Действующий
В этом случае финансовой организацией должно быть проведено обоснование применения компенсирующих мер защиты информации.
Применение компенсирующих мер защиты информации должно быть направлено на обработку операционного риска, связанного с реализацией тех же угроз безопасности информации, на нейтрализацию которых направлены меры из базового состава мер защиты информации настоящего стандарта, не применяемые финансовой организацией в связи с невозможностью технической реализации и (или) экономической целесообразностью.
6.5 Снижение операционного риска, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации. Полнота и качество применения мер защиты информации достигается планированием, реализацией, проверкой и совершенствованием системы защиты информации, осуществляемыми в рамках системы организации и управления защитой информации, а также применением мер защиты информации на этапах жизненного цикла АС и приложений.
6.6 Оценка остаточного операционного риска, связанного с неполным или некачественным применением мер защиты информации, входящих в систему защиты информации, осуществляется в соответствии с процедурой, определенной требованиями нормативных актов Банка России, на основе оценки показателей соответствия реализации системы защиты информации финансовой организации требованиям разделов 7, 8 и 9 настоящего стандарта.
Оценку показателей соответствия реализации системы защиты информации финансовой организации требованиям, установленным в разделах 7, 8 и 9 настоящего стандарта, следует осуществлять в соответствии с методикой, приведенной в соответствующем национальном стандарте.
В финансовой организации формируются один или несколько контуров безопасности, для которых может быть установлен разный уровень защиты информации.
Уровень защиты информации финансовой организации для конкретного контура безопасности устанавливается нормативными актами Банка России на основе:
- вида деятельности финансовой организации, состава предоставляемых финансовых услуг, реализуемых бизнес-процессов и (или) технологических процессов в рамках данного контура безопасности;
- размера организации, отнесения финансовой организации к категории малых предприятий и микропредприятий;
6.8 Реализацию требований к содержанию базового состава мер защиты информации для следующих уровней защиты информации, установленных настоящим стандартом, рекомендуется использовать финансовыми организациями для обеспечения выполнения требований к защите персональных данных при их обработке в информационных системах персональных данных (ИСПДн):
- для обеспечения соответствия четвертому уровню защищенности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации [7], рекомендуется использовать требования, установленные настоящим стандартом для уровня 3 - минимальный;
- для обеспечения соответствия третьему и второму уровням защищенности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации [7], рекомендуется использовать требования, установленные настоящим стандартом для уровня 2 - стандартный;
- для обеспечения соответствия первому уровню защищенности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации [7], рекомендуется использовать требования, установленные настоящим стандартом для уровня 1 - усиленный.
Справочная информация по составу и содержанию рекомендуемых организационных мер, подлежащих реализации финансовой организацией в связи с обработкой ПДн в соответствии с требованиями [8], приведена в приложении Б к настоящему стандарту.
6.9 Основой для реализации правильного и эффективного способа минимизации возможных появлений в деятельности финансовой организации неприемлемых для нее операционных рисков, связанных с нарушением безопасности информации, являются принятые и контролируемые руководством финансовой организации документы, определяющие:
- область применения системы защиты информации, описанной как перечень бизнес-процессов, технологических процессов и (или) АС финансовой организации;
- целевые показатели величины допустимого остаточного операционного риска, связанного с нарушением безопасности информации.
Содержание политики обеспечения защиты информации финансовой организации должно среди прочего определять:
- основные принципы и приоритеты выбора организационных и технических мер системы защиты информации и системы организации и управления защитой информации;
- положения о выделении необходимых и достаточных ресурсов, используемых при применении организационных и технических мер, входящих в систему защиты информации.
6.10 При проведении работ по предоставлению доступа к защищаемой информации финансовой организации следует руководствоваться следующими принципами, установленными для рынка финансовых услуг в ГОСТ Р ИСО/ТО 13569:
- "знать своего клиента": принцип, реализация которого в основном направлена на обладание информацией в отношении благонадежности клиента, его основных потребностей, отсутствия его незаконной или нелегальной деятельности;
- "знать своего работника": принцип, реализация которого в основном направлена на обладание информацией об отношении работников финансовой организации к своим служебным обязанностям, наличии у них возможных проблем, в том числе финансовых, имущественных или личных, которые могут потенциально привести к действиям, направленным на нарушение требований к защите информации;
- "необходимо знать": принцип, реализация которого в основном направлена на ограничение прав логического и (или) физического доступа работников финансовой организации на уровне, минимально необходимом для выполнения служебных обязанностей;
- "двойное управление": принцип, реализация которого в основном направлена на сохранение целостности и неизменности информации путем дублирования (алгоритмического, временного, ресурсного или иного) действий субъектов доступа в рамках реализации финансовых операций и транзакций, выполняемого до их окончательного завершения.
6.11 Финансовой организации рекомендуется обеспечивать автоматизацию предоставляемых финансовых услуг, бизнес-процессов, технологических процессов и (или) обработку защищаемой информации с использованием АС и приложений, создаваемых (модернизируемых) финансовой организацией самостоятельно и (или) с привлечением сторонних организаций.
Обязанность обеспечения финансовой организацией автоматизации бизнес-процессов, технологических процессов и (или) обработки защищаемой информации только с применением АС устанавливается требованиями нормативных актов Банка России.
6.12 Финансовая организация самостоятельно определяет необходимость использования средств криптографической защиты информации (СКЗИ), если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации, в том числе нормативными актами Банка России, стандартами, правилами профессиональной деятельности, и (или) правилами платежной системы.
Работы финансовой организации по обеспечению защиты информации с помощью СКЗИ проводятся в соответствии с требованиями законодательства РФ [9], [10] и [11] и технической документацией на СКЗИ.
В случае если финансовая организация применяет СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты или разрешения федерального органа, уполномоченного в области обеспечения безопасности.
6.13 Юридические лица или индивидуальные предприниматели, привлекаемые финансовой организацией для проведения работ по обеспечению защиты информации, должны иметь лицензию на деятельность по технической защите конфиденциальной информации.
7.1.1 Настоящий раздел устанавливает требования к содержанию базового состава мер защиты информации для следующих процессов (направлений) защиты информации: