– несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.
6.10. Источники угроз используют для реализации угрозы уязвимости ИБ.
6.11. Хорошей практикой в организациях БС РФ является разработка моделей угроз и нарушителей ИБ для организации в целом, а также, при необходимости, для ее отдельных банковских процессов.
Степень детализации параметров моделей угроз и нарушителей ИБ может быть различна и определяется реальными потребностями для каждой организации в отдельности.
7. Система информационной безопасности организаций банковской системы Российской Федерации
7.1.1 Выполнение требований к СИБ организации БС РФ является основой для обеспечения должного уровня ИБ. Формирование требований к СИБ организации БС РФ должно проводиться на основе:
- положений настоящего раздела стандарта;
- выполнения деятельности в рамках СМИБ организации БС РФ, определенной в разделе 8 настоящего стандарта (в частности, деятельности по разработке планов обработки рисков нарушения ИБ).
Требования к СИБ организации БС РФ должны быть оформлены документально в соответствии с Рекомендациями в области стандартизации Банка России РС БР ИББС-2.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0».
7.1.2. Положения подразделов 7.2-7.11 настоящего стандарта образуют базовый набор требований к СИБ, применимый к большинству организаций БС РФ. В соответствии с особенностями конкретной организации БС РФ данный базовый набор требований может быть расширен путем выполнения деятельности в рамках процессов СМИБ организации БС РФ, например, определения области действия СОИБ организации БС РФ, анализа и оценки рисков нарушения ИБ.
7.1.3. Требования к СИБ должны быть сформированы, в том числе для следующих областей:
– назначения и распределения ролей и обеспечения доверия к персоналу;
– обеспечения ИБ на стадиях ЖЦ АБС;
– защиты от НСД и НРД, управления доступом и регистрацией всех действий в АБС, в телекоммуникационном оборудовании, автоматических телефонных станциях и т. д.;
– антивирусной защиты;
– использования ресурсов Интернет;
– использования СКЗИ;
– защиты банковских платежных и информационных технологических процессов, в том числе банковских технологических процессов, в рамках которых обрабатываются персональные данные.
В конкретной организации БС РФ требования к СИБ могут формироваться и для других областей и направлений деятельности.
7.1.4. При распределении прав доступа работников и клиентов к информационным активам организации БС РФ следует руководствоваться принципами:
– «знать своего клиента»[6]);
– «знать своего служащего»[7]) ;
– «необходимо знать»[8]),
а также рекомендуется использовать принцип «двойное управление»[9]) .
7.1.5. Формирование ролей должно осуществляться на основании существующих бизнес-процессов организации БС РФ и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности.
Формирование ролей не должно выполняться по принципу фиксации фактических сложившихся прав и полномочий персонала организации БС РФ.
7.1.6. Для обеспечения ИБ и контроля за качеством обеспечения ИБ в организации БС РФ должны быть определены роли, связанные с деятельностью по обеспечению ИБ. Руководство организации БС РФ должно осуществлять координацию своевременности и качества выполнения ролей, связанных с обеспечением ИБ.
7.1.7. ИБ АБС должна обеспечиваться на всех стадиях ЖЦ АБС, автоматизирующих банковские технологические процессы, с учетом интересов всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации БС РФ).
7.1.8. При принятии руководством организации БС РФ решений об использовании сети Интернет, при формировании документов, регламентирующих порядок использования сети Интернет, а также иных документов, связанных с обеспечением ИБ при использовании сети Интернет, необходимо учитывать следующие положения:
– сеть Интернет не имеет единого органа управления (за исключением службы управления пространством имен и адресов) и не является юридическим лицом, с которым можно было бы заключить договор (соглашение). Провайдеры (посредники) сети Интернет могут обеспечить только те услуги, которые реализуются непосредственно ими;
– существует вероятность несанкционированного доступа, потери и искажения информации, передаваемой посредством сети Интернет;
– существует вероятность атаки злоумышленников на оборудование, программное обеспечение и информационные ресурсы, подключенные/доступные из сети Интернет;
– гарантии по обеспечению ИБ при использовании сети Интернет никаким органом/учреждением/организацией не предоставляются.
7.1.9. В рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать:
- банковский платежный технологический процесс;
- платежную информацию.
7.2.1. В организации БС РФ должны быть выделены и документально определены роли ее работников.
Формирование ролей, связанных с выполнением деятельности по обеспечению ИБ, среди прочего, должно осуществляться на основании требований 7 и 8 разделов настоящего стандарта.
7.2.2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.
7.2.3. С целью снижения рисков нарушения ИБ не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения системы/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в системе и контроля их выполнения.
7.2.4. В организации БС РФ должны быть документально определены и выполняться процедуры контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющими получить контроль над защищаемым информационным активом организации БС РФ.
7.2.5. В организации БС РФ должны быть документально определены процедуры приема на работу, влияющую на обеспечение ИБ, включающие:
– проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов;
– проверку в части профессиональных навыков и оценку профессиональной пригодности.
Указанные процедуры должны предусматривать документальную фиксацию результатов проводимых проверок.
7.2.6. Рекомендуется документально определить процедуры регулярной проверки (с документальной фиксацией результатов) в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки (с документальной фиксацией результатов) - при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии.
7.2.7. Все работники организации БС РФ должны давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов.
При взаимодействии с внешними организациями и клиентами требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договора (соглашения) с ними.
7.2.8. Обязанности персонала по выполнению требований по обеспечению ИБ должны включаться в трудовые контракты (соглашения, договора) и(или) должностные инструкции.
Невыполнение работниками организации БС РФ требований по обеспечению ИБ должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности.
7.3.1. При формировании требований по обеспечению ИБ рекомендуется рассматривать следующие общие стадии модели ЖЦ АБС:
1. разработка технических заданий;
2. проектирование;
3. создание и тестирование;
4. приемка и ввод в действие;
5. эксплуатация;
6. сопровождение и модернизация;
7. снятие с эксплуатации.
В случае разработки АБС в организации БС РФ рекомендуется рассматривать все стадии ЖЦ АБС, а в случае приобретения готовых АБС рекомендуется рассматривать стадии 4-7 ЖЦ АБС.
7.3.2. Разработка технических заданий и приемка АБС должны осуществляться по согласованию и при участии подразделения (лиц) в организации БС РФ, ответственных за обеспечение ИБ.
7.3.3. Ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации АБС должны осуществляться под контролем подразделения (лиц) в организации, ответственных за обеспечение ИБ.
7.3.4. Привлекаемые для разработки и(или) производства средств и систем защиты АБС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ.
7.3.5. Разрабатываемые АБС и(или) их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе, в отношении угроз ИБ (источников угроз), описанных в модели угроз организации БС РФ. Приобретаемые организацией БС РФ готовые АБС и(или) их компоненты рекомендуется снабжать указанной документацией.