РС БР ИББС-2.7-2015

     

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ

РС БР ИББС-2.7-2015

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

РЕСУРСНОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

     

Дата введения 2015-05-01

     

     

Предисловие


ВВЕДЕНЫ в действие приказом Банка России от 19 февраля 2015 года N ОД-392.

Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.

Введение


Одним из основных условий удовлетворения текущих и перспективных потребностей организации банковской системы (БС) Российской Федерации (РФ) в обеспечении информационной безопасности (ИБ) является наличие достаточных для этого ресурсов и их эффективное использование.

В действующем стандарте Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) установлены требования о принятии руководством организации БС РФ решений о выделении ресурсов, необходимых для планирования, реализации, выполнения, проверки и совершенствования (далее при совместном упоминании - обеспечение) процессов системы обеспечения ИБ организации БС РФ (далее - СОИБ).

Настоящий документ устанавливает рекомендации по определению потребностей организации БС РФ в ресурсах, необходимых для обеспечения процессов СОИБ (далее - ресурсы ИБ), и по проведению контроля эффективности использования этих ресурсов.

Устанавливаемые рекомендации направлены на поддержание применения СТО БР ИББС-1.0 в части реализации системы менеджмента ИБ организации БС РФ (далее - СМИБ) и поддержание процесса реализации требований к обеспечению ИБ, установленных в СТО БР ИББС-1.0 и нормативных актах Банка России.

1. Область применения


Настоящий документ распространяется на организации БС РФ и устанавливает рекомендации по определению потребностей организации БС РФ в ресурсах ИБ и контролю эффективности их использования.

Настоящий документ рекомендован для применения путем использования установленных в нем положений, а также путем включения ссылок на них и (или) их прямого использования во внутренних документах организации БС РФ.

Рекомендации по определению потребностей организации БС РФ в ресурсах ИБ и контролю эффективности их использования, установленные в настоящем документе, могут, если иное не указано явно, применяться при реализации требований к обеспечению ИБ, установленных законодательством РФ, в том числе нормативными актами Банка России, СТО БР ИББС-1.0.

Настоящий документ применяется организациями БС РФ на добровольной основе. В конкретной организации БС РФ для определения потребностей в ресурсах ИБ могут использоваться иные подходы, отражающие специфику и сложившуюся практику организации БС РФ в ресурсном обеспечении ИБ.

2. Нормативные ссылки


В настоящих рекомендациях в области стандартизации Банка России использованы нормативные ссылки на следующие документы:

СТО БР ИББС-1.0;

РС БР ИББС-2.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" (далее - РС БР ИББС-2.2).

3. Термины и определения


В настоящих рекомендациях применяются термины в соответствии со СТО БР ИББС-1.0, а также следующие термины с соответствующими определениями:

3.1. Ресурс ИБ - кадровые ресурсы (персонал) службы ИБ и финансовые средства, необходимые для планирования, реализации, выполнения, проверки и совершенствования процессов СОИБ с целью обеспечения целевого уровня обеспечения ИБ.

3.2. Ресурсное обеспечение ИБ - процесс управления, обеспечивающий определение потребностей в ресурсах ИБ и контроль эффективности использования ресурсов ИБ.

3.3. Уровень зрелости выполнения процесса СОИБ - мера оценки полноты, адекватности и эффективности выполнения процесса СОИБ.

4. Обозначения и сокращения


АБС - автоматизированная банковская система;

БС - банковская система;

ИБ - информационная безопасность;

РФ - Российская Федерация;

СОИБ - система обеспечения информационной безопасности;

СМИБ - система менеджмента информационной безопасности.

5. Общие положения

5.1. Основными целями реализации ресурсного обеспечения ИБ, рассматриваемыми в настоящем документе, являются:

- обеспечение процессов СОИБ финансовыми средствами;

- обеспечение службы ИБ организации БС РФ кадровыми ресурсами, необходимыми и достаточными для реализации процессов СОИБ;

- контроль эффективности использования ресурсов ИБ.

5.2. Потребности в обеспечении процессов СОИБ ресурсами ИБ рекомендуется определять на основе предполагаемой величины возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в случае реализации актуальных для организации БС РФ рисков нарушения ИБ.

Организации БС РФ рекомендуется обеспечить надлежащий баланс между актуальными рисками нарушения ИБ, связанными с наличием уязвимостей в выполнении процессов СОИБ, и ресурсами ИБ, используемыми для обеспечения целевого уровня ИБ и, соответственно, направленными на снижение указанных рисков.

5.3. Для определения потребностей в обеспечении процессов СОИБ ресурсами ИБ в организации БС РФ рекомендуется использование методик оценки актуальных рисков нарушения ИБ в количественной (денежной) форме. Указанные методики рекомендуется разрабатывать для учета влияния рисков нарушения ИБ на основную деятельность организации БС РФ через предполагаемую величину возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в случае реализации актуальных для организации БС РФ рисков нарушения ИБ.

Для оценки рисков нарушения ИБ в количественной (денежной) форме рекомендуется использовать РС БР ИББС-2.2.

5.4. Снижение рисков нарушения ИБ обеспечивается минимизацией уязвимостей в выполнении процессов СОИБ, направленных на непосредственное обеспечение ИБ, путем повышения их уровня зрелости. Повышение уровня зрелости выполнения процессов СОИБ достигается планированием, реализацией, выполнением, поверкой и совершенствованием процессов СОИБ - выполнением для каждого управляемого процесса СОИБ деятельности в рамках СМИБ.

Неполнота выполнения процессов СМИБ создает уязвимости при выполнении управляемых процессов СОИБ, что, в свою очередь, увеличивает риски для основной деятельности организации БС РФ.

Ресурсы ИБ являются одним из основных факторов, определяющих полноту и качество выполнения процессов СМИБ, которые, в свою очередь, определяют уровень зрелости выполнения управляемых процессов СОИБ.

5.5. Для реализации ресурсного обеспечения ИБ организации БС РФ рекомендуется:

- установить и применять методологию оценивания уровня зрелости выполнения процессов СОИБ. Рекомендации к методологии оценивания уровня зрелости выполнения процессов СОИБ установлены в разделе 6 настоящего документа;

- установить и применять методологию оценивания рисков нарушения ИБ с учетом данных о реализованном организацией БС РФ уровне зрелости выполнения процессов СОИБ. Рекомендации к методологии оценивания рисков нарушения ИБ установлены в разделе 7 настоящего документа;

- обеспечить целевой уровень обеспечения ИБ путем повышения уровня зрелости выполнения процессов СОИБ до значения, реализующего снижение рисков нарушения ИБ до допустимого уровня. Повышение уровня зрелости выполнения процессов СОИБ достигается путем:

- инвестирования необходимых финансовых средств в обеспечение процессов СОИБ. При этом инвестирование не предполагает получение дохода от выполнения процессов СОИБ, а приводит к снижению предполагаемой величины возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в случае реализации актуальных для организации БС РФ рисков нарушения ИБ;

- обеспечение необходимых и достаточных кадровых ресурсов. Рекомендации к определению потребностей службы ИБ организации БС РФ в обеспечении кадровыми ресурсами установлены в разделе 8 настоящего документа;

- проводить контроль эффективности инвестирования в обеспечение процессов СОИБ путем установления и мониторинга целевых (контрольных) показателей, выраженных в количественной (денежной) форме. Рекомендации к проведению контроля эффективности инвестирования в обеспечение процессов СОИБ установлены в разделе 9 настоящего документа.

6. Рекомендации к методологии оценивания уровня зрелости выполнения процессов СОИБ

6.1. С целью установления и применения методологии оценивания уровня зрелости выполнения процессов СОИБ организации БС РФ рекомендуется:

- установить состав процессов СОИБ, направленных на непосредственное обеспечение ИБ, уровень зрелости выполнения которых влияет на величину остаточных рисков нарушения ИБ организации БС РФ;

- установить показатели уровня зрелости выполнения процессов СОИБ организации БС РФ.

6.2. Организациям БС РФ рекомендуется установить в качестве процессов СОИБ, направленных на непосредственное обеспечение ИБ, уровень зрелости выполнения которых влияет на величину остаточных рисков нарушения ИБ организации БС РФ, среди прочих следующие.

6.2.1. Процессы СОИБ, реализуемые в соответствии с положениями, установленными в разделе 7 "Система информационной безопасности организаций банковской системы Российской Федерации" СТО БР ИББС-1.0:

- обеспечение ИБ при назначении и распределении ролей;

- обеспечение ИБ при эксплуатации и снятии с эксплуатации автоматизированных банковских систем (АБС), используемых для реализации банковских платежных и информационных технологических процессов;

- обеспечение ИБ при управлении доступом и регистрацией;

- обеспечение ИБ средствами антивирусной защиты;

- обеспечение ИБ при использовании ресурсов сети Интернет;

- обеспечение ИБ при использовании средств криптографической защиты информации.

При установлении процессов СОИБ, уровень зрелости выполнения которых влияет на величину остаточных рисков нарушения ИБ организации БС РФ, рекомендуется дополнительно рассматривать следующие процессы:

- предотвращение утечек информации, контентный контроль информационного обмена и передачи информации за пределы локальной вычислительной сети организации БС РФ, в том числе при использовании сети Интернет;

- контроль вывода информации на печать;

- обеспечение защиты от сетевых атак;

- обеспечение целостности вычислительной среды;

- обеспечение защиты информации технологическими мерами, в том числе при осуществлении переводов денежных средств;

- контроль резервного копирования информации и целостности резервных копий.

6.2.2. Процессы СОИБ, реализуемые в соответствии с положениями, установленными в разделе 8 "Система менеджмента информационной безопасности организаций банковской системы Российской Федерации" СТО БР ИББС-1.0:

- обнаружение и реагирование на инциденты ИБ;

- мониторинг ИБ;

- обеспечение непрерывности бизнеса и его восстановления после прерывания.

6.3. Организации БС РФ при установлении показателей уровня зрелости выполнения процессов СОИБ рекомендуется выполнить следующие мероприятия:

- установить состав процессов СМИБ, полнота и качество выполнения которых влияет на уровень зрелости выполнения управляемых процессов СОИБ;

- установить и применять общую модель полноты и качества выполнения процессов СМИБ;

- с использованием общей модели оценивать полноту и качество выполнения каждого из процессов СМИБ для каждого управляемого процесса СОИБ;

- установить и применять общие правила определения показателей уровня зрелости выполнения управляемых процессов СОИБ на основе соответствующих оценок полноты и качества выполнения процессов СМИБ.

6.4. В качестве процессов СМИБ, полнота и качество выполнения которых влияют на уровень зрелости выполнения управляемых процессов СОИБ, рекомендуется среди прочего рассматривать процессы, реализуемые в соответствии с положениями, установленными в разделе 8 "Система менеджмента информационной безопасности организаций банковской системы Российской Федерации" СТО БР ИББС-1.0:

- определение/коррекция области действия процесса СОИБ;

- планирование реализации процесса СОИБ;

- разработка/коррекция внутренних документов, регламентирующих выполнение процесса СОИБ;

- выполнение планов реализации процесса СОИБ с учетом выполнения положений по обеспечению ИБ на этапах создания АБС;

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»