ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ. СТО БР ИББС-1.0-2006 (утв. распоряжением ЦБ РФ от 26.01.2006 n Р-27)

Утвержден
распоряжением Банка России
от 26 января 2006 г. N Р-27
Дата введения -
1 января 2006 года
СТАНДАРТ БАНКА РОССИИ
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОБЩИЕ ПОЛОЖЕНИЯ
СТО БР ИББС-1.0-2006
ПРЕДИСЛОВИЕ
1. Принят и введен в действие распоряжением Банка России от 26 января 2006 г. N Р-27.
2. Взамен СТО БР ИББС-1.0-2004.
ВВЕДЕНИЕ
Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем информационной безопасности банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем (АБС), эксплуатирующихся организациями БС РФ, и т.д.
Особенности банковских систем таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы информационным активам, то есть угрозы ИБ, представляют реальную опасность.
Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционные, кредитные и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.
Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки рисков и принятия мер, необходимых для управления этими рисками.
Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы стандартов, в целом составляющих комплекс стандартов по обеспечению ИБ организаций БС РФ.
Основные цели стандартизации по обеспечению ИБ организаций БС РФ:
- повышение доверия к БС РФ;
- повышение стабильности функционирования организаций БС РФ и на этой основе - стабильности функционирования БС РФ в целом;
- достижение адекватности мер по защите от реальных угроз ИБ;
- предотвращение и (или) снижение ущерба от инцидентов ИБ.
Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:
- установление единых требований по обеспечению ИБ организаций БС РФ;
- повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.
1. ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее по тексту - организации БС РФ) и устанавливает положения (политики, требования и т.п.) по обеспечению информационной безопасности в организациях БС РФ.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным правовым актом Банка России или условиями договора.
Настоящий стандарт может быть введен в действие организаций БС РФ в качестве обязательного к исполнению в случае, если такая необходимость существует.
2. НОРМАТИВНЫЕ ССЫЛКИ
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 1.0-2004. Стандартизация в Российской Федерации. Основные положения.
ГОСТ Р 1.4-2004. Стандартизация в Российской Федерации. Стандарты организаций. Общие положения.
ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты.
ГОСТ Р ИСО 9001-2001. Система менеджмента качества. Требования.
ГОСТ Р ИСО 14001-98. Система управления окружающей средой. Требования и руководство по применению.
ГОСТ Р ИСО/МЭК 15408-1-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
ГОСТ Р ИСО/МЭК 12207-99. Информационная технология. Процессы жизненного цикла программных средств.
ГОСТ Р ИСО/МЭК ТО 15271-2002. Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств).
ISO/IEC IS 13335-1-2. Information Technology. Security techniques. Management of information and communications technology security.
ISO TR 13569. Banking and related financial services. Information security guidelines.
ISO/IEC IS 15288-2002. Systems engineering. System Life Cycle Processes.
ISO/IEC TR 15504-1-5. Information technology. Process assessment.
ISO/IEC TR 18028-1-5. Information technology. Security techniques. IT network security.
ISO/IEC TR 18043. Information technology. Selection, deployment and operations of intrusion detection systems (IDS).
ISO/IEC TR 18044-2004. Information Technology. Security techniques. Information security incident management.
ISO/IEC IS 17799-2005 (second edition) (с 2007 года - ISO/IEC IS 27002). Information Technology. Code of practice for information security management.
ISO/IEC IS 27001-2005. Information technology. Security techniques. Information security management systems. Requirements.
ITU-T Recommendation X.1051 Information security management system. Requirements for telecommunications (ISMS-T).
BSI PAS-56. Guide to Business Continuity Management (BCM).
COBIT Control Objectives for Information and related Technology, 3rd Edition, July 2000.
OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation.
CRAMM UK Government"s Risk Analysis and Management Method.
3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
3.1. Банковская система Российской Федерации: Банк России и кредитные организации, а также филиалы и представительства иностранных банков [1].
3.2. Активы организации банковской системы Российской Федерации: все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении.
Примечание.
К активам организации БС РФ могут относиться:
- банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);
- информационные активы, в т.ч. различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;
- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);
- банковские продукты и услуги, предоставляемые клиентам.
3.3. Автоматизированная банковская система: автоматизированная система, реализующая банковский технологический процесс или его часть.
3.4. Роль в организации банковской системы Российской Федерации: заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом в организации БС РФ.
Примечания.
1. К субъектам относятся лица из числа руководителей организации БС РФ, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.
3.5. Банковский технологический процесс: технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг.
Примечания.
1. Операции над банковской информацией могут выполняться вручную или быть автоматизированными, например, с помощью комплексов средств автоматизации автоматизированных банковских систем.
2. Операции над банковской информацией требуют указания ролей их участников (исполнителей и лиц, принимающих решения или имеющих полномочия по изменению технологических процессов, в том числе персонала автоматизированных банковских систем).
3. В зависимости от вида деятельности выделяют: банковский информационный технологический процесс, банковский платежный технологический процесс и др.
3.6. Информационная безопасность организации банковской системы Российской Федерации: состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз в информационной сфере.
Примечания.
1. Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.
2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
3.7. Менеджмент: скоординированная деятельность по руководству и управлению.
Примечание.
В английском языке термин "management" иногда относится к людям, т.е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда "management" используется в этом смысле, его следует всегда применять с определяющими словами с целью избежания путаницы с понятием "management", определенным выше. Например, не одобряется выражение "руководство должно...", в то время как "высшее руководство должно..." - приемлемо.
3.8. Система менеджмента информационной безопасности организации банковской системы Российской Федерации; СМИБ: часть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности организации банковской системы Российской Федерации [ISO/IEC IS 27001].
Примечание.
Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.
3.9. Осознание информационной безопасности: понимание организацией необходимости самостоятельно на основе принятых в ней ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению информационной безопасности, а также поддерживать эту деятельность адекватно прогнозу.
Примечание.
Осознание информационной безопасности является внутренним побудительным мотивом организации инициировать и поддерживать деятельность по менеджменту информационной безопасности, в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по менеджменту информационной безопасности определяется соответственно либо возникшими проблемами организации, такими как инцидент информационной безопасности, либо внешними факторами, например требованиями законов.
3.10. Политика информационной безопасности организации банковской системы Российской Федерации: одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности.
3.11. Инцидент информационной безопасности организации банковской системы Российской Федерации: событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности организации банковской системы Российской Федерации.
Примечание.
Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.
3.12. Риск: неопределенность, предполагающая возможность потерь (ущерба).
3.13. Менеджмент риска: скоординированные действия по руководству и управлению в отношении риска с целью его минимизации.
Примечание.
Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска.
3.14. Риск нарушения информационной безопасности организации банковской системы Российской Федерации: неопределенность, предполагающая возможность ущерба состояния защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз в информационной сфере.
3.15. Мониторинг информационной безопасности организации банковской системы Российской Федерации (мониторинг ИБ): постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения.
3.16. Аудит информационной безопасности организации банковской системы Российской Федерации: периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях БС РФ установленных требований по обеспечению информационной безопасности.
Примечания.
1. Внутренние аудиты ("аудиты первой стороной") проводятся самой организацией или от ее имени для анализа менеджмента или других внутренних целей и могут служить основанием для самодеклараций организации о соответствии требованиям по ИБ.
2. Внешние аудиты включают "аудиты второй стороной" и "аудиты третьей стороной". Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми организациями.
3. Независимость при аудите предполагает полную свободу аудитора (самостоятельность) в отборе и анализе свидетельства аудита (изложение фактов или другой информации, связанной с критериями аудита) в отношении объекта аудита.
3.17. Оценка соответствия информационной безопасности организации банковской системы Российской Федерации установленным требованиям: любая деятельность, связанная с прямым или косвенным определением того, что выполняются или не выполняются соответствующие требования информационной безопасности в организации банковской системы Российской Федерации.
4. ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АБС - автоматизированная банковская система;
БС - банковская система;
ЖЦ - жизненный цикл;
ИБ - информационная безопасность;
КА - код аутентификации;
ЛВС - локальная вычислительная сеть;
РФ - Российская Федерация;
СКЗИ - средство криптографической защиты информации;
СМИБ - система менеджмента информационной безопасности;
ЭВМ - электронная вычислительная машина;
ЭЦП - электронная цифровая подпись.
5. ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА (ПАРАДИГМА)
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ
5.1. Любая целенаправленная деятельность (бизнес) порождает риски, сущность которых - естественная неопределенность будущего. Это - объективная реальность, и понизить эти риски можно лишь до уровня неопределенности сущностей, характеризующих природу бизнеса. Оставшаяся часть риска, определяемого факторами среды деятельности организации БС РФ, на которые организация не в силах влиять, должна быть неизбежно принята. При этом степень необходимой защищенности информационной сферы организации определяется анализом и оценкой рисков ИБ, которые должны быть согласованы с рисками основной (бизнес) деятельности организации БС РФ.
5.2. Деятельность организации БС РФ осуществляется через реализацию трех групп высокоуровневых процессов: основные процессы (процессы основной деятельности), вспомогательные процессы (процессы по видам обеспечения), процессы менеджмента (управления) организацией. Процессы по обеспечению ИБ организации БС РФ составляют один из видов вспомогательных процессов, реализующих поддержку (обеспечение) процессов основной деятельности организации в целях достижения ею максимально возможного результата.
5.3. В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника <1> и злоумышленника <2> за контроль над информационными активами. Однако другие, незлоумышленные, действия также лежат в сфере рассмотрения данного стандарта.
--------------------------------
<1> Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.
<2> Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий (адаптировано из ст. 27 УК РФ). Далее по тексту данные лица именуются злоумышленниками (нарушителями).
В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, может быть нанесен ущерб.
5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации.
5.5. Собственник практически никогда не знает о готовящемся нападении, оно всегда бывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер.
5.6. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем эксперимента, подбора "отмычек" к системе менеджмента ИБ (СМИБ) организации. Таким образом, он отрабатывает наиболее эффективный метод нападения. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности. В том числе и для этой цели собственник создает уполномоченный орган - свою службу ИБ (подразделения (лица) в организации, ответственные за обеспечение ИБ).
5.7. Сложно и ресурсоемко, а значит, малоэффективно искать следы такой активности и по факту настраивать СМИБ. Поэтому главный инструмент собственника - основанный на опыте прогноз (составление модели угроз и модели нарушителя) <3>, а также работа с персоналом организации по повышению его бдительности в возможных критических условиях, готовности и способности к адекватным действиям в условиях потенциальной злоумышленной активности.
--------------------------------
<3> Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используются имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.
Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ в организации БС РФ при минимальных ресурсных затратах.
5.8. Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника - разработать на основе точного прогноза, базирующегося в том числе и на анализе и оценке рисков ИБ, политику ИБ организации и в соответствии с ней реализовать, эксплуатировать и совершенствовать СМИБ организации.
5.9. Политика ИБ организаций БС РФ разрабатывается на основе принципов обеспечения ИБ организаций БС РФ, моделей угроз и нарушителей, идентификации активов, подлежащих защите, оценки рисков с учетом особенностей бизнеса и технологий, а также интересов конкретного собственника.
Собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).
При этом собственник принимает решение относительно принятия конкретного риска или же внедрения мер контроля и процедур по обработке существующих рисков.
При принятии решений о внедрении защитных мер (мер контроля) для противодействия идентифицированным угрозам (рискам) собственник должен учитывать, что тем самым он увеличивает сложность своей системы управления ИБ, а повышение сложности управления ИБ порождает новые уязвимости. Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков, а не принятия или переноса рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на структуру рисков организации.
5.10. Далеко не каждый собственник располагает потенциалом для составления точного прогноза (модели угроз и модели нарушителя). Такой прогноз может и должен составляться с учетом опыта ведущих специалистов банковской системы, а также с учетом международного опыта в этой сфере. Аналогично должны разрабатываться и основные требования ИБ организаций БС РФ.
При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управления безопасностью организации. Поэтому все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться.
5.11. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ в организации серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника. Поэтому этими отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности организации является ее персонал, собственник должен всемерно поощрять решение проблемы ИБ.
5.12. Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень ИБ может снижаться. Это неминуемо ведет к возрастанию рисков нарушения ИБ.
Для того чтобы этого не допустить, необходимо определить процессы, обеспечивающие контроль (мониторинг и аудит ИБ организаций БС РФ), а также оценку эффективности СМИБ организаций БС РФ (так называемый "процессный подход"), что должно стать основой для дальнейшего планирования ИБ. Указанные процессы должны реализовываться в рамках циклической модели менеджмента ИБ: "планирование - реализация - проверка - совершенствование - планирование - ...", отвечающей принципам и моделям корпоративного менеджмента в организациях [3], включая менеджмент в банковском деле [4, 5].
При этом эффективность и результативность обеспечения ИБ, включая соответствующие процессы ИБ, должны оцениваться с позиции содействия (пользы) в достижении целей деятельности организации.
5.13. Обеспечение ИБ организаций БС РФ основывается на "процессном подходе" для установления, реализации, эксплуатации, мониторинга, обслуживания и повышения эффективности СМИБ.
Любое действие, использующее ресурсы и управляемое для обеспечения преобразования неких входных ресурсов, информации и иных сущностей в выходы, определяется как "процесс". Выход одного процесса может быть входом для другого процесса. Представление деятельностей по обеспечению ИБ в виде системы процессов в пределах организации вместе с идентификацией, взаимодействиями и их координацией и управлением определяется как "процессный подход".
"Процессный подход" к обеспечению ИБ организаций БС РФ требует, чтобы персонал организации, клиенты, пользователи, контрагенты и иные заинтересованные стороны придавали особое значение:
а) пониманию требований информационной безопасности бизнеса и потребности устанавливать политику и цели для информационной безопасности;
б) реализации и надлежащей эксплуатации средств управления ИБ (защитных мер) в контексте управления общим риском деятельности (бизнеса) организации;
в) мониторингу и анализу работы и эффективности СМИБ;
г) непрерывному усовершенствованию СМИБ на основе объективного измерения.
5.14. Рисунок 1 иллюстрирует модель непрерывного циклического процесса менеджмента ИБ организации (модель Деминга), определенную требованиями раздела 4 международного стандарта ISO/IEC IS 27001 <4>.
--------------------------------
<4> Циклическая модель менеджмента Деминга, известная под названием модели "планирование - реализация - проверка - совершенствование - планирование - ..." и являющаяся основой международных стандартов менеджмента информационной безопасности (ISO/IEC IS 27001), менеджмента качества (ГОСТ Р ИСО 9001) и других стандартов, может применяться ко всем процессам СМИБ.
На стадии планирования устанавливают политики информационной безопасности, цели, задачи, процессы и процедуры, адекватные потребностям в менеджменте риска ИБ и совершенствованию СМИБ, для достижения результатов в соответствии с политиками и целями организации.
На стадии реализации осуществляются внедрение и поддержка политики информационной безопасности организации, средств управления (защитных мер), регламентов, процессов и процедур СМИБ организации.
На стадии проверки осуществляются оценка и, если необходимо, измерение эффективности процессов менеджмента ИБ организации на соответствие требованиям политики информационной безопасности, целям и установленным практикам, обеспечивается отчетность высшему руководству о результатах для проведения соответствующего анализа.
На стадии совершенствования осуществляются выработка и принятие корректирующих и превентивных действий, основанных на результатах анализа, для достижения непрерывного усовершенствования СМИБ организации.
----------¬ ----------------------------------------------------¬ --------¬
¦ ¦ ¦ Планирование ¦ ¦ ¦
¦ ¦ ¦ -------------¬ ¦ ¦ ¦
¦ ¦ ¦ ¦ Установить ¦ ¦ ¦ ¦
¦Заинтере-¦ ¦ ------+ СМИБ ¦<-----¬ ¦ ¦Заинте-¦
¦сованные ¦ ¦ ¦ L------------- ¦ ¦ ¦ресо- ¦
¦стороны ¦ ¦ / ¦ ¦ ¦ванные ¦
¦ ¦ ¦ -------------¬ ------+--¬ ¦ ¦стороны¦
¦ ¦ ¦Реали- ¦Реализовать ¦ Цикл ¦Поддер- ¦ Совер-¦ ¦ ¦
¦ ¦ ¦зация ¦и эксплуати-¦ разработки, ¦живать и¦ шенст-¦ ¦ ¦
¦ ¦ ¦ ¦ровать СМИБ ¦ поддержки ¦улучшать¦ вова- ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ и улучшения ¦СМИБ ¦ ние ¦ ¦ ¦
¦ ¦ ¦ L------T------ L--------- ¦ ¦ ¦
¦ ¦ ¦ ¦ / ¦ ¦ ¦
¦Требова- ¦ ¦ ¦ --------------¬ ¦ ¦ ¦Управ- ¦
¦ния и +->¦ ¦ ¦ Проводить ¦ ¦ +->¦ляемая ¦
¦ожидаемые¦ ¦ L---->¦мониторинг и +------ ¦ ¦ИБ ¦
¦результа-¦ ¦ ¦ анализ СМИБ ¦ ¦ ¦ ¦
¦ты ИБ ¦ ¦ L-------------- ¦ ¦ ¦
¦ ¦ ¦ Проверка ¦ ¦ ¦
L---------- L---------------------------------------------------- L--------
Рисунок 1. Элементы процесса менеджмента ИБ
5.15. Использование для обеспечения ИБ организаций БС РФ "процессного подхода" на базе циклической модели Деминга, который является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ГОСТ Р ИСО 14001, позволит обеспечить поддержку и интеграцию требований к различным системам менеджмента в рамках общего корпоративного менеджмента в организациях БС РФ. Требования настоящего стандарта к СМИБ для организаций БС РФ имеют прикладную практическую направленность, определяющую условия, цели и задачи применения в организациях БС РФ высокоуровневых международных стандартов для СМИБ организаций. Подобным прикладным стандартом является Рекомендация Международного союза электросвязи X.1051, обеспечивающая практическую основу по применению положений международного стандарта ISO/IEC IS 27001 в организациях, чей бизнес лежит в области телекоммуникаций.
5.16. Обеспечение ИБ организации включает реализацию и поддержку процессов осознания ИБ и процессов менеджмента ИБ.
Процессы осознания ИБ организации имеют отношение к руководству организации и определяют его ответственность в части реализации принципов обеспечения информационной безопасности организаций БС РФ, определенных положениями настоящего стандарта, а также требованиями раздела 5 "Ответственность высшего руководства организации" международного стандарта ISO/IEC IS 27001.
Процессы осознания ИБ должны охватывать всю организацию, а процессами менеджмента ИБ может быть охвачена ее часть или части. Обоснованием тому может быть ограниченность в ресурсах или времени. Необходимо стремиться к тому, чтобы процессы менеджмента ИБ организации распространялись на всю ее деятельность.
5.17. Стратегия обеспечения ИБ организаций БС РФ, таким образом, заключается в развертывании, эксплуатации и совершенствовании СМИБ организации, включающей деятельность (процессы) менеджмента ИБ и стимулируемой и управляемой процессами осознания ИБ. Деятельность (процессы) СМИБ организации должна обеспечивать достижение целей деятельности организации в условиях:
- штатного функционирования;
- возникновения локальных инцидентов и проблем ИБ;
- возникновения широкомасштабных катастроф и аварий различной природы, последствия которых имеют или могут иметь отношение к ИБ организации БС РФ.
При этом менеджмент ИБ есть часть общего корпоративного менеджмента организации БС РФ, которая ориентирована на содействие достижению целей деятельности организации через обеспечение защищенности ее информационной сферы. Менеджмент ИБ не должен рассматриваться как самостоятельный вид деятельности в организации. Осознание ИБ обеспечивает основу эффективного функционирования СМИБ организации, где под эффективностью понимается соотношение между достигнутым результатом и использованными ресурсами.
6. ОСНОВНЫЕ ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ
6.1. Общие принципы безопасного функционирования
организации
6.1.1. Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы <5>, потенциально способные повлиять на ее бизнес-цели.
--------------------------------
<5> Здесь и далее по тексту стандарта рассматриваются проблемы, прямо или косвенно относящиеся к ИБ.
6.1.2. Прогнозируемость развития проблем. Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.
6.1.3. Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес-цели.
6.1.4. Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
6.1.5. Эффективность защитных мер. Организация должна эффективно реализовывать принятые защитные меры.
6.1.6. Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
6.1.7. Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.
6.1.8. Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.
6.2. Специальные принципы обеспечения информационной
безопасности организации
Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации.
6.2.1. Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутрибанковском документе. Неопределенность приводит к "расплывчатости" организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.
6.2.2. Знание своих клиентов и служащих. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.
6.2.3. Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.
6.2.4. Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.
6.2.5. Доступность услуг и сервисов. Организация должна обеспечить доступность для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами.
6.2.6. Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.
7. МОДЕЛИ УГРОЗ И НАРУШИТЕЛЕЙ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БС РФ
7.1. Модели угроз и нарушителей (прогноз ИБ) должны быть основным инструментом менеджмента организации при развертывании, поддержании и совершенствовании системы обеспечения ИБ организации.
7.2. Деятельность организации БС РФ поддерживается входящей в ее состав информационной инфраструктурой, которая обеспечивает реализацию банковских технологий и может быть представлена в виде иерархии следующих основных уровней:
- физического (линии связи, аппаратные средства и пр.);
- сетевого (сетевые аппаратные средства: маршрутизаторы, коммутаторы, концентраторы и пр.);
- сетевых приложений и сервисов;
- операционных систем (ОС);
- систем управления базами данных (СУБД);
- банковских технологических процессов и приложений;
- бизнес-процессов организации.
7.3. На каждом из уровней угрозы и их источники (в т.ч. злоумышленники), методы и средства защиты и подходы к оценке эффективности являются различными.
7.4. Главной целью злоумышленника является получение контроля над активами на уровне бизнес-процессов. Прямое нападение на уровне бизнес-процессов, например, путем раскрытия конфиденциальной банковской аналитической информации, более эффективно для злоумышленника и опаснее для собственника, чем нападение, осуществляемое через нижние уровни, требующее специфических опыта, знаний и ресурсов (в т.ч. временных) и поэтому менее эффективное по соотношению "затраты/получаемый результат".
7.5. Организация должна определить конкретные объекты защиты на каждом из уровней информационной инфраструктуры.
7.6. Наиболее актуальные источники угроз на физическом, сетевом уровнях и уровне сетевых приложений:
- внешние источники угроз: лица, распространяющие вирусы и другие вредоносные программы, хакеры, фрикеры <6>; и иные лица, осуществляющие несанкционированный доступ (НСД);
--------------------------------
<6> Фрикер - злоумышленник, скрытно подключающийся с помощью различных устройств и приемов к телефонным сетям, обеспечивая себе связь с любой точкой мира, с указанием номера законного абонента, который и оплачивает телефонные услуги.
- внутренние источники угроз, реализующие угрозы в рамках своих полномочий и за их пределами (персонал, имеющий права доступа к аппаратному оборудованию, в том числе сетевому, администраторы сетевых приложений и т.п.);
- комбинированные источники угроз: внешние и внутренние, действующие совместно и/или согласованно.
7.7. Наиболее актуальные источники угроз на уровнях операционных систем, систем управления базами данных, банковских технологических процессов:
- внутренние, реализующие угрозы в рамках своих полномочий и за их пределами (администраторы ОС, администраторы СУБД, пользователи банковских приложений и технологий, администраторы ИБ и т.д.);
- комбинированные источники угроз: внешние и внутренние, действующие в сговоре <7>.
--------------------------------
<7> На данных уровнях и уровне бизнес-процессов реализация угроз внешними источниками, действующими самостоятельно, без соучастия внутренних, практически невозможна.
7.8. Наиболее актуальные источники угроз на уровне бизнес-процессов:
- внутренние источники, реализующие угрозы в рамках своих полномочий и за их пределами (авторизованные пользователи и операторы АБС, представители менеджмента организации и пр.);
- комбинированные источники угроз: внешние (например, конкуренты) и внутренние, действующие в сговоре.
7.9. Также необходимо учитывать угрозы, связанные с природными и техногенными катастрофами и террористической деятельностью.
7.10. Источники угроз для реализации угрозы используют уязвимости объектов и системы защиты.
7.11. Хорошей практикой является разработка моделей угроз и нарушителей ИБ для данной организации.
Модель угроз ИБ включает описание источников угрозы, уязвимостей, используемых угрозами, методов и объектов нападений, пригодных для реализации угрозы, типов возможной потери (например, конфиденциальности, целостности, доступности активов), масштабов потенциального ущерба.
Для источников угроз - людей - может быть разработана модель нарушителя ИБ, включающая описание их опыта, знаний, доступных ресурсов, необходимых для реализации угрозы, и возможной мотивации их действий.
Степень детализации параметров моделей угроз и нарушителей ИБ может быть различна и определяется реальными потребностями для каждой организации в отдельности.
7.12. При анализе угроз ИБ необходимо исходить из того, что эти угрозы непосредственно влияют на операционные риски деятельности организации. Операционные риски сказываются на бизнес-процессах организации.
7.13. Операционные риски порождаются следующими эксплуатационными факторами: технические неполадки, ошибочные (случайные) и/или преднамеренные злоумышленные действия персонала организации, ее клиентов при их непосредственном доступе к АБС организаций и другими факторами.
7.14. Наиболее эффективным способом минимизации рисков нарушения ИБ для собственника является разработка совокупности мероприятий, методов и средств, создаваемых и поддерживаемых для обеспечения требуемого уровня безопасности информационных активов в соответствии с политикой ИБ организации БС РФ, разрабатываемой в том числе и на основе моделей угроз и нарушителей ИБ.
8. ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ
8.1. Состав и назначение политики информационной
безопасности организации БС РФ
8.1.1. Собственник (и/или менеджмент) организации должен обеспечить разработку, принятие и внедрение политики ИБ организации БС РФ, включая выделение требуемых для реализации этой политики ресурсов.
8.1.2. Политика ИБ должна описывать цели и задачи СМИБ и определять совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется организация в своей деятельности.
8.1.3. Должны быть назначены лица, ответственные за реализацию политики ИБ и поддержание ее в актуальном состоянии.
8.2. Общие (основные) требования по обеспечению
информационной безопасности, отображаемые в политиках
информационной безопасности организации БС РФ
8.2.1. Общие требования по обеспечению информационной безопасности для организации БС РФ
8.2.1.1. Требования ИБ должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла комплекс.
8.2.1.2. Требования ИБ должны определять содержание и цели деятельности организации БС РФ в рамках процессов управления ИБ.
8.2.1.3. Эти требования должны быть сформулированы как минимум для следующих областей:
- назначения и распределения ролей и доверия к персоналу;
- стадий жизненного цикла АБС;
- защиты от НСД, управления доступом и регистрацией в АБС, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;
- антивирусной защиты;
- использования ресурсов Интернет;
- использования средств криптографической защиты информации;
- защиты банковских платежных и информационных технологических процессов.
Политика ИБ организации БС РФ может учитывать и другие области, такие как обеспечение непрерывности, физическая защита и т.д., отвечающие ее бизнес-целям.
8.2.2. Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу
8.2.2.1. Роль - это заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом, например сотрудником организации, и неким объектом, например программно-аппаратным средством.
Для эффективного выполнения целей организации и задач по управлению активами должны быть выделены и определены соответствующие роли персонала организации. Роли следует персонифицировать с установлением ответственности за их исполнение. Формирование ролей, как правило, должно осуществляться на основании бизнес-процессов. Ответственность должна быть зафиксирована в должностных инструкциях.
8.2.2.2. При определении ролей для сотрудников организации БС РФ необходимо учитывать цели организации, имеющиеся ресурсы, функциональные и процедурные требования, критерии оценки эффективности выполнения правил для данной роли.
8.2.2.3. Не рекомендуется, чтобы одна персональная роль целиком отражала цель, например включала все правила, требуемые для реализации бизнес-процесса. Совокупность правил, составляющих роли, не должна быть критичной для организации с точки зрения последствий успешного нападения на ее исполнителя. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля, например исполнителя и администратора, администратора и контролера или других комбинаций.
8.2.2.4. Роль должна быть обеспечена ресурсами, необходимыми и достаточными для ее выполнения.
8.2.2.5. Роли должны группироваться и взаимодействовать так, чтобы организационная структура соответствовала целям организации. Роль одного из руководителей организации (уполномоченного менеджера, высшего менеджера и т.п.) должна включать задачу координации своевременности и качества выполнения ролей сотрудников для достижения целей организации.
8.2.2.6. Ненадлежащее выполнение правил назначения и распределения ролей создает уязвимости.
8.2.2.7. Для контроля за качеством выполнения требований ИБ в организации должны быть выделены и определены роли по обеспечению ИБ.
8.2.2.8. При приеме на работу должны быть проверены идентичность личности, заявляемая квалификация, точность и полнота биографических фактов, наличие рекомендаций.
8.2.2.9. Лиц, которых предполагается принять на работу, связанную с защищаемыми активами или операциями, следует подвергать проверке в части профессиональных навыков и оценки профессиональной пригодности. Рекомендуется выполнять контрольные проверки уже работающих сотрудников регулярно, а также внепланово при выявлении фактов их нештатного поведения, или участия в инцидентах ИБ, или подозрений в таком поведении или участии.
8.2.2.10. Весь персонал организации БС РФ должен давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. При этом условие о соблюдении конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей.
Для внешних организаций требования по ИБ регламентируются положениями, включаемыми в договоры (соглашения).
8.2.2.11. Персонал организации должен быть компетентным для выполнения своих функций в области обеспечения ИБ. Компетентность персонала следует обеспечивать с помощью процессов обучения в области ИБ, осведомленности персонала и периодической проверки уровня компетентности.
8.2.2.12. Обязанности персонала по выполнению требований ИБ в соответствии с положениями ISO TR 13569 и ISO/IEC IS 17799-2005 следует включать в трудовые контракты (соглашения, договоры).
8.2.3. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла
8.2.3.1. ИБ АБС должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) АБС, автоматизирующих банковские технологические процессы, с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации).
8.2.3.2. При заказе АБС модель ЖЦ (стадии ЖЦ, этапы работ и процессы ЖЦ, выполняемые на этих стадиях) рекомендуется определять в соответствии с ГОСТ 34.601-90 и документом ISO/IEC IS 15288-2002.
8.2.3.3. Разработка технических заданий, проектирование, создание и тестирование и приемка средств и систем защиты АБС должны осуществляться по согласованию с подразделениями (лицами) в организации БС РФ, ответственными за обеспечение ИБ.
8.2.3.4. Ввод в действие, эксплуатация, снятие с эксплуатации АБС в части вопросов ИБ должны осуществляться при участии подразделения (лиц) в организации, ответственного за обеспечение ИБ.
8.2.3.5. На стадиях, связанных с разработкой АБС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должна быть обеспечена защита от угроз:
- неверной формулировки требований к АБС;
- выбора неадекватной модели ЖЦ АБС, в том числе неадекватного выбора процессов ЖЦ и вовлеченных в них участников;
- принятия неверных проектных решений;
- внесения разработчиком дефектов на уровне архитектурных решений;
- внесения разработчиком недокументированных возможностей в АБС;
- неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к АБС;
- разработки некачественной документации;
- сборки АБС разработчиком/производителем с нарушением требований, что приводит к появлению недокументированных возможностей в АБС либо к неадекватной реализации требований;
- неверного конфигурирования АБС;
- приемки АБС, не отвечающей требованиям заказчика;
- внесения недокументированных возможностей в АБС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ.
8.2.3.6. Привлекаемые для разработки и (или) производства средств и систем защиты АБС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ.
8.2.3.7. При приобретении организациями БС РФ готовых АБС и их компонентов разработчиком должна быть предоставлена документация, содержащая в том числе описание защитных мер, предпринятых разработчиком в отношении угроз, перечисленных в п. 8.2.3.5.
Также разработчиком должна быть представлена документация, содержащая описание защитных мер, предпринятых разработчиком АБС, и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, включая описание модели жизненного цикла, оценки уязвимости. Данная документация может быть представлена в рамках декларации о соответствии или быть результатом оценки соответствия изделия, проведенной в рамках соответствующей системы оценки.
В договор (контракт) о поставке АБС и их компонентов организациям БС РФ рекомендуется включать положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных требований к разработчику должна быть рассмотрена возможность приобретения полного комплекта рабочей конструкторской документации на изделие, обеспечивающего возможность сопровождения АБС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например вследствие высокой стоимости, руководство организации БС РФ должно обеспечить анализ влияния угрозы невозможности сопровождения АБС и их компонентов на обеспечение непрерывности бизнеса.
8.2.3.8. На стадии эксплуатации в соответствии с документом ISO TR 13569 должна быть обеспечена защита от следующих угроз:
- умышленное несанкционированное раскрытие, модификация или уничтожение информации;
- неумышленная модификация или уничтожение информации;
- недоставка или ошибочная доставка информации;
- отказ в обслуживании или ухудшение обслуживания.
Кроме этого, актуальной является угроза отказа от авторства сообщения.
8.2.3.9. На стадии сопровождения должна быть обеспечена защита от угроз:
- внесения изменений в АБС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;
- невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния АБС.
8.2.3.10. На стадии снятия с эксплуатации должно быть обеспечено удаление информации, несанкционированное использование которой может нанести ущерб бизнес-деятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС или с внешних носителей.
8.2.3.11. Требования ИБ должны включаться во все договоры и контракты на проведение работ или оказание услуг на всех стадиях ЖЦ АБС.
8.2.4. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации
8.2.4.1. При распределении прав доступа персонала и клиентов к активам организации БС РФ следует руководствоваться специальным принципом "знание своих клиентов и служащих" (см. п. 6.2.2), выражаемым следующим образом:
- "знать своего клиента" <8>;
- "знать своего служащего" <9>;
- "необходимо знать" <10>,
а также руководствоваться принципом "двойное управление" <11>.
--------------------------------
<8> "Знать своего клиента" (Know your Customer): принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов [ISO TR 13569].
<9> "Знать своего служащего" (Know your Employee): принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью [ISO TR 13569].
<10> "Необходимо знать" (Need to Know): принцип безопасности, который ограничивает доступ к информации и ресурсам по обработке информации тем, кому требуется выполнять определенные обязанности [ISO TR 13569].
<11> "Двойное управление" (Dual Control): принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий того, чтобы два лица независимо предпринимали некое действие до завершения определенных транзакций [ISO TR 13569].
8.2.4.2. В составе АБС должны применяться встроенные механизмы защиты информации, а также могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД.
8.2.4.3. В организации должны обеспечиваться: идентификация, аутентификация, авторизация; управление доступом; контроль целостности; регистрация, включая:
- функционирование системы парольной защиты электронных вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС). Рекомендуется организовать службу централизованной парольной защиты для генерации, распространения, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями;
- непротиворечивая и прозрачная административно-техническая поддержка задач управления доступом к ресурсам ЭВМ и/или ЛВС. Назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ и/или ЛВС санкционируется руководителем функционального подразделения организации, несущего персональную ответственность за обеспечение ИБ в данном подразделении;
- контроль доступа пользователей к ресурсам ЭВМ и/или ЛВС. Оперативный контроль доступа пользователей осуществляется подразделениями (лицами) в организации, ответственными за обеспечение ИБ;
- формирование уникальных идентификаторов сообщений и идентификаторов пользователей (виды идентификаторов определяются особенностями конкретного технологического процесса);
- регистрация действий персонала и пользователей в специальном электронном журнале. Данный электронный журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. При невозможности поддержки данного режима эксплуатирующимися в организации БС РФ аппаратно-программными средствами реализация данного требования должна быть обеспечена организационными и/или административными мерами.
8.2.5. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты
8.2.5.1. В организации должны применяться только официально приобретенные средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АБС должны осуществляться администраторами АБС.
Лучшей практикой является автоматическая установка обновлений антивирусного программного обеспечения.
8.2.5.2. При обеспечении антивирусной защиты в организации должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности банковских технологических процессов. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена.
Лучшей практикой является построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах.
8.2.5.3. В ЭВМ и АБС не допускается присутствие и использование программного обеспечения и данных, не связанных с выполнением конкретных функций в банковских технологических процессах организации.
8.2.5.4. Устанавливаемое или изменяемое программное обеспечение должно быть предварительно проверено на отсутствие вирусов. После установки или изменения программного обеспечения должна быть выполнена антивирусная проверка.
8.2.5.5. При обнаружении компьютерного вируса необходимо принять меры по устранению последствий вирусной атаки, проинформировать руководство и приостановить при необходимости работу (на период устранения последствий вирусной атаки).
8.2.5.6. Отключение или необновление антивирусных средств не допускается. Установка и обновление антивирусных средств в организации должны контролироваться представителями подразделений (лицами) в организации, ответственными за обеспечение ИБ.
8.2.5.7. Ответственность за выполнение требований инструкции по антивирусной защите должна быть возложена на руководителя функционального подразделения организации, а обязанности по выполнению мер антивирусной защиты должны быть возложены на каждого сотрудника организации, имеющего доступ к ЭВМ и/или АБС.
8.2.6. Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет
8.2.6.1. Ресурсы сети Интернет в организации БС РФ могут использоваться для ведения дистанционного банковского обслуживания (например, Internet-banking), получения и распространения информации, связанной с банковской деятельностью (путем создания информационных web-сайтов), информационно-аналитической работы в интересах организации, обмена почтовыми сообщениями исключительно с внешними организациями, а также ведения собственной хозяйственной деятельности.
Иное использование ресурсов сети Интернет, решение о котором не принято руководством организации в установленном порядке, должно рассматриваться как нарушение ИБ.
При принятии руководством организации решений об использовании сети Интернет для производственной и/или собственной хозяйственной деятельности необходимо учитывать следующие положения:
- сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;
- гарантии по обеспечению ИБ при использовании сети Интернет никаким органом не предоставляются.
8.2.6.2. В организациях БС РФ, осуществляющих дистанционное банковское обслуживание клиентов, в связи с повышенными рисками информационной безопасности при взаимодействии с сетью Интернет обязательно должны применяться соответствующие средства защиты информации (межсетевые экраны, антивирусные средства, средства криптографической защиты информации (СКЗИ) и пр.), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. Хорошей практикой является выделение и неподключение к внутренним сетям ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет.
8.2.6.3. Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер.
Хорошей практикой является наличие в организации ограниченного количества точек почтового обмена с сетью Интернет, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой репликации почтовых сообщений между ними (интернет-киоски).
8.2.6.4. Электронная почта должна архивироваться. Архив должен быть доступен только подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива должен быть ограничен.
8.2.6.5. В организациях БС РФ наличие банковской информации на ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line, определяется бизнес-целями организации. При этом необходимо учитывать высокую вероятность несанкционированного доступа, потери и искажения данной информации. Хорошей практикой является практика, когда ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line, не содержат никакой банковской информации (в т.ч. открытой).
8.2.6.6. При взаимодействии с сетью Интернет должно обеспечиваться противодействие атакам хакеров и распространению спама <12>.
--------------------------------
<12> Спам - общее наименование не запрошенных пользователями электронных посланий и рекламных писем, рассылаемых в Интернете по ставшим известными рассылающей стороне адресам пользователей.
8.2.6.7. Порядок подключения и использования ресурсов сети Интернет в организации БС РФ должен контролироваться подразделениями (лицами) в организации, ответственными за обеспечение ИБ. Любое подключение и использование сети Интернет должно быть санкционировано руководством функционального подразделения организации.
8.2.7. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации
8.2.7.1. Средства криптографической защиты информации:
- должны допускать встраивание в технологическую схему обработки электронных сообщений, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;
- должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;
- должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом и (или) стандартам организации;
- должны иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора ИБ организации за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя);
- должны обеспечивать реализацию процедур сброса ключей в случаях отсутствия штатной активности пользователей в соответствии с регламентом использования ключей или при переходе АБС в нештатный режим работы;
- не должны содержать требований к ЭВМ по специальной проверке на отсутствие закладных устройств, если иное не оговорено в технической документации на конкретное средство защиты;
- не должны требовать дополнительной защиты от утечки по побочным каналам электромагнитного излучения.
8.2.7.2. При применении СКЗИ в АБС должны поддерживаться непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для всех звеньев АБС.
8.2.7.3. ИБ процессов изготовления ключевых документов СКЗИ должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты.
8.2.7.4. Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем в АБС хорошей практикой является реализация процедуры мониторинга, регистрирующего все значимые события, состоявшиеся в процессе обмена электронными сообщениями, и все инциденты ИБ.
8.2.7.5. Внутренний порядок применения СКЗИ в АБС определяется руководством организации и должен включать:
- порядок ввода в действие;
- порядок эксплуатации;
- порядок восстановления работоспособности в аварийных случаях;
- порядок внесения изменений;
- порядок снятия с эксплуатации;
- порядок управления ключевой системой;
- порядок обращения с носителями ключевой информации.
8.2.7.6. Ключи кодов аутентификации (КА) и/или электронной цифровой подписи (ЭЦП) должны изготавливаться в каждой организации самостоятельно. В случае изготовления ключей КА, ЭЦП для одной организации в другой организации БС РФ согласие первой организации считать данный ключ своим должно быть зафиксировано в договоре.
8.2.8. Общие треб