Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации
9.1. Проверка и оценка ИБ организаций БС РФ проводится путем выполнения следующих процессов: – мониторинга и контроля защитных мер; – самооценки ИБ. – аудита ИБ; – анализа функционирования СОИБ (в том числе со стороны руководства). Указанные процессы являются частью группы процессов «проверка» СМИБ, требования к которым приведены в разделе 8 настоящего стандарта. 9.2. Основными целями мониторинга и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть: – контроль за реализацией положений внутренних документов по обеспечению ИБ в организации БС РФ; – выявление нештатных, в том числе злоумышленных действий в АБС организации; – выявление инцидентов ИБ. Мониторинг и контроль защитных мер проводится персоналом организации БС РФ, ответственным за ИБ. Требования к проведению мониторинга и контроля защитных мер в организации БС РФ определены в подразделе 8.12 настоящего стандарта. 9.3. При подготовке к аудиту ИБ рекомендуется проведение самооценки ИБ. Самооценка ИБ проводится собственными силами и по инициативе руководства организации. Порядок проведения самооценки ИБ в организации БС РФ определен в рекомендациях в области стандартизации Банка России РС БР ИББС-2.1 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0”. В процессе самооценки ИБ проводится оценка степени выполнения требований настоящего стандарта и на ее основе вычисление итогового уровня ИБ организации БС РФ. Порядок проведения указанной деятельности (оценка и вычисление) регламентируется стандартом Банка России СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0». 9.4. Аудит ИБ, проводимый внешними по отношению к организации БС РФ независимыми проверяющими организациями, является основной формой проверки и оценки (контроля) выполнения организацией БС РФ требований настоящего стандарта. Аудит ИБ проводится как для собственных целей самой организации БС РФ, так и с целью повышения доверия к ней со стороны других организаций. Аудит ИБ проводится в соответствии с требованиями подраздела 8.14 настоящего стандарта, а также в соответствии с требованиями стандартов Банка России СТО БР ИББС-1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности». В процессе аудита ИБ проводится оценка степени выполнения требований настоящего стандарта и на ее основе вычисление итогового уровня ИБ организации БС РФ. Порядок проведения указанной деятельности (оценка и вычисление) регламентируется стандартом Банка России СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0». В качестве проверяющих организаций рекомендуется привлекать организации, входящие в состав Сообщества пользователей стандартов Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (ABISS - Association for Banking Information Security Standards, http://www.abiss.ru). Порядок проведения работ по контролю и надзору, включающий, в частности, вопросы: проведения ведомственного контроля (с участием Банка России, предприятий лицензиатов, самооценки); государственного контроля, предусмотренного Федеральным законом «О персональных данных» [5], со стороны ФСБ России и ФСТЭК России; взаимодействия сторон при проведении указанных видов контроля; согласования планов, информационного взаимодействия, форм предоставления отчетности и т. д., будет изложен в отдельном документе. 9.5. Анализ функционирования СОИБ проводится персоналом организации БС РФ, ответственным за обеспечение ИБ, а также руководством, в том числе, на основании подготовленных для руководства документов (данных). Основными целями проведения анализа функционирования СОИБ являются: – оценка эффективности СОИБ; – оценка соответствия СОИБ требованиям законодательства Российской Федерации и стандартов Банка России; – оценка соответствия СОИБ существующим и возможным угрозам ИБ; – оценка следования принципам ИБ и выполнения требований по обеспечению ИБ, закрепленным в политике ИБ организации БС РФ, а также в иных внутренних документах организации БС РФ. Результаты, полученные в ходе анализа функционирования СОИБ являются, среди прочего, основой для совершенствования СОИБ. Требования к проведению анализа функционирования СОИБ определены в подразделах 8.15 и 8.16 настоящего стандарта. 9.6. В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются. В случае введения в действие стандарта в организации БС РФ указанные требования не являются обязательными при проведении комплекса мероприятий по обеспечению безопасности персональных данных в специальных ИСПДн организаций БС РФ. Альтернативой процедурам лицензирования и аттестации являются процедуры проверки и оценки информационной безопасности организаций банковской системы Российской Федерации, требования к которым изложены в пункте 9 настоящего стандарта. 9.7. Получение организацией БС РФ лицензии ФСБ России – в соответствии с требованиями законодательства Российской Федерации.
Библиография [1] Федеральный Закон «О банках и банковской деятельности» от 01.12.1990 № 395–1 в ред. ФЗ от 03.02.1996 №17–ФЗ, от 31.07.1998 № 151–ФЗ, от 05.07.1999 № 126–ФЗ, от 08.07.1999 № 136–ФЗ, от 19.06.2001 № 82–ФЗ, от 07.08.2001 № 121–ФЗ, от 21.03.2002 № 31–ФЗ, с изменениями, внесенными постановлением Конституционного Суда РФ от 23.02.1999 № 4–П [2] Федеральный закон «О Центральном Банке Российской Федерации (Банке России)» от 10 июля 2002 года № 86–ФЗ [3] Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ [4] ISO/IEC IS 27001–2005 Information technology. Security techniques. Information security management systems. Requirements [5] Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ. [6] Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации". [7] Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"
Ключевые слова: банковская система Российской Федерации, система менеджмента информационной безопасности, политика информационной безопасности.
[1] См. п.3.4. [2]) Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требований законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику. [3]) Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий (адаптировано из ст.27. УК РФ). [4]) Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используется имеющийся опыт и знания, поэтому, чем выше знания, тем точнее прогноз. [5]) На данных уровнях и уровне бизнес-процессов реализация угроз внешними нарушителями ИБ, действующими самостоятельно без соучастия внутренних, практически невозможна. [6]) «Знать своего клиента» (Know your Customer): принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов. [7]) «Знать своего служащего» (Know your Employee): принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких, как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью. [8]) «Необходимо знать» (Need to Know): принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей. [9]) «Двойное управление» (Dual Control): принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий дублирования (алгоритмического, временного, ресурсного или иного) действий до завершения определенных транзакций. [10]) Спам – общее наименование незапрошенных пользователями электронных посланий и рекламных писем, рассылаемых в Интернете по ставшим известными рассылающей стороне адресам пользователей. [11] Актуальными являются те угрозы, риск реализации которых в организации БС РФ является недопустимым. [12] К тактическим улучшениям СОИБ следуют относить корректирующие или превентивные действия, связанные с пересмотром отдельных процедур выполнения деятельности в рамках СОИБ организации БС РФ и не требующих пересмотра политики ИБ и частных политик ИБ организации БС РФ. Как правило, тактические улучшения СОИБ не требуют выполнение деятельности в рамках этапа «планирование» СМИБ.
[13] К стратегическим улучшениям СОИБ следуют относить корректирующие или превентивные действия, связанные с пересмотром политики ИБ и частных политик ИБ организации БС РФ, с последующим выполнением соответствующих тактических улучшений СОИБ. Стратегические улучшения СОИБ всегда требуют выполнение деятельности в рамках этапа «планирование» СМИБ.
Популярное: Почему стероиды повышают давление?: Основных причин три... Почему люди поддаются рекламе?: Только не надо искать ответы в качестве или количестве рекламы... Модели организации как закрытой, открытой, частично открытой системы: Закрытая система имеет жесткие фиксированные границы, ее действия относительно независимы... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (183)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |