ФЕДЕРАЛЬНОЕ
АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ |
| НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ | ГОСТ Р ИСО/TO
13569-
2007 |
ФИНАНСОВЫЕ УСЛУГИ
РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
ISO/TR 13569:2005
Financial services - Information security
guidelines
(IDT)
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России») и обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного аутентичного перевода стандарта, указанного в пункте 5
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2007 г. № 514-ст
4 ВВЕДЕН ВПЕРВЫЕ
5 Настоящий стандарт идентичен международному стандарту ИСО/ТО 13569:2005 «Финансовые услуги. Рекомендации по информационной безопасности» (ISO/TR 13569:2005 «Financial services - Information security guidelines»).
(Поправка. ИУС 7-2009)
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении Е
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Содержание
1 Область применения 2 Нормативные ссылки 3 Термины и определения 4 Обозначения и сокращения 5 Политика информационной безопасности организации 5.1 Назначение 5.2 Правовое и нормативное соответствие 5.2.1 Общие положения 5.2.2 Требования к финансовым учреждениям 5.3 Разработка 5.4 Иерархия документации 5.4.1 Общий обзор 5.4.2 Документы
практики обеспечения безопасности 5.4.3 Документы операционных процедур обеспечения
безопасности 6 Менеджмент информационной безопасности. Программа
обеспечения безопасности 6.1 Общие положения 6.2 Создание программы 6.3 Осведомленность 6.4 Анализ 6.5 Менеджмент инцидентов 6.6 Мониторинг 6.7 Соответствие требованиям 6.8 Поддержка 6.9 Восстановление после любых прерываний деятельности
организации 7 Структура информационной безопасности 7.1 Приверженность целям организации 7.2 Структура организации 7.2.1 Роли и обязанности 7.2.2 Совет директоров 7.2.3 Комитет по аудиту 7.2.4 Комитет по менеджменту риска 7.2.5 Правовая функция 7.2.6 Должностные лица 7.2.7 Управляющие делами 7.2.8 Сотрудники 7.2.9 Сотрудники (персонал), не относящиеся к
организации 7.2.10 Должности, связанные с безопасностью 8 Анализ и оценка риска 8.1 Процессы 8.2 Процесс оценки риска 8.3 Рекомендации по обеспечению безопасности и принятие
риска 9 Выбор и внедрение защитных мер 9.1 Снижение риска 9.2 Идентификация и анализ ограничений 9.3 Логический контроль доступа 9.3.1 Общие положения 9.3.2 Идентификация пользователя 9.3.3 Санкционирование 9.3.4 Аутентификация пользователей 9.4 Журнал аудита 9.5 Контроль за внесением изменений 9.6 Осведомленность об информационной безопасности 9.7 Человеческий фактор 10 Меры защиты систем информационных технологий 10.1 Защита систем информационных технологий 10.2 Защитные меры аппаратных систем 10.3 Безопасность систем программного обеспечения 10.4 Меры защиты сетей и сетевых систем 10.5 Меры защиты границ организации и ее связанности с
внутренними и внешними сетями 10.5.1 Общие положения 10.5.2
Межсетевые экраны 10.5.3 Система обнаружения вторжений 10.5.4 Другие защитные меры противодействия сетевым
атакам 11 Внедрение специальных средств защиты 11.1 Банковские карточки для финансовых операций 11.1.1 Общие положения 11.1.2 Физическая безопасность 11.1.3 Злоупотребление со стороны инсайдеров 11.1.4 Перемещение личных идентификационных номеров 11.1.5 Персонал 11.1.6 Аудит 11.1.7 Предупреждение подделки карточек 11.1.8 Банкоматы 11.1.9 Идентификация и аутентификация владельцев
карточек 11.1.10 Аутентичность информации 11.1.11 Раскрытие информации 11.1.12 Предупреждение мошеннического использования
банкоматов 11.1.13 Техническое обслуживание и текущий ремонт 11.2 Системы электронного перевода платежей 11.2.1 Несанкционированный источник 11.2.2 Несанкционированные изменения 11.2.3 Воспроизведение сообщений 11.2.4 Сохранение записей 11.2.5 Правовая основа платежей 11.3 Банковские чеки 11.3.1 Общие положения 11.3.2 Новые клиенты 11.3.3 Вопросы целостности 12 Дополнительная информация 12.1 Страхование 12.2 Адит 12.3 Планирование восстановления деятельности
организации после ее прерывания 12.4 Внешние поставщики услуг 12.5 Группы тестирования на проникновение в
компьютерные системы 12.6 Криптографические операции 12.7 Распределение криптографических ключей 12.8 Неприкосновенность частной жизни 13 Дополнительные защитные меры 13.1 Поддержка функционирования защитных мер 13.2 Соответствие требованиям безопасности 13.3 Мониторинг 14 Разрешение инцидентов 14.1 Менеджмент событий 14.2 Расследования и правовая экспертиза 14.3 Обработка инцидентов 14.4 Проблемы, связанные с аварийностью Приложение А (справочное) Образцы документов Приложение В (справочное) Пример анализа безопасности
веб-сервисов Приложение С (справочное) Иллюстрация оценки риска Приложение D (справочное) Технологические средства управления Приложение Е (справочное) Сведения о соответствии
национальных стандартов Российской Федерации ссылочным международным
стандартам Библиография |
Введение
Финансовые услуги как экономическая категория отражают процесс использования денежных средств на основе товарно-денежного обращения. Оказание финансовых услуг за прошедшее десятилетие изменилось как с точки зрения масштабности их осуществления, так и в связи с внедрением компьютерных и сетевых технологий в эту сферу деятельности. При этом подобные операции осуществляются как внутри государства, так и при взаимодействии организаций разных стран.
Настоящий стандарт дает представление о системе обеспечения информационной безопасности в процессе оказания финансовых услуг с учетом сложившейся практики на международном уровне, что особенно важно для организаций, стремящихся развивать свою деятельность за пределами Российской Федерации.
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Финансовые услуги РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Financial services.
Information security guidelines |
Датавведения- 2008-07-01
1 Область применения
Настоящий стандарт устанавливает рекомендации по разработке программы обеспечения информационной безопасности для организаций в сфере финансовых услуг. Разработка рекомендаций основывалась на рассмотрении бизнес-среды, практических приемов и процедур деятельности финансовых учреждений. Настоящий стандарт предназначен для использования финансовыми учреждениями различного типа и размера, которые должны разрабатывать рациональную и экономически обоснованную программу обеспечения информационной безопасности.
2 Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие международные стандарты:
ИСО 9564 (все части) Банковское дело - Менеджмент и обеспечение безопасности персональных идентификационных номеров
ИСО 10202 (все части) Банковские карточки для финансовых операций - Архитектура безопасности систем финансовых операций, использующих смарт-карты
ИСО 11568 (все части) Банковское дело - Менеджмент ключей (розничная торговля)
ИСО/МЭК 11770 (все части) Информационная технология - Методы и средства обеспечения безопасности - Менеджмент ключей
ИСО 15782 (все части) Менеджмент сертификатов в сфере финансовых услуг
ИСО 16609:2004 Банковское дело - Требования к аутентификации сообщений, используя симметричные методы
ИСО/МЭК 17799:2005 Информационная технология - Практические правила управления информационной безопасностью
ИСО/МЭК 18028 (все части) Информационная технология - Методы и средства обеспечения безопасности - Безопасность информационной сети
ИСО/МЭК 18033 (все части) Информационная технология. - Методы и средства обеспечения безопасности- Алгоритмы шифрования
ИСО 21188:2006 Инфраструктура открытых ключей для сферы финансовых услуг - Практические приемы и структура политики
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 Управление доступом (access control): Функции, ограничивающие доступ к информации или средствам обработки информации только авторизованным лицам или приложениям, включая физическое управление доступом, основанное на размещении физических барьеров между неавторизованными лицами и защищаемыми информационными ресурсами, и логические средства управления доступом, использующие другие способы управления.
3.2 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логического объекта.
[ИСО 7498-2:1989] [1], [ИСО/МЭК 13335-1:2004] [2]
3.3 сигнал тревоги (alarm): Указание на нарушение безопасности, необычное или опасное состояние, которое может потребовать немедленного внимания.
3.4 активы (asset): Все, что имеет ценность для организации [2].
3.5 аудит (audit): Служба, задачей которой является проверка наличия адекватных мер контроля и сообщение руководству соответствующего уровня о несоответствиях.
3.6 журнал аудита (audit journal): Запись в хронологическом порядке действий системы, содержащей достаточно сведений для того, чтобы реконструировать, проанализировать и проверить последовательность сред и действий, окружающих каждое событие или ведущих к каждому событию по ходу операции от ее начала до выдачи окончательных результатов.
[ИСО 15782-1:2003] [3]
3.7 аутентификация (authentication): Предоставление гарантии заявленной идентичности объекта.
[ИСО/МЭК 10181-1:1196] [4], [ИСО/МЭК ТО 13335-4:2000] [5]
3.8 аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Примечание - Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.
3.9 доступность (availability): Характеристика, определяющая доступность и используемость по запросу со стороны авторизованного логического объекта [1], [2].
3.10 резервное копирование (back-up): Сохранение бизнес-информации для обеспечения непрерывности бизнес-процесса в случае утраты информационных ресурсов.
3.11 биометрические данные (biometric): Измеримая биологическая или поведенческая характеристика, с достоверностью отличающая одного человека от другого, используемая для установления либо подтверждения личности человека.
[ANSI X9.84:2003] [6]
3.12 биометрия (biometrics): Автоматические методы, используемые для распознавания личности или подтверждения заявленной личности человека на основе физиологических или поведенческих характеристик.
3.13 метод аутентификации карточек (МАК) (card authentication method (CAM)): Метод, делающий возможной уникальную машиночитаемую идентификацию банковской карточки для финансовых операций и предотвращающий копирование карт.
3.14 классификация (classification): Схема, в соответствии с которой информация подразделяется на категории с целью применения соответствующих защитных мер против этих категорий.
Примечание - Соответствующие защитные меры применяют для следующих категорий: возможность мошенничества, конфиденциальность или критичность информации.
3.15 конфиденциальность (confidentialit): Свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта или процесса [1], [2], [3].
3.16 план действий в чрезвычайных обстоятельствах (contingency plan): Порядок действия, который позволяет организации восстановить работу после природного или иного бедствия.
3.17 мера управления (control): По 3.64, термин «защитная мера».
3.18 политика информационной безопасности организации [политика] (corporate information security policy) [policy]: Общее положение о намерениях и целях разработки программы обеспечения информационной безопасности организации.
3.19 кредитный риск (credit risk): Риск того, что контрагент в системе будет не способен полностью выполнить свои финансовые обязательства в системе в срок или в любое время в будущем.
[CPSS Ключевые принципы для системно значимых платежных систем] [7]
3.20 критичность (criticality): Требования к тому, чтобы конкретная информация или средства обработки информации были доступны для ведения бизнеса.
3.21 криптография (cryptography): Математический аппарат, используемый для шифрования или аутентификации информации.
3.22 криптографическая аутентификация (cryptographic authentication): Аутентификация, основанная на цифровой подписи, коде аутентификации сообщения, генерируемых в соответствии с криптографическим ключом.
3.23 криптографический ключ (cryptographic key): Значение, используемое для управления криптографическим процессом, таким как шифрование или аутентификация.
Примечание - Знание соответствующего криптографического ключа дает возможность правильно дешифровать сообщение или подтвердить его целостность.
3.24 уничтожение информации (destruction of information): Любое условие, делающее информацию непригодной для использования независимо от причины.
3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны.
[ANSI X9.79] [8]
3.26 раскрытие информации (disclosure of information): Несанкционированный просмотр или потенциальная возможность несанкционированного просмотра информации.
3.27 двойной контроль (dual control): Процесс использования двух или более отдельных логических объектов (обычно людей), действующих совместно для обеспечения защиты важных функций или информации [3].
Примечания
1 Оба логических объекта несут равную ответственность за обеспечение физической защиты материалов, задействованных в уязвимых операциях. Ни один человек в отдельности не может получить доступ к материалам (например, криптографическому ключу) или использовать их.
2 При ручном формировании, передаче, загрузке, хранении и извлечении ключей и сертификатов двойной контроль требует, чтобы каждый из сотрудников знал только часть ключа.
3 При использовании двойного контроля следует позаботиться о том, чтобы обеспечить независимость лиц друг от друга.
3.28 шифрование (encryption): Процесс преобразования информации к виду, когда она не имеет смысла ни для кого, кроме обладателей криптографического ключа.
Примечание - Использование шифрования защищает информацию в период между процессом шифрования и процессом дешифрования (который является противоположным шифрованию) от несанкционированного раскрытия.
3.29 межсетевой экран (firewall): Совокупность компонентов, помещенных между двумя сетями, которые вместе обладают следующими свойствами:
- весь входящий и исходящий сетевой трафик должен проходить через межсетевой экран;
- пропускается только сетевой трафик, авторизованный в соответствии с локальной политикой безопасности;
- межсетевой экран сам по себе устойчив к проникновению.
3.30 идентификация (identification): Процесс установления единственным образом однозначной идентичности объекта [5].
3.31 образ (image): Цифровое представление документа для обработки или хранения в системе обработки информации.
3.32 инцидент (incident): Любое непредвиденное или нежелательное событие, которое может нарушать деятельность или информационную безопасность [2].
Примечание - К инцидентам информационной безопасности относятся:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политик или рекомендаций;
- нарушение физических защитных мер;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
3.33 средство(а) обработки информации (information processing facility): Любая система обработки информации, сервис или инфраструктура, или их физические места размещения [2].
3.34 информация (information): Любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.
3.35 информационные активы (information asset): Информационные ресурсы или средства обработки информации организации.
3.36 информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки [2].
3.37 лицо, ответственное за информационную безопасность (information security officer): Лицо, отвечающее за внедрение и поддержку программы обеспечения информационной безопасности.
3.38 информационные ресурсы (information resource): Оборудование, используемое для обработки, передачи или хранения информации, независимо оттого, находится оно внутри организации или за ее пределами.
Примечание - К подобному оборудованию относятся: телефоны, факсимильные аппараты и компьютеры.
3.39 целостность (integrity): Свойство сохранения правильности и полноты активов [2].
3.40 ключ (key): По 3.23, термин «Криптографический ключ».
3.41 использование фальшивого чека (kiting): Использование фальшивого чека для получения кредита или денег.
3.42 правовой риск (legal risk): Риск потерь из-за непредвиденного применения закона или нормативного акта или из-за невозможности выполнения контракта [7].
3.43 гарантийное письмо (letter of assurance): Документ, описывающий меры обеспечения информационной безопасности, применяемые для защиты информации, хранимой по поручению получателя письма.
3.44 риск ликвидности (liquidity risk): Риск того, что у контрагента в системе будет недостаточно средств для выполнения своих финансовых обязательств в системе в полном объеме в срок, хотя существует возможность, что он сможет сделать это в какой-то момент в будущем [7].
3.45 код аутентификации сообщений (КАС) (message authentication code MAC): Код, который присоединяется к сообщению его автором, являющийся результатом обработки сообщения посредством криптографического процесса.
Примечание - Если получатель может создать такой же код, возникает уверенность в том, что сообщение не было модифицировано и что оно исходит от владельца соответствующего криптографического ключа.
3.46 модификация информации (modification of information): Обнаруженное или необнаруженное несанкционированное или случайное изменение информации.
3.47 принцип необходимого знания (need to know): Концепция безопасности, ограничивающая доступ к информации и ресурсам обработки информации в объеме, необходимом для выполнения обязанностей данного лица.
3.48 сеть (network): Совокупность систем связи и систем обработки информации, которая может использоваться несколькими пользователями.
3.49 неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже отвергнуты [1], [2].
[ИСО/МЭК 13888-1:2004] [9]
3.50 операционный риск (operational risk): Риск того, что операционные факторы, такие как технические нарушения функционирования или операционные ошибки, вызовут или усугубят кредитный риск или риск ликвидности [7].
3.51 обладатель информации (owner of information): Работник или служба, отвечающие за сбор и сохранение данной совокупности информации.
3.52 пароль (password): Строка символов, служащая в качестве аутентификатора пользователя.
3.53 целесообразная бизнес-практика (prudent business practice): Совокупность практических приемов, которые были в целом признаны как необходимые.
3.54 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам [2]:
3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].
3.56 риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов [2].
Примечание - Определяется как сочетание вероятности события и его последствий.
3.57 принятие риска (risk acceptance): Решение организации взять риск на себя, связанное с исключением в политике.
3.58 анализ риска (risk analysis): Систематический процесс определения величины рисков [2].
3.59 оценка риска (risk assessment): Процесс, объединяющий идентификацию риска, анализ риска и оценивание риска [2].
3.60 оценивание риска (risk evaluation): Процесс сравнения проанализированных уровней риска с заранее установленными критериями и идентификации областей, где требуется обработка риска.
3.61 идентификация риска (risk identification): Процесс идентификации рисков, рассматривающий бизнес-цели, угрозы и уязвимости как основу для дальнейшего анализа.
3.62 менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшение последствий вероятных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий [2].
3.63 обработка риска (risk treatment): Процесс выбора и реализации мер по изменению рисков.
3.64 защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска [2].
Примечание - Следует заметить, что понятие «защитная мера» может считаться синонимом понятия «мера управления».
3.65 безопасность (security): Качество или состояние защищенности от несанкционированного доступа или неконтролируемых потерь или воздействий.
Примечания
1 Абсолютная безопасность является практически недостижимой, а качество определенной системы безопасности - относительным.
2 В рамках системы безопасности «состояние - модель» безопасность является таким «состоянием», которое должно сохраняться при различных операциях.
3.66 сервер (server): Компьютер, действующий как поставщик некоторых услуг, таких как обработка коммуникаций, обеспечение интерфейса с системой хранения файлов или печатное устройство.
3.67 регистрация (sign-on): Завершение идентификации и аутентификации пользователя.
3.68 разделенное знание (split knowledge): Разделение критичной информации на множество частей так, чтобы требовалось наличие минимального числа частей, перед выполнением какого-либо действия.
Примечание - Разделенное знание часто используется для осуществления двойного контроля.
3.69 карточка хранения ценностей (stored value card): Устройство, позволяющее хранить и осуществлять операции с электронными деньгами.
3.70 системный риск (systemic risk): Риск того, что неспособность одного из участников выполнить свои обязательства либо нарушения в функционировании самой системы могут привести к неспособности других участников системы или других финансовых учреждений в других частях финансовой системы выполнять свои обязательства в срок [7].
Примечание - Подобный сбой может вызвать распространение проблем с ликвидностью или кредитами и в результате поставить под угрозу стабильность системы или финансовых рынков.
3.71 угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации [2].
3.72 средство идентификации (token): Контролируемое пользователем устройство (например диск, смарт-карта, компьютерный файл), содержащее информацию, которая может использоваться в электронной торговле для аутентификации или управления доступом.
3.73 идентификатор пользователя (user ID): Строка символов, используемая для однозначной идентификации каждого пользователя системы.
3.74 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами [2].
4 Обозначенияисокращения
— Все документы — Другие национальные стандарты — 01 Общие положения. Терминология. Стандартизация. Документация — ГОСТ Р ИСО ТО 13569-2007 ФИНАНСОВЫЕ УСЛУГИ РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Городом с самыми дешевыми квартирами в новостройках оказался Воронеж
Аналитик Гутман: период с мая по июль является лучшим периодом для продажи дачи
«МК»: в России не отменят льготную ипотеку
Аренда квартир в Москве подешевела на 10 %
Вице-премьер Хуснуллин: ставка по ипотеке должна быть пять процентов