Требования ИБ должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла комплекс.
Требования ИБ должны определять содержание и цели деятельности организации в рамках процессов управления ИБ.
Эти требования должны быть сформулированы как минимум для следующих областей:
назначение и распределение ролей и доверия к персоналу;
стадий жизненного цикла АБС (автоматизированные банковские системы);
защиты от НСД, управления доступом и регистрацией в АБС, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;
антивирусной защиты;
использования ресурсов Интернет;
использования средств криптографической защиты информации;
защиты банковских платежных и информационных технологических процессов.
Политика ИБ организации может учитывать и другие области, такие, как обеспечение непрерывности, физическая защита и т.д., отвечающие ее бизнес-целям.
При определении ролей для сотрудников организации необходимо учитывать цели организации, имеющиеся ресурсы, функциональные и процедурные требования, критерии оценки эффективности выполнения правил для данной роли.
Не рекомендуется, чтобы одна персональная роль целиком отражала цель, например, включала все правила, требуемые для реализации бизнес-процесса. Совокупность правил, составляющих роли, не должна быть критичной для организации с точки зрения последствий успешного нападения на ее исполнителя. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля, например, исполнителя и администратора, администратора и контролера или других комбинаций.
Роли должны группироваться и взаимодействовать так, чтобы организационная структура соответствовала целям организации. Роль одного из руководителей организации (уполномоченного менеджера, высшего менеджера и т.п.) должна включать задачу координации своевременности и качества выполнения ролей сотрудников для достижения целей организации.
Ненадлежащее выполнение правил назначения и распределения ролей создает уязвимости.
Для контроля за качеством выполнения требований ИБ в организации должны быть выделены и определены роли по обеспечению ИБ.
При приеме на работу должны быть проверены идентичность личности, заявляемая квалификация, точность и полнота биографических фактов, наличие рекомендаций. Лиц, которых предполагается принять на работу, связанную с защищаемыми активами или операциями, следует подвергать проверке в части профессиональных навыков и оценки профессиональной пригодности. Рекомендуется выполнять контрольные проверки уже работающих сотрудников регулярно, а также внепланово при выявлении фактов их нештатного поведения, или участия в инцидентах ИБ, или подозрений в таком поведении или участии.
Весь персонал организации должен давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. При этом условие о соблюдении конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей. Для внешних организаций требования по ИБ регламентируются положениями, включаемыми в договора (соглашения). Персонал организации должен быть компетентным для выполнения своих функций в области обеспечения ИБ. Компетентность персонала следует обеспечивать с помощью процессов обучения в области ИБ, осведомленности персонала и периодической проверки уровня компетентности. Обязанности персонала по выполнению требований ИБ в соответствии с положениями ISO TR 13569 и ISO/IEC IS 17799-2000 следует включать в трудовые контракты (соглашения, договора).
2.3
Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикл
ИБ АБС должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) АБС, автоматизирующих банковские технологические процессы, с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации). При заказе АБС модель ЖЦ (стадии ЖЦ, этапы работ и процессы ЖЦ, выполняемые на этих стадиях) рекомендуется определять в соответствии с ГОСТ 34.601 и документом ISO/IEC IS 15288. Разработка технических заданий, проектирование, создание и тестирование и приемка средств и систем защиты АБС должны осуществляться по согласованию с подразделениями (лицами) в организации БС РФ, ответственными за обеспечение ИБ. Ввод в действие, эксплуатация, снятие с эксплуатации АБС в части вопросов ИБ должны осуществляться при участии подразделения (лиц) в организации, ответственного за обеспечение ИБ. На стадиях, связанных с разработкой АБС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должна быть обеспечена защита от угроз:
неверной формулировки требований к АБС;
выбора неадекватной модели ЖЦ АБС, в том числе неадекватного выбора процессов ЖЦ и вовлеченных в них участников;
принятия неверных проектных решений;
внесения разработчиком дефектов на уровне архитектурных решений;
внесения разработчиком недокументированных возможностей в АБС;
неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к АБС;
разработки некачественной документации;
сборки АБС разработчиком / производителем с нарушением требований, что приводит к появлению недокументированных возможностей в АБС либо к неадекватной реализации требований;
неверного конфигурирования АБС;
приемки АБС, не отвечающей требованиям заказчика;
внесения недокументированных возможностей в АБС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ.
Привлекаемые для разработки и(или) производства средств и систем защиты АБС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ. При приобретении организациями БС РФ готовых АБС и их компонентов разработчиком должна быть предоставлена документация, содержащая в том числе описание защитных мер, предпринятых разработчиком в отношении угроз.
Также разработчиком должна быть представлена документация, содержащая описание защитных мер, предпринятых разработчиком АБС и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, включая описание модели жизненного цикла, оценки уязвимости. Данная документация может быть представлена в рамках декларации о соответствии или быть результатом оценки соответствия изделия, проведенной в рамках соответствующей системы оценки.
В договор (контракт) о поставке АБС и их компонентов организациям БС РФ рекомендуется включать положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных требований к разработчику должна быть рассмотрена возможность приобретения полного комплекта рабочей конструкторской документации на изделие, обеспечивающего возможность сопровождения АБС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости, руководство организации должно обеспечить анализ влияния угрозы невозможности сопровождения АБС и их компонентов на обеспечение непрерывности бизнеса.
На стадии эксплуатации в соответствии с документом ISO TR 13569 должна быть обеспечена защита от следующих угроз:
умышленное несанкционированное раскрытие, модификация или уничтожение информации;
неумышленная модификация или уничтожение информации;
недоставка или ошибочная доставка информации;
отказ в обслуживании или ухудшение обслуживания.
Кроме этого, актуальной является угроза отказа от авторства сообщения.
На стадии сопровождения должна быть обеспечена защита от угроз:
внесения изменений в АБС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;
невнесения разработчиком / поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния АБС.
На стадии снятия с эксплуатации должно быть обеспечено удаление информации, несанкционированное использование которой может нанести ущерб бизнес-деятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС или с внешних носителей. Требования ИБ должны включаться во все договора и контракты на проведение работ или оказание услуг на всех стадиях ЖЦ АБС.
2.4
Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации
При распределении прав доступа персонала и клиентов к активам организации БС РФ следует руководствоваться специальным принципом «знание своих клиентов и служащих», выражаемым следующим образом:
«знать своего клиента»;
«знать своего служащего»;
«необходимо знать»,
а также руководствоваться принципом «двойное управление».
В составе АБС должны использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД. В организации должны обеспечиваться: идентификация, аутентификация, авторизация; управление доступом; контроль целостности; регистрация, включая:
функционирование системы парольной защиты электронных вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС). Рекомендуется организовать службу централизованной парольной защиты для генерации, распространения, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями;
непротиворечивая и прозрачная административно-техническая поддержка задач управления доступом к ресурсам ЭВМ и / или ЛВС. Назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ и / или ЛВС санкционируется руководителем функционального подразделения организации, несущего персональную ответственность за обеспечение ИБ в данном подразделении;
контроль доступа пользователей к ресурсам ЭВМ и / или ЛВС. Оперативный контроль доступа пользователей осуществляется подразделениями (лицами) в организации, ответственными за обеспечение ИБ;
формирование уникальных идентификаторов сообщений и идентификаторов пользователей (виды идентификаторов определяются особенностями конкретного технологического процесса);
регистрация действий персонала и пользователей в специальном электронном журнале. Данный электронный журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. При невозможности поддержки данного режима эксплуатирующимися в организации БС РФ аппаратно-программными средствами, реализация данного требования должна быть обеспечена организационными и / или административными мерами.
Список литературы
угроза безопасность моделирование банк
1. Андрианов В.И., Бородин В.А., Соколов А.В. Устройства для защиты объектов информатизации: Справочное пособие, С.-Пб.:Лань, 1998.
2. Барсуков В.С. Безопасность: технологии, средства, услуги. - М.: КУДИЦ - ОБРАЗ, 2001. - 496 с.
. Корнеев И.К, Степанов Е.А. Информационная безопасность и защита информации: Учебное пособие. - М.: ИНФРА - М, 2001. - 304 с. - (Серия высшее образование).
4. Хорев А.А. Технические каналы утечки акустической (речевой) информации. - «Специальная Техника» №1, 1998.
5. Железняк В.К., Макаров Ю.К., Хорев А.А. Некоторые методические подходы к оценке эффективности защиты речевой информации. - «Специальная техника» №4, 2000.
6. Хорев А.А., Методы и средства защиты телефонных линий.
7. Торокин А.А. Инженерно-техническая защита информации: учеб. пособие для студентов, обучающихся по специальностям в обл. инф. безопасности / А.А. Торокин. - М.: Гелиос АРВ, 2005. - 960 с.: ил. - ISBN 5-85438-140-0.
. Стандарт банка России. Обеспечение информационной безопасности организаций банковской системы РФ: М.: СТО БР ИББС-1.0-2010.
. Гамза В.А., Ткачук И.Б. Концепция и система безопасности банка. - М.: Изд-ль Шумилова И.И., 2003. - 109 с. - (Серия «Бизнес, безопасность и право»).
. Ясенев В.Н. информационная безопасность в экономических системах: Учебное пособие - Н. Новгород: Изд-во ННГУ, 2006.
. ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
. ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;
. ГОСТ Р 34.11-94 «Информационная технология. Криптографическая защита информации. Функция хэширования»;
. ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
. Гражданский кодекс Российской Федерации. Часть I, гл. 9, ст. 160. «Письменная форма сделки».
. Законы Российской Федерации в области защиты информации (защиты государственной тайны)
. Закон РФ от 23 сентября 1992 г. №3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных»;
. Закон РФ от 19 февраля 1993 г. №4524-1 «О федеральных органах правительственной связи и информации (с изменениями от 24 декабря 1993 года, по состоянию на 1 апреля 1994 года)»;
. Закон РФ от 10 июня 1993 года №5151-1 «О сертификации продуктов и услуг»;
. Закон РФ от 10 июня 1993 года №5154-1 «О стандартизации»;
. Закон РФ от 01 июля 1993 г. №5306-1 «О внесении изменений и дополнений в Закон Российской Федерации «О федеральных органах государственной безопасности»;
. Закон РФ от 21 июля 1993 года №5485-1 «О Государственной тайне»;
. Закон РФ от 20 января 1995 года №15-Ф3 «О связи»;
. Закон РФ от 20 февраля 1995 г. №24-ФЗ «Об информации, информатизации и защите информации» (с комментариями)
. Закон РФ от 03 апреля 1995 г. №40-Ф3 «Об органах Федеральной службы безопасности в Российской Федерации»;
. Закон РФ от 4 июля 1996 года №85-ФЗ «Об участии в международном информационном обмене»