ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

РАСПОРЯЖЕНИЕ

от 17 мая 2014 года N Р-400

О вводе в действие рекомендаций в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности"



В целях повышения уровня информационной безопасности организаций банковской системы Российской Федерации:

1. Ввести в действие с 1 июня 2014 года рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" и присвоить им регистрационный номер РС БР ИББС-2.5-2014 (далее - Рекомендации).

2. Назначить ответственным за ведение контрольного экземпляра Рекомендаций Главное управление безопасности и защиты информации Банка России.

3. Пресс-службе Банка России (Граник А.В.) в срок до 1 июня 2014 года опубликовать Рекомендации и соответствующее информационное сообщение о них в "Вестнике Банка России", а также разместить на официальном сайте Банка России в сети Интернет:

Рекомендации;

информационное сообщение о вводе в действие Рекомендаций с указанием структурного подразделения Банка России, ответственного за ведение контрольного экземпляра Рекомендаций.

4. Главному управлению безопасности и защиты информации Банка России (Крылов О.В.):

4.1. Осуществлять методическое руководство по применению Рекомендаций.

4.2. Осуществлять внесение изменений в Рекомендации по мере необходимости.

4.3. Направить для ознакомления Рекомендации в Федеральную службу безопасности Российской Федерации, Федеральную службу по техническому и экспортному контролю, Ассоциацию российских банков и Ассоциацию региональных банков России.

5. Территориальным учреждениям Банка России в срок до 15 июня 2014 года довести до сведения всех подведомственных кредитных организаций опубликованные на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" Рекомендации.

6. Структурным подразделениям Банка России с 1 июня 2014 года руководствоваться Рекомендациями.

7. Контроль за исполнением распоряжения возложить на первого заместителя Председателя Банка России Лунтовского Г.И.

Председатель Банка России
Э.С.Набиуллина

               

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ

РС БР ИББС-2.5-2014

Обеспечение информационной безопасности организаций банковской системы Российской Федерации

Менеджмент инцидентов информационной безопасности

     

Дата введения: 2014-06-01

     

     

Предисловие

1. ПРИНЯТЫ И ВВЕДЕНЫ в действие Распоряжением Банка России от 17 мая 2014 года N Р-400.

Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.

Введение


Действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) с целью создания и поддержания на должном уровне системы обеспечения информационной безопасности (далее - СОИБ) организаций банковской системы (далее - БС) Российской Федерации (далее - РФ) и снижения степени тяжести последствий от нарушений ИБ определены требования к организации обнаружения и реагирования на инциденты информационной безопасности (далее - ИБ).

Настоящие рекомендации в области стандартизации Банка России устанавливают подходы к реализации организацией БС РФ процесса обнаружения и реагирования на инциденты ИБ, являющегося составной частью системы менеджмента ИБ (СМИБ) организации БС РФ.

1. Область применения


Настоящие рекомендации в области стандартизации Банка России распространяются на организации БС РФ, проводящие деятельность по обнаружению инцидентов ИБ и реагированию на инциденты ИБ в рамках реализации СОИБ в соответствии с требованиями СТО БР ИББС-1.0.

Настоящие рекомендации в области стандартизации Банка России рекомендованы для применения путем прямого использования устанавливаемых в них положений при проведении деятельности по обнаружению инцидентов ИБ и реагированию на инциденты ИБ, а также путем включения ссылок на них и (или) прямого использования содержащихся в них положений во внутренних документах организации БС РФ.

Положения настоящих рекомендаций в области стандартизации Банка России применяются на добровольной основе. В конкретной организации БС РФ для проведения деятельности по обнаружению инцидентов ИБ и реагированию на инциденты ИБ могут использоваться иные рекомендации и (или) требования.

2. Нормативные ссылки


В настоящих рекомендациях в области стандартизации Банка России использованы нормативные ссылки на СТО БР ИББС-1.0.

3. Термины и определения


В настоящих рекомендациях в области стандартизации Банка России применяются термины и определения, установленные СТО БР ИББС-1.0, а также следующие термины и соответствующие определения:

3.1. Инцидент ИБ - событие ИБ или их комбинация, указывающие на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ, результатом которой являются:

- нарушение в СОИБ организации БС РФ, включая нарушение работы средств защиты информации;

- нарушение требований законодательства Российской Федерации, нормативных актов и предписаний регулирующих и надзорных органов, внутренних документов организации БС РФ в области обеспечения ИБ, нарушение в выполнении процессов СМИБ организации БС РФ;

- нарушение в выполнении банковских технологических процессов организации БС РФ;

- нанесение ущерба организации БС РФ и (или) ее клиентам.

3.2. Событие ИБ - изменение состояния объекта или области мониторинга ИБ, действия работников организации БС РФ и (или) иных лиц, которые указывают на возможный инцидент ИБ.

3.3. Журнал регистрации событий ИБ - электронный журнал, содержащий записи о событиях ИБ, в том числе о действиях пользователей и эксплуатирующего персонала автоматизированной банковской системы (далее - АБС).

3.4. Менеджмент инцидентов ИБ - деятельность по своевременному обнаружению инцидентов ИБ, адекватному и оперативному реагированию на них, направленная на минимизацию и (или) ликвидацию негативных последствий от инцидентов ИБ для организации БС РФ и (или) ее клиентов.

3.5. Закрытие инцидента ИБ - действия работников организации БС РФ в рамках реагирования на инцидент ИБ, результатом которых являются:

- устранение нарушений в СОИБ организации БС РФ, реализованных в результате инцидента ИБ;

- устранение последствий угрозы (угроз) ИБ, реализованн(ой)ых в составе инцидента ИБ;

- выяснение причин нетипичного поведения работников организации БС РФ и (или) иных лиц, нештатного функционирования АБС и иных объектов среды информационных активов организации БС РФ, а также нетипичных событий в выполнении банковских технологических процессов.

3.6. Группа реагирования на инциденты ИБ (далее - ГРИИБ) - действующая на постоянной основе группа работников организации БС РФ, которая выполняет установленные в организации БС РФ процедуры реагирования на инциденты ИБ.

3.7. Классификатор инцидентов ИБ - документ, определяющий способ описания инцидентов ИБ с помощью набора атрибутов - параметров инцидента ИБ.

3.8. Запись об инциденте ИБ - элемент централизованной базы данных об инцидентах ИБ, содержащий описание конкретного инцидента ИБ в соответствии с классификатором инцидентов ИБ.

3.9. Администратор ИБ - работник организации БС РФ, на которого возложены обязанности по мониторингу ИБ и контролю защитных мер в АБС, аудиту прав и контролю действий пользователей и эксплуатирующего персонала АБС.

3.10. Распорядитель доступа информационного актива - руководитель структурного подразделения организации БС РФ или работник организации БС РФ, осуществляющий распоряжение доступом к информационному активу в пределах полномочий, предоставленных организацией БС РФ.

4. Обозначения и сокращения


АБС - автоматизированная банковская система;

БС РФ - банковская система Российской Федерации;

ГРИИБ - группа реагирования на инциденты ИБ;

ИБ - информационная безопасность;

СОИБ - система обеспечения информационной безопасности;

СМИБ - система менеджмента информационной безопасности.

5. Общие положения

5.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне менеджмента инцидентов ИБ организации БС РФ рекомендуется реализовать ряд процессов системы менеджмента инцидентов ИБ, сгруппированных в виде циклической модели Деминга: "...- планирование - реализация - проверка - совершенствование - планирование - ...".

5.2. Планирование в рамках системы менеджмента инцидентов ИБ включает выполнение следующих основных мероприятий:

- разработка и документирование политики менеджмента инцидентов ИБ организации БС РФ;

- определение организационной структуры и ролей процессов реагирования на инциденты ИБ;

- установление и документирование регламентов обнаружения инцидентов ИБ и реагирования на инциденты ИБ;

- выбор технических средств, включая средства защиты информации, необходимых для использования в рамках процессов обнаружения инцидентов ИБ и реагирования на инциденты ИБ, и определение во внутренних документах организации БС РФ порядка эксплуатации указанных технических средств;

- определение порядка осуществления контроля за выполнением процессов обнаружения инцидентов ИБ и реагирования на инциденты ИБ.

5.3. Реализация в рамках системы менеджмента инцидентов ИБ включает выполнение следующих основных мероприятий:

- выделение необходимых ресурсов и назначение ролей для выполнения процессов реагирования на инциденты ИБ;

- проведение мероприятий по обучению и повышению осведомленности работников организации БС РФ, представителей внешних организаций и клиентов организации БС РФ, использующих информационную инфраструктуру организации БС РФ в области обнаружения инцидентов ИБ и реагирования на инциденты ИБ;

- выполнение деятельности по обнаружению инцидентов ИБ и реагированию на инциденты ИБ.

5.4. Анализ в рамках системы менеджмента инцидентов ИБ включает выполнение следующих основных мероприятий:

- анализ действий работников организации БС РФ при выполнении процессов реагирования на инцидент ИБ;

- определение направлений и методов совершенствования СОИБ организации БС РФ на основе результатов выполнения процессов менеджмента инцидентов ИБ;

- определение направлений и методов улучшения процессов менеджмента инцидентов ИБ.

5.5. Совершенствование в рамках системы менеджмента инцидентов ИБ включает выполнение следующих основных мероприятий:

- принятие решений и инициирование совершенствования процессов менеджмента инцидентов ИБ;

- принятие решений и инициирование улучшений в СОИБ организации БС РФ.

Непосредственное выполнение деятельности по совершенствованию процессов менеджмента инцидентов ИБ осуществляется путем планирования и реализации в рамках системы менеджмента инцидентов ИБ.

Выполнение решений по совершенствованию СОИБ организации БС РФ реализуется в рамках тактических и стратегических улучшений, требования к выполнению которых установлены СТО БР ИББС-1.0.

6. Рекомендации по планированию в рамках системы менеджмента инцидентов ИБ

     

6.1. Рекомендации по разработке и документированию политики менеджмента инцидентов ИБ организации БС РФ

6.1.1. Политика менеджмента инцидентов ИБ организации БС РФ является внутренним документом организации БС РФ, устанавливающим принципы и основные положения, регламентирующие деятельность по менеджменту инцидентов ИБ организации БС РФ.

Политика менеджмента инцидентов ИБ организации БС РФ разрабатывается службой ИБ организации БС РФ совместно и (или) по согласованию с подразделением информатизации организации БС РФ, юридической службой организации БС РФ, подразделениями организации БС РФ, в зоне компетенции которых находятся вопросы обеспечения непрерывности выполнения банковских технологических процессов организации БС РФ, службой персонала (кадров) организации БС РФ и утверждается руководством организации БС РФ.

6.1.2. В политике менеджмента инцидентов ИБ организации БС РФ рекомендуется установить следующие положения:

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»