Обеспечение информационной безопасности организаций банковской системы российской федерации (стр. 16 из 16)

[2] Федеральный закон «О Центральном Банке Российской Федерации (Банке России)» от 10 июля 2002 года № 86–ФЗ

[3] Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ

[4] ISO/IEC IS 27001–2005 Information technology. Security techniques. Information security management systems. Requirements

[5] Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.

[6] Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

[7] Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"

Ключевые слова: банковская система Российской Федерации, система менеджмента информационной безопасности, политика информационной безопасности.

[1] См. п.3.4.

[2]⁾ Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требований законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.

[3]⁾ Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий (адаптировано из ст.27. УК РФ).

[4]⁾ Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используется имеющийся опыт и знания, поэтому, чем выше знания, тем точнее прогноз.

[5]⁾ На данных уровнях и уровне бизнес-процессов реализация угроз внешними нарушителями ИБ, действующими самостоятельно без соучастия внутренних, практически невозможна.

[6]⁾ «Знать своего клиента» (Know your Customer): принцип, используемый регулирующими органами для выражения отношения к финансовым организациям с точки зрения знания деятельности их клиентов.

[7]⁾ «Знать своего служащего» (Know your Employee): принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких, как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью.

[8]⁾ «Необходимо знать» (Need to Know): принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей.

[9]⁾ «Двойное управление» (Dual Control): принцип сохранения целостности процесса и борьбы с искажением функций системы, требующий дублирования (алгоритмического, временного, ресурсного или иного) действий до завершения определенных транзакций.

[10]⁾ Спам – общее наименование незапрошенных пользователями электронных посланий и рекламных писем, рассылаемых в Интернете по ставшим известными рассылающей стороне адресам пользователей.

[11] Актуальными являются те угрозы, риск реализации которых в организации БС РФ является недопустимым.

[12] К тактическим улучшениям СОИБ следуют относить корректирующие или превентивные действия, связанные с пересмотром отдельных процедур выполнения деятельности в рамках СОИБ организации БС РФ и не требующих пересмотра политики ИБ и частных политик ИБ организации БС РФ. Как правило, тактические улучшения СОИБ не требуют выполнение деятельности в рамках этапа «планирование» СМИБ.

[13] К стратегическим улучшениям СОИБ следуют относить корректирующие или превентивные действия, связанные с пересмотром политики ИБ и частных политик ИБ организации БС РФ, с последующим выполнением соответствующих тактических улучшений СОИБ. Стратегические улучшения СОИБ всегда требуют выполнение деятельности в рамках этапа «планирование» СМИБ.