СТО БР ИББС 1.0-2006: Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения

СТО БР ИББС 1.0-2006: Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения

Терминология СТО БР ИББС 1.0-2006: Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения:

3.3. автоматизированная банковская система : автоматизированная система, реализующая банковский технологический процесс или его часть.

Определения термина из разных документов: автоматизированная банковская система

6.1.4. Адекватность защитных мер . Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.

Определения термина из разных документов: Адекватность защитных мер

6.2.4. Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.

3.2. активы организации банковской системы Российской Федерации : все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении.

Примечание.

К активам организации БС РФ могут относиться:

- банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);

- информационные активы, в т.ч. различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;

- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);

- банковские продукты и услуги, предоставляемые клиентам.

Определения термина из разных документов: активы организации банковской системы Российской Федерации

3.16. аудит информационной безопасности организации банковской системы Российской Федерации: периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях БС РФ установленных требований по обеспечению информационной безопасности.

Примечания.

1. Внутренние аудиты (“аудиты первой стороной”) проводятся самой организацией или от ее имени для анализа менеджмента или других внутренних целей и могут служить основанием для самодеклараций организации о соответствии требованиям по ИБ.

2. Внешние аудиты включают “аудиты второй стороной” и “аудиты третьей стороной”. Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например, потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми организациями.

3. Независимость при аудите предполагает полную свободу аудитора (самостоятельность) в отборе и анализе свидетельства аудита (изложение фактов или другой информации, связанной с критериями аудита) в отношении объекта аудита.

3.1. банковская система Российской Федерации : Банк России и кредитные организации, а также филиалы и представительства иностранных банков [1].

Определения термина из разных документов: банковская система Российской Федерации

6.2.5. Доступность услуг и сервисов. Организация должна обеспечить доступность для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами.

Определения термина из разных документов: Доступность услуг и сервисов.

6.2.2. Знание своих клиентов и служащих . Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.

Определения термина из разных документов: Знание своих клиентов и служащих

3.6. информационная безопасность организации банковской системы Российской Федерации : состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз в информационной сфере.

Примечания.

1. Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.

2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.

3.11. инцидент информационной безопасности организации банковской системы Российской Федерации: событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности организации банковской системы Российской Федерации.

Примечание.

Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.

6.1.6. Использование опыта при принятии и реализации решений . Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.

Определения термина из разных документов: Использование опыта при принятии и реализации решений

6.1.8. Контролируемость защитных мер . Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.

Определения термина из разных документов: Контролируемость защитных мер

3.7. менеджмент: скоординированная деятельность по руководству и управлению.

Примечание.

В английском языке термин “management” иногда относится к людям, т.е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда “management” используется в этом смысле, его следует всегда применять с определяющими словами с целью избежания путаницы с понятием “management”, определенным выше. Например, не одобряется выражение “руководство должно...”, в то время как “высшее руководство должно…” - приемлемо.

Определения термина из разных документов: менеджмент

3.13. менеджмент риска: скоординированные действия по руководству и управлению в отношении риска с целью его минимизации.

Примечание.

Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска.

Определения термина из разных документов: менеджмент риска

3.15. мониторинг информационной безопасности организации банковской системы Российской Федерации (мониторинг ИБ): постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения.

6.2.6. Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

Определения термина из разных документов: Наблюдаемость и оцениваемость обеспечения ИБ.

6.1.7. Непрерывность принципов безопасного функцио нирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.

Определения термина из разных документов: Непрерывность принципов безопасного функцио

6.2.1. Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутрибанковском документе. Неопределенность приводит к “расплывчатости” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.

Определения термина из разных документов: Определенность целей.

3.9. осознание информационной безопасности : понимание организацией необходимости самостоятельно на основе принятых в ней ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению информационной безопасности, а также поддерживать эту деятельность адекватно прогнозу.

Примечание.

Осознание информационной безопасности является внутренним побудительным мотивом организации инициировать и поддерживать деятельность по менеджменту информационной безопасности, в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по менеджменту информационной безопасности определяется соответственно либо возникшими проблемами организации, такими, как инцидент информационной безопасности, либо внешними факторами, например, требованиями законов.

Определения термина из разных документов: осознание информационной безопасности

6.1.3. Оценка влияния проблем на бизнес-цели . Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнес-цели.

Определения термина из разных документов: Оценка влияния проблем на бизнес-цели

3.17. оценка соответствия информационной безопасности организации банковской системы Российской Федерации установленным требованиям: любая деятельность, связанная с прямым или косвенным определением того, что выполняются или не выполняются соответствующие требования информационной безопасности в организации банковской системы Российской Федерации.

6.2.3. Персонификация и адекватное разделение ролей и ответственности . Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.

3.10. политика информационной безопасности организации банковской системы Российской Федерации: одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности.

6.1.2. Прогнозируемость развития проблем . Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.

Определения термина из разных документов: Прогнозируемость развития проблем

3.12. риск: неопределенность, предполагающая возможность потерь (ущерба).

Определения термина из разных документов: риск

3.14. риск нарушения информационной безопасности организации банковской системы Российской Федерации: неопределенность, предполагающая возможность ущерба состояния защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз в информационной сфере.

3.4. роль в организации банковской системы Российской Федерации : заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом в организации БС РФ.

Примечания.

1. К субъектам относятся лица из числа руководителей организации БС РФ, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.

2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.

3.5. банковский технологический процесс: технологический процесс, содержащий операции по изменению и(или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг.

Примечания.

1. Операции над банковской информацией могут выполняться вручную или быть автоматизированными, например, с помощью комплексов средств автоматизации автоматизированных банковских систем.

2. Операции над банковской информацией требуют указания ролей их участников (исполнителей и лиц, принимающих решения или имеющих полномочия по изменению технологических процессов, в том числе персонала автоматизированных банковских систем).

3. В зависимости от вида деятельности выделяют: банковский информационный технологический процесс, банковский платежный технологический процесс и др.

Определения термина из разных документов: роль в организации банковской системы Российской Федерации

6.1.1. Своевременность обнаружения проблем . Организация должна своевременно обнаруживать проблемы5, потенциально способные повлиять на ее бизнес-цели.

___________

5 Здесь и далее по тексту стандарта рассматриваются проблемы, прямо или косвенно относящиеся к ИБ.

Определения термина из разных документов: Своевременность обнаружения проблем

3.8. система менеджмента информационной безопасности организации банковской системы Российской Федерации; СМИБ: часть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности организации банковской системы Российской Федерации [ISO/IEC IS 27001].

Примечание.

Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.

6.1.5. Эффективность защитных мер . Организация должна эффективно реализовывать принятые защитные меры.

Определения термина из разных документов: Эффективность защитных мер

Словарь-справочник терминов нормативно-технической документации. . 2015.


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»