- централизованный сбор данных регистрации о событиях защиты информации, формируемых техническими мерами защиты информации.

3.45 удаленный доступ работника финансовой организации (удаленный доступ): Логический доступ работников финансовых организаций, реализуемый из-за пределов вычислительных сетей финансовых организаций.

3.46 ресурс персональных данных: База данных или иная совокупность персональных данных (ПДн) многих субъектов ПДн, объединенных общими целями обработки, обрабатываемых финансовой организацией с использованием или без использования объектов информатизации, в том числе АС.

4 Обозначения и сокращения

В настоящем стандарте применены следующие сокращения:

АРМ - автоматизированное рабочее место;

АС - автоматизированная система;

ПДн - персональные данные;

ИСПДн - информационные системы персональных данных;

МНИ - машинные носители информации;

НСД - несанкционированный доступ;

ПО - программное обеспечение;

СКЗИ - средства криптографической защиты информации;

СВТ - средство вычислительной техники;

СУБД - система управления базами данных.

5 Назначение и структура стандарта

Раздел 6 настоящего стандарта содержит:

- описание общей методологии применения финансовыми организациями требований к содержанию базового состава мер защиты информации, определенного в настоящем стандарте;

- определение уровней защиты информации, реализуемых финансовой организацией.

Раздел 7 настоящего стандарта содержит для каждого из уровней защиты информации требования к содержанию базового состава мер защиты информации, применение которых направлено на непосредственное обеспечение защиты информации (требования к системе защиты информации).

Разделы 8 и 9 настоящего стандарта содержат для каждого из уровней защиты информации требования к содержанию базового состава мер защиты информации, направленных на обеспечение должной полноты и качества реализации системы защиты информации (требования к системе организации и управлению защитой информации), включая требования к содержанию базового состава мер по обеспечению защиты информации на этапах жизненного цикла АС и приложений.

В приложении А настоящего стандарта приведено описание основных положений базовой модели угроз и нарушителей финансовых организаций.

В приложении Б настоящего стандарта приведены состав и содержание рекомендуемых организационных мер, связанных с обработкой финансовой организацией персональных данных.

В приложении В настоящего стандарта приведен перечень событий защиты информации, потенциально связанных с НСД и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа.

6 Общие положения

6.1 Деятельности финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить:

- идентификацию и учет объектов информатизации, в том числе АС, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Банка России, устанавливающих обязательность применения его положений (далее - область применения);

- применение на различных уровнях информационной инфраструктуры выбранных финансовой организацией мер защиты информации, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации, требования к содержанию базового состава которых установлены в разделе 7 настоящего стандарта;

- применение выбранных финансовой организацией мер защиты информации, обеспечивающих приемлемые для финансовой организации полноту и качество защиты информации, входящих в систему организации и управления защитой информации, требования к содержанию базового состава которых установлены в разделе 8 настоящего стандарта;

- применение выбранных финансовой организацией мер защиты информации, направленных на обеспечение защиты информации на всех стадиях жизненного цикла АС и приложений, требования к содержанию базового состава которых установлены в разделе 9 настоящего стандарта;

- оценку остаточного операционного риска (финансового эквивалента возможных потерь), вызванного неполным или некачественным выбором и применением мер защиты информации, требования к содержанию базового состава которых установлены в разделах 7, 8, 9 настоящего стандарта, и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Банка России.

Примечание - Рекомендации по оценке рисков информационной безопасности приведены в [5] и [6]. Результаты оценки рисков информационной безопасности могут быть использованы при оценке остаточного операционного риска, вызванного неполным или некачественным выбором и применением организационных и технических мер защиты информации.

6.2 При идентификации и учете объектов информатизации финансовой организации должны рассматриваться, как минимум, следующие основные уровни информационной инфраструктуры:

а) системные уровни:

- уровень аппаратного обеспечения;

- уровень сетевого оборудования;

- уровень сетевых приложений и сервисов;

- уровень серверных компонентов виртуализации, программных инфраструктурных сервисов;

- уровень операционных систем, систем управления базами данных, серверов приложений;

б) уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации.

6.3 Выбор и применение финансовой организацией мер защиты информации включает:

- выбор мер защиты информации, требования к содержанию базового состава которых установлены в разделе 7 настоящего стандарта;

- адаптацию (уточнение) при необходимости выбранного состава и содержания мер защиты информации с учетом модели угроз и нарушителей безопасности информации финансовой организации и структурно-функциональных характеристик объектов информатизации, в том числе АС, включаемых в область применения настоящего стандарта;

- исключение из базового состава мер, не связанных с используемыми информационными технологиями;

- дополнение при необходимости адаптированного (уточненного) состава и содержания мер защиты информации мерами, обеспечивающими выполнение требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;

- применение для конкретной области адаптированного (уточненного) и дополненного состава мер защиты информации в соответствии с положениями разделов 8 и 9 настоящего стандарта.

6.4 При невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации (уточнения) базового состава мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителей безопасности информации финансовой организации.

В этом случае финансовой организацией должно быть проведено обоснование применения компенсирующих мер защиты информации.

Применение компенсирующих мер защиты информации должно быть направлено на обработку операционного риска, связанного с реализацией тех же угроз безопасности информации, на нейтрализацию которых направлены меры из базового состава мер защиты информации настоящего стандарта, не применяемые финансовой организацией в связи с невозможностью технической реализации и (или) экономической целесообразностью.

6.5 Снижение операционного риска, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации. Полнота и качество применения мер защиты информации достигается планированием, реализацией, проверкой и совершенствованием системы защиты информации, осуществляемыми в рамках системы организации и управления защитой информации, а также применением мер защиты информации на этапах жизненного цикла АС и приложений.