ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ (утв. распоряжением ЦБ РФ от 18.11.2004 n Р-609)


Утвержден
распоряжением Банка России
от 18 ноября 2004 г. N Р-609
Дата введения -
1 декабря 2004 года
СТАНДАРТ БАНКА РОССИИ
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ
БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОБЩИЕ ПОЛОЖЕНИЯ
ПРЕДИСЛОВИЕ
1. Разработан ООО НПФ "Кристалл" по заказу Центрального банка Российской Федерации (Банка России).
Доработан редакционной группой в следующем составе:
Банк России: Лахтиков А.И., Курило А.П., Гиленко В.Д., Поспелов А.Л., Гвоздев И.М., Харламов В.П.
ООО НПФ "Кристалл": Андрианов В.В., Голованов В.Б., Каминский В.Г., Алексеев В.М., Зефиров С.Л.
Рассмотрен и рекомендован к применению Подкомитетом 3 "Защита информации в кредитно-финансовой сфере" Технического комитета 362 "Защита информации" национального органа по стандартизации следующим составом членов подкомитета: Банк России, Ассоциация российских банков, Акционерный коммерческий Сберегательный банк Российской Федерации, Ассоциация региональных банков, Московская межбанковская валютная биржа, Национальная валютная ассоциация, ОАО "Альфа-банк", ОАО Россельхозбанк, ГНИИИ ПТЗИ Федеральной службы по техническому и экспортному контролю, аудиторская компания KPMG, ОАО Банк "Петрокоммерц", Институт Банковского Дела Ассоциации российских банков, Банк "Российский кредит".
2. Внесен Техническим комитетом 362 национального органа по стандартизации.
3. Принят и введен в действие распоряжением Банка России от 18 ноября 2004 г. N Р-609.
4. Введен впервые.
ВВЕДЕНИЕ
Банковская система Российской Федерации (БС РФ) включает в себя Банк России, кредитные организации, а также филиалы и представительства иностранных банков [1]. Развитие и укрепление БС РФ, а также обеспечение эффективного и бесперебойного функционирования платежной системы РФ являются целями деятельности Банка России [2]. Важнейшим условием реализации этих целей является обеспечение необходимого и достаточного уровня информационной безопасности (ИБ) организаций БС РФ, их активов (в т.ч. информационных), который во многом определяется уровнем информационной безопасности банковских технологических процессов (платежных, информационных и пр.), автоматизированных банковских систем (АБС), эксплуатирующихся организациями БС РФ, и т.д.
Особенности банковских систем таковы, что негативные последствия сбоев в работе отдельных организаций могут привести к быстрому развитию системного кризиса платежной системы РФ, нанести ущерб интересам собственников и клиентов. В случаях наступления инцидентов ИБ значительно возрастают результирующий риск и возможность нанесения ущерба организациям БС РФ. Поэтому для организаций БС РФ угрозы информационным активам, то есть угрозы ИБ, представляют реальную опасность.
Для противостояния таким угрозам и обеспечения эффективности мероприятий по ликвидации неблагоприятных последствий инцидентов ИБ (их влияния на операционные, кредитные и иные риски) в организациях БС РФ следует обеспечить достаточный уровень ИБ. Необходимо также сохранить этот уровень в течение длительного времени. По этим причинам обеспечение ИБ является для организаций БС РФ одним из основополагающих аспектов их деятельности.
Деятельность, относящаяся к обеспечению ИБ, должна контролироваться, поэтому Банк России является сторонником регулярной оценки уровня ИБ в организациях БС РФ, оценки рисков и принятия мер, необходимых для управления этими рисками.
Исходя из этого разработан настоящий стандарт по обеспечению ИБ организаций БС РФ.
Основные цели стандартизации по обеспечению ИБ организаций БС РФ:
- повышение доверия к БС РФ;
- повышение стабильности функционирования организаций БС РФ и на этой основе - стабильности функционирования БС РФ в целом;
- достижение адекватности мер по защите от реальных угроз ИБ;
- предотвращение и/или снижение ущерба от инцидентов ИБ.
Основные задачи стандартизации по обеспечению ИБ организаций БС РФ:
- установление единых требований по обеспечению ИБ организаций БС РФ;
- повышение эффективности мероприятий по обеспечению и поддержанию ИБ организаций БС РФ.
1. ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий стандарт распространяется на организации банковской системы Российской Федерации (далее по тексту - организации БС РФ) и устанавливает положения (политики, требования и т.п.) по обеспечению информационной безопасности в организациях БС РФ.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ, а также в договорах.
Положения настоящего стандарта применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным правовым актом Банка России или условиями договора.
2. НОРМАТИВНЫЕ ССЫЛКИ
Настоящий стандарт разработан с учетом следующих стандартов и документов:
ГОСТ 1.1-2002. Межгосударственная система стандартизации. Термины и определения.
ГОСТ 3.1109-82. Единая система технологической документации. Термины и определения основных понятий.
ГОСТ 34.003-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения.
ГОСТ 34.601-90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания.
ГОСТ Р 51897-2002. Менеджмент риска. Термины и определения.
ГОСТ Р 51898-2002. Аспекты безопасности. Правила включения в стандарты.
ГОСТ Р ИСО 9000-2001. Системы менеджмента качества. Основные положения и словарь.
ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
ГОСТ Р ИСО/МЭК 15408-2-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
ГОСТ Р ИСО/МЭК 15408-3-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия безопасности.
ГОСТ Р ИСО/МЭК 12207-99. Информационная технология. Процессы жизненного цикла программных средств.
ГОСТ Р ИСО/МЭК ТО 15271-2002. Информационная технология. Руководство по применению ГОСТ Р ИСО/МЭК 12207 (Процессы жизненного цикла программных средств).
ISO/IEC IS 17799-2000. Information Technology. Code of practice for information security management.
BS 7799-2-2002. Information security management systems. Specification with guidance for use.
ISO/IEC TR 13335. Information Technology. Security techniques. Guidelines for the management of IT security.
ISO TR 13569. Banking and related financial services. Information security guidelines.
ISO/IEC TR 18044. Information Technology. Security techniques. Information security incident management.
ISO/IEC IS 15288-2002. Information Technology. Life Cycle Management. System Life Cycle Processes.
ISO/IEC TR 15504-98. Information Technology. Software Process Assessment.
COBIT Control Objectives for Information and related Technology, 3rd Edition, July 2000.
OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation.
CRAMM UK Government"s Risk Analysis and Management Method.
3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Для целей настоящего стандарта используются следующие термины.
3.1. Автоматизированная банковская система: система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая банковскую информационную технологию.
3.2. Активы организации банковской системы Российской Федерации: все, представляющее ценность для организации БС РФ с точки зрения достижения ее целей.
Примечание. К активам организации БС РФ могут относиться:
- банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);
- информационные активы, в т.ч. различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;
- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);
- банковские продукты и услуги, предоставляемые клиентам.
3.3. Аудит информационной безопасности организации банковской системы Российской Федерации: периодический, независимый от объекта аудита и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях БС РФ установленных требований по обеспечению информационной безопасности.
Примечания. 1. Внутренние аудиты ("аудиты первой стороной") проводятся самой организацией или от ее имени для анализа менеджмента или других внутренних целей и могут служить основанием для самодеклараций организации о соответствии требованиям по ИБ.
2. Внешние аудиты включают "аудиты второй стороной" и "аудиты третьей стороной". Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например, потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми организациями.
3.4. Аутентификация электронного сообщения: процесс проверки сообщения, позволяющий установить, что сообщение исходит из указанного источника и не было изменено при передаче.
3.5. Банковская информационная технология: приемы, способы и методы применения средств вычислительной техники при выполнении функций хранения, обработки, передачи и использования финансовой или другой связанной с функционированием организаций БС РФ информации.
3.6. Банковская технология: совокупность методов деятельности и процессов в банковской отрасли, а также описание способов деятельности.
Примечание. В зависимости от вида деятельности выделяют: банковский информационный технологический процесс, банковский платежный технологический процесс и др.
3.7. Банковский информационный технологический процесс: часть банковского технологического процесса, содержащая операции над неплатежной информацией, необходимой для функционирования организации БС РФ.
Примечание. Неплатежная информация, необходимая для функционирования организации банковской системы, может включать в себя данные статистической отчетности и внутрихозяйственной деятельности, аналитическую, финансовую, справочную информацию.
3.8. Банковский платежный технологический процесс: часть банковского технологического процесса, содержащая расчетные, учетные, кассовые и иные банковские операции над платежной информацией, связанные с перемещением денежных средств с одного счета на другой, открытием (закрытием) счетов или контролем за данными операциями.
Примечание. Платежная информация может включать в себя платежные (расчетные) сообщения и информацию, связанную с проведением расчетных, учетных, кассовых и иных операций.
3.9. Банковский технологический процесс: технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг.
Примечания. 1. Операции над банковской информацией могут выполняться вручную или быть автоматизированными, например, с помощью комплексов средств автоматизации автоматизированных банковских систем.
2. Операции над банковской информацией требуют указания ролей их участников (исполнителей и лиц, принимающих решения или имеющих полномочия по изменению технологических процессов, в том числе персонала автоматизированных банковских систем).
3.10. Информационная безопасность организации банковской системы Российской Федерации: состояние защищенности интересов (целей) организации БС РФ в условиях угроз в информационной сфере.
Примечания. 1. Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.
2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
3.11. Информационные активы организации банковской системы Российской Федерации: активы организации БС РФ, представляющие ценность для нее с точки зрения достижения целей и имеющие отношение к ее информационной сфере.
3.12. Инцидент информационной безопасности: действительное, предпринимаемое или вероятное нарушение информационной безопасности.
Примечание. Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.
3.13. Ключ кода аутентификации электронного сообщения: данные, используемые при создании и проверке кода аутентификации электронного сообщения.
3.14. Код аутентификации электронного сообщения: данные, используемые для установления подлинности и контроля целостности электронного сообщения.
3.15. Модель зрелости процессов управления информационной безопасностью организации банковской системы Российской Федерации: схема для измерения проработанности процессов управления информационной безопасностью организации БС РФ.
3.16. Мониторинг информационной безопасности организации банковской системы Российской Федерации: постоянное наблюдение за объектами, влияющими на обеспечение информационной безопасности в организации БС РФ, сбор, анализ и обобщение результатов наблюдения под заданные цели.
Примечания. 1. Объектом мониторинга в зависимости от целей может быть автоматизированная банковская система или ее часть, банковские информационные технологические процессы, информационные банковские услуги и пр.
2. Цели мониторинга информационной безопасности определяются службой безопасности организации БС РФ.
3.17. Оценка соответствия информационной безопасности организации банковской системы Российской Федерации установленным требованиям: любая деятельность, связанная с прямым или косвенным определением того, что выполняются или не выполняются

ОФИЦИАЛЬНОЕ СООБЩЕНИЕ ЦБ РФ от 18.11.2004 <ОБ АУКЦИОНАХ ПО РАЗМЕЩЕНИЮ ДОПОЛНИТЕЛЬНЫХ ВЫПУСКОВ ОБЛИГАЦИЙ ФЕДЕРАЛЬНОГО ЗАЙМА С АМОРТИЗАЦИЕЙ ДОЛГА n su46014rmfs И n su46003rmfs>  »
Постановления и Указы »
Читайте также