|
ФЕДЕРАЛЬНОЕ АГЕНТСТВО
ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ
|
|
|
НАЦИОНАЛЬНЫЙ
СТАНДАРТ
РОССИЙСКОЙ
ФЕДЕРАЦИИ
|
ГОСТ Р ИСО/TO13569-
2007
|
ФИНАНСОВЫЕ УСЛУГИ
РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ISO/TR 13569:2005
Financial services - Information security guidelines
(IDT)
|
|
Москва
Стандартинформ
2009
|
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ«О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004«Стандартизация в Российской Федерации. Основные положения»
Сведения о стандарте
1 ПОДГОТОВЛЕН Федеральным государственным учреждением «Государственный научно-исследовательский испытательныйинститут проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ«ГНИИИ ПТЗИ ФСТЭК России») и обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл»(ООО «НПФ «Кристалл») на основе собственного аутентичного перевода стандарта, указанного в пункте 5
2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническомурегулированию и метрологии
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от27 декабря 2007 г. № 514-ст
4 ВВЕДЕН ВПЕРВЫЕ
5 Настоящий стандарт идентичен международному стандарту ИСО/ТО 13569:2005 «Финансовые услуги. Рекомендации поинформационной безопасности» (ISO/TR 13569:2005 «Financial services - Information security guidelines»).
(Поправка. ИУС 7-2009)
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартовсоответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительномприложении Е
Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе«Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях«Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомлениебудет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующаяинформация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальномсайте Федерального агентства по техническому регулированию и метрологии в сети Интернет
Содержание
|
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Обозначения и сокращения
5 Политика информационной безопасности организации
5.1 Назначение
5.2 Правовое и нормативное соответствие
5.2.1 Общие положения
5.2.2 Требования к финансовым учреждениям
5.3 Разработка
5.4 Иерархия документации
5.4.1 Общий обзор
5.4.2 Документы практики обеспечения безопасности
5.4.3 Документы операционных процедур обеспечения безопасности
6 Менеджмент информационной безопасности. Программа обеспечения безопасности
6.1 Общие положения
6.2 Создание программы
6.3 Осведомленность
6.4 Анализ
6.5 Менеджмент инцидентов
6.6 Мониторинг
6.7 Соответствие требованиям
6.8 Поддержка
6.9 Восстановление после любых прерываний деятельности организации
7 Структура информационной безопасности
7.1 Приверженность целям организации
7.2 Структура организации
7.2.1 Роли и обязанности
7.2.2 Совет директоров
7.2.3 Комитет по аудиту
7.2.4 Комитет по менеджменту риска
7.2.5 Правовая функция
7.2.6 Должностные лица
7.2.7 Управляющие делами
7.2.8 Сотрудники
7.2.9 Сотрудники (персонал), не относящиеся к организации
7.2.10 Должности, связанные с безопасностью
8 Анализ и оценка риска
8.1 Процессы
8.2 Процесс оценки риска
8.3 Рекомендации по обеспечению безопасности и принятие риска
9 Выбор и внедрение защитных мер
9.1 Снижение риска
9.2 Идентификация и анализ ограничений
9.3 Логический контроль доступа
9.3.1 Общие положения
9.3.2 Идентификация пользователя
9.3.3 Санкционирование
9.3.4 Аутентификация пользователей
9.4 Журнал аудита
9.5 Контроль за внесением изменений
9.6 Осведомленность об информационной безопасности
9.7 Человеческий фактор
10 Меры защиты систем информационных технологий
10.1 Защита систем информационных технологий
10.2 Защитные меры аппаратных систем
10.3 Безопасность систем программного обеспечения
10.4 Меры защиты сетей и сетевых систем
10.5 Меры защиты границ организации и ее связанности с внутренними и внешними сетями
10.5.1 Общие положения
10.5.2 Межсетевые экраны
10.5.3 Система обнаружения вторжений
10.5.4 Другие защитные меры противодействия сетевым атакам
11 Внедрение специальных средств защиты
11.1 Банковские карточки для финансовых операций
11.1.1 Общие положения
11.1.2 Физическая безопасность
11.1.3 Злоупотребление со стороны инсайдеров
11.1.4 Перемещение личных идентификационных номеров
11.1.5 Персонал
11.1.6 Аудит
11.1.7 Предупреждение подделки карточек
11.1.8 Банкоматы
11.1.9 Идентификация и аутентификация владельцев карточек
11.1.10 Аутентичность информации
11.1.11 Раскрытие информации
11.1.12 Предупреждение мошеннического использования банкоматов
11.1.13 Техническое обслуживание и текущий ремонт
11.2 Системы электронного перевода платежей
11.2.1 Несанкционированный источник
11.2.2 Несанкционированные изменения
11.2.3 Воспроизведение сообщений
11.2.4 Сохранение записей
11.2.5 Правовая основа платежей
11.3 Банковские чеки
11.3.1 Общие положения
11.3.2 Новые клиенты
11.3.3 Вопросы целостности
12 Дополнительная информация
12.1 Страхование
12.2 Адит
12.3 Планирование восстановления деятельности организации после ее прерывания
12.4 Внешние поставщики услуг
12.5 Группы тестирования на проникновение в компьютерные системы
12.6 Криптографические операции
12.7 Распределение криптографических ключей
12.8 Неприкосновенность частной жизни
13 Дополнительные защитные меры
13.1 Поддержка функционирования защитных мер
13.2 Соответствие требованиям безопасности
13.3 Мониторинг
14 Разрешение инцидентов
14.1 Менеджмент событий
14.2 Расследования и правовая экспертиза
14.3 Обработка инцидентов
14.4 Проблемы, связанные с аварийностью
Приложение А (справочное) Образцы документов
Приложение В (справочное) Пример анализа безопасности веб-сервисов
Приложение С (справочное) Иллюстрация оценки риска
Приложение D (справочное) Технологические средства управления
Приложение Е (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам
Библиография
|
Введение
Финансовые услуги как экономическая категория отражают процесс использования денежных средств на основе товарно-денежного обращения. Оказание финансовых услуг за прошедшее десятилетие изменилось как с точки зрения масштабности ихосуществления, так и в связи с внедрением компьютерных и сетевых технологий в эту сферу деятельности. При этом подобныеоперации осуществляются как внутри государства, так и при взаимодействии организаций разных стран.
Настоящий стандарт дает представление о системе обеспечения информационной безопасности в процессе оказания финансовыхуслуг с учетом сложившейся практики на международном уровне, что особенно важно для организаций, стремящихся развиватьсвою деятельность за пределами Российской Федерации.
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
|
Финансовые услуги
РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Financial services. Information security guidelines
|
Дата введения - 2008-07-01
1 Область применения
Настоящий стандарт устанавливает рекомендации по разработке программы обеспечения информационной безопасности дляорганизаций в сфере финансовых услуг. Разработка рекомендаций основывалась на рассмотрении бизнес-среды, практическихприемов и процедур деятельности финансовых учреждений. Настоящий стандарт предназначен для использования финансовымиучреждениями различного типа и размера, которые должны разрабатывать рациональную и экономически обоснованнуюпрограмму обеспечения информационной безопасности.
2 Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие международные стандарты:
ИСО 9564 (все части) Банковское дело - Менеджмент и обеспечение безопасности персональных идентификационных номеров
ИСО 10202 (все части) Банковские карточки для финансовых операций - Архитектура безопасности систем финансовыхопераций, использующих смарт-карты
ИСО 11568 (все части) Банковское дело - Менеджмент ключей (розничная торговля)
ИСО/МЭК 11770 (все части) Информационная технология - Методы и средства обеспечения безопасности - Менеджмент ключей
ИСО 15782 (все части) Менеджмент сертификатов в сфере финансовых услуг
ИСО 16609:2004 Банковское дело - Требования к аутентификации сообщений, используя симметричные методы
ИСО/МЭК 17799:2005 Информационная технология - Практические правила управления информационной безопасностью
ИСО/МЭК 18028 (все части) Информационная технология - Методы и средства обеспечения безопасности - Безопасностьинформационной сети
ИСО/МЭК 18033 (все части) Информационная технология. - Методы и средства обеспечения безопасности- Алгоритмышифрования
ИСО 21188:2006 Инфраструктура открытых ключей для сферы финансовых услуг - Практические приемы и структура политики
3 Термины и определения
В настоящем стандарте применены следующие термины с соответствующими определениями:
3.1 Управление доступом (access control): Функции, ограничивающие доступ к информации или средствам обработкиинформации только авторизованным лицам или приложениям, включая физическое управление доступом, основанное наразмещении физических барьеров между неавторизованными лицами и защищаемыми информационными ресурсами, и логическиесредства управления доступом, использующие другие способы управления.
3.2 подотчетность (accountability): Свойство, обеспечивающее однозначное прослеживание действий любого логическогообъекта.
[ИСО 7498-2:1989] [1], [ИСО/МЭК 13335-1:2004] [2]
3.3 сигнал тревоги (alarm): Указание на нарушение безопасности, необычное или опасное состояние, которое можетпотребовать немедленного внимания.
3.4 активы (asset): Все, что имеет ценность для организации [2].
3.5 аудит (audit): Служба, задачей которой является проверка наличия адекватных мер контроля и сообщение руководствусоответствующего уровня о несоответствиях.
3.6 журнал аудита (audit journal): Запись в хронологическом порядке действий системы, содержащей достаточно сведений длятого, чтобы реконструировать, проанализировать и проверить последовательность сред и действий, окружающих каждое событиеили ведущих к каждому событию по ходу операции от ее начала до выдачи окончательных результатов.
[ИСО 15782-1:2003] [3]
3.7 аутентификация (authentication): Предоставление гарантии заявленной идентичности объекта.
[ИСО/МЭК 10181-1:1196] [4], [ИСО/МЭК ТО 13335-4:2000] [5]
3.8 аутентичность (authenticity): Свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
Примечание - Аутентичность применяется к таким субъектам, как пользователи, к процессам, системам и информации.
3.9 доступность (availability): Характеристика, определяющая доступность и используемость по запросу со стороныавторизованного логического объекта [1], [2].
3.10 резервное копирование (back-up): Сохранение бизнес-информации для обеспечения непрерывности бизнес-процесса вслучае утраты информационных ресурсов.
3.11 биометрические данные (biometric): Измеримая биологическая или поведенческая характеристика, с достоверностьюотличающая одного человека от другого, используемая для установления либо подтверждения личности человека.
[ANSI X9.84:2003] [6]
3.12 биометрия (biometrics): Автоматические методы, используемые для распознавания личности или подтверждениязаявленной личности человека на основе физиологических или поведенческих характеристик.
3.13 метод аутентификации карточек (МАК) (card authentication method (CAM)): Метод, делающий возможной уникальнуюмашиночитаемую идентификацию банковской карточки для финансовых операций и предотвращающий копирование карт.
3.14 классификация (classification): Схема, в соответствии с которой информация подразделяется на категории с цельюприменения соответствующих защитных мер против этих категорий.
Примечание - Соответствующие защитные меры применяют для следующих категорий: возможность мошенничества, конфиденциальность или критичность информации.
3.15 конфиденциальность (confidentialit): Свойство информации быть недоступной и закрытой для неавторизованногоиндивидуума, логического объекта или процесса [1], [2], [3].
3.16 план действий в чрезвычайных обстоятельствах (contingency plan): Порядок действия, который позволяет организациивосстановить работу после природного или иного бедствия.
3.17 мера управления (control): По 3.64, термин «защитная мера».
3.18 политика информационной безопасности организации [политика] (corporate information security policy) [policy]: Общееположение о намерениях и целях разработки программы обеспечения информационной безопасности организации.
3.19 кредитный риск (credit risk): Риск того, что контрагент в системе будет не способен полностью выполнить своифинансовые обязательства в системе в срок или в любое время в будущем.
[CPSS Ключевые принципы для системно значимых платежных систем] [7]
3.20 критичность (criticality): Требования к тому, чтобы конкретная информация или средства обработки информации былидоступны для ведения бизнеса.
3.21 криптография (cryptography): Математический аппарат, используемый для шифрования или аутентификации информации.
3.22 криптографическая аутентификация (cryptographic authentication): Аутентификация, основанная на цифровой подписи,коде аутентификации сообщения, генерируемых в соответствии с криптографическим ключом.
3.23 криптографический ключ (cryptographic key): Значение, используемое для управления криптографическим процессом,таким как шифрование или аутентификация.
Примечание - Знание соответствующего криптографического ключа дает возможность правильно дешифровать сообщение или подтвердить его целостность.
3.24 уничтожение информации (destruction of information): Любое условие, делающее информацию непригодной дляиспользования независимо от причины.
3.25 цифровая подпись (digital signature): Криптографическое преобразование, которое, будучи связано с элементом данных,обеспечивает услуги по аутентификации источника, целостности данных и неотказуемости подписавшей стороны.
[ANSI X9.79] [8]
3.26 раскрытие информации (disclosure of information): Несанкционированный просмотр или потенциальная возможностьнесанкционированного просмотра информации.
3.27 двойной контроль (dual control): Процесс использования двух или более отдельных логических объектов (обычно людей),действующих совместно для обеспечения защиты важных функций или информации [3].
Примечания
1 Оба логических объекта несут равную ответственность за обеспечение физической защиты материалов, задействованных в уязвимых операциях. Ни один человек вотдельности не может получить доступ к материалам (например, криптографическому ключу) или использовать их.
2 При ручном формировании, передаче, загрузке, хранении и извлечении ключей и сертификатов двойной контроль требует, чтобы каждый из сотрудников знал только частьключа.
3 При использовании двойного контроля следует позаботиться о том, чтобы обеспечить независимость лиц друг от друга.
3.28 шифрование (encryption): Процесс преобразования информации к виду, когда она не имеет смысла ни для кого, кромеобладателей криптографического ключа.
Примечание - Использование шифрования защищает информацию в период между процессом шифрования и процессом дешифрования (который являетсяпротивоположным шифрованию) от несанкционированного раскрытия.
3.29 межсетевой экран (firewall): Совокупность компонентов, помещенных между двумя сетями, которые вместе обладаютследующими свойствами:
- весь входящий и исходящий сетевой трафик должен проходить через межсетевой экран;
- пропускается только сетевой трафик, авторизованный в соответствии с локальной политикой безопасности;
- межсетевой экран сам по себе устойчив к проникновению.
3.30 идентификация (identification): Процесс установления единственным образом однозначной идентичности объекта [5].
3.31 образ (image): Цифровое представление документа для обработки или хранения в системе обработки информации.
3.32 инцидент (incident): Любое непредвиденное или нежелательное событие, которое может нарушать деятельность илиинформационную безопасность [2].
Примечание - К инцидентам информационной безопасности относятся:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политик или рекомендаций;
- нарушение физических защитных мер;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
3.33 средство(а) обработки информации (information processing facility): Любая система обработки информации, сервис илиинфраструктура, или их физические места размещения [2].
3.34 информация (information): Любые данные, представленные в электронной форме, написанные на бумаге, высказанные насовещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений,перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компонентыпрограммного обеспечения системы обработки.
3.35 информационные активы (information asset): Информационные ресурсы или средства обработки информации организации.
3.36 информационная безопасность (information security): Все аспекты, связанные с определением, достижением иподдержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверностиинформации или средств ее обработки [2].
3.37 лицо, ответственное за информационную безопасность (information security officer): Лицо, отвечающее за внедрение иподдержку программы обеспечения информационной безопасности.
3.38 информационные ресурсы (information resource): Оборудование, используемое для обработки, передачи или храненияинформации, независимо оттого, находится оно внутри организации или за ее пределами.
Примечание - К подобному оборудованию относятся: телефоны, факсимильные аппараты и компьютеры.
3.39 целостность (integrity): Свойство сохранения правильности и полноты активов [2].
3.40 ключ (key): По 3.23, термин «Криптографический ключ».
3.41 использование фальшивого чека (kiting): Использование фальшивого чека для получения кредита или денег.
3.42 правовой риск (legal risk): Риск потерь из-за непредвиденного применения закона или нормативного акта или из-заневозможности выполнения контракта [7].
3.43 гарантийное письмо (letter of assurance): Документ, описывающий меры обеспечения информационной безопасности,применяемые для защиты информации, хранимой по поручению получателя письма.
3.44 риск ликвидности (liquidity risk): Риск того, что у контрагента в системе будет недостаточно средств для выполнения своихфинансовых обязательств в системе в полном объеме в срок, хотя существует возможность, что он сможет сделать это в какой-томомент в будущем [7].
3.45 код аутентификации сообщений (КАС) (message authentication code MAC): Код, который присоединяется к сообщению егоавтором, являющийся результатом обработки сообщения посредством криптографического процесса.
Примечание - Если получатель может создать такой же код, возникает уверенность в том, что сообщение не было модифицировано и что оно исходит от владельцасоответствующего криптографического ключа.
3.46 модификация информации (modification of information): Обнаруженное или необнаруженное несанкционированное илислучайное изменение информации.
3.47 принцип необходимого знания (need to know): Концепция безопасности, ограничивающая доступ к информации иресурсам обработки информации в объеме, необходимом для выполнения обязанностей данного лица.
3.48 сеть (network): Совокупность систем связи и систем обработки информации, которая может использоваться несколькимипользователями.
3.49 неотказуемость (non-repudiation): Способность удостоверять имевшее место действие или событие так, чтобы эти событияили действия не могли быть позже отвергнуты [1], [2].
[ИСО/МЭК 13888-1:2004] [9]
3.50 операционный риск (operational risk): Риск того, что операционные факторы, такие как технические нарушенияфункционирования или операционные ошибки, вызовут или усугубят кредитный риск или риск ликвидности [7].
3.51 обладатель информации (owner of information): Работник или служба, отвечающие за сбор и сохранение даннойсовокупности информации.
3.52 пароль (password): Строка символов, служащая в качестве аутентификатора пользователя.
3.53 целесообразная бизнес-практика (prudent business practice): Совокупность практических приемов, которые были в целомпризнаны как необходимые.
3.54 достоверность (reliability): Свойство соответствия предусмотренному поведению и результатам [2]:
3.55 остаточный риск (residual risk): Риск, остающийся после его обработки [2].
3.56 риск (risk): Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы сиспользованием уязвимостей актива или группы активов [2].
Примечание - Определяется как сочетание вероятности события и его последствий.
3.57 принятие риска (risk acceptance): Решение организации взять риск на себя, связанное с исключением в политике.
3.58 анализ риска (risk analysis): Систематический процесс определения величины рисков [2].
3.59 оценка риска (risk assessment): Процесс, объединяющий идентификацию риска, анализ риска и оценивание риска [2].
3.60 оценивание риска (risk evaluation): Процесс сравнения проанализированных уровней риска с заранее установленнымикритериями и идентификации областей, где требуется обработка риска.
3.61 идентификация риска (risk identification): Процесс идентификации рисков, рассматривающий бизнес-цели, угрозы иуязвимости как основу для дальнейшего анализа.
3.62 менеджмент риска (risk management): Полный процесс идентификации, контроля, устранения или уменьшение последствийвероятных событий, которые могут оказать влияние на ресурсы информационно-телекоммуникационных технологий [2].
3.63 обработка риска (risk treatment): Процесс выбора и реализации мер по изменению рисков.
3.64 защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска [2].
Примечание - Следует заметить, что понятие «защитная мера» может считаться синонимом понятия «мера управления».
3.65 безопасность (security): Качество или состояние защищенности от несанкционированного доступа или неконтролируемыхпотерь или воздействий.
Примечания
1 Абсолютная безопасность является практически недостижимой, а качество определенной системы безопасности - относительным.
2 В рамках системы безопасности «состояние - модель» безопасность является таким «состоянием», которое должно сохраняться при различных операциях.
3.66 сервер (server): Компьютер, действующий как поставщик некоторых услуг, таких как обработка коммуникаций,обеспечение интерфейса с системой хранения файлов или печатное устройство.
3.67 регистрация (sign-on): Завершение идентификации и аутентификации пользователя.
3.68 разделенное знание (split knowledge): Разделение критичной информации на множество частей так, чтобы требовалосьналичие минимального числа частей, перед выполнением какого-либо действия.
Примечание - Разделенное знание часто используется для осуществления двойного контроля.
3.69 карточка хранения ценностей (stored value card): Устройство, позволяющее хранить и осуществлять операции сэлектронными деньгами.
3.70 системный риск (systemic risk): Риск того, что неспособность одного из участников выполнить свои обязательства либонарушения в функционировании самой системы могут привести к неспособности других участников системы или другихфинансовых учреждений в других частях финансовой системы выполнять свои обязательства в срок [7].
Примечание - Подобный сбой может вызвать распространение проблем с ликвидностью или кредитами и в результате поставить под угрозу стабильность системы илифинансовых рынков.
3.71 угроза (threat): Потенциальная причина инцидента, который может нанести ущерб системе или организации [2].
3.72 средство идентификации (token): Контролируемое пользователем устройство (например диск, смарт-карта, компьютерныйфайл), содержащее информацию, которая может использоваться в электронной торговле для аутентификации или управлениядоступом.
3.73 идентификатор пользователя (user ID): Строка символов, используемая для однозначной идентификации каждогопользователя системы.
3.74 уязвимость (vulnerability): Слабость одного или нескольких активов, которая может быть использована одной илинесколькими угрозами [2].
4 Обозначения и сокращения
— Все документы — Другие национальные стандарты — 35 Информационные технологии. Машины конторские — ГОСТ Р ИСО/TO 13569-2007 ФИНАНСОВЫЕ УСЛУГИ РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Городом с самыми дешевыми квартирами в новостройках оказался Воронеж
Аналитик Гутман: период с мая по июль является лучшим периодом для продажи дачи
«МК»: в России не отменят льготную ипотеку
Аренда квартир в Москве подешевела на 10 %
Вице-премьер Хуснуллин: ставка по ипотеке должна быть пять процентов