ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
РАСПОРЯЖЕНИЕ
от 17 мая 2014 года N Р-400
В целях повышения уровня информационной безопасности организаций банковской системы Российской Федерации:
1. Ввести в действие с 1 июня 2014 года рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" и присвоить им регистрационный номер РС БР ИББС-2.5-2014 (далее - Рекомендации).
2. Назначить ответственным за ведение контрольного экземпляра Рекомендаций Главное управление безопасности и защиты информации Банка России.
3. Пресс-службе Банка России (Граник А.В.) в срок до 1 июня 2014 года опубликовать Рекомендации и соответствующее информационное сообщение о них в "Вестнике Банка России", а также разместить на официальном сайте Банка России в сети Интернет:
Рекомендации;
информационное сообщение о вводе в действие Рекомендаций с указанием структурного подразделения Банка России, ответственного за ведение контрольного экземпляра Рекомендаций.
4. Главному управлению безопасности и защиты информации Банка России (Крылов О.В.):
4.1. Осуществлять методическое руководство по применению Рекомендаций.
4.2. Осуществлять внесение изменений в Рекомендации по мере необходимости.
4.3. Направить для ознакомления Рекомендации в Федеральную службу безопасности Российской Федерации, Федеральную службу по техническому и экспортному контролю, Ассоциацию российских банков и Ассоциацию региональных банков России.
5. Территориальным учреждениям Банка России в срок до 15 июня 2014 года довести до сведения всех подведомственных кредитных организаций опубликованные на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" Рекомендации.
6. Структурным подразделениям Банка России с 1 июня 2014 года руководствоваться Рекомендациями.
7. Контроль за исполнением распоряжения возложить на первого заместителя Председателя Банка России Лунтовского Г.И.
Председатель Банка России
Э.С.Набиуллина
РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ
РС БР ИББС-2.5-2014
Обеспечение информационной безопасности организаций банковской системы Российской Федерации
Менеджмент инцидентов информационной безопасности
Дата введения: 2014-06-01
Предисловие
1. ПРИНЯТЫ И ВВЕДЕНЫ в действие Распоряжением Банка России от 17 мая 2014 года N Р-400.
Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.
Введение
Действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) с целью создания и поддержания на должном уровне системы обеспечения информационной безопасности (далее - СОИБ) организаций банковской системы (далее - БС) Российской Федерации (далее - РФ) и снижения степени тяжести последствий от нарушений ИБ определены требования к организации обнаружения и реагирования на инциденты информационной безопасности (далее - ИБ).
Настоящие рекомендации в области стандартизации Банка России устанавливают подходы к реализации организацией БС РФ процесса обнаружения и реагирования на инциденты ИБ, являющегося составной частью системы менеджмента ИБ (СМИБ) организации БС РФ.
1. Область применения
Настоящие рекомендации в области стандартизации Банка России распространяются на организации БС РФ, проводящие деятельность по обнаружению инцидентов ИБ и реагированию на инциденты ИБ в рамках реализации СОИБ в соответствии с требованиями СТО БР ИББС-1.0.
Настоящие рекомендации в области стандартизации Банка России рекомендованы для применения путем прямого использования устанавливаемых в них положений при проведении деятельности по обнаружению инцидентов ИБ и реагированию на инциденты ИБ, а также путем включения ссылок на них и (или) прямого использования содержащихся в них положений во внутренних документах организации БС РФ.
Положения настоящих рекомендаций в области стандартизации Банка России применяются на добровольной основе. В конкретной организации БС РФ для проведения деятельности по обнаружению инцидентов ИБ и реагированию на инциденты ИБ могут использоваться иные рекомендации и (или) требования.
2. Нормативные ссылки
В настоящих рекомендациях в области стандартизации Банка России использованы нормативные ссылки на СТО БР ИББС-1.0.
3. Термины и определения
В настоящих рекомендациях в области стандартизации Банка России применяются термины и определения, установленные СТО БР ИББС-1.0, а также следующие термины и соответствующие определения:
3.1. Инцидент ИБ - событие ИБ или их комбинация, указывающие на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ, результатом которой являются:
- нарушение в СОИБ организации БС РФ, включая нарушение работы средств защиты информации;
- нарушение требований законодательства Российской Федерации, нормативных актов и предписаний регулирующих и надзорных органов, внутренних документов организации БС РФ в области обеспечения ИБ, нарушение в выполнении процессов СМИБ организации БС РФ;
- нарушение в выполнении банковских технологических процессов организации БС РФ;
- нанесение ущерба организации БС РФ и (или) ее клиентам.
3.2. Событие ИБ - изменение состояния объекта или области мониторинга ИБ, действия работников организации БС РФ и (или) иных лиц, которые указывают на возможный инцидент ИБ.
3.3. Журнал регистрации событий ИБ - электронный журнал, содержащий записи о событиях ИБ, в том числе о действиях пользователей и эксплуатирующего персонала автоматизированной банковской системы (далее - АБС).
3.4. Менеджмент инцидентов ИБ - деятельность по своевременному обнаружению инцидентов ИБ, адекватному и оперативному реагированию на них, направленная на минимизацию и (или) ликвидацию негативных последствий от инцидентов ИБ для организации БС РФ и (или) ее клиентов.
3.5. Закрытие инцидента ИБ - действия работников организации БС РФ в рамках реагирования на инцидент ИБ, результатом которых являются:
- устранение нарушений в СОИБ организации БС РФ, реализованных в результате инцидента ИБ;
- устранение последствий угрозы (угроз) ИБ, реализованн(ой)ых в составе инцидента ИБ;
- выяснение причин нетипичного поведения работников организации БС РФ и (или) иных лиц, нештатного функционирования АБС и иных объектов среды информационных активов организации БС РФ, а также нетипичных событий в выполнении банковских технологических процессов.
3.6. Группа реагирования на инциденты ИБ (далее - ГРИИБ) - действующая на постоянной основе группа работников организации БС РФ, которая выполняет установленные в организации БС РФ процедуры реагирования на инциденты ИБ.
3.7. Классификатор инцидентов ИБ - документ, определяющий способ описания инцидентов ИБ с помощью набора атрибутов - параметров инцидента ИБ.
3.8. Запись об инциденте ИБ - элемент централизованной базы данных об инцидентах ИБ, содержащий описание конкретного инцидента ИБ в соответствии с классификатором инцидентов ИБ.
3.9. Администратор ИБ - работник организации БС РФ, на которого возложены обязанности по мониторингу ИБ и контролю защитных мер в АБС, аудиту прав и контролю действий пользователей и эксплуатирующего персонала АБС.
3.10. Распорядитель доступа информационного актива - руководитель структурного подразделения организации БС РФ или работник организации БС РФ, осуществляющий распоряжение доступом к информационному активу в пределах полномочий, предоставленных организацией БС РФ.
4. Обозначения и сокращения
АБС - автоматизированная банковская система;
БС РФ - банковская система Российской Федерации;
ГРИИБ - группа реагирования на инциденты ИБ;
ИБ - информационная безопасность;
СОИБ - система обеспечения информационной безопасности;
СМИБ - система менеджмента информационной безопасности.
5. Общие положения
5.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне менеджмента инцидентов ИБ организации БС РФ рекомендуется реализовать ряд процессов системы менеджмента инцидентов ИБ, сгруппированных в виде циклической модели Деминга: "...- планирование - реализация - проверка - совершенствование - планирование - ...".
5.2. Планирование в рамках системы менеджмента инцидентов ИБ включает выполнение следующих основных мероприятий:
- разработка и документирование политики менеджмента инцидентов ИБ организации БС РФ;
- определение организационной структуры и ролей процессов реагирования на инциденты ИБ;
- установление и документирование регламентов обнаружения инцидентов ИБ и реагирования на инциденты ИБ;
- выбор технических средств, включая средства защиты информации, необходимых для использования в рамках процессов обнаружения инцидентов ИБ и реагирования на инциденты ИБ, и определение во внутренних документах организации БС РФ порядка эксплуатации указанных технических средств;
- определение порядка осуществления контроля за выполнением процессов обнаружения инцидентов ИБ и реагирования на инциденты ИБ.
5.3. Реализация в рамках системы менеджмента инцидентов ИБ включает выполнение следующих основных мероприятий:
- выделение необходимых ресурсов и назначение ролей для выполнения процессов реагирования на инциденты ИБ;
- проведение мероприятий по обучению и повышению осведомленности работников организации БС РФ, представителей внешних организаций и клиентов организации БС РФ, использующих информационную инфраструктуру организации БС РФ в области обнаружения инцидентов ИБ и реагирования на инциденты ИБ;
- выполнение деятельности по обнаружению инцидентов ИБ и реагированию на инциденты ИБ.
5.4. Анализ в рамках системы менеджмента инцидентов ИБ включает выполнение следующих основных мероприятий:
- анализ действий работников организации БС РФ при выполнении процессов реагирования на инцидент ИБ;
- определение направлений и методов совершенствования СОИБ организации БС РФ на основе результатов выполнения процессов менеджмента инцидентов ИБ;
- определение направлений и методов улучшения процессов менеджмента инцидентов ИБ.
5.5. Совершенствование в рамках системы менеджмента инцидентов ИБ включает выполнение следующих основных мероприятий:
- принятие решений и инициирование совершенствования процессов менеджмента инцидентов ИБ;
- принятие решений и инициирование улучшений в СОИБ организации БС РФ.
Непосредственное выполнение деятельности по совершенствованию процессов менеджмента инцидентов ИБ осуществляется путем планирования и реализации в рамках системы менеджмента инцидентов ИБ.
Выполнение решений по совершенствованию СОИБ организации БС РФ реализуется в рамках тактических и стратегических улучшений, требования к выполнению которых установлены СТО БР ИББС-1.0.
6. Рекомендации по планированию в рамках системы менеджмента инцидентов ИБ
6.1. Рекомендации по разработке и документированию политики менеджмента инцидентов ИБ организации БС РФ
6.1.1. Политика менеджмента инцидентов ИБ организации БС РФ является внутренним документом организации БС РФ, устанавливающим принципы и основные положения, регламентирующие деятельность по менеджменту инцидентов ИБ организации БС РФ.
Политика менеджмента инцидентов ИБ организации БС РФ разрабатывается службой ИБ организации БС РФ совместно и (или) по согласованию с подразделением информатизации организации БС РФ, юридической службой организации БС РФ, подразделениями организации БС РФ, в зоне компетенции которых находятся вопросы обеспечения непрерывности выполнения банковских технологических процессов организации БС РФ, службой персонала (кадров) организации БС РФ и утверждается руководством организации БС РФ.
6.1.2. В политике менеджмента инцидентов ИБ организации БС РФ рекомендуется установить следующие положения:
