double arrow

СТО БР ИББС – 1.0 Общие положения


Комплекс стандартов Банка России СТО БР ИББС «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» состоит из базового стандарта СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской федерации. Общие положения» (далее – Стандарт) и развивающей и обеспечивающей его группы стандартов и рекомендаций в области стандартизации.

Стандарт основывается на риск - ориентированном подходе, суть которого заключается в том, что деятельность организации БС РФ подвержена рискам, так как на бизнес-процессы организации БС РФ и вовлеченные в них активы могут воздействовать различного рода угрозы. В случае наличия уязвимостей в системе контрмер бизнеса (в это понятие входит, в том числе, и меры обеспечения ИБ организации), а также при наличии определенных условий (факторов риска), реализация угрозы приводит к возникновению инцидента, ведущего к возникновению ущерба для организации БС РФ. Понятие «риск» выступает в этом случае как индикатор угрозы для организации БС РФ и как мера, учитывающая вероятность реализации угрозы (возникновения инцидента) и величину ущерба, являющегося следствием реализации угрозы (возникновения инцидента).




В соответствии с риск- ориентированным подходом в организации БС РФ необходимо реализовать процессы руководства и управления в отношении риска (управление риском), направленные на минимизацию риска или снижение риска до допустимого уровня. Управление риском включает в себя определение допустимого (приемлемого) уровня риска, оценку риска (включая сравнение полученного риска с допустимым) и обработку риска (процесс выбора и осуществления защитных мер, снижающих риски ИБ до приемлемого уровня, или мер по переносу, принятию или уклонению от риска). С целью снижения рисков организация предпринимает комплекс контрмер различного характера (организационных, технических и др.). Необходимо учитывать тот факт, что понизить риски можно лишь до определенного остаточного уровня. Оставшаяся (остаточная) часть риска, определяемая факторами среды деятельности организации БС РФ, на которые организация не в силах влиять, должна быть признана приемлемой и принята, либо отклонена. В этом случае от риска следует либо уклониться (например, изменить среду деятельности), либо перенести на кого-нибудь (например, застраховать).

Риски нарушения ИБ выражаются в возможности потери состояния защищенности интересов (целей) организации БС РФ в информационной сфере и возникновения ущерба бизнесу организации БС РФ или убытков. Потеря состояния защищенности интересов (целей) организации БС РФ в информационной сфере заключается в утрате свойств конфиденциальности, целостности или доступности информационных активов, утрате параметров или доступности сервисов инфраструктуры организации БС РФ.



С целью снижения рисков нарушения ИБ и управления ими (то есть для реализации и поддержания требуемого уровня ИБ) необходимо разработать, реализовать, поддерживать (изучать и анализировать с целью выявления уязвимостей) и совершенствовать (устранять уязвимости и повышать эффективность) систему обеспечения ИБ организации БС РФ.

Система обеспечения ИБ организации БС РФ (СОИБ) представляет собой совокупность системы ИБ и системы менеджмента ИБ организации БС РФ.

Система ИБ организации БС РФ (СИБ) представляет собой совокупность защитных мер, реализующих обеспечение ИБ организации БС РФ, и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.

Система менеджмента ИБ (СМИБ) организации БС РФ представляет собой совокупность процессов менеджмента ИБ, включая ресурсное и административное (организационное) обеспечение этих процессов.

Для реализации и поддержания ИБ в организации БС РФ необходима реализация четырех групп процессов:

– планирование СОИБ организации БС РФ (планирование);

– реализация СОИБ организации БС РФ (реализация);

– мониторинг и анализ СОИБ организации БС РФ (проверка);

– поддержка и улучшение СОИБ организации БС РФ (совершенствование).

Указанные группы процессов составляют СМИБ организации БС РФ.



Организация и выполнение процессов СМИБ необходимы, в том числе, для обеспечения уверенности в том, что хороший практический опыт организации БС РФ документируется, становится обязательным к применению, а СОИБ совершенствуется. При этом необходимо обеспечить реализацию всех групп процессов СМИБ. Рис. иллюстрирует взаимосвязь СИБ, СМИБ и СОИБ организации БС РФ.

Рис. СОИБ организации БС РФ

СОИБ должна быть определена, спланирована и регламентирована в организации БС РФ. Основой для этого являются требования законодательства Российской Федерации, нормативные правовые акты Банка России, контрактные требования организации БС РФ, а также условия ведения бизнеса, выраженные на основе идентификации активов организации БС РФ, и построения модели нарушителей и угроз.

Основные принципы, подходы и требования к построению модели угроз и нарушителей содержатся в седьмом разделе Стандарта.

Требования к СИБ и СМИБ организации БС РФ содержатся, соответственно, в восьмом и девятом разделах Стандарта. Однако, учитывая риск -ориентированный подход, используемый в Стандарте, выбор конкретных методов, мер и средств обеспечения ИБ остается за организацией БС РФ и ее руководством.

Даже правильно выстроенные процессы и используемые защитные меры в силу объективных причин со временем имеют тенденцию к ослаблению своей эффективности. Это неминуемо ведет к деградации СОИБ и возрастанию рисков нарушения ИБ.

Для того чтобы избежать деградации СОИБ и обеспечить требуемый уровень ИБ организации БС РФ Стандартом определены требования проверки и оценки СОИБ, которые проводятся путем выполнения следующих процессов: мониторинга и контроля защитных мер, самооценки ИБ, внешнего аудита ИБ, анализа функционирования СОИБ (в том числе со стороны руководства). Указанные процессы являются частью группы процессов «проверка» СМИБ и описаны в десятом разделе Стандарта.

Для поддержания СОИБ на должном уровне в качестве оперативной меры Стандартом определено требование проведения мониторинга СОИБ и контроля защитных мер. В результате выполнения этих процессов может быть выработан сигнал опасности для деятельности организации БС РФ, если произошел инцидент ИБ или выявлены новые угрозы ИБ, уязвимости СОИБ, факторы рисков, требующие введения превентивных мер. В случае возникновения инцидента ИБ должен быть использован дополнительный (специально разработанный) план действий, позволяющий свести к минимуму возможные потери и восстановить СОИБ. Кроме того, результаты выполнения процессов мониторинга и контроля защитных используются для анализа СОИБ, в том числе со стороны руководства.

Для оценки информационной безопасности и выявления признаков деградации СОИБ, Стандартом определено требование проведения самооценки ИБ, а также регулярного внешнего аудита ИБ. При проведении аудита и самооценки ИБ необходимо руководствоваться едиными правилами и подходами и использовать стандартные процедуры. Это позволяет обеспечить точность, повторяемость и сопоставимость результатов, а, следовательно, обеспечить доверие к результатам оценки. Для формирования системы оценки требованиям стандарта СТО БР ИББС-1.0 разработаны стандарты СТО БР ИББС-1.1, СТО БР ИББС-1.2 и рекомендации в области стандартизации РС БР ИББС-2.1.

Стандарт СТО БР ИББС-1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» устанавливает основные принципы проведения аудита ИБ и требования к процедуре аудита ИБ.

Рекомендации в области стандартизации РС БР ИББС-2.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0» устанавливает порядок проведения самооценки ИБ организаций БС РФ.

Стандарт СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0» устанавливает способы определения степени выполнения требований СТО БР ИББС-1.0, а также итогового уровня соответствия ИБ требованиям СТО БР ИББС-1.0 при проведении аудита (оценки соответствия) ИБ и самооценки ИБ.

Результаты мониторинга, контроля защитных мер, оценки ИБ (самооценки и аудита ИБ) используются при проведении анализа СОИБ (в том числе со стороны руководства).

Анализ СОИБ позволяет выявлять новые угрозы ИБ и факторы рисков ИБ, уязвимости СОИБ. Результаты анализа СОИБ используются для управления рисками ИБ, для принятия решений по тактическим и стратегическим улучшениям СОИБ, по повышению эффективности СОИБ (совершенствование СОИБ организации БС РФ).

Согласно Стандарту, для обеспечения согласованности, целенаправленности, планомерности деятельности по обеспечению ИБ эта деятельность должна быть документирована. Разработку и коррекцию внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в организации БС РФ рекомендуется проводить с учетом рекомендаций по стандартизации Банка России РС БР ИББС– 2.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0», которые определяют состав и структуру документов, а также процессы менеджмента документов по обеспечению ИБ организации БС РФ.

Комплекс стандартов Банка России является концептуальной и методологической основой для обеспечения и поддержания уровня ИБ, необходимого для достижения целей деятельности организации БС РФ и адекватного потребностям и условиям ведения бизнеса организации БС РФ. В настоящее время комплекс стандартов Банка России активно развивается. Готовятся к выходу третья редакция стандарта СТО БР ИББС-1.0 и вторая редакция СТО БР ИББС-1.2, стандарт по терминологии, а также рекомендации по стандартизации, содержащие методику оценки рисков ИБ и методику классификации активов организации БС РФ.







Сейчас читают про: