Стандарт Банка России СТО БР ИББС-1.0-2006
Обеспечение информационной безопасности организаций банковской системы Российской Федерации
Общие положения
____________________________________________________________________
Утратило силу с 1 мая 2009 года на основании
распоряжения Банка России от 25 декабря 2008 года N Р-1674
____________________________________________________________________
Дата введения: 2006-01-01
1. Принят и введен в действие
распоряжением Банка России
от 26 января 2006 года N Р-27.
2. Взамен СТО БР ИББС-1.0-2004.
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем информационной безопасности банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем (АБС), эксплуатирующихся организациями БС РФ, и т.д.
Особенности банковских систем таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы информационным активам, то есть угрозы ИБ, представляют реальную опасность.
Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционные, кредитные и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.
Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки рисков и принятия мер, необходимых для управления этими рисками.
Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы стандартов, в целом составляющих комплекс стандартов по обеспечению ИБ организаций БС РФ.
Основные цели стандартизации по обеспечению ИБ организаций БС РФ:
- повышение доверия к БС РФ;
- повышение стабильности функционирования организаций БС РФ и на этой основе - стабильности функционирования БС РФ в целом;
- достижение адекватности мер по защите от реальных угроз ИБ;
- предотвращение и(или) снижение ущерба от инцидентов ИБ.
Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:
- установление единых требований по обеспечению ИБ организаций БС РФ;
- повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.
Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее по тексту - организации БС РФ) и устанавливает положения (политики, требования и т.п.) по обеспечению информационной безопасности в организациях БС РФ.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и(или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным правовым актом Банка России или условиями договора.
Настоящий стандарт может быть введен в действие организаций БС РФ в качестве обязательного к исполнению в случае, если такая необходимость существует.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
ГОСТ Р 1.0-2004 Стандартизация в Российской Федерации. Основные положения
ГОСТ Р 1.4-2004 Стандартизация в Российской Федерации. Стандарты организаций. Общие положения
ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания
ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты
ГОСТ Р ИСО 9001-2001 Система менеджмента качества. Требования
ГОСТ Р ИСО 14001-98 Система управления окружающей средой. Требования и руководство по применению
ГОСТ Р ИСО/МЭК 15408-13-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
ГОСТ Р ИСО/МЭК 12207-99 Информационная технология. Процессы жизненного цикла программных средств
ГОСТ Р ИСО/МЭК ТО 15271-2002 Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств)
ISO/IEC IS 13335-12 Information Technology. Security techniques. Management of information and communications technology security
ISO TR 13569 Banking and related financial services. Information security guidelines
ISO/IEC IS 15288-2002 Systems engineering. System Life Cycle Processes
ISO/IEC TR 15504-15 Information technology. Process assessment
ISO/IEC TR 18028-15 Information technology. Security techniques. IT network security
ISO/IEC TR 18043 Information technology. Selection, deployment and operations of intrusion detection systems (IDS)
ISO/IEC TR 18044-2004 Information Technology. Security techniques. Information security incident management
ISO/IEC IS 17799-2005 (second edition) (с 2007 года - ISO/IEC IS 27002) Information Technology. Code of practice for information security management
ISO/IEC IS 27001-2005 Information technology. Security techniques. Information security management systems. Requirements
ITU-T Recommendation X.1051 Information security management system. Requirements for telecommunications (ISMS-T)
BSI PAS-56 Guide to Business Continuity Management (BCM)
COBIT Control Objectives for Information and related Technology, 3rd Edition, July 2000
OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation
CRAMM UK Government's Risk Analysis and Management Method
3.1. банковская система Российской Федерации: Банк России и кредитные организации, а также филиалы и представительства иностранных банков [1].
3.2. активы организации банковской системы Российской Федерации: все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении.
Примечание.
К активам организации БС РФ могут относиться:
- банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);
- информационные активы, в т.ч.различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;
- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);
- банковские продукты и услуги, предоставляемые клиентам.
3.3. автоматизированная банковская система: автоматизированная система, реализующая банковский технологический процесс или его часть.
3.4. роль в организации банковской системы Российской Федерации: заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом в организации БС РФ.
Примечания.
1. К субъектам относятся лица из числа руководителей организации БС РФ, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.
3.5. банковский технологический процесс: технологический процесс, содержащий операции по изменению и(или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг.
Примечания.
1. Операции над банковской информацией могут выполняться вручную или быть автоматизированными, например, с помощью комплексов средств автоматизации автоматизированных банковских систем.
2. Операции над банковской информацией требуют указания ролей их участников (исполнителей и лиц, принимающих решения или имеющих полномочия по изменению технологических процессов, в том числе персонала автоматизированных банковских систем).
3. В зависимости от вида деятельности выделяют: банковский информационный технологический процесс, банковский платежный технологический процесс и др.
3.6. информационная безопасность организации банковской системы Российской Федерации: состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз в информационной сфере.
Примечания.
1. Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.
2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
3.7. менеджмент: скоординированная деятельность по руководству и управлению.
Примечание.
В английском языке термин “management” иногда относится к людям, т.е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда “management” используется в этом смысле, его следует всегда применять с определяющими словами с целью избежания путаницы с понятием “management”, определенным выше. Например, не одобряется выражение “руководство должно...”, в то время как “высшее руководство должно…” - приемлемо.
3.8. система менеджмента информационной безопасности организации банковской системы Российской Федерации; СМИБ: часть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности организации банковской системы Российской Федерации [ISO/IEC IS 27001].
Примечание.
Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.
3.9. осознание информационной безопасности: понимание организацией необходимости самостоятельно на основе принятых в ней ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению информационной безопасности, а также поддерживать эту деятельность адекватно прогнозу.
Примечание.
Осознание информационной безопасности является внутренним побудительным мотивом организации инициировать и поддерживать деятельность по менеджменту информационной безопасности, в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по менеджменту информационной безопасности определяется соответственно либо возникшими проблемами организации, такими, как инцидент информационной безопасности, либо внешними факторами, например, требованиями законов.