном носителе в пригодной для ее обра- ботки, хранения или передачи форме.
  2. Классификация информационных активов: Разделение существующих инфор- мационных активов организации БС РФ по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ.
  3. Объект среды информационного актива: Материальный объект среды исполь- зования и (или) эксплуатации информационного актива (объект хранения, передачи, обработ- ки, уничтожения и т.д.).
  4. Ресурс: Актив организации БС РФ, который используется или потребляется в про- цессе выполнения некоторой деятельности.
  5. Банковский технологический процесс: Технологический процесс, реализующий операции по изменению и (или) определению состояния активов организации БС РФ, исполь- зуемых при функционировании или необходимых для реализации банковских услуг.

Примечания.

1. Операции над активами организации БС РФ могут выполняться вручную или быть автоматизирован- ными, например, с помощью автоматизированных банковских систем.
2. В зависимости от вида деятельности выделяют: банковский платежный технологический процесс, банковский информационный технологический процесс и др.
   1. Банковский платежный технологический процесс: Часть банковского техноло- гического процесса, реализующая действия с информацией, связанные с осуществлением пе- реводов денежных средств, платежного клиринга и расчета, и действия с архивами указанной информации.
   2. Банковский информационный технологический процесс: Часть банковского технологического процесса, реализующая действия с информацией, необходимые для выпол- нения организацией БС РФ своих функций, и не являющаяся банковским платежным техноло- гическим процессом.
   3. Платежная информация: Информация, на основании которой совершаются опе- рации, связанные с осуществлением переводов денежных средств.
   4. Неплатежная информация: Информация, необходимая для функционирования организации БС РФ, не являющаяся платежной информацией, которая может включать в себя, например, данные статистической отчетности и внутрихозяйственной деятельности, аналити- ческую, финансовую, справочную информацию.
   5. Автоматизированная банковская система: Автоматизированная система, реа- лизующая банковский технологический процесс.
   6. Комплекс средств автоматизации автоматизированной банковской систе- мы: Совокупность всех компонентов автоматизированной банковской системы организации БС РФ за исключением людей.
   7. Безопасность: Состояние защищенности интересов (целей) организации БС РФ в условиях угроз.
   8. Информационная безопасность, ИБ: Безопасность, связанная с угрозами в ин- формационной сфере.

Примечания.

1. Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указан- ных активов для интересов (целей) организации БС РФ.
2. Информационная сфера представляет собой совокупность информации, информационной инфра- структуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование ин- формации, а также системы регулирования возникающих при этом отношений.
   1. Доступность информационных активов: Свойство ИБ организации БС РФ, со- стоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.
   2. Целостность информационных активов: Свойство ИБ организации БС РФ сохра- нять неизменность или исправлять обнаруженные изменения в своих информационных активах.
   3. Конфиденциальность информационных активов: Свойство ИБ организации БС РФ, состоящее в том, что обработка, хранение и передача информационных активов осущест- вляется таким образом, что информационные активы доступны только авторизованным поль- зователям, объектам системы или процессам.
   4. Система информационной безопасности; СИБ: Совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (ор- ганизационное) обеспечение.
   5. Система менеджмента информационной безопасности; СМИБ: Часть ме- неджмента организации БС РФ, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ.
   6. Система обеспечения информационной безопасности; СОИБ: Совокупность СИБ и СМИБ организации БС РФ.
   7. Область действия системы обеспечения информационной безопасности; область действия СОИБ: Совокупность информационных активов и элементов информаци- онной инфраструктуры организации БС РФ.
   8. Осознание необходимости обеспечения информационной безопасности; осознание ИБ: Понимание руководством организации БС РФ необходимости самостоятель- но на основе принятых в этой организации ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению ИБ, а также поддерживать эту деятельность адекватно прогнозу.

Примечание.

Осознание ИБ является внутренней побудительной причиной для руководства БС РФ инициировать и поддерживать деятельность по обеспечению ИБ в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по обеспечению ИБ определяется соответственно либо возникши- ми проблемами организации, либо внешними факторами, например требованиями законов.

• 1. Защитная мера: сложившаяся практика, процедура или механизм, которые ис- пользуются для уменьшения риска нарушения ИБ организации БС РФ.
  2. Угроза информационной безопасности; угроза ИБ: Угроза нарушения свойств ИБ — доступности, целостности или конфиденциальности информационных активов органи- зации БС РФ.
  3. Уязвимость информационной безопасности; уязвимость ИБ: Слабое место в инфраструктуре организации БС РФ, включая СОИБ, которое может быть использовано для реализации или способствовать реализации угрозы ИБ.
  4. Ущерб: Утрата активов, повреждение (утрата свойств) активов и (или) инфраструк- туры организации или другой вред активам и (или) инфраструктуре организации БС РФ, насту- пивший в результате реализации угроз ИБ через уязвимости ИБ.
  5. Инцидент информационной безопасности; инцидент ИБ: Событие или комби- нация событий, указывающая на свершившуюся, предпринимаемую или вероятную реализа- цию угрозы ИБ, результатом которой являются:
• нарушение или возможное нарушение работы средств защиты информации в составе СОИБ организации БС РФ;
• нарушение или возможное нарушение требований законодательства РФ, нормативных актов и предписаний регулирующих и надзорных органов, внутренних документов орга- низации БС РФ в области обеспечения ИБ, нарушение или возможное нарушение в вы- полнении процессов СОИБ организации БС РФ;
• нарушение или возможное нарушение в выполнении банковских технологических про- цессов организации БС РФ;
• нанесение или возможное нанесение ущерба организации БС РФ и (или) ее клиентам.
  1. Нарушитель информационной безопасности; нарушитель ИБ: Субъект, реа- лизующий угрозы ИБ организации БС РФ, нарушая предоставленные ему полномочия по до- ступу к активам организации БС РФ или по распоряжению ими.
  2. Модель нарушителя информационной безопасности; модель нарушителя ИБ: Описание и классификация нарушителей ИБ, включая описание их опыта, знаний, доступ- ных ресурсов, необходимых для реализации угрозы, возможной мотивации их действий, а так- же способы реализации угроз ИБ со стороны указанных нарушителей.
  3. Модель угроз информационной безопасности; модель угроз ИБ: Описание актуальных для организации БС РФ источников угроз ИБ; методов реализации угроз ИБ; объ- ектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиден- циальности информационных активов); масштабов потенциального ущерба.
  4. Риск нарушения информационной безопасности; риск нарушения ИБ: Риск, связанный с угрозой ИБ.
  5. Оценка риска нарушения информационной безопасности: Систематический и документированный процесс выявления, сбора, использования и анализа информации, позво- ляющей провести оценивание рисков нарушения ИБ, связанных с использованием информа- ционных активов организации БС РФ на всех стадиях их жизненного цикла.
  6. Обработка риска нарушения информационной безопасности: Процесс выбо- ра и осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, при- нятию или уходу от риска.
  7. Остаточный риск нарушения информационной безопасности: Риск, остаю- щийся после обработки риска нарушения ИБ.
  8. Допустимый риск нарушения информационной безопасности: Риск наруше- ния ИБ, предполагаемый ущерб от которого организация БС РФ в данное время и в данной си- туации готова принять.
  9. Документация: Совокупность взаимосвязанных документов, объединенных об- щей целевой направленностью.
  10. План работ по обеспечению информационной безопасности: Документ, уста- навливающий перечень намеченных к выполнению работ или мероприятий по обеспечению ИБ организации БС РФ, их последовательность, объем (в той или иной форме), сроки выполнения, ответственных лиц и конкретных исполнителей.
  11. Свидетельства выполнения деятельности по обеспечению информацион- ной безопасности: Документ или элемент документа, содержащий достигнутые результа- ты (промежуточные или окончательные), относящиеся к обеспечению ИБ организации БС РФ.
  12. Политика информационной безопасности; политика ИБ: Документация, опре- деляющая высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенная для организации БС РФ в целом.
  13. Частная политика информационной безопасности; частная политика ИБ: До- кументация, детализирующая положения политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности БС РФ.
  14. Мониторинг ИБ: Постоянное наблюдение за объектами и субъектами, влияющими на ИБ организации БС РФ, а также сбор, анализ и обобщение результатов наблюдений.
  15. Оценка соответствия информационной безопасности; оценка соответствия ИБ: Систематический и документируемый процесс получения свидетельств деятельности ор- ганизации БС РФ по реализации требований ИБ и установлению степени выполнения в органи- зации БС РФ критериев оценки (аудита) ИБ.
  16. Аудит информационной безопасности; аудит ИБ: Независимая оценка соответ- ствия ИБ, выполняемая работниками организации, являющейся внешней по отношению к ор- ганизации БС РФ, допускающая возможность формирования профессионального аудиторско- го суждения о состоянии ИБ организации БС РФ.
  17. Самооценка информационной безопасности; самооценка ИБ: Оценка соот- ветствия информационной безопасности, выполняемая работниками организации БС РФ.
  18. Критерии оценки (аудита) информационной безопасности; критерии оценки (аудита) ИБ: Совокупность требований к обеспечению ИБ, определенных стандартом Банка России СТО БР ИББС-1.0 “Обеспечение информационной безопасности организаций БС РФ. Общие положения” или его частью.
  19. Свидетельства оценки соответствия (аудита) информационной безопасно- сти установленным критериям; свидетельства оценки соответствия (аудита) ИБ: Запи- си, изложение фактов или другая информация, которые имеют отношение к критериям оценки соответствия (самооценки соответствия, аудита) ИБ и могут быть проверены.

Примечание.

Свидетельства оценки соответствия (самооценки соответствия, аудита) ИБ могут быть качественными или количественными.

• 1. Выводы аудита информационной безопасности; выводы аудита ИБ: Резуль- тат оценки собранных свидетельств аудита ИБ.
  2. Заключение по результатам аудита информационной безопасности (ауди- торское заключение); заключение по результатам аудита ИБ: Качественная или количе- ственная оценка соответствия установленным критериям аудита ИБ, представленная аудитор- ской группой после рассмотрения всех выводов аудита ИБ в соответствии с целями аудита ИБ.
  3. Область аудита информационной безопасности; область аудита ИБ: Содер- жание и границы аудита ИБ.

Примечание.

Область аудита ИБ обычно включает местонахождение, организационную структуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту ИБ, а также охватываемый период времени.

• 1. Программа аудита информационной безопасности; программа аудита ИБ: План деятельности по проведению одного или нескольких аудитов ИБ (и других проверок ИБ), за- планированных на конкретный период времени и направленных на достижение конкретной цели.

Примечание.

Программа аудита ИБ включает всю деятельность, необходимую для планирования, проведения, кон- троля, анализа и совершенствования аудитов ИБ (и других проверок ИБ).

Обозначения и сокращения

АБС — автоматизированная банковская система; БС — банковская система;

ЖЦ — жизненный цикл;

ИБ — информационная безопасность;

ИСПДн — информационная система персональных данных; НСД — несанкционированный доступ;

НРД — нерегламентированные действия в рамках предоставленных полномочий; РФ — Российская Федерация;

СКЗИ — средство криптографической защиты информации; СМИБ — система менеджмента информационной безопасности; СИБ — система информационной безопасности;

СОИБ — система обеспечения информационной безопасности; ЭВМ — электронная вычислительная машина;

Исходная концептуальная схема (парадигма) обеспечения информационной безопасности

организаций банковской системы Российской Федерации

• • 1. Сущность бизнеса заключается в вовлечении актива, принадлежащего собственни- ку (организации БС РФ), в бизнес-процесс. Эта деятельность всегда подвержена рискам, так как и на сам актив, и на бизнес-процесс могут воздействовать различного рода угрозы.

Угрозы реализуются через их источники и имеют соответствующую вероятность реали- зации.

Выделяют источники угроз природного, техногенного и антропогенного характера. Источ- ники угроз антропогенного характера могут быть как злоумышленные, так и незлоумышленные.

• • 1. В основе исходной концептуальной схемы ИБ организаций БС РФ лежит противо- борство собственника1 и злоумышленника2 с целью получения контроля над информационны- ми активами. Однако другие, незлоумышленные действия или источники угроз также лежат в сфере рассмотрения настоящего стандарта.

Если злоумышленнику удается установить такой контроль, то как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, наносится ущерб.

• • 1. Руководство организации БС РФ должно знать, что защищать. Для этого необходи- мо определить и защитить все информационные активы (ресурсы), реализация угроз в отно- шении которых может нанести ущерб организации БС РФ.
    2. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника являет- ся прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.

Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри органи- зации БС РФ.

1 Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или поль- зования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно- правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.

2 Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий (адапти- ровано из ст. 27 УК РФ).

Незлоумышленные действия собственных работников создают либо уязвимости ИБ, ли- бо инциденты, влияющие на свойства доступности, целостности и конфиденциальности ин- формационного актива или параметры системы, которая этот актив поддерживает.

• • 1. Практически никогда не известно о готовящемся нападении, оно, как правило, быва- ет неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и вре- мени характер.
    2. Злоумышленник изучает объект нападения, как правило, не только теоретически, ни- как не проявляя себя, но и практически, путем выявления уязвимостей ИБ. Путем поиска или создания уязвимостей ИБ он отрабатывает наиболее эффективный метод нападения (получе- ния контроля над активом).

С целью управления рисками нарушения ИБ собственник создает уполномоченный ор- ган — свою службу ИБ (подразделение (лица) в организации БС РФ, ответственные за обеспе- чение ИБ), организует создание и эксплуатацию СОИБ, а также организует эксплуатацию АБС в соответствии с правилами и требованиями, задаваемыми СОИБ. Одна из задач службы ИБ — выявление следов активности нарушителя.

• • 1. Один из главных инструментов собственника в обеспечении ИБ — основанный на опыте прогноз (составление модели угроз и модели нарушителя)1.

Чем обоснованнее и точнее сделан прогноз в отношении актуальных для организации БС РФ рисков нарушения ИБ, тем адекватнее и эффективнее будут планируемые и предпри- нимаемые усилия по обеспечению требуемого уровня ИБ. При этом следует учитывать, что со временем угрозы, их источники и риски могут изменяться. Поэтому модели следует периоди- чески пересматривать.

• • 1. Наиболее правильный и эффективный способ добиться недопущения проявления в деятельности организации БС РФ неприемлемых для нее рисков нарушения ИБ — разработать политику ИБ организации БС РФ и в соответствии с ней реализовать, эксплуатировать и совер- шенствовать СОИБ организации БС РФ.
    2. Политика ИБ организаций БС РФ разрабатывается на основе накопленного в органи- зации БС РФ опыта в области обеспечения ИБ, результатов идентификации активов, подлежа- щих защите, результатов оценки рисков с учетом особенностей бизнеса и технологий, требо- ваний законодательства РФ, нормативных актов Банка России, а также интересов и бизнес-це- лей конкретной организации БС РФ.
    3. Соблюдение политики ИБ в значительной степени является элементом корпоратив- ной этики, поэтому на уровень ИБ организации БС РФ серьезное влияние оказывают отноше- ния как в коллективе, так и между коллективом и собственником или менеджментом организа- ции БС РФ, представляющим интересы собственника. Поэтому этими отношениями необходи- мо управлять. Понимая, что наиболее критичным элементом безопасности организации БС РФ является ее персонал, собственник должен поощрять заинтересованность и осведомленность персонала в решении проблем ИБ.
    4. Далеко не каждая организация БС РФ располагает потенциалом для самостоятель- ного составления моделей угроз и нарушителя, а также политики ИБ. В этом случае эти доку- менты должны составляться с привлечением сторонних организаций.

Модели угроз и нарушителя должны учитывать требования законодательства РФ в обла- сти ИБ, разработки ведущих специалистов банковской системы, а также международный опыт в этой сфере.

• • 1. При разработке моделей угроз и моделей нарушителя необходимо учитывать, что из всех возможных объектов атак с наибольшей вероятностью нарушитель выберет наиболее слабо контролируемый, где его деятельность будет оставаться необнаруженной максималь- но долго. Поэтому все операции в банковских технологических процессах, где осуществляет- ся взаимодействие персонала со средствами и системами автоматизации, должны особенно тщательно контролироваться.
    2. Стратегия обеспечения ИБ организаций БС РФ, таким образом, заключается как в эффективном использовании по имеющемуся плану заранее разработанных мер по обеспече- нию ИБ, противостоящих атакам злоумышленников, так и в регулярном пересмотре моделей и политик ИБ, а также корректировке СОИБ. В случае реализации угроз должен быть использо- ван дополнительный (специально разработанный) план действий, позволяющий свести к ми- нимуму возможные потери и восстановить СОИБ.

1 Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) исполь- зуется имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.

• • 1. Любой целенаправленной деятельности (бизнесу) свойственны риски. Это объек- тивная реальность, и понизить эти риски можно лишь до определенного остаточного уровня. Оставшаяся (остаточная) часть риска, определяемая в том числе факторами среды деятельно- сти организации БС РФ, должна быть признана приемлемой и принята либо отклонена. В этом случае от риска следует либо уклониться (изменить среду деятельности), либо перевести на кого-нибудь (например, застраховать). Таким образом, уровень защищенности интересов (це- лей) организации БС РФ определяется, во-первых, величиной принятых ею остаточных рисков, а во-вторых, эффективностью работ по поддержанию принятых рисков на допустимом, низком (остаточном) уровне.
    2. Риски нарушения ИБ должны быть согласованы и иерархически связаны с рисками основной (бизнес) деятельности организации БС РФ через возможный ущерб.

Допускается оценка рисков информационной безопасности в составе операционных рис- ков с целью создания единой карты рисков и оценки стоимости ущерба по организации в целом. Риски нарушения ИБ выражаются в возможности потери состояния защищенности инте- ресов (целей) организации БС РФ в информационной сфере и возникновения ущерба бизнесу

организации БС РФ или убытков.

Потеря состояния защищенности интересов (целей) организации БС РФ в информаци- онной сфере заключается в утрате свойств доступности, целостности или конфиденциально- сти информационных активов, утрате заданных целями бизнеса параметров или доступности сервисов инфраструктуры организации БС РФ.

• • 1. Уязвимость ИБ создает предпосылки к реализации угрозы через нее (инцидент ИБ). Реализация угрозы нарушения ИБ приводит к утрате защищенности интересов (целей) орга- низации БС РФ в информационной сфере, в результате чего организации БС РФ наносится ущерб. Тяжесть ущерба совместно с вероятностью приводящего к нему инцидента ИБ опреде- ляют величину риска.
    2. Постоянный анализ и изучение инфраструктуры организации БС РФ с целью выяв- ления и устранения уязвимостей ИБ — основа эффективной работы СОИБ.
    3. Идентификация, анализ и оценивание рисков нарушения ИБ должны основываться на идентификации активов организации БС РФ, на их ценности для целей и задач организации БС РФ, на моделях угроз и нарушителей ИБ организации БС РФ.
    4. При принятии решений о внедрении защитных мер для противодействия иденти- фицированным угрозам (рискам) необходимо учитывать, что тем самым одновременно может увеличиваться сложность СОИБ организации БС РФ, что, в свою очередь, как правило, поро- ждает новые риски. Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на общую структуру рисков организации.
    5. Организация БС РФ осуществляет свою деятельность путем реализации совокуп- ности процессов, среди которых возможно выделение следующих групп:
• основные процессы, обеспечивающие достижение целей и задач организации БС РФ;
• вспомогательные процессы, обеспечивающие качество, в том числе обеспечение ИБ организации БС РФ;
• процессы менеджмента (управления), обеспечивающие поддержку параметров основ- ных и вспомогательных процессов в заданных пределах и их корректировку в случае из- менения внешних или внутренних условий.

Такое разделение процессов является условным, так как основные и вспомогательные процессы нередко образуют единое целое, например, функционирование защитных мер со- ставляет часть группы основных процессов. В то же время процессы менеджмента отделены от основных и вспомогательных процессов, которые являются объектами менеджмента.

• • 1. Совокупность защитных мер, реализующих обеспечение ИБ организации БС РФ, и процессов их эксплуатации, включая ресурсное и административное (организационное) обес- печение, составляет СИБ организации БС РФ.

Совокупность процессов менеджмента ИБ, включая ресурсное и административное (ор- ганизационное) обеспечение этих процессов, составляет СМИБ организации БС РФ.

Совокупность СИБ и СМИБ составляет СОИБ организации БС РФ.

• • 1. Процессы эксплуатации защитных мер функционируют в реальном времени. Сово- купность защитных мер и процессов их эксплуатации должна обеспечивать текущий требуе- мый уровень ИБ в условиях штатного функционирования, а также в условиях реализации угроз, учтенных в моделях организации БС РФ и приводящих к возникновению:
• локальных инцидентов ИБ;
• широкомасштабных катастроф и аварий различной природы, последствия которых мо- гут иметь отношение к ИБ организации БС РФ.
  • 1. СОИБ должна быть определена, спланирована и регламентирована в организации БС РФ. Однако даже правильно выстроенные процессы и используемые защитные меры в силу объективных причин со временем имеют тенденцию к ослаблению своей эффективности. Это неминуемо ведет к деградации системы защиты и возрастанию рисков нарушения ИБ.

Для поддержания системы защиты на должном уровне в качестве оперативной меры используется мониторинг событий и инцидентов в СИБ. Менеджмент событий и инцидентов безопасности, полученных в результате мониторинга ИБ, позволяет избежать деградации и обеспечить требуемый уровень безопасности активов.

Для оценки состояния ИБ защищаемого актива и выявления признаков деградации ис- пользуемых защитных мер проводится оценка (самооценка) соответствия системы требовани- ям настоящего стандарта.

• • 1. Для реализации и поддержания ИБ в организации БС РФ необходима реализация четырех групп процессов:
• планирование СОИБ организации БС РФ (“планирование”);
• реализация СОИБ организации БС РФ (“реализация”);
• мониторинг и анализ СОИБ организации БС РФ (“проверка”);
• поддержка и улучшение СОИБ организации БС РФ (“совершенствование”).

Указанные группы процессов составляют СМИБ организации БС РФ.

• • 1. Менеджмент ИБ есть часть общего корпоративного менеджмента организации БС РФ, которая ориентирована на содействие достижению целей деятельности организации че- рез обеспечение защищенности ее информационной сферы.

Группы процессов СМИБ организации БС РФ следует организовывать в виде цикли- ческой модели Деминга “… — планирование — реализация — проверка — совершенствова- ние — планирование — …”, которая является основой модели менеджмента стандартов каче- ства ГОСТ Р ИСО 9001 [5] и ИБ ISO/IEC IS 27001-2005 [6]. Организация и выполнение процессов СМИБ необходимы в том числе для обеспечения уверенности в том, что хороший практический опыт организации БС РФ документируется, становится обязательным к применению, а СОИБ совершенствуется.

• • 1. Основой для построения СОИБ организации БС РФ являются требования законо- дательства РФ, нормативные акты Банка России, контрактные требования организации БС РФ, а также условия ведения бизнеса, выраженные на основе идентификации активов организа- ции БС РФ, построения модели нарушителей и угроз.
    2. Рисунок 1 иллюстрирует взаимосвязь СИБ, СМИБ и СОИБ организации БС РФ.

Рисунок 1. СОИБ организации БС РФ

СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Реализация СОИБ

СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Проверка СОИБ

Совершенствование СОИБ

Планирование СОИБ

• • 1. Руководству организации БС РФ необходимо инициировать, поддерживать и кон- тролировать выполнение процессов СОИБ. Степень выполнения указанной деятельности со стороны руководства организации определяется осознанием необходимости обеспечения ИБ организации БС РФ. Осознание необходимости обеспечения ИБ организации БС РФ прояв- ляется в использовании руководством организации БС РФ бизнес-преимуществ обеспечения ИБ, способствующих формированию условий для дальнейшего развития бизнеса организации с допустимыми рисками.
    2. Осознание необходимости обеспечения ИБ является внутренним побудительным мотивом руководства организации БС РФ постоянно инициировать, поддерживать, анализи- ровать и контролировать СОИБ в отличие от ситуации, когда решение о выполнении указанных видов деятельности либо принимается в результате возникших проблем, либо определяется внешними факторами.
    3. Осознание необходимости обеспечения ИБ организации БС РФ выражается по- средством выполнения в рамках СМИБ деятельности со стороны руководства, направленной на инициирование, поддержание, анализ и контроль СОИБ организации БС РФ.

Модели угроз и нарушителей информационной безопасности организаций банковской системы

Российской Федерации

• • 1. Модели угроз и нарушителей должны быть основным инструментом организации БС РФ при развертывании, поддержании и совершенствовании СОИБ.
    2. Деятельность организации БС РФ поддерживается входящей в ее состав информа- ционной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:
  • физического (линии связи, аппаратные средства и пр.);
  • сетевого оборудования (маршрутизаторы, коммутаторы, концентраторы и пр.);
  • сетевых приложений и сервисов;
  • операционных систем (ОС);
  • систем управления базами данных (СУБД);
  • банковских технологических процессов и приложений;
  • бизнес-процессов организации.
    1. На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы и сред- ства защиты и подходы к оценке эффективности являются различными.
    2. Главной целью злоумышленника является получение контроля над информацион- ными активами на уровне бизнес-процессов. Прямое нападение на уровне бизнес-процессов, например путем раскрытия конфиденциальной банковской аналитической информации, более эффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляе- мое через иные уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. времен- ных) и поэтому менее эффективно по соотношению “затраты / получаемый результат”.

Другой целью злоумышленника может являться нарушение функционирования бизнес- процессов организации БС РФ, например, посредством распространения вредоносных про- грамм или нарушения правил эксплуатации ЭВМ или их сетей.

• • 1. Организация должна определить конкретные объекты среды информационных акти- вов на каждом из уровней информационной инфраструктуры.
    2. Основными источниками угроз ИБ являются:
  • неблагоприятные события природного, техногенного и социального характера;
  • террористы и криминальные элементы;
  • зависимость от поставщиков/провайдеров/партнеров/клиентов;
  • сбои, отказы, разрушения/повреждения программных и технических средств;
  • работники организации БС РФ, реализующие угрозы ИБ с использованием легально предоставленных им прав и полномочий (внутренние нарушители ИБ);
  • работники организации БС РФ, реализующие угрозы ИБ вне легально предоставленных им прав и полномочий, а также субъекты, не являющиеся работниками организации БС РФ, но осуществляющие попытки НСД и НРД (внешние нарушители ИБ);
  • несоответствие требованиям надзорных и регулирующих органов, действующему зако- нодательству.
    1. Наиболее актуальные источники угроз на физическом уровне, уровне сетевого обо- рудования и уровне сетевых приложений:
• внешние нарушители ИБ: лица, разрабатывающие/распространяющие вирусы и другие вредоносные программные коды; лица, организующие DoS, DDoS и иные виды атак; ли- ца, осуществляющие попытки НСД и НРД;
• внутренние нарушители ИБ: персонал, имеющий права доступа к аппаратному оборудо- ванию, в том числе сетевому, администраторы серверов, сетевых приложений и т.п.;
• комбинированные источники угроз: внешние и внутренние нарушители ИБ, действую- щие совместно и (или) согласованно;
• сбои, отказы, разрушения/повреждения программных и технических средств.
  • 1. Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов:
• внутренние нарушители ИБ: администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.;
• комбинированные источники угроз: внешние и внутренние нарушители ИБ, действую- щие в сговоре1.
  • 1. Наиболее актуальные источники угроз на уровне бизнес-процессов:
• внутренние нарушители ИБ: авторизованные пользователи и операторы АБС, предста- вители менеджмента организации и пр.;
• комбинированные источники угроз: внешние нарушители ИБ (например, конкуренты) и внутренние, действующие в сговоре;
• несоответствие требованиям надзорных и регулирующих органов, действующему зако- нодательству.
  • 1. Источники угроз используют для реализации угрозы уязвимости ИБ.
    2. Хорошей практикой в организациях БС РФ является разработка моделей угроз и на- рушителей ИБ для организации в целом, а также при необходимости для ее отдельных банков- ских процессов.

Степень детализации параметров моделей угроз и нарушителей ИБ может быть различ- ной и определяется реальными потребностями для каждой организации в отдельности.

• • 1. В организации БС РФ рекомендуется устанавливать процедуры регулярного анали- за необходимости пересмотра модели угроз и нарушителей ИБ.

Система информационной безопасности организаций банковской системы

Российской Федерации

• • 1. Общие положения
       1. Выполнение требований к СИБ организации БС РФ является основой для обеспе- чения должного уровня ИБ. Формирование требований к СИБ организации БС РФ должно про- водиться на основе:
• положений настоящего раздела стандарта;
• выполнения деятельности в рамках СМИБ организации БС РФ, определенной в разде- ле 8 настоящего стандарта (в частности, деятельности по разработке планов обработки рисков нарушения ИБ).

Требования к СИБ организации БС РФ должны быть оформлены документально в соот- ветствии с Рекомендациями в области стандартизации Банка России РС БР ИББС-2.0 “Обес- печение информационной безопасности организаций БС РФ. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требо- ваниями СТО БР ИББС-1.0”.

• • • 1. Положения подразделов 7.2—7.11 настоящего стандарта образуют базовый набор требований к СИБ, применимый к большинству организаций БС РФ. В соответствии с особен- ностями конкретной организации БС РФ данный базовый набор требований может быть рас- ширен путем выполнения деятельности в рамках процессов СМИБ организации БС РФ, напри- мер, определения области действия СОИБ организации БС РФ, анализа и оценки рисков нару- шения ИБ.

1 На данных уровнях и уровне бизнес-процессов реализация угроз внешними нарушителями ИБ, действующими самостоятельно без соучастия внутренних, практически невозможна.

• • • 1. Требования к СИБ должны быть сформированы в том числе для следующих обла-

стей:

• назначения и распределения ролей и обеспечения доверия к персоналу;
• обеспечения ИБ на стадиях ЖЦ АБС;
• защиты от НСД и НРД, управления доступом и регистрацией всех действий в АБС, в теле- коммуникационном оборудовании, автоматических телефонных станциях и т.д.;
• антивирусной защиты;
• использования ресурсов сети Интернет;
• использования СКЗИ;
• защиты банковских платежных и информационных технологических процессов, в том числе банковских технологических процессов, в рамках которых обрабатываются персо- нальные данные.

В конкретной организации БС РФ требования к СИБ могут формироваться и для других областей и направлений деятельности.

• • • 1. При распределении прав доступа работников и клиентов к информационным акти- вам организации БС РФ следует руководствоваться принципами:
• “знать своего клиента”1;
• “знать своего служащего”2;
• “необходимо знать”3,

а также рекомендуется использовать принцип “двойное управление”4.

• • • 1. Формирование ролей должно осуществляться на основании существующих биз- нес-процессов организации БС РФ и проводиться с целью исключения концентрации полно- мочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.

Формирование ролей не должно выполняться по принципу фиксации фактически сло- жившихся прав и полномочий персонала организации БС РФ.

• • • 1. Для обеспечения ИБ и контроля за качеством обеспечения ИБ в организации БС РФ должны быть определены роли, связанные с деятельностью по обеспечению ИБ. Руководство организации БС РФ должно осуществлять координацию своевременности и качества выпол- нения ролей, связанных с обеспечением ИБ.
      2. ИБ АБС должна обеспечиваться на всех стадиях ЖЦ АБС, автоматизирующих бан- ковские технологические процессы, с учетом интересов всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзор- ных подразделений организации БС РФ).
      3. При принятии руководством организации БС РФ решений об использовании се- ти Интернет, при формировании документов, регламентирующих порядок использования се- ти Интернет, а также иных документов, связанных с обеспечением ИБ при использовании сети Интернет, необходимо учитывать следующие положения:
• сеть Интернет не имеет единого органа управления (за исключением службы управле- ния пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет мо- гут обеспечить только те услуги, которые реализуются непосредственно ими;
• существует вероятность несанкционированного доступа, потери и искажения информа- ции, передаваемой посредством сети Интернет;
• существует вероятность атаки злоумышленников на оборудование, программное обес- печение и информационные ресурсы, подключенные/доступные из сети Интернет;
• гарантии по обеспечению ИБ при использовании сети Интернет никаким органом/учре- ждением/организацией не предоставляются.
  • • 1. В рамках банковских платежных технологических процессов в качестве активов, за- щищаемых в первую очередь, следует рассматривать:

1 “Знать своего клиента” (Know your Customer): принцип, используемый регулирующими органами для выражения отношения к фи- нансовым организациям с точки зрения знания деятельности их клиентов.

2 “Знать своего служащего” (Know your Employee): принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью.

3 “Необходимо знать” (Need to Know): принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке ин- формации на уровне минимально необходимых для выполнения определенных обязанностей.

4 “Двойное управление” (Dual Control): принцип сохранения целостности процесса и борьбы с искажением функций системы, тре- бующий дублирования (алгоритмического, временного, ресурсного или иного) действий до завершения определенных транзакций.

• банковский платежный технологический процесс;
• платежную информацию;
• информацию, отнесенную к защищаемой информации в соответствии с пунктом 2.1 По- ложения Банка России от 09.06.2012 №382-П “О требованиях к обеспечению защиты ин- формации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информа- ции при осуществлении переводов денежных средств” в редакции Указания Банка Рос- сии от 05.06.2013 № 3007-У [7].
  • 1. Общие требования по обеспечению информационной безопасности

при назначении и распределении ролей и обеспечении доверия к персоналу

• • • 1. В организации БС РФ должны быть выделены роли ее работников.

Формирование ролей, связанных с выполнением деятельности по обеспечению ИБ, среди прочего, следует осуществлять на основании требований 7 и 8 разделов настоящего стандарта. Формирование и назначение ролей работников организации БС РФ следует осущест-

влять с учетом соблюдения принципа предоставления минимальных прав и полномочий, необ- ходимых для выполнения служебных обязанностей.

• • • 1. Роли следует персонифицировать с установлением ответственности за их выпол- нение. Ответственность должна быть зафиксирована, например, в должностных инструкциях или организационно-распорядительных документах организации БС РФ.
      2. С целью предупреждения возникновения и снижения рисков нарушения ИБ не до- пускается совмещения в рамках одной роли следующих функций: разработки и сопровожде- ния АБС/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в АБС и контроля их выполнения.
      3. В организации БС РФ должны быть определены, выполняться и регистрировать- ся процедуры контроля деятельности работников, обладающих совокупностью полномочий, определяемых их ролями, позволяющими получить контроль над защищаемым информацион- ным активом организации БС РФ.
      4. В организации БС РФ должны быть определены, выполняться и регистрироваться процедуры приема на работу, влияющую на обеспечение ИБ, включающие:
• проверку подлинности предоставленных документов, заявляемой квалификации, точно- сти и полноты биографических фактов;
• проверку в части профессиональных навыков и оценку профессиональной пригодности.

Указанные процедуры должны предусматривать фиксацию результатов проводимых проверок.

• • • 1. Рекомендуется определить, выполнять и регистрировать с фиксацией результа- тов процедуры регулярной проверки в части профессиональных навыков и оценки профес- сиональной пригодности работников, а также внеплановой проверки — при выявлении фак- тов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии.
      2. Все работники организации БС РФ должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.

При взаимодействии с внешними организациями и клиентами требования по обеспече- нию ИБ должны регламентироваться положениями, включаемыми в договоры (соглашения) с ними.

• • • 1. Обязанности персонала по выполнению требований по обеспечению ИБ должны включаться в трудовые контракты (соглашения, договоры) и (или) должностные инструкции.

Невыполнение работниками организации БС РФ требований по обеспечению ИБ должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дис- циплинарной ответственности.

• • 1. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла
       1. В части вопросов обеспечения ИБ следует рассматривать следующие общие ста- дии модели ЖЦ АБС:

1. разработка технических заданий;
2. проектирование;
3. создание и тестирование;
4. приемка и ввод в действие;
5. эксплуатация;
6. сопровождение и модернизация;
7. снятие с эксплуатации.

В случае самостоятельной разработки АБС в организации БС РФ следует рассматривать все стадии ЖЦ АБС, а в случае приобретения готовых АБС следует рассматривать стадии 4—7 ЖЦ АБС.

• • • 1. Выполнение работ на всех стадиях жизненного цикла АБС в части вопросов обес- печения ИБ должно осуществляться по согласованию и под контролем службы ИБ.
      2. Организации, привлекаемые на договорной основе для обеспечения ИБ на стадиях ЖЦ АБС, должны иметь лицензии на деятельность по технической защите конфиденциальной информации в соответствии с законодательством РФ.
      3. В технические задания на разработку или модернизацию АБС следует включать требования к обеспечению информационной безопасности, установленные и используемые организацией БС РФ для обеспечения ИБ в рамках технологических процессов организации БС РФ, реализуемых создаваемой или модернизированной АБС.
      4. На стадии создания и тестирования АБС и (или) их компонентов организация БС РФ обеспечивает реализацию запрета использования защищаемой информации в качестве тестовых данных, анонимность данных и контроль адекватности предоставления и разграни- чения доступа.
      5. Эксплуатируемые АБС и (или) их компоненты должны быть снабжены документаци- ей, содержащей описание реализованных в АБС защитных мер, в том числе описание состава и требований к реализации организационных защитных мер, состава и требований к эксплуа- тации технических защитных мер.

Организации БС РФ следует проводить анализ принятия разработчиком АБС защит- ных мер, направленных на обеспечение безопасности разработки АБС и безопасности ее по- ставки.

• • • 1. В договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов организациям БС РФ должны включаться положения по сопровождению поставляемых изде- лий на весь срок их службы. В случае невозможности включения в договор (контракт) указан- ных положений должен быть приобретен полный комплект документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика. Если оба ука- занных варианта неприемлемы, например, вследствие высокой стоимости или позиции фир- мы-поставщика (разработчика), руководство организации БС РФ должно оценить и зафикси- ровать допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов.
      2. При разработке технических заданий на системы дистанционного банковского об- служивания должно быть учтено, что защита данных должна обеспечиваться в условиях:
• попыток несанкционированного доступа к информации анонимных, неавторизованных злоумышленников с использованием сетей общего пользования;
• возможности ошибок авторизованных пользователей систем;
• возможности ненамеренного или неадекватного использования защищаемой информа- ции авторизованными пользователями.
  • • 1. На стадии эксплуатации АБС должны быть определены, выполняться и регистри- роваться процедуры:
• контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер, в том числе контроль реализации организационных защитных мер, контроль состава и параметров настройки применяемых технических защитных мер;
• контроля отсутствия уязвимостей в оборудовании и программном обеспечении АБС;
• контроля внесения изменений в параметры настройки АБС и применяемых технических защитных мер;
• контроля необходимого обновления программного обеспечения АБС, включая про- граммное обеспечение технических защитных мер.
  • • 1. На стадии эксплуатации АБС должны быть определены, выполняться, регистри- роваться и контролироваться процедуры, необходимые для обеспечения восстановления всех реализованных функций по обеспечению ИБ.
      2. На стадии эксплуатации АБС должны быть определены, выполняться и регистри- роваться процедуры контроля состава устанавливаемого и (или) используемого ПО АБС.
      3. В организации БС РФ должны быть выделены и назначены роли, связанные с экс- плуатацией и контролем эксплуатации АБС и применяемых технических защитных мер, в том числе с внесением изменений в параметры их настройки.

Для всех АБС должны быть определены и выполняться процедуры контроля ее эксплуа- тации со стороны службы ИБ. Проведение мероприятий по контролю эксплуатации АБС и их результаты должны регистрироваться.

• • • 1. На стадии эксплуатации АБС должны быть определены, выполняться и контроли- роваться процедуры, необходимые для обеспечения сохранности носителей защищаемой ин- формации.
      2. На стадии сопровождения (модернизации) должны быть определены, выполнять- ся и регистрироваться процедуры контроля, обеспечивающие защиту от:
• умышленного несанкционированного раскрытия, модификации или уничтожения ин- формации;
• неумышленной модификации, раскрытия или уничтожения информации;
• отказа в обслуживании или ухудшения обслуживания.
  • • 1. На стадии сопровождения (модернизации) АБС, отнесенных решением организа- цией БС РФ к критичным, в том числе АБС, задействованных в реализации банковско- го платежного технологического процесса, и в ИСПДн должны быть определены, выпол- няться и регистрироваться процедуры:
• фиксации внесенных изменений;
• проверки функциональности АБС, в том числе применяемых мер защиты информации, после внесения изменений.
  • • 1. На стадии снятия с эксплуатации должны быть определены, выполняться и реги- стрироваться процедуры, обеспечивающие удаление информации с использованием алгорит- мов и (или) методов, обеспечивающих невозможность восстановления удаленной информа- ции, несанкционированное использование которой может нанести ущерб бизнес-деятельно- сти организации, и информации, используемой техническими защитными мерами, из посто- янной памяти АБС и с внешних носителей, за исключением архивов электронных документов и протоколов электронного взаимодействия, ведение и сохранность которых в течение опре- деленного срока предусмотрены законодательством РФ, нормативными актами Банка России и (или) договорными документами.
    1. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрацией
       1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информацион- ных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.
       2. В составе АБС должны применяться встроенные защитные меры от НСД и НРД, а также могут применяться средства защиты информации, сертифицированные по требовани- ям безопасности информации.

Защитные меры от НСД должны обеспечивать сокрытие вводимых субъектами до- ступа аутентификационных данных на устройствах отображения информации. Размещение устройств отображения информации АБС должно препятствовать ее несанкционированному просмотру.

• • • 1. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры:
• идентификации, аутентификации, авторизации субъектов доступа, в том числе внешних субъектов доступа, которые не являются работниками организации БС РФ, и программ- ных процессов (сервисов);
• разграничения доступа к информационным активам на основе ролевого метода, с опре- делением для каждой роли полномочий по доступу к информационным активам;
• управления предоставлением/отзывом и блокированием доступа, в том числе доступа, осуществляемого через внешние информационно-телекоммуникационные сети;
• регистрации действий субъектов доступа с обеспечением контроля целостности и за- щиты данных регистрации;
• управления идентификационными данными, аутентификационными данными и сред- ствами аутентификации;
• управления учетными записями субъектов доступа;
• выявления и блокирования неуспешных попыток доступа;
• блокирования сеанса доступа после установленного времени бездействия или по за- просу субъекта доступа, требующего выполнения процедур повторной аутентификации и авторизации для продолжения работы;
  • ограничения действий пользователей по изменению настроек их автоматизированных мест (использование ограничений на изменение BIOS);
  • управления составом разрешенных действий до выполнения идентификации и аутенти- фикации;
  • ограничения действий пользователей по изменению параметров настроек АБС и реали- зации контроля действий эксплуатационного персонала по изменению параметров на- строек АБС;
  • выявления и блокирования несанкционированного перемещения (копирования) инфор- мации, в том числе баз данных, файловых ресурсов, виртуальных машин;
  • использования технологий беспроводного доступа к информации, в случае их примене- ния, и защиты внутренних беспроводных соединений;
  • использования мобильных устройств для доступа к информации в случае их применения. Процедуры управления доступом должны исключать возможность “самосанкциониро-

вания”.

• • • 1. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о дей- ствиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции, для чего, среди прочего, следует:
• определить действия и операции, подлежащие регистрации;
• определить состав и содержание данных о действиях и операциях, подлежащих реги- страции, сроки их хранения;
• обеспечить резервирование необходимого объема памяти для записи данных;
• обеспечить реагирование на сбои при регистрации действий и операций, в том числе аппаратные и программные ошибки, сбои в технических средствах сбора данных;
• обеспечить генерацию временных меток для регистрируемых действий и операций и синхронизацию системного времени на технических средствах, используемых для це- лей мониторинга ИБ, анализа и хранения данных.

В организации БС РФ должно быть реализовано ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и АБС с целью их использования при реагировании на инциденты ИБ.

Рекомендуется обеспечить хранение данных о действиях и операциях не менее трех лет, а для данных, полученных в результате выполнения банковского платежного технологического процесса, — не менее пяти лет, если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России.

Для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях следует использовать специализированные программные и (или) технические средства.

Процедуры мониторинга ИБ и анализа данных о действиях и операциях должны исполь- зовать зафиксированные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга ИБ и анализа должны применяться на регу- лярной основе, например ежедневно, ко всем выполненным действиям и операциям (транз- акциям).

• • • 1. В организации БС РФ необходимо определить и контролировать выполнение тре- бований:
• к разделению сегментов вычислительных сетей, в том числе создаваемых с использова- нием технологии виртуализации;
• к межсетевому экранированию;
• к информационному взаимодействию между сегментами вычислительных сетей.

Разделение сегментов вычислительных сетей следует осуществлять с целью обеспече- ния независимого выполнения банковских платежных технологических процессов организа- ции БС РФ, а также банковских информационных технологических процессов организации БС РФ разной степени критичности, в том числе банковских информационных технологических процессов, в рамках которых осуществляется обработка персональных данных в ИСПДн.

В документах БС РФ должны быть регламентированы и контролироваться процедуры внесения изменений в конфигурацию сетевого оборудования, предусматривающие согласо- вание вносимых изменений со службой ИБ. Работникам службы ИБ рекомендуется предостав- лять доступ к конфигурации сетевого оборудования без возможности внесения изменений.

• • • 1. Должен быть определен, выполняться, регистрироваться и контролироваться по- рядок доступа к объектам среды информационных активов, в том числе в помещения, в кото- рых размещаются объекты среды информационных активов.
      2. Используемые в организации БС РФ АБС, в том числе системы дистанционного банковского обслуживания, должны обеспечивать, среди прочего, возможность регистрации:
• операций с данными о клиентских счетах, включая операции открытия, модификации и закрытия клиентских счетов;
• проводимых транзакций, имеющих финансовые последствия;
• операций, связанных с назначением и распределением прав пользователей.
  • • 1. В организации БС РФ должен быть определен, выполняться и контролироваться порядок использования съемных носителей информации.
      2. Системы дистанционного банковского обслуживания должны реализовывать за- щитные меры, обеспечивающие невозможность отказа от авторства проводимых клиентами операций и транзакций.

Протоколам операций, выполняемых посредством систем дистанционного банковско- го обслуживания, следует придать свойство юридической значимости, например, путем вне- сения соответствующих положений в договоры на дистанционное банковское обслуживание.

• • • 1. При заключении договоров со сторонними организациями рекомендуется пред- усматривать необходимый уровень взаимодействия в случае выхода инцидента ИБ за рамки отдельной организации БС РФ. Примером такого взаимодействия может служить приостанов- ка выполнения распределенной между несколькими организациями транзакции в случае, ес- ли имеющиеся данные мониторинга ИБ и анализа протоколов операций позволяют предполо- жить, что выполнение данной транзакции является частью замысла злоумышленников.
      2. Должны быть определены и доведены до сведения работников и клиентов органи- зации БС РФ процедуры, определяющие действия в случае компрометации информации, не- обходимой для их идентификации, аутентификации и (или) авторизации, в том числе произо- шедшей по их вине, включая информацию о способах распознавания таких случаев.

Эти процедуры должны предусматривать регистрацию работниками и клиентами всех своих действий и их результатов.

• • • 1. В системах дистанционного банковского обслуживания должны быть реализо- ваны механизмы информирования (регулярного, непрерывного или по требованию) клиентов обо всех операциях, совершаемых от их имен.
      2. В организации БС РФ должны применяться меры, направленные на обеспечение защиты от НСД, повреждения или нарушения целостности данных о действиях и операциях, а также меры по защите информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД к такой информа- ции должны регистрироваться. Доступ к данным о действиях и операциях предоставляется только с целью выполнения служебных обязанностей.

При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанным данным, необходимо выполнить регламентированные про- цедуры соответствующего пересмотра прав доступа.

• • • 1. При осуществлении доступа на участке телекоммуникационных каналов и ли- ний связи, в том числе беспроводных, не контролируемых организацией БС РФ, должны ис- пользоваться сетевые протоколы, обеспечивающие защиту сетевого соединения, контроль целостности сетевого взаимодействия и реализацию технологии двухсторонней аутен- тификации.
      2. Передача защищаемых данных по каналам связи, имеющим выход за пределы контролируемой организацией БС РФ зоны, должна осуществляться только при условии обес- печения их защиты от раскрытия и модификации.
      3. Работа всех работников и клиентов организации БС РФ в АБС должна осущест- вляться под уникальными и персонифицированными учетными записями.
    1. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты
       1. На всех автоматизированных рабочих местах и серверах АБС организации БС РФ должны применяться средства антивирусной защиты, если иное не предусмотрено реализа- цией технологического процесса.

В организации БС РФ должны быть определены, выполняться, регистрироваться и кон- тролироваться процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС.

• • • 1. Рекомендуется организовать функционирование постоянной антивирусной защи- ты в автоматическом режиме и автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных.
      2. Перед подключением съемных носителей информации к средствам вычислитель- ной техники, задействованным в рамках осуществления банковских технологических процес- сов, рекомендуется проводить их антивирусную проверку на специально выделенном авто- номном средстве вычислительной техники.
      3. Должны быть разработаны и введены в действие инструкции и рекомендации по антивирусной защите, учитывающие особенности банковских технологических процессов.
      4. В организации БС РФ должна быть организована антивирусная фильтрация всего трафика электронного почтового обмена.
      5. В организации БС РФ должна быть организована эшелонированная централизо- ванная система антивирусной защиты, предусматривающая использование средств антиви- русной защиты различных производителей на:
• рабочих станциях;
• серверном оборудовании, в том числе серверах электронной почты;
• технических средствах межсетевого экранирования.
  • • 1. Должны быть определены, выполняться, регистрироваться и контролировать- ся процедуры предварительной проверки устанавливаемого или изменяемого программного обеспечения на отсутствие вирусов. После установки или изменения программного обеспече- ния должна быть выполнена антивирусная проверка.
      2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры, выполняемые в случае обнаружения компьютерных вирусов, в которых, в частно- сти, необходимо зафиксировать:
• необходимые меры по отражению и устранению последствий вирусной атаки;
• порядок официального информирования руководства;
• порядок приостановления при необходимости работы (на период устранения послед- ствий вирусной атаки).
  • • 1. Должны быть определены, выполняться и регистрироваться процедуры контро- ля за отключением и обновлением антивирусных средств на всех технических средствах АБС.
      2. Ответственность за выполнение требований по антивирусной защите должна быть возложена на руководителя функционального подразделения организации БС РФ, а обя- занности по выполнению предписанных мер антивирусной защиты должны быть возложены на каждого работника организации, имеющего доступ к ЭВМ и (или) АБС.
    1. Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет
       1. Решение об использовании сети Интернет для производственной и (или) собствен- ной хозяйственной деятельности должно приниматься руководством организации БС РФ. При этом цели использования сети Интернет должны быть явно перечислены и зафиксированы, на- пример, сеть Интернет в организации БС РФ может использоваться для:
• ведения дистанционного банковского обслуживания;
• получения и распространения информации, связанной с банковской деятельностью (на- пример, путем создания информационных web-сайтов организации БС РФ);
• информационно-аналитической работы в интересах организации;
• обмена электронными сообщениями между организациями БС РФ и иными субъектами национальной платежной системы;
• обмена электронными сообщениями, например почтовыми.

Использование сети Интернет в неустановленных целях должно быть запрещено.

С целью ограничения использования сети Интернет в неустановленных целях в органи- зации БС РФ рекомендуется провести выделение ограниченного числа пакетов, содержащих перечень сервисов и ресурсов сети Интернет, доступных для пользователей. Наделение ра- ботников организации БС РФ правами пользователя конкретного пакета должно регистриро- ваться и выполняться в соответствии с его должностными обязанностями, в частности в соот- ветствии с назначенными ему ролями.

• • • 1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры подключения и использования ресурсов сети Интернет.
      2. Передача защищаемых данных с использованием сети Интернет должна осущест- вляться только при условии обеспечения их защиты от раскрытия и модификации.
      3. В организациях БС РФ в связи с повышенными рисками нарушения ИБ при взаи- модействии с сетью Интернет должны применяться защитные меры, в том числе межсетевые экраны, антивирусные средства, средства обнаружения вторжений, средства криптографиче- ской защиты информации, обеспечивающие, среди прочего, прием и передачу информации только в установленном формате и только для конкретной технологии.

Должны быть разработаны и введены в действие инструкции и рекомендации по исполь- зованию сети Интернет, учитывающие особенности банковских технологических процессов.

Должны быть определены и выполняться процедуры протоколирования посещения ре- сурсов сети Интернет работниками организации БС РФ. Данные о посещенных работниками организации БС РФ ресурсов сети Интернет должны быть доступны работникам службы ИБ.

• • • 1. Рекомендуется выполнить выделение и организовать физическую изоляцию от внутренних сетей тех ЭВМ, с помощью которых осуществляется непосредственное взаимо- действие с сетью Интернет.
      2. При осуществлении дистанционного банковского обслуживания должны приме- няться защитные меры, предотвращающие возможность подмены авторизованного клиента злоумышленником в рамках сеанса работы. Все попытки таких подмен должны регистриро- ваться регламентированным в установленном в организации БС РФ порядке.
      3. Все операции клиентов в течение всего сеанса работы с системами дистанционно- го банковского обслуживания, в том числе операции по переводу денежных средств, должны выполняться только после выполнения процедур идентификации, аутентификации и авториза- ции. В случаях нарушения или разрыва соединения необходимо обеспечить закрытие текущей сессии и повторное выполнение процедур идентификации, аутентификации и авторизации.

Для доступа пользователей к системам дистанционного банковского обслуживания ре- комендуется использовать специализированное клиентское программное обеспечение.

• • • 1. Должны быть определены состав и порядок применения мер защиты, применяе- мых для организации почтового обмена через сеть Интернет.

Рекомендуется организовать почтовый обмен с сетью Интернет через ограниченное ко- личество точек, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (под- ключенного к внутренним сетям организации) почтовых серверов с безопасной системой ре- пликации почтовых сообщений между ними (интернет-киоски).

• • • 1. Электронная почта должна архивироваться. Целями создания архивов электрон- ной почты являются:
• контроль информационных потоков, в том числе с целью предотвращение утечек инфор- мации;
• использование архивов при проведении разбирательств по фактам утечек информации.

Должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры доступа к информации архива и ее изменения, предусматривающие возможность доступа работников службы ИБ к информации архива.

• • • 1. Рекомендуется не применять практику хранения и обработки банковской инфор- мации (в т.ч. открытой) на ЭВМ, с помощью которых осуществляется непосредственное взаи- модействие с сетью Интернет. Наличие банковской информации на таких ЭВМ должно опреде- ляться бизнес-целями организации БС РФ и санкционироваться ее руководством.
      2. Должны быть определены состав и порядок применения мер защиты, применяе- мых при взаимодействии с сетью Интернет и позволяющих обеспечить противодействие ата- кам злоумышленников и распространению спама1.
    1. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации
       1. Средства криптографической защиты информации или шифровальные (криптогра- фические) средства (далее — СКЗИ) предназначены для защиты информации при ее обработ- ке, хранении и передаче по каналам связи.

Необходимость использования СКЗИ определяется организацией БС РФ самостоятель- но, если иное не предусмотрено законодательством РФ.

• • • 1. Применение СКЗИ в организации БС РФ должно проводиться в соответствии с мо- делью угроз ИБ и моделью нарушителя ИБ, принятыми организацией БС РФ. Рекомендуется утвердить частную политику ИБ, касающуюся применения СКЗИ в организации БС РФ.
      2. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ни- же КС2.
      3. Работы по обеспечению с помощью СКЗИ безопасности информации проводятся в соответствии с законодательством РФ, нормативными документами, регламентирующими во- просы эксплуатации СКЗИ, технической документацией на СКЗИ и лицензионными требова- ниями ФСБ России.

1 Спам — общее наименование не запрошенных пользователями электронных посланий и рекламных писем, рассылаемых в сети Ин- тернет по ставшим известными рассылающей стороне адресам пользователей.

• • • 1. Для обеспечения безопасности необходимо использовать СКЗИ, которые:
• допускают встраивание в технологические процессы обработки электронных сообще- ний, обеспечивают взаимодействие с прикладным программным обеспечением на уров- не обработки запросов на криптографические преобразования и выдачи результатов;
• обладают полным комплектом эксплуатационной документации, предоставляемых раз- работчиком СКЗИ, включая описание ключевой системы, правил работы с ней и обосно- вание необходимого организационно-штатного обеспечения;
• сертифицированы уполномоченным государственным органом либо имеют разрешение ФСБ России.
  • • 1. Установка и ввод в эксплуатацию, а также эксплуатация СКЗИ должны осущест- вляться в соответствии с эксплуатационной и технической документацией к этим средствам.
      2. При применении СКЗИ должны поддерживаться непрерывность процессов про- токолирования работы СКЗИ в соответствии с технической документацией на СКЗИ и обес- печения целостности программного обеспечения для среды функционирования СКЗИ, пред- ставляющую собой совокупность технических и программных средств, совместно с которы- ми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований.
      3. ИБ процессов изготовления криптографических ключей СКЗИ должна обеспечи- ваться комплексом технологических, организационных, технических и программных мер и средств защиты, предусмотренных технической документацией на СКЗИ.
      4. Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых си- стем рекомендуется реализовать процедуры мониторинга ИБ, регистрирующие все значимые события, состоявшиеся в процессе обмена криптографически защищенными данными, и все инциденты ИБ.
      5. Порядок применения СКЗИ определяется руководством организации БС РФ на ос- новании указанных выше в данном разделе документов и должен включать:
• порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС;
• порядок эксплуатации;
• порядок восстановления работоспособности в аварийных случаях;
• порядок внесения изменений;
• порядок снятия с эксплуатации;
• порядок управления ключевой системой;
• порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей.
  • • 1. Криптографические ключи могут изготавливаться организациями БС РФ и (или) клиентом организации БС РФ самостоятельно. Отношения, возникающие между организация- ми БС РФ и их клиентами, регулируются заключаемыми договорами.
    1. Общие требования по обеспечению информационной безопасности банковских платежных технологических процессов
       1. СИБ банковского платежного технологического процесса должна соответствовать требованиям пунктов 7.2—7.7, 7.8 настоящего стандарта.
       2. Банковский платежный технологический процесс должен быть регламентирован (описан) в организации БС РФ.
       3. Порядок обмена платежной информацией должен быть зафиксирован в договорах между участниками, осуществляющими обмен платежной информацией.
       4. Работники организации БС РФ, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать полномочиями для бесконтроль- ного создания, авторизации, уничтожения и изменения платежной информации, а также про- ведения несанкционированных операций по изменению состояния банковских счетов.
       5. Результаты технологических операций по обработке платежной информации дол- жны контролироваться (проверяться) и удостоверяться лицами/автоматизированными про- цессами.

Рекомендуется, чтобы обработку платежной информации и контроль (проверку) резуль- татов обработки осуществляли разные работники/автоматизированные процессы.

• • • 1. Комплекс защитных мер банковского платежного технологического процесса дол- жен предусматривать, в том числе:

— защиту платежной информации от искажения, фальсификации, переадресации, не- санкционированного уничтожения, ложной авторизации электронных платежных сооб- щений;

• доступ работника организации БС РФ только к тем ресурсам банковского платежно- го технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платеж- ной информации;
• контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;
• аутентификацию входящих электронных платежных сообщений;
• двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями;
• возможность ввода платежной информации в АБС только для авторизованных пользова- телей;
• контроль, направленный на исключение возможности совершения злоумышленных дей- ствий, в частности двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций;
• восстановление платежной информации в случае ее умышленного (случайного) разру- шения (искажения) или выхода из строя средств вычислительной техники;
• сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбан- ковских расчетов;
• возможность блокирования приема к исполнению распоряжений клиентов;
• доставку электронных платежных сообщений участникам обмена.

Кроме того, в организации БС РФ рекомендуется организовать авторизованный ввод платежной информации в АБС двумя работниками с последующей программной сверкой ре- зультатов ввода на совпадение (принцип “двойного управления”).

• • • 1. Для систем дистанционного банковского обслуживания должны применяться за- щитные механизмы, реализующие:
• снижение вероятности выполнения непреднамеренных или случайных операций или транзакций авторизованными клиентами;
• доведение информации о возможных рисках, связанных с выполнением операций или транзакций до клиентов.

Клиенты систем дистанционного банковского обслуживания должны быть обеспечены детальными инструкциями, описывающими процедуры выполнения операций или транзакций.

• • • 1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обслуживания средств вычислительной техники, используемых в банковском пла- тежном технологическом процессе, включая замену их программных и (или) аппаратных частей.
      2. Должны быть определены, выполняться и регистрироваться процедуры периоди- ческого контроля всех реализованных защитными мерами функций (требований) по обеспече- нию ИБ платежной информации.
      3. Должны быть определены, выполняться и регистрироваться процедуры контроля отсутствия размещения на устройствах, задействованных в осуществлении банковского пла- тежного технологического процесса, находящихся в общедоступных местах вне зоны постоян- ного контроля организации БС РФ, в том числе банкоматов и платежных терминалов, специа- лизированных средств, используемых для несанкционированного съема информации.
      4. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры восстановления всех реализованных программно-техническими средствами функ- ций по обеспечению ИБ платежной информации.
    1. Общие требования по обеспечению информационной безопасности банковских информационных технологических процессов
       1. СИБ банковского информационного технологического процесса должна соответ- ствовать требованиям пунктов 7.2.—7.7, 7.9 настоящего стандарта.
       2. В организации БС РФ следует провести классификацию неплатежной информации и определить перечень ее типов.

Классификацию неплатежной информации следует проводить в соответствии со степе- нью тяжести последствий потери свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности.

• • • 1. Для каждого из типов неплатежной информации, полученных в результате класси- фикации, должен быть документально определен набор требований по ее защите.
      2. Банковские информационные технологические процессы должны быть регламен- тированы (описаны) в организации БС РФ. Указанные технологические процессы должны быть

реализованы в рамках созданных для этих целей АБС. Не входящие в состав данных АБС сер- веры, офисные ЭВМ и другое оборудование рекомендуется изолировать от АБС на уровне ло- кальных вычислительных сетей способом, согласованным со службой ИБ.

• • • 1. Должны быть определены, выполняться и контролироваться требования к обеспе- чению ИБ в процессе взаимодействия АБС организаций БС РФ с информационными система- ми сторонних организаций (внешними информационными системами).
    1. Общие требования по обработке персональных данных в организации банковской системы Российской Федерации
       1. Руководство организации БС РФ должно установить цели обработки персональ- ных данных (далее — ПДн).
       2. В организации БС РФ должна быть установлена необходимость осуществления уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн и ор- ганизована деятельность по своевременному направлению указанного уведомления в соот- ветствии с требованиями Федерального закона “О персональных данных” [8] в случае наличия такой необходимости.
       3. В организации БС РФ должны быть установлены критерии отнесения АБС к ИСПДн.
       4. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета ресурсов ПДн1, в том числе учета ИСПДн.
          1. Для каждого ресурса ПДн должно быть обеспечено:
• установление цели обработки ПДн;
• установление и соблюдение сроков хранения ПДн и условий прекращения их обработки;
• определение перечня и категорий обрабатываемых ПДн (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн);
• выполнение процедур учета количества субъектов ПДн, в том числе субъектов ПДн, не являющихся работниками организации БС РФ;
• выполнение ограничения обработки ПДн достижением цели обработки ПДн;
• соответствие содержания и объема обрабатываемых ПДн установленным целям обра- ботки;
• точность, достаточность и актуальность ПДн, в том числе по отношению к целям обра- ботки ПДн;
• выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн, в случае если получение такого согласия необхо- димо в соответствии с требованиями Федерального закона “О персональных данных”;
• выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона “О персональных данных”;
• прекращение обработки ПДн и уничтожение либо обезличивание ПДн по достижении це- лей обработки, по требованию субъекта ПДн в случаях, предусмотренных Федеральным законом “О персональных данных”, в том числе при отзыве субъектом ПДн согласия на обработку его ПДн.
  • • • 1. В организации БС РФ должны быть определены, выполняться, регистрировать- ся и контролироваться процедуры прекращения обработки ПДн и их уничтожения либо обез- личивания в сроки, установленные Федеральным законом “О персональных данных”, в следую- щих случаях:
• по достижении цели обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
• отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн (если иное не предусмотрено догово- ром, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
• если ПДн являются незаконно полученными или не являются необходимыми для заяв- ленной цели обработки;
• выявления неправомерной обработки ПДн, осуществляемой организацией БС РФ или обработчиком, действующим по ее поручению, если обеспечить правомерность обра- ботки ПДн невозможно;
• выявления неправомерной обработки ПДн без согласия субъекта ПДн.

1 Ресурс ПДн — совокупность ПДн, обрабатываемых в организации БС РФ с использованием или без использования средств автома- тизации и АБС, в том числе ИСПДн, объединенных общими целями обработки.

• • • • 1. В случае отсутствия возможности уничтожения ПДн либо обезличивания ПДн в течение срока, установленного Федеральным законом “О персональных данных”, организация БС РФ обеспечивает их блокирование с последующим обеспечением уничтожения ПДн. Уни- чтожение ПДн производится не позднее шести месяцев со дня их блокирования.
      1. В организации БС РФ должна быть определена, выполняться и контролироваться политика в отношении обработки ПДн, а также, в случае необходимости, установлены порядки обработки ПДн для отдельных ресурсов ПДн. Для ресурсов ПДн, обрабатываемых в АБС орга- низации БС РФ, в том числе ИСПДн, порядок обработки ПДн может являться частью эксплуата- ционной документации на АБС и разрабатывается на этапе создания или модернизации АБС.
         1. Указанные документы:
• определяют процедуры предоставления доступа к ПДн;
• определяют процедуры внесения изменений в ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн;
• определяют процедуры уничтожения, обезличивания либо блокирования ПДн в случае необходимости выполнения таких процедур;
• определяют процедуры обработки обращений субъектов ПДн (их законных представите- лей) для случаев, предусмотренных Федеральным законом “О персональных данных”, в частности порядок подготовки информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомле- ния субъектом ПДн (их законными представителями) с его ПДн, а также процедуры обра- ботки обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн явля- ются неполными, устаревшими, неточными, незаконно полученными или не являются не- обходимыми для установленной цели обработки;
• определяют процедуры обработки запроса уполномоченного органа по защите прав субъектов ПДн;
• определяют процедуры получения согласия субъекта ПДн на обработку его ПДн и на пе- редачу обработки его ПДн третьим лицам;
• определяют процедуры передачи ПДн между пользователями ресурса ПДн, предусма- тривающего передачу ПДн только между работниками организации БС РФ, имеющими доступ к ПДн;
• определяют процедуры передачи ПДн третьим лицам;
• определяют процедуры работы с материальными носителями ПДн;
• определяют процедуры, необходимые для осуществления уведомления уполномочен- ного органа по защите прав субъектов ПДн об обработке ПДн в сроки, установленные Федеральным законом “О персональных данных”;
• определяют необходимость применения типовых форм документов для осуществления обработки ПДн и процедуры работы с ними. Под типовой формой документа понимается шаблон, бланк документа или другая унифицированная форма документа, используемая организацией БС РФ с целью сбора ПДн.
  • • • 1. Организация БС РФ должна опубликовать или иным образом обеспечить не- ограниченный доступ к документу, определяющему ее политику в отношении обработки ПДн, а также к сведениям о реализуемых требованиях по обеспечению безопасности персональных данных.
      1. В организации БС РФ должно быть установлено, в каких случаях необходимо по- лучение согласия субъектов ПДн, при этом форма и порядок получения согласия субъектов ПДн должны быть регламентированы.
      2. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета лиц, имеющих доступ к ПДн.

Документ, определяющий перечень лиц, имеющих доступ к ПДн, утверждается руково- дителем организации БС РФ.

Обработка ПДн работниками организации БС РФ должны осуществляться только с це- лью выполнения их должностных обязанностей.

В организации БС РФ должны быть определены, выполняться, регистрироваться и кон- тролироваться процедуры ознакомления работников организации БС РФ, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и внутренними доку- ментами организации БС РФ, содержащими требования по обработке и обеспечению безопас- ности ПДн в части, касающейся их должностных обязанностей. Организация БС РФ может про- водить указанное ознакомление работников в ходе проведения мероприятий по их обучению или повышению осведомленности.

• • • 1. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета помещений, в которых осуществляется обработка ПДн, а также доступа работников организации БС РФ и иных лиц в помещения, в которых ведется об- работка ПДн.
      2. При работе с материальными носителями ПДн должно быть обеспечено:

обособление ПДн от иной информации, в частности, путем фиксации их на отдельных съемных носителях ПДн, в специальных разделах или на полях форм документов (при обработке ПДн на бумажных носителях);

учет съемных носителей ПДн;

установление, выполнение и контроль выполнения порядка хранения съемных, в том числе машинных, носителей ПДн и доступа к ним;

хранение ПДн, цели обработки которых заведомо несовместимы, на отдельных съемных носителях;

регистрация и учет мест хранения материальных носителей ПДн с фиксацией категории обрабатываемых персональных данных (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн) включая раздель- ное хранение ресурсов ПДн, обработка которых осуществляется с различными целями;

назначение работников, ответственных за организацию хранения материальных носите- лей ПДн;

установление и выполнение порядка уничтожения (стирания) информации с машинных носителей ПДн.

Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен фе- деральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

• • • 1. Общедоступные источники ПДн создаются и публикуются организацией БС РФ только для цели выполнения требований законодательства РФ. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры публикации ПДн в общедоступных источниках ПДн.
      2. Поручение обработки ПДн третьему лицу (далее — обработчик) должно осуще- ствляться на основании договора. В указанном договоре должны быть определены перечень действий (операций) с ПДн, которые будут совершаться обработчиком, и цели обработки, дол- жна быть установлена обязанность обработчика обеспечивать безопасность ПДн (в том чис- ле соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом, а также должны быть указаны требования по обеспечению безопасности ПДн. При поручении обработ- ки персональных данных обработчику организация БС РФ должна получить согласие субъекта ПДн, если иное не предусмотрено законодательством РФ.
      3. В организации БС РФ должны быть определены, выполняться, регистрировать- ся и контролироваться процедуры, выполняемые в случаях необходимости осуществления трансграничной передачи ПДн.
      4. В организации БС РФ должно быть назначено лицо, ответственное за организа- цию обработки ПДн. Полномочия лица, ответственного за организацию обработки ПДн, а так- же его права и обязанности должны быть установлены руководством организации БС РФ.
    1. Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные
       1. СИБ банковского платежного технологического процесса, в рамках которого об- рабатываются персональные данные, должна соответствовать требованиям пункта 7.8 настоя- щего стандарта.

СИБ банковского информационного технологического процесса, в рамках которого об- рабатываются персональные данные, должна соответствовать требованиям пункта 7.9 и 7.11 настоящего стандарта.

• • • 1. Реализация требований по обеспечению ИБ, установленных в разделе 7 и разде- ле 8 настоящего стандарта, рекомендуется для обеспечения выполнения требований к защите персональных данных для третьего и четвертого уровня защищенности ПДн при их обработке в ИСПДн, установленных Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработ- ке в информационных системах персональных данных” [9].
      2. Требования по обеспечению информационной безопасности, установленные в разделе 7 и разделе 8 настоящего стандарта, направлены на нейтрализацию актуальных1 (при- менительно к большинству организаций БС РФ) угроз безопасности персональных данных.
      3. С учетом специфики обработки и обеспечения безопасности персональных дан- ных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможно- стей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомен- дуется признавать неактуальными для организаций БС РФ.
      4. Результатом оценки рисков нарушения безопасности персональных данных явля- ется Модель угроз безопасности персональных данных, содержащая актуальные для органи- зации БС РФ угрозы безопасности персональных данных, на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в конкретной орга- низации БС РФ и расширяющие требования разделов 7 и 8 настоящего стандарта.
      5. Для выполнения требований к защите персональных данных для второго уровня защищенности ПДн при их обработке в ИСПДн, установленного Постановлением Правитель- ства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к за- щите персональных данных при их обработке в информационных системах персональных дан- ных”, рекомендуется реализовывать следующие меры:

в части обеспечения ИБ АБС на стадиях жизненного цикла:

• определение, выполнение и регистрация процедур контроля целостности и обеспече- ния доверенной загрузки программного обеспечения, в том числе программного обес- печения технических защитных мер, на средствах вычислительной техники, входящих в ИСПДн;
• определение, выполнение, регистрация и контроль процедур доступа к эксплуатацион- ной документации и архивным файлам, содержащим параметры настройки ИСПДн, в том числе настройки применяемых технических защитных мер;
• определение, выполнение, регистрация и контроль процедур резервного копирования и обеспечения возможности восстановления ПДн;
• определение, выполнение, регистрация и контроль процедур резервного копирования и обеспечения возможности восстановления программного обеспечения, в том числе программного обеспечения технических защитных мер, входящего в состав ИСПДн;

в части обеспечения ИБ при управлении доступом и регистрации:

• идентификация и аутентификация устройств, используемых для осуществления доступа;
• размещение технических средств, предназначенных для администрирования ИСПДн, автоматизированных мест пользователей и серверных компонент ИСПДн в отдельных выделенных сегментах вычислительных сетей;
• мониторинг сетевого трафика, выявление вторжений и сетевых атак и реагирование на них;
• определение, выполнение, регистрация и контроль процедур обновления сигнатурных баз технических защитных мер, мониторинг сетевого трафика, выявление вторжений и сетевых атак;

в части обеспечения ИБ банковских информационных технологических процессов:

• определение, выполнение, регистрация и контроль процедур использования коммуни- кационных портов, устройств ввода-вывода информации, съемных машинных носителей и внешних накопителей информации;
• определение, выполнение, регистрация и контроль процедур доступа к архивам ПДн.
  • • 1. В организации БС РФ должны быть реализованы защита периметров сегментов вычислительной сети, в которых расположены ИСПДн, и контроль информационного взаимо- действия между сегментами вычислительных сетей.

В организации БС РФ должны быть определены и контролироваться правила информа- ционного взаимодействия ИСПДн с иными АБС.

• • • 1. Использование в ИСПДн сертифицированных по требованиям безопасности ин- формации средств защиты информации осуществляется в соответствии с требованиями при- каза Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года

№ 21 “Об утверждении Состава и содержания организационных и технических мер по обес- печению безопасности персональных данных при их обработке в информационных системах персональных данных” [10].

• • • 1. Для каждой ИСПДн должен быть назначен работник организации БС РФ, ответ- ственный за обеспечение безопасности персональных данных в ИСПДн.

1 Актуальными являются те угрозы, риск реализации которых в организации БС РФ является недопустимым.

Система менеджмента информационной безопасности организаций банковской системы

Российской Федерации

• 1. Общие положения
     1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ в организации БС РФ следует реализовать ряд процессов СМИБ, сгруппированных в виде ци- клической модели Деминга: “… — планирование — реализация — проверка — совершенствова- ние — планирование — …”.
     2. Целью выполнения деятельности в рамках группы процессов “планирование” яв- ляется запуск “цикла” СМИБ путем определения первоначальных планов построения, вво- да в действие и контроля СОИБ, а также определения планов по совершенствованию СОИБ на основании решений, принятых на этапе “совершенствование”. Выполнение деятельно- сти на стадии “планирование” заключается в определении/корректировке области действия СОИБ, формализации подхода к оценке рисков ИБ и распределении ресурсов, проведении оценки рисков ИБ и определении/коррекции планов их обработки. Важно, чтобы все решения по реализации/корректировке СОИБ были приняты руководством организации БС РФ (да- лее — руководство).
     3. Этап “реализация” выполняется по результатам выполнения этапов “планирова- ние” и (или) “совершенствование” и заключается в выполнении всех планов, связанных с по- строением, вводом в действие и совершенствованием СОИБ, определенных на этапе “плани- рование” и (или) реализации решений, определенных на этапе “совершенствование” и не тре- бующих выполнения деятельности по планированию соответствующих улучшений. В том числе важным является выполнение таких видов деятельности, как организация обучения и повыше- ние осведомленности в области ИБ, реализация обнаружения и реагирования на инциденты ИБ, обеспечение непрерывности бизнеса организации БС РФ.

Организация БС РФ должна выбирать защитные меры, адекватные моделям угроз и на- рушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от реализа- ции угроз. Организация БС РФ должна применять только те защитные меры, правильность ра- боты которых может быть проверена, при этом организация БС РФ должна регулярно оцени- вать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.

• • 1. Целью выполнения деятельности в рамках группы процессов “проверка” являет- ся обеспечение достаточной уверенности в том, что СОИБ, включая защитные меры, функцио- нирует надлежащим образом и адекватна существующим угрозам ИБ, а также внутренним и (или) внешним условиям функционирования организации БС РФ, связанным с ИБ. Кроме того, необходимо рассмотреть любые изменения в допущениях или в области оценки рисков. Ука- занная деятельность может проводиться в любое время и с любой частотой, в зависимости от того, что является подходящим для конкретной ситуации. На этапе “проверка” необходимо осуществлять мониторинг ИБ и контроль используемых защитных мер, периодически выпол- нять деятельность по самооценке ИБ организации БС РФ требованиям настоящего стандарта и проводить аудит ИБ, анализировать функционирование СОИБ в целом, в том числе со сторо- ны руководства.

Организация БС РФ должна своевременно обнаруживать проблемы, прямо или косвен- но относящиеся к ИБ, потенциально способные повлиять на ее бизнес-цели. Рекомендуется выявлять причинно-следственную связь возможных проблем и строить на этой основе прогноз их развития.

Результат выполнения деятельности на этапе “проверка” является основой для выполне- ния деятельности по совершенствованию СОИБ.

• • 1. Группа процессов “совершенствование” включает в себя деятельность по приня- тию решений о реализации тактических и (или) стратегических улучшений СОИБ. Указанная деятельность, т.е. переход к этапу “совершенствование”, реализуется только тогда, когда вы- полнение процессов этапа “проверка” дало результат, требующий совершенствования СОИБ. При этом сама деятельность по совершенствованию СОИБ должна реализовываться в рамках групп процессов “реализация” и при необходимости “планирование”. Пример первой ситуа- ции — введение в действие существующего плана обеспечения непрерывности бизнеса, по- скольку на стадии “проверка” определена необходимость в этом. Пример второй ситуации —

идентификация новой угрозы и последующее обновление оценки рисков на стадии “планиро- вание”. При этом важно, чтобы все заинтересованные стороны немедленно извещались о про- водимых улучшениях СОИБ и при необходимости проводилось соответствующее обучение.

Организация БС РФ должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.

• • 1. Для успешного функционирования СМИБ в организации БС РФ следует выполнить следующие группы требований:
• требования к организации и функционированию службы ИБ организации БС РФ;
• требования к определению/коррекции области действия СОИБ;
• требования к выбору/коррекции подхода к оценке рисков нарушения ИБ и проведению оценки рисков нарушения ИБ;
• требования к разработке планов обработки рисков нарушения ИБ;
• требования к разработке/коррекции внутренних документов, регламентирующих дея- тельность в области обеспечения ИБ;
• требования к принятию руководством организации БС РФ решений о реализации и экс- плуатации СОИБ;
• требования к организации реализации планов обработки рисков нарушения ИБ;
• требования к разработке и организации реализации программ по обучению и повыше- нию осведомленности в области ИБ;
• требования к организации обнаружения и реагирования на инциденты безопасности;
• требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний;
• требования к мониторингу СОИБ и контролю защитных мер;
• требования к проведению самооценки ИБ;
• требования к проведению аудита ИБ;
• требования к анализу функционирования СОИБ;
• требования к анализу СОИБ со стороны руководства организации БС РФ;
• требования к принятию решений по тактическим улучшениям СОИБ;
• требования к принятию решений по стратегическим улучшениям СОИБ.
  1. Требования к организации и функционированию службы информационной безопасности организации банковской системы Российской Федерации
     1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ руководству следует сформировать службу ИБ в составе не менее двух человек (назначить уполномоченных лиц), а также утвердить цели и задачи ее деятельности.

Служба ИБ должна иметь утвержденные руководством полномочия и ресурсы, необ- ходимые для выполнения установленных целей и задач, а также назначенного из числа руко- водства куратора. При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора.

Рекомендуется наделить службу ИБ собственным бюджетом.

Организациям БС РФ, имеющим сеть филиалов или региональных представительств, рекомендуется выделять соответствующие подразделения ИБ (уполномоченных лиц) на ме- стах, обеспечив их необходимыми ресурсами и нормативной базой.

• • 1. Служба ИБ должна быть наделена следующими минимальными полномочиями:
• организовывать составление и контролировать выполнение всех планов по обеспече- нию ИБ организации БС РФ;
• разрабатывать и вносить предложения по изменению политик ИБ организации;
• организовывать изменение существующих и принятие руководством новых внутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ;
• определять требования к мерам обеспечения ИБ организации БС РФ;
• контролировать работников организации БС РФ в части выполнения ими требований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь работников, имеющих максимальные полномочия по доступу к защи- щаемым информационным активам;
• осуществлять мониторинг событий, связанных с обеспечением ИБ;
• участвовать в расследовании событий, связанных с инцидентами ИБ, и в случае необхо- димости выходить с предложениями по применению санкций в отношении лиц, осуще- ствивших НСД и НРД, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ организации БС РФ;
• участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;
  • осуществлять контроль обеспечения ИБ на стадиях ЖЦ АБС, в том числе при тестирова- нии и вводе в эксплуатацию подсистем ИБ АБС организации БС РФ;
  • участвовать в создании, поддержании, эксплуатации и совершенствовании СОИБ орга- низации БС РФ.
  1. Требования к определению/коррекции области действия системы обеспечения информационной безопасности
     1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета структурированных по классам (типам) защищаемых информационных акти- вов. Классификацию информационных активов рекомендуется проводить на основании оце- нок ценности информационных активов для интересов (целей) организации БС РФ, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов.
     2. В организации БС РФ должны быть установлены критерии отнесения конкретных информационных активов к одному или нескольким типам информационных активов.
     3. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета объектов среды для каждого информационного актива и (или) типа инфор- мационного актива, покрывающие все уровни информационной инфраструктуры организации БС РФ, определенной в разделе 6 настоящего стандарта.
     4. В организации БС РФ должны быть определены роли по учету информационных активов, учету объектов среды и назначены ответственные за выполнение указанных ролей.
  2. Требования к выбору/коррекции подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности
     1. В организации БС РФ должна быть принята/корректироваться методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ.
     2. В организации БС РФ должны быть определены критерии принятия рисков нару- шения ИБ и уровень допустимого риска нарушения ИБ.
     3. Методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ ор- ганизации БС РФ должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:
  • степени возможности реализации угроз ИБ выявленными и (или) предполагаемыми ис- точниками угроз ИБ, зафиксированными в моделях угроз и нарушителя, в результате их воздействия на объекты среды информационных активов организации БС РФ (типов ин- формационных активов);
  • степени тяжести последствий от потери свойств ИБ, в частности свойств доступности, целостности и конфиденциальности, для рассматриваемых информационных активов (типов информационных активов).

Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения.

• • 1. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ.
    2. Полученные в результате оценивания рисков нарушения ИБ величины рисков дол- жны быть соотнесены с уровнем допустимого риска, принятого в организации БС РФ. Резуль- татом выполнения указанной процедуры является зафиксированный перечень недопустимых рисков нарушения ИБ.
    3. В организации БС РФ должны быть определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
    4. В организации БС РФ должны быть определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
  1. Требования к разработке планов обработки рисков нарушения информационной безопасности
     1. По каждому из рисков нарушения ИБ, который является недопустимым, должен быть определен план, устанавливающий один из возможных способов его обработки:
  • перенос риска на сторонние организации (например, путем страхования указанного риска);
  • уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска);
• осознанное принятие риска;
• формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до до- пустимого уровня, и формирование планов по их реализации.
  • 1. Планы обработки рисков нарушения ИБ должны быть согласованы с руководите- лем службы ИБ либо лицом, отвечающим в организации БС РФ за обеспечение ИБ, и утвер- ждены руководством.
    2. Планы реализаций требований по обеспечению ИБ должны содержать последова- тельность и сроки реализации и внедрения организационных, технических и иных мер защиты.
    3. В организации БС РФ должны быть определены роли по разработке планов обра- ботки рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
  1. Требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности
     1. Разработку/коррекцию внутренних документов, регламентирующих деятельность в области обеспечения ИБ в организации БС РФ, рекомендуется проводить с учетом рекомен- даций по стандартизации Банка России РС БР ИББС-2.0 “Обеспечение информационной без- опасности организаций банковской системы Российской Федерации. Методические рекомен- дации по документации в области обеспечения информационной безопасности в соответ- ствии с требованиями СТО БР ИББС-1.0”.
     2. В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:
• политика ИБ организации БС РФ;
• частные политики ИБ организации БС РФ;
• документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ организации БС РФ.

Кроме того, должен быть определен перечень и формы документов, являющихся свиде- тельством выполнения деятельности по обеспечению ИБ в организации БС РФ.

Политика ИБ организации БС РФ должна быть утверждена руководством.

• • 1. В политике (в частных политиках) ИБ должны определяться/корректироваться:
• цели и задачи обеспечения ИБ;
• основные области обеспечения ИБ;
• типы основных защищаемых информационных активов;
• модели угроз и нарушителей;
• совокупность правил, требований и руководящих принципов в области ИБ;
• основные требования по обеспечению ИБ;
• принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;
• основные принципы повышения уровня осознания и осведомленности в области ИБ;
• принципы реализации и контроля выполнения требований политики ИБ.
  • 1. Разработка/корректировка внутренних документов, регламентирующих деятель- ность в области обеспечения ИБ, должна проводиться на основе:
• законодательства РФ;
• комплекса БР ИББС, в частности, требований разделов 7 и 8 настоящего стандарта;
• нормативных актов и предписаний регулирующих и надзорных органов;
• договорных требований организации БС РФ со сторонними организациями;
• результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов или типов инфор- мационных активов.
  • 1. Совокупность внутренних документов, регламентирующих деятельность в обла- сти обеспечения ИБ, должна содержать требования по обеспечению ИБ всех выявленных ин- формационных активов или типов информационных активов, находящихся в области действия СОИБ организации БС РФ.
    2. Документы, регламентирующие процедуры выполнения отдельных видов деятель- ности, связанных с обеспечением ИБ, должны детализировать положения политики (частных политик) ИБ и не противоречить им.
    3. В случае наличия в структурных подразделениях организации БС РФ работников, ответственных за обеспечение ИБ, в организации БС РФ должен быть утвержден руковод- ством порядок взаимодействия (координирования работы) службы ИБ с указанными работ- никами.
    4. В составе внутренних документов, регламентирующих деятельность в области обеспечения ИБ, необходимо определить:
• перечень свидетельств выполнения деятельности;
• ответственность работников организации БС РФ за выполнение этой деятельности.
  • 1. Должны быть определены процедуры выделения и распределения ролей в области обеспечения ИБ.
    2. Должен быть определен порядок разработки, поддержки, пересмотра и контро- ля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации БС РФ.
    3. В организации БС РФ должны быть определены роли по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ, а также назначены ответственные за выполнение указанных ролей.
  1. Требования к принятию руководством организации банковской системы Российской Федерации решений о реализации и эксплуатации системы обеспечения информационной безопасности
     1. Решения о реализации и эксплуатации СОИБ должны утверждаться руководством организации БС РФ. В частности, в организации БС РФ требуется зафиксировать решения ру- ководства:
• об анализе и принятии остаточных рисков нарушения ИБ;
• о планировании этапов внедрения СОИБ, в частности требований по обеспечению ИБ, изложенных в разделах 7 и 8 настоящего стандарта;
• о распределении ролей в области обеспечения ИБ организации БС РФ;
• о принятии со стороны руководства планов внедрения защитных мер, направленных на реализацию требований разделов 7 и 8 настоящего стандарта и снижение рисков ИБ;
• о выделении ресурсов, необходимых для реализации и эксплуатации СОИБ.
  • 1. Все планы внедрения СОИБ, в частности планы реализации требований разделов 7 и 8 настоящего стандарта, планы обработки рисков нарушения ИБ и внедрения защитных мер, должны быть утверждены руководством. Указанные планы должны определять:
• последовательность выполнения мероприятий в рамках указанных планов;
• сроки начала и окончания запланированных мероприятий;
• должностных лиц (подразделения), ответственных за выполнение каждого указанного мероприятия.
  • 1. Должен быть определен порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ организации БС РФ.
    2. В организации БС РФ должны быть зафиксированы решения руководства, связан- ные с назначением и распределением ролей для всех структурных подразделений в соответ- ствии с положениями внутренних документов, регламентирующих деятельность по обеспече- нию ИБ организации БС РФ.
  1. Требования к организации реализации планов внедрения системы обеспечения информационной безопасности
     1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры проектирования/приобретения/развертывания, внедрения, эксплуатации, контро- ля и сопровождения эксплуатации защитных мер (СИБ), предусмотренных планами реализа- ций требований по обеспечению ИБ.
     2. Для построения элементов СИБ применительно к конкретной области или сфере деятельности организации БС РФ должны быть реализованы конкретные защитные меры, при- меняемые к объектам среды в соответствии с существующими в организации БС РФ требова- ниями по обеспечению ИБ, сформулированными в политике ИБ и других внутренних докумен- тах организации БС РФ.
     3. В организации БС РФ должны быть определены роли, связанные с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер, и назначе- ны ответственные за выполнение указанных ролей.
  2. Требования к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности
     1. Должна быть организована санкционированная руководством организации БС РФ работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ.
     2. Должны быть разработаны планы, программы обучения и повышения осведом- ленности в области ИБ. По результатам выполнения указанных планов должна осуществляться проверка полученных знаний.
     3. В планах обучения и повышения осведомленности должны быть установлены тре- бования к периодичности обучения и повышения осведомленности.
     4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ро- лей и включать информацию:
• по существующим политикам ИБ;
• по применяемым в организации БС РФ защитным мерам;
• по правильному использованию защитных мер в соответствии с внутренними докумен- тами организации БС РФ;
• о значимости и важности деятельности работников для обеспечения ИБ организации БС РФ.
  • 1. В организации БС РФ должен быть определен перечень свидетельств выполнения программ обучения и повышения осведомленности в области ИБ. В частности, такими свиде- тельствами могут являться:
• документы (журналы), подтверждающие прохождение руководителями и работниками организации БС РФ обучения в области ИБ с указанием уровня образования, навыков, опыта и квалификации обучаемых;
• документы, содержащие результаты проверок обучения работников организации БС РФ;
• документы, содержащие результаты проверок осведомленности в области ИБ в органи- зации БС РФ.
  • 1. Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли.
    2. В организации БС РФ должны быть определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю ре- зультатов, а также назначены ответственные за выполнение указанных ролей.
  1. Требования к организации обнаружения и реагирования на инциденты информационной безопасности
     1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обработки инцидентов, включающие:
• процедуры обнаружения инцидентов ИБ;
• процедуры информирования об инцидентах, в том числе информирования службы ИБ;
• процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;
• процедуры реагирования на инцидент;
• процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инци- денты ИБ (при необходимости с участием внешних экспертов в области ИБ).
  • 1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры хранения и распространения информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ.
    2. Должны быть определены, выполняться, регистрироваться и контролироваться действия работников организации БС РФ при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях. Работники организации должны быть осведомле- ны об указанных порядках.
    3. Процедуры расследования инцидентов ИБ должны учитывать законодательство РФ, положения нормативных актов Банка России, а также внутренних документов организации БС РФ в области ИБ.
    4. В организациях БС РФ должны приниматься, фиксироваться и выполняться реше- ния по всем выявленным инцидентам ИБ.
    5. В организации БС РФ должны быть определены роли по обнаружению, классифи- кации, реагированию, анализу и расследованию инцидентов ИБ и назначены ответственные за выполнение указанных ролей.
  1. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний
     1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета информационных активов или типов информационных активов, существен- ных для обеспечения непрерывности бизнеса организации БС РФ.
     2. В организации БС РФ должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановления по- сле прерывания, в том числе требования к мероприятиям по восстановлению необходимой ин- формации, программного обеспечения, технических средств, а также каналов связи.
     3. Должен быть определен план обеспечения непрерывности бизнеса и его восста- новления после возможного прерывания. План должен содержать инструкции и порядок дей- ствий работников организации БС РФ по восстановлению бизнеса. В частности, в состав пла- на должны быть включены:
• условия активации плана;
• действия, которые должны быть предприняты после инцидента ИБ;
• процедуры восстановления;
• процедуры тестирования и проверки плана;
• план обучения и повышения осведомленности работников организации БС РФ;
• обязанности работников организации с указанием ответственных за выполнение каждо- го из положений плана.
  • 1. Разработка планов обеспечения непрерывности бизнеса и его восстановления после прерывания должна основываться на результатах оценки рисков нарушения ИБ органи- зации БС РФ применительно к информационным активам, существенным для обеспечения не- прерывности бизнеса и его восстановления после прерывания.
    2. В организации БС РФ должны применяться защитные меры обеспечения непре- рывности бизнеса применительно к информационным активам, существенным для обеспече- ния непрерывности бизнеса и его восстановления после прерывания.

Применение защитных мер обеспечения непрерывности бизнеса и его восстановления после прерывания должно основываться на соответствующих требованиях по обеспечению ИБ.

• • 1. План обеспечения непрерывности бизнеса и его восстановления после прерыва- ния должен быть согласован с существующими в организации процедурами обработки инци- дентов ИБ.
    2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры периодического тестирования плана обеспечения непрерывности бизнеса и его восстановления после прерывания. По результатам тестирования при необходимости прово- дится соответствующая корректировка плана. Сценарий тестирования должен быть составлен с учетом существующей в организации БС РФ модели угроз и нарушителей, а также результа- тов оценки рисков.
    3. В организации БС РФ должна быть реализована программа обучения и повыше- ния осведомленности работников в области обеспечения непрерывности бизнеса и его вос- становления после прерываний.
    4. В организации БС РФ должны быть определены роли по разработке плана обес- печения непрерывности бизнеса и его восстановления после прерывания и назначены ответ- ственные за выполнение указанных ролей.
  1. Требования к мониторингу информационной безопасности и контролю защитных мер
     1. Должны быть определены, выполняться и регистрироваться процедуры мони- торинга ИБ и контроля защитных мер, включая контроль параметров конфигурации и на- строек средств и механизмов защиты. Выполнение указанных процедур должно организо- вываться службой ИБ, охватывать все реализованные и эксплуатируемые защитные меры, входящие в СИБ.
     2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры сбора и хранения информации о действиях работников организации БС РФ, собы- тиях и параметрах, имеющих отношение к функционированию защитных мер.
     3. Информация обо всех инцидентах, выявленных в процессе мониторинга ИБ и кон- троля защитных мер, должна быть учтена в рамках выполнения процедур хранения информа- ции об инцидентах ИБ.
     4. Процедуры мониторинга ИБ и контроля защитных мер должны подвергаться регу- лярным, регистрируемым пересмотрам в связи с изменениями в составе и способах исполь- зования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также на основе данных об инцидентах ИБ.
     5. В организации БС РФ должны быть определены роли, связанные с выполнени- ем процедур мониторинга ИБ и контроля защитных мер, а также пересмотром указанных про- цедур, и назначены ответственные за выполнение указанных ролей.
  2. Требования к проведению самооценки информационной безопасности
     1. Самооценка ИБ проводится собственными силами и по инициативе руководства организации БС РФ.
     2. Самооценка ИБ должна проводиться в соответствии со стандартом Банка России СТО БР ИББС-1.2 “Обеспечение информационной безопасности организаций банковской си- стемы Российской Федерации. Методика оценки соответствия информационной безопасно- сти организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0”. Порядок проведения самооценки ИБ рекомендуется организовывать в соответствии с реко- мендациями по стандартизации Банка России РС БР ИББС-2.1 “Обеспечение информацион- ной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0”.
     3. Должна быть установлена и реализована программа самооценок ИБ, содержа- щая информацию, необходимую для планирования и организации самооценок ИБ, их контро- ля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эф- фективного и результативного проведения указанных самооценок ИБ в заданные сроки.
     4. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры:
• формирования, сбора и хранения свидетельств самооценки ИБ;
• соблюдения периодичности проведения самооценки ИБ;
• хранения и распространения результатов самооценки ИБ.
  • 1. Для каждой проводимой в организации БС РФ самооценки ИБ необходимо уста- новить план проведения самооценки, определяющий:
• цель самооценки ИБ;
• объекты и деятельность, подвергающиеся самооценке ИБ;
• порядок и сроки выполнения мероприятий самооценки ИБ;
• распределение ролей среди работников организации БС, связанных с проведением са- мооценки ИБ.
  • 1. По результатам проведения самооценок ИБ должны быть подготовлены отчеты. Результаты самооценок ИБ, а также соответствующие отчеты должны быть доведены до руко- водства организации БС РФ.
    2. В организации БС РФ должны быть определены роли, связанные с выполнением программы самооценок ИБ, и назначены ответственные за выполнение указанных ролей.
  1. Требования к проведению аудита информационной безопасности
     1. Аудит ИБ организации БС РФ должен проводиться в соответствии с требования- ми стандартов Банка России СТО БР ИББС-1.1 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопас- ности” и СТО БР ИББС-1.2 “Обеспечение информационной безопасности организаций бан- ковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0”.
     2. Должна быть установлена и реализована программа аудитов ИБ, содержащая ин- формацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки.
     3. Для каждого проводимого в организации БС РФ аудита ИБ необходимо устано- вить план аудита, определяющий:
• цель аудита ИБ;
• критерии аудита ИБ;
• область аудита ИБ;
• дату и продолжительность проведения аудита ИБ;
• состав аудиторской группы;
• описание деятельности и мероприятий по проведению аудита;
• распределение ресурсов при проведении аудита.
  • 1. В организации БС РФ должны быть оформлены договоры с аудиторскими органи- зациями, а также установлены процедуры:
• хранения, доступа и использования материалов, получаемых в процессе проведения аудита ИБ;
• взаимодействия с аудиторской организацией в процессе проведения аудита ИБ;
  • взаимодействия аудиторской группы и руководства, позволяющего представителям аудиторской группы при необходимости непосредственно обращаться к руководству;
  • организации опроса работников;
  • организации наблюдения за деятельностью работников организации БС РФ со стороны представителей аудиторской организации.
    1. По результатам проведения аудита должны быть подготовлены отчеты. Результа- ты аудитов, а также соответствующие отчеты должны быть доведены до руководства.
    2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры хранения, доступа и использования материалов, получаемых в процессе проведе- ния аудитов, в частности отчетов аудитов.
    3. В организации БС РФ должны быть определены роли, связанные с организацией выполнения программ аудитов и планов отдельных аудитов, и назначены ответственные за вы- полнение указанных ролей.
  1. Требования к анализу функционирования системы обеспечения информационной безопасности
     1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры анализа функционирования СОИБ, использующие в том числе:
• результаты мониторинга ИБ и контроля защитных мер;
• сведения об инцидентах ИБ;
• результаты проведения аудитов ИБ, самооценок ИБ;
• данные об угрозах, возможных нарушителях и уязвимостях ИБ;
• данные об изменениях внутри организации БС РФ, например, данные об изменениях в процессах и технологиях, реализуемых в рамках основного процессного потока, изме- нениях во внутренних документах организации БС РФ;
• данные об изменениях вне организации БС РФ, например, данные об изменениях в за- конодательстве РФ, изменениях в требованиях комплекса БР ИББС, изменениях в дого- ворных обязательствах организации.
  • 1. Анализ функционирования СОИБ должен включать в том числе:
• анализ соответствия комплекса внутренних документов, регламентирующих деятель- ность по обеспечению ИБ в организации БС РФ, требованиям законодательства РФ, тре- бованиям стандартов Банка России, в частности требованиям настоящего стандарта, контрактным требованиям организации;
• анализ соответствия внутренних документов нижних уровней иерархии, регламенти- рующих деятельность по обеспечению ИБ в организации БС РФ, требованиям политик ИБ организации БС РФ;
• оценку рисков в области ИБ организации, включая оценку уровня остаточного и допусти- мого риска, а также оценку адекватности модели угроз организации БС РФ существую- щим угрозам ИБ;
• проверку адекватности используемых мер защиты требованиям внутренних документов организации БС РФ и результатам оценки рисков;
• анализ отсутствия разрывов в технологических процессах обеспечения ИБ, а также не- согласованности в использовании мер защиты.
  • 1. В организации БС РФ должны быть определены роли, связанные с процедура- ми анализа функционирования СОИБ, и назначены ответственные за выполнение указанных ролей.
  1. Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации
     1. В организации БС РФ должен быть установлен перечень документов (данных), не- обходимых для формирования информации, предоставляемой руководству с целью проведе- ния анализа СОИБ. В частности, в указанный перечень документов должны входить:
• отчеты с результатами мониторинга ИБ и контроля защитных мер;
• отчеты с результатами анализа функционирования СОИБ;
• отчеты с результатами аудитов ИБ;
• отчеты с результатами самооценок ИБ;
• документы, содержащие информацию о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ;
• документы, содержащие информацию о новых, выявленных уязвимостях и угрозах ИБ;
• документы, содержащие информацию о действиях, предпринятых по итогам предыду- щих анализов СОИБ, осуществленных руководством;
• документы, содержащие информацию об изменениях, которые могли бы повлиять на организацию СОИБ, например, изменения в законодательстве РФ и (или) в положениях стандартов Банка России;
• документы, содержащие информацию по выявленным инцидентам ИБ;
• документы, подтверждающие выполнение требуемой деятельности по обеспечению ИБ, например выполнение планов обработки рисков;
• документы, подтверждающие выполнение требований непрерывности бизнеса и его восстановления после прерывания.
  • 1. В организации БС РФ должен быть установлен план выполнения деятельности по контролю и анализу СОИБ. В частности, указанный план должен содержать положения по про- ведению совещаний на уровне руководства, на которых в том числе производится поиск и ана- лиз проблем ИБ, влияющих на бизнес организации БС РФ.
    2. В организации БС РФ должны быть определены роли, связанные с подготовкой информации, необходимой для анализа СОИБ руководством, и назначены ответственные за выполнение указанных ролей.
  1. Требования к принятию решений по тактическим улучшениям системы обеспечения информационной безопасности1
     1. Для принятия решений, связанных с тактическими улучшениями СОИБ, необходи- мо рассмотреть, среди прочего, результаты:
• аудитов ИБ;
• самооценок ИБ;
• мониторинга ИБ и контроля защитных мер;
• анализа функционирования СОИБ;
• обработки инцидентов ИБ;
• выявления новых угроз и уязвимостей ИБ;
• оценки рисков;
• анализа перечня защитных мер, возможных для применения;
• стратегических улучшений СОИБ;
• анализа СОИБ со стороны руководства;
• анализа успешных практик в области ИБ (собственных или других организаций).
  • 1. Решения по тактическим улучшениям СОИБ должны быть зафиксированы и содер- жать либо выводы об отсутствии необходимости тактических улучшений СОИБ, либо должны быть указаны направления тактических улучшений СОИБ в виде корректирующих или превен- тивных действий, например:
• пересмотр процедур выполнения отдельных видов деятельности по обеспечению ИБ;
• пересмотр процедур эксплуатации отдельных видов защитных мер;
• пересмотр процедур обнаружения и обработки инцидентов;
• уточнение описи информационных активов;
• пересмотр программы обучения и повышения осведомленности персонала;
• пересмотр плана обеспечения непрерывности бизнеса и его восстановления после пре- рывания;
• пересмотр планов обработки рисков;
• вынесение санкций в отношении персонала;
• пересмотр процедур мониторинга ИБ и контроля защитных мер;
• пересмотр программ аудитов;
• корректировка соответствующих внутренних документов, регламентирующих процеду- ры выполнения деятельности по обеспечению ИБ и эксплуатации защитных мер;
• ввод новых или замена используемых защитных мер.
  • 1. Деятельность по реализации тактических улучшений должна регистрироваться. Должны быть установлены планы реализации тактических улучшений СОИБ и документы, в ко- торых фиксируются результаты выполнения указанных планов.

1 К тактическим улучшениям СОИБ следует относить корректирующие или превентивные действия, связанные с пересмотром от- дельных процедур выполнения деятельности в рамках СОИБ организации БС РФ и не требующие пересмотра политики ИБ и част- ных политик ИБ организации БС РФ. Как правило, тактические улучшения СОИБ не требуют выполнения деятельности в рамках эта- па “планирование” СМИБ.

• • 1. Деятельность, связанная с реализацией тактических улучшений СОИБ, должна быть санкционирована и контролироваться руководством службы ИБ организации БС РФ.
    2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры согласования и информирования заинтересованных сторон о тактических улучше- ниях СОИБ, в частности, об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ.
    3. В случаях принятия решений по тактическим улучшениям СОИБ должны быть уста- новлены роли и назначены ответственные за их реализацию.
  1. Требования к принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности1
     1. Для принятия решений, связанных со стратегическими улучшениями СОИБ, необ- ходимо рассмотреть, среди прочего, результаты:
• аудитов ИБ;
• самооценок ИБ;
• мониторинга ИБ и контроля защитных мер;
• анализа функционирования СОИБ;
• обработки инцидентов ИБ;
• выявления новых информационных активов организации БС РФ или их типов;
• выявления новых угроз и уязвимостей ИБ;
• оценки рисков;
• пересмотра основных рисков ИБ;
• анализа СОИБ со стороны руководства;
• анализа успешных практик в области ИБ (собственных или других организаций), а также изменения:
• в законодательстве РФ;
• в нормативных актах Банка России, в частности требованиях настоящего стандарта;
• интересов, целей и задач бизнеса организации БС РФ;
• контрактных обязательств организации БС РФ.
  • 1. Решения по стратегическим улучшениям СОИБ должны быть зафиксированы и со- держать либо выводы об отсутствии необходимости стратегических улучшений СОИБ, либо указывать направления стратегических улучшений СОИБ в виде корректирующих или превен- тивных действий, например:
• уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамках политики ИБ или частных политик ИБ организации БС РФ;
• изменение в области действия СОИБ;
• пересмотр моделей угроз и нарушителей;
• изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ.
  • 1. Вся деятельность по реализации стратегических улучшений должна регистриро- ваться. Должны быть установлены планы реализации стратегических улучшений СОИБ и доку- менты, в которых фиксируются результаты выполнения указанных планов.
    2. Деятельность, связанная с реализацией стратегических улучшений СОИБ, дол- жна быть согласована службой ИБ, санкционирована и контролироваться руководством орга- низации БС РФ.
    3. В случае стратегических улучшений СОИБ должна быть выполнена деятельность по реализации соответствующих тактических улучшений СОИБ для всех необходимых про- цедур обеспечения ИБ, используемых мер защиты и соответствующих внутренних докумен- тов. В частности необходимо выполнить:
• выработку планов тактических улучшений СОИБ;
• уточнение планов обработки рисков;
• уточнение программы внедрения защитных мер;
• уточнение процедур использования защитных мер.
  • 1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры согласования и информирования заинтересованных сторон о стратегических улуч- шениях СОИБ, в частности об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ.

1 К стратегическим улучшениям СОИБ следует относить корректирующие или превентивные действия, связанные с пересмотром по- литики ИБ и частных политик ИБ организации БС РФ, с последующим выполнением соответствующих тактических улучшений СОИБ. Стратегические улучшения СОИБ всегда требуют выполнения деятельности в рамках этапа “планирование” СМИБ.

• • 1. В случаях принятия решений по стратегическим улучшениям СОИБ должны быть установлены роли и назначены ответственные за их реализацию.

Проверка и оценка информационной безопасности организаций банковской системы

Российской Федерации

• 1. Проверка и оценка ИБ организаций БС РФ проводится путем выполнения следующих процессов:
• мониторинга ИБ и контроля защитных мер;
• самооценки ИБ;
• аудита ИБ;
• анализа функционирования СОИБ (в том числе со стороны руководства).

Указанные процессы являются частью группы процессов “проверка” СМИБ, требования к которым приведены в разделе 8 настоящего стандарта.

• 1. Основными целями мониторинга ИБ и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под задан- ные цели. Такими целями анализа могут быть:
• контроль за реализацией положений внутренних документов по обеспечению ИБ в орга- низации БС РФ;
• выявление нештатных, в том числе злоумышленных, действий в АБС организации;
• выявление инцидентов ИБ.

Мониторинг и контроль защитных мер проводится персоналом организации БС РФ, от- ветственным за ИБ.

Требования к проведению мониторинга и контроля защитных мер в организации БС РФ определены в подразделе 8.12 настоящего стандарта.

• 1. При подготовке к аудиту ИБ рекомендуется проведение самооценки ИБ.
  2. Аудит ИБ, проводимый внешними по отношению к организации БС РФ независимы- ми проверяющими организациями, является одной из форм проверки и оценки (контроля) вы- полнения организацией БС РФ требований настоящего стандарта.

Аудит ИБ проводится как для собственных целей самой организации БС РФ, так и с це- лью повышения доверия к ней со стороны других организаций.

В качестве проверяющих организаций рекомендуется привлекать организации, имею- щие квалификацию и опыт проведения оценки соответствия ИБ требованиям настоящего стандарта.

• 1. Анализ функционирования СОИБ проводится персоналом организации БС РФ, от- ветственным за обеспечение ИБ, а также руководством, в том числе на основании подготов- ленных для руководства документов (данных).

Основными целями проведения анализа функционирования СОИБ являются:

• оценка эффективности СОИБ;
• оценка соответствия СОИБ требованиям законодательства РФ и стандартов Банка России;
• оценка соответствия СОИБ существующим и возможным угрозам ИБ;
• оценка следования принципам ИБ и выполнения требований по обеспечению ИБ, за- крепленным в политике ИБ организации БС РФ, а также в иных внутренних документах организации БС РФ.

Результаты, полученные в ходе анализа функционирования СОИБ, являются среди про- чего, основой для совершенствования СОИБ.

• 1. В настоящем стандарте требование получения лицензии на деятельность по тех- нической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собствен- ных нужд организаций БС РФ, а также требование проведения аттестации ИСПДн не устанав- ливаются. В случае введения в действие стандарта в организации БС РФ указанные требова- ния не являются обязательными при проведении комплекса мероприятий по обеспечению без- опасности персональных данных в ИСПДн организаций БС РФ.
  2. Получение организацией БС РФ лицензии ФСБ России — в соответствии с требова- ниями законодательства РФ.
  3. Оценка соответствия ИБ в виде аудита ИБ или самооценки ИБ проводится организа- цией БС РФ не реже одного раза в два года.

Библиография

1. Федеральный закон от 1 декабря 1990 года № 395-1 “О банках и банковской дея- тельности”.
2. Федеральный закон от 10 июля 2002 года № 86-ФЗ “О Центральном Банке Россий- ской Федерации (Банке России)”.
3. Федеральный закон от 27 декабря 2002 года № 184-ФЗ “О техническом регулирова- нии”.
4. Федеральный закон от 27 июля 2006 года № 149-ФЗ “Об информации, информаци- онных технологиях и о защите информации”.
5. ГОСТ Р ИСО 9001-2008 Система менеджмента качества. Требования.
6. ISO/IEC IS 27001:2013 Information technology. Security techniques. Information security management systems. Requirements.
7. Положение Банка России от 9 июня 2012 года № 382-П “О требованиях к обеспече- нию защиты информации при осуществлении переводов денежных средств и о по- рядке осуществления Банком России контроля за соблюдением требований к обес- печению защиты информации при осуществлении переводов денежных средств” в редакции Указания Банка России от 5 июня 2013 года № 3007-У.
8. Федеральный закон от 27 июля 2006 года № 152-ФЗ “О персональных данных”.
9. Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в ин- формационных системах персональных данных”.
10. Приказ Федеральной службы по техническому и экспортному контролю от 18 фев- раля 2013 года № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обра- ботке в информационных системах персональных данных”.

Ключевые слова: банковская система Российской Федерации, система менеджмента информационной безопасности, политика информационной безопасности.