Присоединяйтесь!
Зарегистрированных пользователей портала: 506 308. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ. СТАНДАРТ. СТО БР ИББС-1.0-2006" (утв. Распоряжением ЦБ РФ от 20.01.2006 N р-27)

Дата документа20.01.2006
Статус документаНе действует
МеткиСтандарт · Распоряжение

    

УТВЕРЖДЕН
Распоряжением ЦБ РФ
от 26 января 2006 г. N р-27

 

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

 

СТАНДАРТ

 

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ

 

СТО БР ИББС-1.0-2006

 

Дата введения 2006-01-01

 
    Взамен СТО БР ИББС-1.0-2004
 

ВВЕДЕНИЕ

 
    Банковская система (БС) Российской Федерации (РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БСРФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БСРФ, их активов (в т.ч. информационных), который во многом определяется уровнем информационной безопасности банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем (АБС), эксплуатирующихся организациями БСРФ, ит.д.
    Особенности банковских систем таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БСРФ. Поэтому для организаций БСРФ угрозы информационным активам, то есть угрозы ИБ, представляют реальную опасность.
    Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционные, кредитные и иные риски) в организациях БСРФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БСРФ одним из основополагающих аспектов их деятельности.
    Деятельность, относящаяся к обеспечению ИБ, должна контролироваться. В связи с этим Банк России является сторонником регулярной оценки уровня ИБ в организациях БСРФ, оценки рисков и принятия мер, необходимых для управления этими рисками.
    Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БСРФ, который является базовым для развивающей и обеспечивающей его группы стандартов, в целом составляющих комплекс стандартов по обеспечению ИБ организаций БСРФ.
    Основные цели стандартизации по обеспечению ИБ организаций БСРФ:
    - повышение доверия к БСРФ;
    - повышение стабильности функционирования организаций БСРФ и на этой основе- стабильности функционирования БСРФ в целом;
    - достижение адекватности мер по защите от реальных угроз ИБ;
    - предотвращение и(или) снижение ущерба от инцидентов ИБ.
    Основные задачи стандартизации по обеспечению ИБ организаций БСРФ:
    - установление единых требований по обеспечению ИБ организаций БСРФ;
    - повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БСРФ.
 

1. Область применения

 
    Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее по тексту - организации БСРФ) и устанавливает положения (политики, требования и т.п.) по обеспечению информационной безопасности в организациях БСРФ.
    Настоящий стандарт рекомендован для применения путем включения ссылок на него и(или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БСРФ, а также в договорах.
    Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным правовым актом Банка России или условиями договора.
    Настоящий стандарт может быть введен в действие организаций БСРФ в качестве обязательного к исполнению в случае, если такая необходимость существует.
 

2. Нормативные ссылки

 
    В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
    ГОСТ Р 1.0-2004 Стандартизация в Российской Федерации. Основные положения
    ГОСТ Р 1.4-2004 Стандартизация в Российской Федерации. Стандарты организаций. Общие положения
    ГОСТ 34.601-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания
    ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты
    ГОСТ Р ИСО 9001-2001 Система менеджмента качества. Требования
    ГОСТ Р ИСО 14001-98 Система управления окружающей средой. Требования и руководство по применению
    ГОСТ Р ИСО/МЭК 15408-1ч3-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий
    ГОСТ Р ИСО/МЭК 12207-99 Информационная технология. Процессы жизненного цикла программных средств
    ГОСТ Р ИСО/МЭК ТО 15271-2002 Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств)
    ISO/IEC IS 13335-1/2 Information Technology. Security techniques. Management of information and communications technology security
    ISO TR 13569 Banking and related financial services. Information security guidelines
    ISO/IEC IS 15288-2002 Systems engineering. System Life Cycle Processes
    ISO/IEC TR 15504-1/5 Information technology. Process assessment
    ISO/IEC TR 18028-1/5 Information technology. Security techniques. IT network security
    ISO/IEC TR 18043 Information technology. Selection, deployment and operations of intrusion detection systems (IDS)
    ISO/IEC TR 18044-2004 Information Technology. Security techniques. Information security incident management
    ISO/IEC IS 17799-2005 (second edition) (с2007года- ISO/IEC IS 27002) Information Technology. Code of practice for information security management
    ISO/IEC IS 27001-2005 Information technology. Security techniques. Information security management systems. Requirements
    ITU-T Recommendation X.1051 Information security management system. Requirements for telecommunications (ISMS-T)
    BSI PAS-56 Guide to Business Continuity Management (BCM)
    COBIT Control Objectives for Information and related Technology, 3rd Edition, July 2000
    OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation
    CRAMM UK Government’s Risk Analysis and Management Method
 

3. Термины и определения

 
    3.1. банковская система Российской Федерации: Банк России и кредитные организации, а также филиалы и представительства иностранных банков [1].
    3.2. активы организации банковской системы Российской Федерации: все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении.
    Примечание.
    К активам организации БСРФ могут относиться:
    - банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);
    - информационные активы, в т.ч. различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;
    - банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);
    - банковские продукты и услуги, предоставляемые клиентам.
 
    3.3. автоматизированная банковская система: автоматизированная система, реализующая банковский технологический процесс или его часть.
    3.4. роль в организации банковской системы Российской Федерации: заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом в организации БСРФ.
    Примечания.
    1. К субъектам относятся лица из числа руководителей организации БСРФ, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
    2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.
 
    3.5. банковский технологический процесс: технологический процесс, содержащий операции по изменению и(или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг.
    Примечания.
    1. Операции над банковской информацией могут выполняться вручную или быть автоматизированными, например, с помощью комплексов средств автоматизации автоматизированных банковских систем.
    2. Операции над банковской информацией требуют указания ролей их участников (исполнителей и лиц, принимающих решения или имеющих полномочия по изменению технологических процессов, в том числе персонала автоматизированных банковских систем).
    3. В зависимости от вида деятельности выделяют: банковский информационный технологический процесс, банковский платежный технологический процесс и др.
 
    3.6. информационная безопасность организации банковской системы Российской Федерации: состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз в информационной сфере.
    Примечания.
    1. Защищенность достигается обеспечением совокупности свойств информационной безопасности- конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.
    2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
 
    3.7. менеджмент: скоординированная деятельность по руководству и управлению.
    Примечание.
    В английском языке термин "management" иногда относится к людям, т.е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда "management" используется в этом смысле, его следует всегда применять с определяющими словами с целью избежания путаницы с понятием "management", определенным выше. Например, не одобряется выражение "руководство должно...", в то время как "высшее руководство должно…" - приемлемо.
 
    3.8. система менеджмента информационной безопасности организации банковской системы Российской Федерации; СМИБ: часть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности организации банковской системы Российской Федерации [ISO/IEC IS 27001].
    Примечание.
    Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.
 
    3.9. осознание информационной безопасности: понимание организацией необходимости самостоятельно на основе принятых в ней ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению информационной безопасности, а также поддерживать эту деятельность адекватно прогнозу.
    Примечание.
    Осознание информационной безопасности является внутренним побудительным мотивом организации инициировать и поддерживать деятельность по менеджменту информационной безопасности, в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по менеджменту информационной безопасности определяется соответственно либо возникшими проблемами организации, такими, как инцидент информационной безопасности, либо внешними факторами, например, требованиями законов.