Действующий
- выбор мер защиты информации, требования к содержанию базового состава которых установлены в разделе 7 настоящего стандарта;
- адаптацию (уточнение) при необходимости выбранного состава и содержания мер защиты информации с учетом модели угроз и нарушителей безопасности информации финансовой организации и структурно-функциональных характеристик объектов информатизации, в том числе АС, включаемых в область применения настоящего стандарта;
- дополнение при необходимости адаптированного (уточненного) состава и содержания мер защиты информации мерами, обеспечивающими выполнение требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
- применение для конкретной области адаптированного (уточненного) и дополненного состава мер защиты информации в соответствии с положениями разделов 8 и 9 настоящего стандарта.
В этом случае финансовой организацией должно быть проведено обоснование применения компенсирующих мер защиты информации.
6.6 Оценка остаточного операционного риска, связанного с неполным или некачественным применением мер защиты информации, входящих в систему защиты информации, осуществляется в соответствии с процедурой, определенной требованиями нормативных актов Банка России, на основе оценки показателей соответствия реализации системы защиты информации финансовой организации требованиям
Оценку показателей соответствия реализации системы защиты информации финансовой организации требованиям, установленным в разделах 7, 8 и 9 настоящего стандарта, следует осуществлять в соответствии с методикой, приведенной в соответствующем национальном стандарте.
В финансовой организации формируются один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации.
Уровень защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
- для обеспечения соответствия четвертому уровню защищенности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации [7], рекомендуется использовать требования, установленные настоящим стандартом для уровня 3 - минимальный;
- для обеспечения соответствия третьему и второму уровням защищенности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации [7], рекомендуется использовать требования, установленные настоящим стандартом для уровня 2 - стандартный;
- для обеспечения соответствия первому уровню защищенности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации [7], рекомендуется использовать требования, установленные настоящим стандартом для уровня 1 - усиленный.
Справочная информация по составу и содержанию рекомендуемых организационных мер, подлежащих реализации финансовой организацией в связи с обработкой ПДн в соответствии с требованиями [8], приведена в приложении Б к настоящему стандарту.
- область применения системы защиты информации, описанной как перечень бизнес-процессов, технологических процессов и (или) АС финансовой организации;
- целевые показатели величины допустимого остаточного операционного риска, связанного с нарушением безопасности информации.
Содержание политики обеспечения защиты информации финансовой организации должно среди прочего определять:
- основные принципы и приоритеты выбора организационных и технических мер системы защиты информации и системы организации и управления защитой информации;
- положения о выделении необходимых и достаточных ресурсов, используемых при применении организационных и технических мер, входящих в систему защиты информации.
- "знать своего клиента": принцип, реализация которого в основном направлена на обладание информацией в отношении благонадежности клиента, его основных потребностей, отсутствия его незаконной или нелегальной деятельности;
- "знать своего работника": принцип, реализация которого в основном направлена на обладание информацией об отношении работников финансовой организации к своим служебным обязанностям, наличии у них возможных проблем, в том числе финансовых, имущественных или личных, которые могут потенциально привести к действиям, направленным на нарушение требований к защите информации;
- "необходимо знать": принцип, реализация которого в основном направлена на ограничение прав логического и (или) физического доступа работников финансовой организации на уровне, минимально необходимом для выполнения служебных обязанностей;
- "двойное управление": принцип, реализация которого в основном направлена на сохранение целостности и неизменности информации путем дублирования (алгоритмического, временного, ресурсного или иного) действий субъектов доступа в рамках реализации финансовых операций и транзакций, выполняемого до их окончательного завершения.
Обязанность обеспечения финансовой организацией автоматизации бизнес-процессов, технологических процессов и (или) обработки защищаемой информации только с применением АС устанавливается требованиями нормативных актов Банка России.
Работы финансовой организации по обеспечению защиты информации с помощью СКЗИ проводятся в соответствии с требованиями законодательства РФ [9], [10] и [11] и технической документацией на СКЗИ.
В случае если финансовая организация применяет СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты или разрешения федерального органа, уполномоченного в области обеспечения безопасности.