ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ)

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ.

ОБЩИЕ ПОЛОЖЕНИЯ

Дата введения: 20хх-хх-хх

Издание официальное

Москва

20хх

Предисловие

1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от __ _____ 20__ года № Р-____.

2. ВЗАМЕН СТО БР ИББС–1.0–2008.

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.

Содержание

Введение. V

Введение. V

1. Область применения. 6

2. Нормативные ссылки.. 6

3. Термины и определения. 6

4. Обозначения и сокращения. 12

5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации.. 13

6. Модели угроз и нарушителей информационной безопасности организаций банковской системы Российской Федерации.. 18

7. Система информационной безопасности организаций банковской системы Российской Федерации.. 20

7.1. Общие положения. 20

7.2. Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу. 22

7.3. Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикла. 23

7.4. Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации.. 24

7.5. Общие требования по обеспечению информационной безопасности средствами антивирусной защиты.. 26

7.6. Общие требования по обеспечению информационной безопасности при использовании ресурсов сети Интернет. 27

7.7. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации.. 28

7.8. Общие требования по обеспечению информационной безопасности банковских платежных технологических процессов. 29

7.9. Общие требования по обеспечению информационной безопасности банковских информационных технологических процессов. 31

7.10. Общие требования по обработке персональных данных в организации БС РФ.. 32

7.11. Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные. 35

8. Система менеджмента информационной безопасности организаций банковской системы Российской Федерации.. 36

8.1. Общие положения. 36

8.2. Требования к организации и функционированию службы информационной безопасности организации банковской системы Российской Федерации.. 38

8.3. Требования к определению/коррекции области действия системы обеспечения информационной безопасности.. 39

8.4. Требования к выбору/коррекции подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности.. 39

8.5. Требования к разработке планов обработки рисков нарушения информационной безопасности.. 40

8.6. Требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности.. 41

8.7. Требования к принятию руководством организации банковской системы Российской Федерации решений о реализации и эксплуатации системы обеспечения информационной безопасности.. 42

8.8. Требования к организации реализации планов внедрения системы обеспечения информационной безопасности.. 43

8.9. Требования к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности.. 43

8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности.. 44

8.11. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний.. 44

8.12. Требования к мониторингу и контролю защитных мер. 45

8.13. Требования к проведению самооценки информационной безопасности.. 46

8.14. Требования к проведению аудита информационной безопасности.. 47

8.15. Требования к анализу функционирования системы обеспечения информационной безопасности.. 48

8.16. Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации.. 49

8.17. Требования к принятию решений по тактическим улучшениям системы обеспечения информационной безопасности.. 50

8.18. Требования к принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности.. 51

9. Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации.. 52

Библиография. 55

Введение

Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем ИБ банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем, эксплуатирующихся организациями БС РФ.

Особенности БС РФ таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы ИБ представляют существенную опасность.

Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционный, репутационный, стратегический и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.

Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим, Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки риска нарушения ИБ и принятия мер, необходимых для управления этим риском.

Исходя из этого, разработан настоящий стандарт по обеспечению ИБ организаций БС РФ, который является базовым для развивающей и обеспечивающей его группы документов в области стандартизации, в целом составляющих комплекс документов в области стандартизации по обеспечению ИБ организаций БС РФ.

Основные цели стандартизации по обеспечению ИБ организаций БС РФ:

– развитие и укрепление БС РФ;

– повышение доверия к БС РФ;

– поддержание стабильности организаций БС РФ и на этой основе – стабильности БС РФ в целом;

– достижение адекватности мер защиты реальным угрозам ИБ;

– предотвращение и (или) снижение ущерба от инцидентов ИБ.

Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:

– установление единых требований по обеспечению ИБ организаций БС РФ;

– повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.

СТАНДАРТ БАНКА РОССИИ

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ

Общие положения

Дата введения 2009–хх–хх

1. Область применения

Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее — организации БС РФ) и устанавливает положения по обеспечению ИБ в организациях БС РФ.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах.

Положения настоящего стандарта применяются на добровольной основе, если только в отношении отдельных положений обязательность их применения не установлена законодательством РФ, иными нормативными правовыми актами, в том числе, нормативными актами Банка России.