ГОСТ Р ИСО/ТО 13569-2007

Группа Т00

     
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

     

Финансовые услуги

РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Financial services. Information security guidelines

ОКС 01.040.01

        35.040

Дата введения 2008-07-01

     

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

    Сведения о стандарте

1 ПОДГОТОВЛЕН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") и обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе собственного аутентичного перевода стандарта, указанного в пункте 5

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2007 г. N 514-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 Настоящий стандарт идентичен международному стандарту ИСО/ТО 13569:2005 "Финансовые услуги. Рекомендации по информационной безопасности" (ISO/TR 13569:2005 "Financial services - Information security guidelines").

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении Е

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

ВНЕСЕНА поправка, опубликованная в ИУС N 7, 2009 год

Поправка внесена изготовителем базы данных

Введение

Финансовые услуги как экономическая категория отражают процесс использования денежных средств на основе товарно-денежного обращения. Оказание финансовых услуг за прошедшее десятилетие изменилось как с точки зрения масштабности их осуществления, так и в связи с внедрением компьютерных и сетевых технологий в эту сферу деятельности. При этом подобные операции осуществляются как внутри государства, так и при взаимодействии организаций разных стран.

Настоящий стандарт дает представление о системе обеспечения информационной безопасности в процессе оказания финансовых услуг с учетом сложившейся практики на международном уровне, что особенно важно для организаций, стремящихся развивать свою деятельность за пределами Российской Федерации.

     1 Область применения

Настоящий стандарт устанавливает рекомендации по разработке программы обеспечения информационной безопасности для организаций в сфере финансовых услуг. Разработка рекомендаций основывалась на рассмотрении бизнес-среды, практических приемов и процедур деятельности финансовых учреждений. Настоящий стандарт предназначен для использования финансовыми учреждениями различного типа и размера, которые должны разрабатывать рациональную и экономически обоснованную программу обеспечения информационной безопасности.

     2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие международные стандарты:

ИСО 9564 (все части) Банковское дело - Менеджмент и обеспечение безопасности персональных идентификационных номеров

ИСО 10202 (все части) Банковские карточки для финансовых операций - Архитектура безопасности систем финансовых операций, использующих смарт-карты

ИСО 11568 (все части) Банковское дело - Менеджмент ключей (розничная торговля)

ИСО/МЭК 11770 (все части) Информационная технология - Методы и средства обеспечения безопасности - Менеджмент ключей

ИСО 15782 (все части) Менеджмент сертификатов в сфере финансовых услуг

ИСО 16609:2004 Банковское дело - Требования к аутентификации сообщений, используя симметричные методы

ИСО/МЭК 17799:2005 Информационная технология - Практические правила управления информационной безопасностью

ИСО/МЭК 18028 (все части) Информационная технология - Методы и средства обеспечения безопасности - Безопасность информационной сети

ИСО/МЭК 18033 (все части) Информационная технология - Методы и средства обеспечения безопасности - Алгоритмы шифрования

ИСО 21188:2006 Инфраструктура открытых ключей для сферы финансовых услуг - Практические приемы и структура политики

     3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 Управление доступом (access control): Функции, ограничивающие доступ к информации или средствам обработки информации только авторизованным лицам или приложениям, включая физическое управление доступом, основанное на размещении физических барьеров между неавторизованными лицами и защищаемыми информационными ресурсами, и логические средства управления доступом, использующие другие способы управления.

3.2 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.

[ИСО 7498-2:1989] [1], [ИСО/МЭК 13335-1:2004] [2]

3.3 сигнал тревоги (alarm): Указание на нарушение безопасности, необычное или опасное состояние, которое может потребовать немедленного внимания.

3.4 активы (asset): Все, что имеет ценность для организации [2].

3.5 аудит (audit): Служба, задачей которой является проверка наличия адекватных мер контроля и сообщение руководству соответствующего уровня о несоответствиях.

3.6 журнал аудита (audit journal): Запись в хронологическом порядке действий системы, содержащей достаточно сведений для того, чтобы реконструировать, проанализировать и проверить последовательность сред и действий, окружающих каждое событие или ведущих к каждому событию по ходу операции от ее начала до выдачи окончательных результатов.

[ИСО 15782-1:2003] [3]

3.7 аутентификация (authentication): Предоставление гарантии заявленной идентичности объекта.

[ИСО/МЭК 10181-1:1196] [4], [ИСО/МЭК ТО 13335-4:2000] [5]

3.8 аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным.

Примечание - Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.

3.9 доступность (availability): Характеристика, определяющая доступность и используемость по запросу со стороны авторизованного логического объекта [1], [2].

3.10 резервное копирование (back-up): Сохранение бизнес-информации для обеспечения непрерывности бизнес-процесса в случае утраты информационных ресурсов.

3.11 биометрические данные (biometric): Измеримая биологическая или поведенческая характеристика, с достоверностью отличающая одного человека от другого, используемая для установления либо подтверждения личности человека.

[ANSI X9.84:2003] [6]

3.12 биометрия (biometrics): Автоматические методы, используемые для распознавания личности или подтверждения заявленной личности человека на основе физиологических или поведенческих характеристик.

3.13 метод аутентификации карточек (МАК) (card authentication method (CAM)): Метод, делающий возможной уникальную машиночитаемую идентификацию банковской карточки для финансовых операций и предотвращающий копирование карт.

3.14 классификация (classification): Схема, в соответствии с которой информация подразделяется на категории с целью применения соответствующих защитных мер против этих категорий.

Примечание - Соответствующие защитные меры применяют для следующих категорий: возможность мошенничества, конфиденциальность или критичность информации.

3.15 конфиденциальность (confidentialit): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса [1], [2], [3].

3.16 план действий в чрезвычайных обстоятельствах (contingency plan): Порядок действия, который позволяет организации восстановить работу после природного или иного бедствия.

3.17 мера управления (control): По 3.64, термин "защитная мера".

3.18 политика информационной безопасности организации [политика] (corporate information security policy) [policy]: Общее положение о намерениях и целях разработки программы обеспечения информационной безопасности организации.

3.19 кредитный риск (credit risk): Риск того, что контрагент в системе будет не способен полностью выполнить свои финансовые обязательства в системе в срок или в любое время в будущем.

[CPSS Ключевые принципы для системно значимых платежных систем] [7]

3.20 критичность (criticality): Требования к тому, чтобы конкретная информация или средства обработки информации были доступны для ведения бизнеса.

3.21 криптография (cryptography): Математический аппарат, используемый для шифрования или аутентификации информации.

3.22 криптографическая аутентификация (cryptographic authentication): Аутентификация, основанная на цифровой подписи, коде аутентификации сообщения, генерируемых в соответствии с криптографическим ключом.

3.23 криптографический ключ (cryptographic key): Значение, используемое для управления криптографическим процессом, таким как шифрование или аутентификация.

Примечание - Знание соответствующего криптографического ключа дает возможность правильно дешифровать сообщение или подтвердить его целостность.

3.24 уничтожение информации (destruction of information): Любое условие, делающее информацию непригодной для использования независимо от причины.

3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны.

[ANSI X9.79] [8]

3.26 раскрытие информации (disclosure of information): Несанкционированный просмотр или потенциальная возможность несанкционированного просмотра информации.

3.27 двойной контроль (dual control): Процесс использования двух или более отдельных логических объектов (обычно людей), действующих совместно для обеспечения защиты важных функций или информации [3].

Примечания

1 Оба логических объекта несут равную ответственность за обеспечение физической защиты материалов, задействованных в уязвимых операциях. Ни один человек в отдельности не может получить доступ к материалам (например, криптографическому ключу) или использовать их.

2 При ручном формировании, передаче, загрузке, хранении и извлечении ключей и сертификатов двойной контроль требует, чтобы каждый из сотрудников знал только часть ключа.

3 При использовании двойного контроля следует позаботиться о том, чтобы обеспечить независимость лиц друг от друга.

3.28 шифрование (encryption): Процесс преобразования информации к виду, когда она не имеет смысла ни для кого, кроме обладателей криптографического ключа.

Примечание - Использование шифрования защищает информацию в период между процессом шифрования и процессом дешифрования (который является противоположным шифрованию) от несанкционированного раскрытия.

3.29 межсетевой экран (firewall): Совокупность компонентов, помещенных между двумя сетями, которые вместе обладают следующими свойствами:

- весь входящий и исходящий сетевой трафик должен проходить через межсетевой экран;

- пропускается только сетевой трафик, авторизованный в соответствии с локальной политикой безопасности;

- межсетевой экран сам по себе устойчив к проникновению.

3.30 идентификация (identification): Процесс установления единственным образом однозначной идентичности объекта [5].

3.31 образ (image): Цифровое представление документа для обработки или хранения в системе обработки информации.