Действующий
В приложении В настоящего стандарта приведен перечень событий защиты информации, потенциально связанных с НСД и инцидентами защиты информации, рекомендуемых для выявления, регистрации и анализа.
6.1 Деятельности финансовой организации свойственен операционный риск, связанный с нарушением безопасности информации, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня. Для управления операционным риском, связанным с безопасностью информации, финансовой организации необходимо обеспечить:
- идентификацию и учет объектов информатизации, в том числе АС, включаемых в область применения настоящего стандарта в соответствии с требованиями нормативных актов Банка России, устанавливающих обязательность применения его положений (далее - область применения);
- применение на различных уровнях информационной инфраструктуры выбранных финансовой организацией мер защиты информации, направленных на непосредственное обеспечение защиты информации и входящих в систему защиты информации, требования к содержанию базового состава которых установлены в разделе 7 настоящего стандарта;
- применение выбранных финансовой организацией мер защиты информации, обеспечивающих приемлемые для финансовой организации полноту и качество защиты информации, входящих в систему организации и управления защитой информации, требования к содержанию базового состава которых установлены в разделе 8 настоящего стандарта;
- применение выбранных финансовой организацией мер защиты информации, направленных на обеспечение защиты информации на всех стадиях жизненного цикла АС и приложений, требования к содержанию базового состава которых установлены в разделе 9 настоящего стандарта;
- оценку остаточного операционного риска (финансового эквивалента возможных потерь), вызванного неполным или некачественным выбором и применением мер защиты информации, требования к содержанию базового состава которых установлены в разделах 7, 8, 9 настоящего стандарта, и обработку указанного риска в соответствии с процедурой, определенной требованиями нормативных актов Банка России.
Примечание - Рекомендации по оценке рисков информационной безопасности приведены в [5] и [6]. Результаты оценки рисков информационной безопасности могут быть использованы при оценке остаточного операционного риска, вызванного неполным или некачественным выбором и применением организационных и технических мер защиты информации.
6.2 При идентификации и учете объектов информатизации финансовой организации должны рассматриваться, как минимум, следующие основные уровни информационной инфраструктуры:
б) уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации.
- выбор мер защиты информации, требования к содержанию базового состава которых установлены в разделе 7 настоящего стандарта;
- адаптацию (уточнение) при необходимости выбранного состава и содержания мер защиты информации с учетом модели угроз и нарушителей безопасности информации финансовой организации и структурно-функциональных характеристик объектов информатизации, в том числе АС, включаемых в область применения настоящего стандарта;
- дополнение при необходимости адаптированного (уточненного) состава и содержания мер защиты информации мерами, обеспечивающими выполнение требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
- применение для конкретной области адаптированного (уточненного) и дополненного состава мер защиты информации в соответствии с положениями разделов 8 и 9 настоящего стандарта.
6.4 При невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации (уточнения) базового состава мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителей безопасности информации финансовой организации.
В этом случае финансовой организацией должно быть проведено обоснование применения компенсирующих мер защиты информации.
Применение компенсирующих мер защиты информации должно быть направлено на обработку операционного риска, связанного с реализацией тех же угроз безопасности информации, на нейтрализацию которых направлены меры из базового состава мер защиты информации настоящего стандарта, не применяемые финансовой организацией в связи с невозможностью технической реализации и (или) экономической целесообразностью.
6.5 Снижение операционного риска, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации. Полнота и качество применения мер защиты информации достигается планированием, реализацией, проверкой и совершенствованием системы защиты информации, осуществляемыми в рамках системы организации и управления защитой информации, а также применением мер защиты информации на этапах жизненного цикла АС и приложений.
6.6 Оценка остаточного операционного риска, связанного с неполным или некачественным применением мер защиты информации, входящих в систему защиты информации, осуществляется в соответствии с процедурой, определенной требованиями нормативных актов Банка России, на основе оценки показателей соответствия реализации системы защиты информации финансовой организации требованиям разделов 7, 8 и 9 настоящего стандарта.
Оценку показателей соответствия реализации системы защиты информации финансовой организации требованиям, установленным в разделах 7, 8 и 9 настоящего стандарта, следует осуществлять в соответствии с методикой, приведенной в соответствующем национальном стандарте.
В финансовой организации формируются один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации.
Уровень защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
6.8 Реализацию требований к содержанию базового состава мер защиты информации для следующих уровней защиты информации, установленных настоящим стандартом, рекомендуется использовать финансовыми организациями для обеспечения выполнения требований к защите персональных данных при их обработке в информационных системах персональных данных (ИСПДн):
- для обеспечения соответствия четвертому уровню защищенности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации [7], рекомендуется использовать требования, установленные настоящим стандартом для уровня 3 - минимальный;
- для обеспечения соответствия третьему и второму уровням защищенности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации [7], рекомендуется использовать требования, установленные настоящим стандартом для уровня 2 - стандартный;
- для обеспечения соответствия первому уровню защищенности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации [7], рекомендуется использовать требования, установленные настоящим стандартом для уровня 1 - усиленный.
Справочная информация по составу и содержанию рекомендуемых организационных мер, подлежащих реализации финансовой организацией в связи с обработкой ПДн в соответствии с требованиями [8], приведена в приложении Б к настоящему стандарту.
6.9 Основой для реализации правильного и эффективного способа минимизации возможных появлений в деятельности финансовой организации неприемлемых для нее операционных рисков, связанных с нарушением безопасности информации, являются принятые и контролируемые руководством финансовой организации документы, определяющие:
- область применения системы защиты информации, описанной как перечень бизнес-процессов, технологических процессов и (или) АС финансовой организации;
- целевые показатели величины допустимого остаточного операционного риска, связанного с нарушением безопасности информации.