РС БР ИББС-2.0-2007
Обеспечение информационной безопасности организаций банковской системы Российской Федерации
Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0
Дата введения: 2007-05-01
1. ПРИНЯТЫ И ВВЕДЕНЫ в действие Распоряжением Банка России от 28 апреля 2007 года N Р-348.
2. ВВЕДЕНЫ ВПЕРВЫЕ.
Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.
Адекватный потребностям бизнеса уровень информационной безопасности (ИБ) может быть обеспечен только на основе комплексного подхода, предполагающего планомерное использование правовых, организационных, программно-технических и других мер обеспечения ИБ на единой концептуальной и методической основе.
Для обеспечения согласованности, целенаправленности, планомерности деятельности по обеспечению ИБ эта деятельность должна быть документирована.
Документы по обеспечению ИБ позволяют определить и довести до каждого работника правила и требования по обеспечению ИБ, которыми он должен руководствоваться в своей производственной деятельности, а также определить порядок контроля за их соблюдением.
Настоящий документ распространяется на организации банковской системы (БС) Российской Федерации (РФ) и устанавливает рекомендации к структуре, составу, назначению и содержанию внутренних документов по обеспечению информационной безопасности организаций БС РФ в соответствии с требованиями стандарта Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0).
Настоящие рекомендации в области стандартизации рекомендованы для применения путем включения ссылок на них и(или) прямого использования устанавливаемых в них положений во внутренних документах организации БС РФ.
Рекомендации в области стандартизации применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным актом Банка России или условиями договоров организации БС РФ со сторонними организациями.
В настоящих рекомендациях использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 1.4-2004 Стандартизация в Российской Федерации. Стандарты организаций. Общие положения
3.1. Деятельность организации БС РФ по обеспечению ИБ осуществляется на основе следующих документов:
- действующих законодательных актов и нормативных документов Российской Федерации по обеспечению ИБ;
- нормативных актов Банка России;
- внутренних документов организации БС РФ по обеспечению ИБ.
3.2. В состав внутренних документов организаций БС РФ по обеспечению ИБ рекомендуется включать следующие виды документов (документированной информации), организованных в виде приведенной на рисунке 1 иерархической структуры:
- документы, содержащие положения корпоративной политики ИБ организации БС РФ (документы первого уровня), определяют высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенные для организации в целом;
- документы, содержащие положения частных политик (документы второго уровня), детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации БС РФ;
- документы, содержащие положения ИБ, применяемые к процедурам (порядку выполнения действий или операций) обеспечения ИБ (документы третьего уровня), содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых в организации БС РФ, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, порядки, инструкции);
- документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ (документы четвертого уровня), отражают достигнутые результаты (промежуточные и окончательные), относящиеся к обеспечению ИБ организации БС РФ.
Рисунок 1. Структура внутренних документов организации БС РФ по обеспечению ИБ
3.3. Рекомендуется, чтобы положения документов по обеспечению ИБ организации БС РФ:
- носили не рекомендательный, а обязательный характер;
- были выполнимыми и контролируемыми. Не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;
- были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;
- не противоречили друг другу.
3.4. В состав документов организации БС РФ рекомендуется включить документ (классификатор), содержащий перечень и назначение всех документов организации БС РФ (для каждого из вышеопределенных уровней иерархической структуры), регламентирующих деятельность по обеспечению ИБ организации БС РФ. Указанный классификатор может быть полезен при осуществлении менеджмента документов организации БС РФ, для повышения степени осведомленности сотрудников организации БС РФ, а также при выполнении аудита информационной безопасности организации БС РФ.
3.5. При наличии у организации БС РФ сети филиалов (территориальных учреждений) в каждом из филиалов (территориальном учреждении) рекомендуется иметь единый для организации БС РФ, утвержденный комплект документов по обеспечению ИБ. В случае возникновения необходимости учета специфики конкретных филиалов в них должны быть разработаны собственные документы, учитывающие эту специфику. Рекомендуется, чтобы документы по обеспечению ИБ филиала (территориального учреждения) организации БС РФ базировались на положениях документов по обеспечению ИБ, принятых головной организацией (центральным аппаратом) организации БС РФ, и не противоречили им.
3.6. Пример требований международного стандарта [1] к структуре (иерархии) и содержанию внутренних документов ИБ организации приведен в приложении А.
4.1.1. Корпоративная политика ИБ определяет на высоком (общем) уровне цели и задачи обеспечения ИБ организации БС РФ, включая способы контроля реализации требований политики ИБ организации БС РФ. Корпоративная политика ИБ организации БС РФ определяет содержание, назначение и требования к деятельности по обеспечению ИБ организации БС РФ без указания специфических деталей.
4.1.2. В корпоративной политике ИБ организации БС РФ рекомендуется определять высокоуровневые правила и требования к деятельности по управлению рисками, в том числе по анализу и выработке позиций в отношении рисков.
4.1.3. Корпоративная политика ИБ организации БС РФ может быть представлена как в виде комплекта документов, так и в виде единого обобщающего документа.
________________
В названии политики ИБ должно быть указано название организации, которой принадлежит политика.
4.1.4. В корпоративную политику ИБ организации БС РФ рекомендуется включать следующие положения:
- определение ИБ в терминах деятельности данной организации БС РФ, области действия политики, целей, задач и принципов обеспечения ИБ организации БС РФ;
- изложение намерения обеспечения ИБ, направленного на достижение указанных целей и на реализацию принципов обеспечения ИБ;
- общие сведения об активах, подлежащих защите, их классификацию;
- модели угроз и нарушителей (внутреннего и внешнего) в соответствии с требованиями раздела 7 СТО БР ИББС-1.0, на противодействие которым ориентирована корпоративная политика ИБ;
- высокоуровневое изложение правил и требований в области ИБ, представляющих особую важность для организации БС РФ, например:
- обеспечение соответствия законодательным актам, нормативным документам Российской Федерации в области обеспечения ИБ и нормативным актам Банка России;
- требования к управлению ИБ;
- требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения;
- требования по управлению непрерывностью бизнеса;
- санкции и последствия нарушений политики безопасности;
- определение общих ролей и обязанностей, связанных с обеспечением ИБ, включая информирование об инцидентах ИБ;
- перечень частных политик ИБ, развивающих и детализирующих положения корпоративной политики ИБ, а также указание подразделений организации БС РФ, ответственных за их соблюдение и/или реализацию;
- положения по контролю реализации корпоративной политики информационной безопасности организации БС РФ;
- ответственность за реализацию и поддержку документа;
- условия пересмотра (выпуска новой редакции) документа.
4.1.5. К разработке и согласованию корпоративной политики ИБ рекомендуется привлекать представителей следующих служб организации БС РФ, связанных с ее информационной сферой:
- руководство организации БС РФ;
- профильные подразделения;
- служба информатизации;
- служба безопасности (информационной безопасности).
4.1.6. Корпоративная политика ИБ должна быть утверждена руководителем организации БС РФ (например, председателем, генеральным директором, президентом, руководителем филиала).
4.2.1. Второй уровень документов по обеспечению ИБ составляют документы, определяющие правила, требования и принципы, используемые применительно к отдельным областям ИБ, видам и технологиям деятельности организации БС РФ.
Кроме того, в состав документов данного уровня рекомендуется включить планы работ по обеспечению ИБ организации БС РФ и стандарты технологий обеспечения ИБ организации БС РФ.
4.2.2. Не рекомендуется повторение одинаковых правил в различных частных политиках. Включение в частную политику правила, содержащегося в другой (существующей) политике, целесообразно осуществлять посредством соответствующей ссылки. Например, для того чтобы в "Политику обеспечения ИБ информационных банковских технологических процессов" включить требования по антивирусной защите, следует сделать ссылку на "Политику антивирусной защиты" (при ее наличии).
4.2.3. Частные политики формируются на основании принципов, требований и задач, определенных в корпоративной политике ИБ организации БС РФ, с учетом детализации, уточнения и дополнительной классификации активов и угроз, определения владельцев активов, анализа, оценки рисков и возможных последствий реализаций угроз в границах области действия регламентируемой области или технологии.
4.2.4. В частные политики ИБ организации БС РФ рекомендуется включать положения, определяющие:
- цели и задачи ИБ, на обеспечение которых направлена частная политика;
- область действия политики, определение объектов (активов) защиты, уязвимостей, угроз и оценка рисков, связанных с объектами защиты;
- сведения о виде деятельности, на обеспечение ИБ которой направлено действие положений частной политики, о совокупности банковских технологий, применяемых в рамках выполнения данного вида деятельности, и об основных технологических процессах, реализующих указанные технологии;
- определение субъектов (ролей), на которых распространяется действие документа. В качестве субъектов (ролей) могут рассматриваться как структурные подразделения организации БС РФ, так и отдельные исполнители;
- содержательную часть документа (требования и правила);
- обязанности по обеспечению ИБ в рамках области действия частной политики ИБ, описание функций субъектов (ролей) над управляемыми объектами в рамках регламентируемых технологических процессов;
- состав ссылочных документов;
________________
К ссылочным документам относятся документы, ознакомление с которыми обязательно для адекватного понимания текста политики ИБ. Например, если в тексте политики говорится о требованиях к конфиденциальной информации, то в ссылочных документах должен быть указан документ, определяющий перечень сведений, которые относятся к конфиденциальной информации.