СТАНДАРТ БАНКА РОССИИ
СТО БР ИББС-1.0-2008
Обеспечение информационной безопасности организаций банковской системы Российской Федерации
Общие положения
____________________________________________________________________
Утратило силу на основании
распоряжения Банка России от 21 июня 2010 года N Р-705
____________________________________________________________________
Дата введения: 2009-05-01
Предисловие
1. Принят и введен в действие распоряжением Банка России от 25 декабря 2008 года N Р-1674.
2. Взамен СТО БР ИББС-1.0-2006.
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
Введение
Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем ИБ банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем, эксплуатирующихся организациями БС РФ.
Особенности БС РФ таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы ИБ представляют существенную опасность.
Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репутационный, стратегический и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.
Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки риска нарушения ИБ и принятия мер, необходимых для управления этим риском.
Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы документов в области стандартизации, в целом составляющих комплекс документов в области стандартизации по обеспечению ИБ организаций БС РФ.
Основные цели стандартизации по обеспечению ИБ организаций БС РФ:
- развитие и укрепление БС РФ;
- повышение доверия к БС РФ;
- поддержание стабильности организаций БС РФ и на этой основе - стабильности БС РФ в целом;
- достижение адекватности мер защиты реальным угрозам ИБ;
- предотвращение и(или) снижение ущерба от инцидентов ИБ.
Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:
- установление единых требований по обеспечению ИБ организаций БС РФ;
- повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.
1. Область применения
Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее - организации БС РФ) и устанавливает положения по обеспечению ИБ в организациях БС РФ.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и(или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе нормативными актами Банка России.
Обязательность применения настоящего стандарта может быть установлена договорами, заключенными организациями БС РФ, или решением организации БС РФ. В этих случаях требования настоящего стандарта, содержащие положения долженствования, применяются на обязательной основе, а рекомендации применяются по решению организации БС РФ.
2. Нормативные ссылки
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р ИСО 9001-2001 Система менеджмента качества. Требования
3. Термины и определения
Термины, установленные настоящим стандартом, применяются во всех видах документации и во всех видах деятельности по обеспечению ИБ в рамках Комплекса БР ИББС.
_______________
См. п.3.4.
3.1. Банковская система Российской Федерации: Банк России и кредитные организации, а также филиалы и представительства иностранных банков [1].
3.2. Стандарт: Документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.
[ГОСТ Р 1.12-2004]
3.3. Рекомендации в области стандартизации: Документ, содержащий советы организационно-методического характера, которые касаются проведения работ по стандартизации и способствуют применению основополагающего стандарта.
[ГОСТ Р 1.12-2004]
3.4. Комплекс БР ИББС: Комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации".
3.5. Менеджмент: Скоординированная деятельность по руководству и управлению.
[ГОСТ Р ИСО 9000-2001]
3.6. Система: Множество (совокупность) материальных объектов (элементов) любой, в том числе различной физической природы и информационных объектов, взаимодействующих между собой для достижения общей цели, обладающее системным свойством (свойствами), т.е. свойством, которого не имеет ни один из элементов и ни одно из подмножеств элементов при любом способе членения. Системное свойство не выводимо непосредственно из свойств элементов и частей.
3.7. Информация: Сведения (сообщения, данные) независимо от формы их представления [3].
3.8. Инфраструктура: Комплекс взаимосвязанных обслуживающих структур, составляющих основу для решения проблемы (задачи).
3.9. Информационная инфраструктура: Система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия.
Примечание.
Информационная инфраструктура:
включает совокупность информационных центров, банков данных и знаний, систем связи;
обеспечивает доступ потребителей к информационным ресурсам.
3.10. Документ: Зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
[ГОСТ Р 52069.0-2003]
Примечание.
Под материальным носителем подразумевается изделие (материал), на котором записана информация и которое обеспечивает возможность сохранения этой информации и снятие ее копий, например, бумага, магнитная лента или карта, магнитный или лазерный диск, фотопленка и т.п.
3.11. Процесс: Совокупность взаимосвязанных ресурсов и деятельности, преобразующая входы в выходы.
3.12. Технология: Совокупность взаимосвязанных методов, способов, приемов предметной деятельности.
3.13. Технологический процесс: Процесс, реализующий некоторую технологию.
3.14. Автоматизированная система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
[ГОСТ 34.003-90]
3.15. Авторизация: Предоставление прав доступа.
3.16. Идентификация: Процесс присвоения идентификатора (уникального имени); сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
3.17. Аутентификация: Подтверждение подлинности.
3.18. Регистрация: Фиксация данных о совершенных действиях (событиях).
3.19. Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом.
Примечания.
1. К субъектам относятся лица из числа руководителей организации банковской системы Российской Федерации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.
3.20. Угроза: Опасность, предполагающая возможность потерь (ущерба).
3.21. Риск: Мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.
3.22. Актив: Все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении.
Примечание.
К активам организации банковской системы Российской Федерации могут относиться:
работники (персонал), финансовые (денежные) средства, средства вычислительной техники, телекоммуникационные средства и пр.;
различные виды банковской информации - платежная, финансово-аналитическая, служебная, управляющая и пр.;
банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы);
банковские продукты и услуги, предоставляемые клиентам.
3.23. Информационный актив: Информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации банковской системы Российской Федерации; находящаяся в распоряжении организации банковской системы Российской Федерации и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.
3.24. Классификация информационных активов: Разделение существующих информационных активов организации банковской системы Российской Федерации по типам, выполняемое в соответствии со степенью тяжести последствий от потери их значимых свойств ИБ.
3.25. Объект среды информационного актива: Материальный объект среды использования и(или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).
3.26. Ресурс: Актив организации банковской системы Российской Федерации, который используется или потребляется в процессе выполнения некоторой деятельности.
3.27. Банковский технологический процесс: Технологический процесс, реализующий операции по изменению и(или) определению состояния активов организации банковской системы Российской Федерации, используемых при функционировании или необходимых для реализации банковских услуг.
Примечания.
1. Операции над активами организации банковской системы Российской Федерации могут выполняться вручную или быть автоматизированными, например, с помощью автоматизированных банковских систем.
2. В зависимости от вида деятельности выделяют: банковский платежный технологический процесс, банковский информационный технологический процесс и др.
