Рекомендации в области стандартизации банка россии

Скачать 218.33 Kb.

Название	Рекомендации в области стандартизации банка россии
Дата публикации	09.03.2014
Размер	218.33 Kb.
Тип	Реферат

shkolnie.ru > Банк > Реферат

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ)

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ

БАНКА РОССИИ

РС БР ИББС-

2.4-20хх

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ

ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

Москва

20хх

Предисловие
01. ПРИНЯТЫ И ВВЕДЕНЫ в действие распоряжением Банка России от .

^ 2.ВВЕДЕНЫ ВПЕРВЫЕ

Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.

Содержание

Введение 4

1. Область применения 5

2. Нормативные ссылки 5

3. Термины и определения 6

4. Обозначения и сокращения 6

5. Общий подход к составлению Отраслевой модели угроз 6

6. Исходные данные Отраслевой модели угроз 7

7. Отраслевая модель угроз 8

Библиография 15

000 15

Введение

В соответствии с действующим стандартом Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее - СТО БР ИББС-1.0) модели угроз и нарушителей должны быть основным инструментом организации банковской системы Российской Федерации (БС РФ) при развертывании, поддержании и совершенствовании системы обеспечения информационной безопасности.

Настоящая Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций БС РФ (далее - Отраслевая модель угроз) содержит актуальные для большинства организаций БС РФ угрозы безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн). Актуальные угрозы определены в результате проведения оценки рисков в соответствии с рекомендациями в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности».

^ РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
^ РОССИЙСКОЙ ФЕДЕРАЦИИ
ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

Дата введения 20хх–хх–хх
^

1. Область применения

Настоящий документ распространяется на организации БС РФ и содержит актуальные для большинства организаций БС РФ угрозы безопасности персональных данных при их обработке в ИСПДн.

Настоящий документ рекомендован для применения путем включения ссылок и(или) прямого использования устанавливаемых в нем положений во внутренних документах организаций БС РФ.

В случае необходимости, в организации БС РФ может быть составлена частная модель актуальных угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее – частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ. При этом:

- в случае сокращения набора актуальных угроз Отраслевой модели угроз требуется проводить согласование частной модели угроз с Банком России и Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК России);

- в случае расширения набора угроз Отраслевой модели угроз дополнительное согласование с Банком России и ФСТЭК России не требуется.

Положения настоящего руководства применяются на добровольной основе, если только в отношении конкретных положений обязательность не установлена действующим законодательством Российской Федерации, нормативным актом Банка России или условиями договора.

В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз рекомендуется использовать рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности».
^

2. Нормативные ссылки

В настоящем документе использованы нормативные ссылки на СТО БР ИББС–1.0.

3. Термины и определения

В настоящем документе применены термины по СТО БР ИББС–1.0, а также следующие термины (в алфавитном порядке) с соответствующими определениями

3.1. Источник угрозы безопасности персональных данных: Объект или субъект, реализующий угрозы безопасности персональных данных путем воздействия на объекты среды обработки персональных данных организации БС РФ.

3.2. Объект среды обработки персональных данных: Материальный объект среды хранения, передачи, обработки, уничтожения и т.д. персональных данных.

3.3. Оценка риска нарушения безопасности персональных данных: Систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения безопасности персональных данных, обрабатываемых в организации БС РФ.

3.4. Риск нарушения безопасности персональных данных^¹: Риск, связанный с угрозой безопасности персональных данных.

3.5. Угроза безопасности персональных данных: Угроза нарушения свойств безопасности персональных данных - доступности, целостности или конфиденциальности персональных данных организации БС РФ.
^

4. Обозначения и сокращения

БС – банковская система;

ИСПДн – информационная система персональных данных;

НСД – несанкционированный доступ;

ПДн- персональные данные;

РФ – Российская Федерация.
^

5. Общий подход к составлению Отраслевой модели угроз

5.1. Угрозы безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) организаций БС РФ - это:

- угроза нарушения доступности ПДн;

- угроза нарушения целостности ПДн;

- угроза нарушения конфиденциальности^² (неправомерное использование) ПДн, в том числе за счет хищения отчуждаемых машинных носителей с несанкционированно копированной информацией.

5.2. Отраслевая модель угроз содержит систематизированный перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн, источников актуальных угроз безопасности ПДн, уровней реализации угроз безопасности ПДн, типов материальных объектов среды обработки ПДн (далее – актуальные угрозы безопасности ПДн).

Актуальная угроза безопасности ПДн – угроза безопасности ПДн, риск реализации которой не является допустимым для организации БС РФ по результатам проведения оценки рисков нарушения безопасности персональных данных, обрабатываемых в ИСПДн.

5.3. Отраслевая модель угроз содержит единые исходные данные по актуальным для организации БС РФ угрозам безопасности ПДн, связанным с несанкционированным, в том числе случайным, доступом в ИСПДн с целью ознакомления, изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с целью уничтожения или блокирования ПДн.

В рамках настоящей Отраслевой модели угроз под доступом к ПДн понимается ознакомление с ПДн, их обработка, в частности, копирование, модификация или уничтожение ПДн (в соответствии с Руководящим документом «Защита от несанкционированного доступа к информации. Термины и определения», Гостехкомиссия России.- М.: Воениздат,-1992).

К несанкционированному доступу (НСД) к ПДн при их обработке в ИСПДн, в частности, относится:

доступ к ПДн или действия с ПДн, нарушающие установленные права и (или) правила разграничения доступа с использованием штатных средств, предоставляемых ИСПДн;

несанкционированное воздействие на ресурсы ИСПДн, осуществляемое с использованием вредоносных программ (вредоносного кода).
^

6. Исходные данные Отраслевой модели угроз

6.1. Категории ПДн:

категория 1 – персональные данные, отнесенные в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») [3] к специальным категориям персональных данных;

категория 2 – персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к биометрическим персональным данным;

категория 3 – персональные данные, которые не могут быть отнесены к категории 1, категории 2 или категории 4;

категория 4 - персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к общедоступным или обезличенным персональным данным.

6.2. Перечень основных источников угроз безопасности ПДн:

неблагоприятные события природного и техногенного характера;
террористы, криминальные элементы;
компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
поставщики программно-технических средств, расходных материалов, услуг и т.п.;
подрядчики, осуществляющие монтаж, пуско-наладочные работы оборудования и его ремонт;
сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие вне рамок предоставленных полномочий;
сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие в рамках предоставленных полномочий.

6.3. Уровни информационной инфраструктуры, на которых возможна реализация угроз безопасности ПДн:

- физический уровень;

- сетевой уровень;

- уровень сетевых приложений и сервисов;

- уровень операционных систем;

- уровень систем управления базами данных;

- уровень банковских технологических процессов и приложений.
^

7. Отраслевая модель угроз

Отраслевая модель угроз безопасности ПДн (Таблица) содержит обобщенное описание угроз безопасности ПДн для каждой категории ПДн, включающее:

источник угрозы безопасности ПДн;
угроза безопасности ПДн;
уровень реализации угрозы безопасности ПДн;
типы материальных объектов среды обработки ПДн (далее – типы объектов среды).

Таблица. Отраслевая модель угроз безопасности ПДн

№ п/п	Источник угрозы безопасности ПДн	Уровень реализации угрозы безопасности ПДн	Типы объектов среды	Угроза безопасности ПД
1	2	3	4	5
	ПДн категории 1, ПДн категории 2
	^ Компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие	Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	Нарушение целостности
		Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	^ Нарушение доступности
		Уровень сетевых приложений и сервисов	Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)	Нарушение целостности
		Уровень сетевых приложений и сервисов		^ Нарушение доступности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		^ Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	^ Нарушение конфиденциальности
				Нарушение целостности
	^ Поставщики программно-технических средств, расходных материалов, услуг и т.п. и подрядчики, осуществляющие монтаж, пуско-наладочные работы оборудования и его ремонт	Уровень операционных систем	^ Файлы данных с ПДн	Нарушение конфиденциальности
		Уровень операционных систем	^ Файлы данных с ПДн	Нарушение целостности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
		Уровень систем управления базами данных	Базы данных с ПДн	^ Нарушение целостности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	^ Нарушение конфиденциальности
				Нарушение целостности
	^ Сотрудники, действующие в рамках предоставленных полномочий	Физический уровень	Линии связи, аппаратные и технические средства, сервера, физические носители информации	Нарушение конфиденциальности
		Физический уровень		^ Нарушение целостности
		Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		^ Уровень сетевых приложений и сервисов	Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		^ Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	^ Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
	^ Сотрудники, действующие вне рамок предоставленных полномочий	Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
		Уровень операционных систем	Файлы данных с ПДн	^ Нарушение целостности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
		Уровень систем управления базами данных	Базы данных с ПДн	^ Нарушение целостности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	^ Нарушение конфиденциальности
				Нарушение целостности
	ПДн категории 3
	^ Компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие	Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	Нарушение целостности
		Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	^ Нарушение доступности
		Уровень сетевых приложений и сервисов	Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)	Нарушение целостности
		Уровень сетевых приложений и сервисов		^ Нарушение доступности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
	^ Сотрудники, действующие в рамках предоставленных полномочий	Физический уровень	Линии связи, аппаратные и технические средства, сервера, физические носители информации	Нарушение конфиденциальности
		Физический уровень		^ Нарушение целостности
		Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		^ Уровень сетевых приложений и сервисов	Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень банковских технологических приложений и сервисов		Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
	^ Сотрудники, действующие вне рамок предоставленных полномочий	Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
		Уровень систем управления базами данных	Базы данных с ПДн	^ Нарушение целостности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	^ Нарушение конфиденциальности
				Нарушение целостности
	ПДн категории 4
	^ Компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие	Уровень операционных систем	Файлы данных с ПДн	Нарушение целостности
		Уровень операционных систем	Файлы данных с ПДн	^ Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение целостности
		Уровень систем управления базами данных	Базы данных с ПДн	^ Нарушение доступности
	Сотрудники, действующие в рамках предоставленных полномочий	Уровень операционных систем	Файлы данных с ПДн	Нарушение целостности
		Уровень операционных систем	Файлы данных с ПДн	^ Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение целостности
		Уровень систем управления базами данных	Базы данных с ПДн	^ Нарушение доступности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	^ Нарушение целостности
				Нарушение доступности
	^ Сотрудники, действующие вне рамок предоставленных полномочий	Уровень операционных систем	Файлы данных с ПДн	Нарушение целостности
		^ Уровень систем управления базами данных	Базы данных с ПДн	Нарушение целостности
		^ Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	^ Нарушение целостности

Библиография

[0] Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

[2] Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"

[3] Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ

000

Ключевые слова: банковская система Российской Федерации, персональные данные, модель угроз, информационная система персональных данных

1Риски нарушения безопасности персональных данных заключаются в возможности утраты свойств безопасности персональных данных в результате реализации угроз безопасности персональных данных, вследствие чего субъекту персональных данных и (или) организации БС РФ может быть нанесен ущерб.

2 Конфиденциальность ПДн – обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или иного законного основания (пункт 10 статьи 3 Федерального закона «О персональных данных»). Обеспечение конфиденциальности ПДн не требуется в случае обезличивания ПДн и в отношении общедоступных ПДн (пункт 2 статьи 7 Федерального закона «О персональных данных»).

проект 11.05.2010

	Банк России Департамент банковского регулирования Банка России (Инструкцию Банка России от 16. 01. 04 №110-и «Об обязательных нормативах банков» и Положение Банка России от 20. 03....		Евразийский совет по стандартизации, метрологии и сертификации Гост 0-92 «Межгосударственная система стандартизации. Основные положения» и гост 2-2009 «Межгосударственная система стандартизации....
	Предложения, поступившие от банковского сообщества по Указанию Банка... Предложения, поступившие от банковского сообщества по Указанию Банка России от 20. 04. 11 №2613-у «О внесении изменений в Инструкцию...		Межгосударственный стандарт гост исо 161-1-2004 Гост 0-92 «Межгосударственная система стандартизации. Основные положения» и гост 2-97 «Межгосударственная система стандартизации....
	Euro-asian council for standardization, metrology and certification Гост 0-92 «Межгосударственная система стандартизации. Основные положения» и гост 2-2009 «Межгосударственная система стандартизации....		А-02/2-421 от 17. 07. 2012 Председателю Банка России Ассоциация российских банков внимательно рассмотрела Проект Указания ЦБ рф "О внесении изменений в Положение Банка России от 26....
	Гркц гу банка России по Костромской области Управление Министерства юстиции Российской Федерации по Костромской области получатель платежа		Предложения номос-банка Положения Банка России от 26 марта 2004 года N 254-п "О порядке формирования кредитными организациями резервов на возможные потери...
	Банкнота Банка России образца 1997 года номиналом 5000 рублей модификации... Модифицированная банкнота имеет формат и сюжетное оформление, аналогичные банкноте Банка России образца 1997 года		О банках и банковской деятельности Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции, предусмотренные настоящим Федеральным...