ГОСТ Р № 57580.1-2017 от 01.01.2018

ОПР.19.12 Утверждение структуры и организации системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, и контроль за поддержанием функционирования таких систем;

10. Кредитные организации в рамках обеспечения операционной надежности должны:

Кредитные организации должны включать в порядок ведения базы событий, предусмотренный пунктом 6.2 Положения Банка России N 716-П, особенности регистрации событий операционного риска, являющихся инцидентами операционной надежности.

Кредитная организация должна регистрировать инциденты операционной надежности с учетом требований к ведению базы событий, предусмотренных главой 6 Положения Банка России N 716-П.

Кредитные организации при определении в соответствии с пунктом 3.7 Положения Банка России N 716-П дополнительных типов событий операционного риска должны предусматривать во внутренних документах классификацию типов инцидентов операционной надежности с использованием перечня типов инцидентов операционной надежности, размещаемого Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), и обеспечивать их регулярную актуализацию.

По каждому инциденту операционной надежности в дополнение к информации, указанной в пункте 6.6 Положения Банка России N 716-П, кредитные организации должны обеспечить регистрацию следующей информации:

Кредитные организации должны устанавливать во внутренних документах критерии шкалы качественных оценок и методику определения оценок качественных потерь от реализации инцидентов операционной надежности в соответствии с подпунктом 3.13.2 пункта 3.13 Положения Банка России N 716-П, в случае если они не определяются в денежном выражении.

7.5.1 Общие положения
Система менеджмента информационной безопасности организации должна содержать:

ПРИМЕЧАНИЕ Количество документированной информации для системы менеджмента информационной безопасности может отличаться для разных организаций в зависимости от:

2.2.4
Defined Approach Requirements: 
Only necessary services, protocols, daemons, and functions are enabled, and all unnecessary functionality is removed or disabled. 

Customized Approach Objective:
System components cannot be compromised by exploiting unnecessary functionality present in the system component. 

Defined Approach Testing Procedures:

Purpose:
Unnecessary services and functions can provide additional opportunities for malicious individuals to gain access to a system. By removing or disabling all unnecessary services, protocols, daemons, and functions, organizations can focus on securing the functions that are required and reduce the risk that unknown or unnecessary functions will be exploited. 

Good Practice:
There are many protocols that could be enabled by default that are commonly used by malicious individuals to compromise a network. Disabling or removing all services, functions, and protocols that are not used minimizes the potential attack surface—for example, by removing or disabling an unused FTP or web server. 

Examples:
Unnecessary functionality may include, but is not limited to scripts, drivers, features, subsystems, file systems, interfaces (USB and Bluetooth), and unnecessary web servers. 

12.2.1
Defined Approach Requirements: 
Acceptable use policies for end-user technologies are documented and implemented, including:

Customized Approach Objective:
The use of end-user technologies is defined and managed to ensure authorized usage. 

Applicability Notes:
Examples of end-user technologies for which acceptable use policies are expected include, but are not limited to, remote access and wireless technologies, laptops, tablets, mobile phones, and removable electronic media, email usage, and Internet usage. 

Defined Approach Testing Procedures:

Purpose:
End-user technologies are a significant investment and may pose significant risk to an organization if not managed properly. Acceptable use policies outline the expected behavior from personnel when using the organization’s information technology and reflect the organization’s risk tolerance 
These policies instruct personnel on what they can and cannot do with company equipment and instruct personnel on correct and incorrect uses of company Internet and email resources. Such policies can legally protect an organization and allow it to act when the policies are violated. 

Good Practice:
It is important that usage policies are supported by technical controls to manage the enforcement of the policies. 
Structuring polices as simple “do” and “do not” requirements that are linked to a purpose can help remove ambiguity and provide personnel with the context for the requirement. 

12.1.1
Defined Approach Requirements: 
An overall information security policy is:

Customized Approach Objective:
The strategic objectives and principles of information security are defined, adopted, and known to all personnel. 

Defined Approach Testing Procedures:

Purpose:
An organization’s overall information security policy ties to and governs all other policies and procedures that define protection of cardholder data. 
The information security policy communicates management’s intent and objectives regarding the protection of its most valuable assets, including cardholder data. 
Without an information security policy, individuals will make their own value decisions on the controls that are required within the organization which may result in the organization neither meeting its legal, regulatory, and contractual obligations, nor being able to adequately protect its assets in a consistent manner. 
To ensure the policy is implemented, it is important that all relevant personnel within the organization, as well as relevant third parties, vendors, and business partners are aware of the organization’s information security policy and their responsibilities for protecting information assets. 

Good Practice:
The security policy for the organization identifies the purpose, scope, accountability, and information that clearly defines the organization’s position regarding information security. 
The overall information security policy differs from individual security policies that address specific technology or security disciplines. This policy sets forth the directives for the entire organization whereas individual security policies align and support the overall security policy and communicate specific objectives for technology or security disciplines. 
It is important that all relevant personnel within the organization, as well as relevant third parties, vendors, and business partners are aware of the organization’s information security policy and their responsibilities for protecting information assets. 

Definitions:
“Relevant” for this requirement means that the information security policy is disseminated to those with roles applicable to some or all the topics in the policy, either within the company or because of services/functions performed by a vendor or third party 

A.14.2.5 Принципы безопасного проектирования систем 
Мера обеспечения информационной безопасности: Принципы безопасного проектирования систем должны быть установлены, документированы, поддерживаться и применяться к любым работам по реализации информационной системы 

7.5.1 General
The organization’s information security management system shall include:

NOTE The extent of documented information for an information security management system can differ from one organization to another due to:

11. Для проведения работ по аттестации владелец объекта информатизации представляет в орган по аттестации следующие документы или их копии:

По решению владельца объекта информатизации указанные в настоящем пункте документы (их копии) представляются в орган по аттестации в виде электронных документов.

2.2.4
Определенные Требования к Подходу:
Включаются только необходимые службы, протоколы, демоны и функции, а все ненужные функции удаляются или отключаются.

Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы путем использования ненужных функций, присутствующих в системном компоненте.

Определенные Процедуры Тестирования Подхода:

Цель:
Ненужные службы и функции могут предоставить злоумышленникам дополнительные возможности для получения доступа к системе. Удаляя или отключая все ненужные службы, протоколы, демоны и функции, организации могут сосредоточиться на обеспечении безопасности необходимых функций и снизить риск использования неизвестных или ненужных функций.

Надлежащая практика:
Существует множество протоколов, которые могут быть включены по умолчанию и которые обычно используются злоумышленниками для компрометации сети. Отключение или удаление всех неиспользуемых служб, функций и протоколов сводит к минимуму потенциальную возможность атаки — например, путем удаления или отключения неиспользуемого FTP или веб-сервера.

Примеры:
Ненужные функциональные возможности могут включать, но не ограничиваться ими, скрипты, драйверы, функции, подсистемы, файловые системы, интерфейсы (USB и Bluetooth) и ненужные веб-серверы.

12.1.1
Определенные Требования к Подходу:
Общая политика информационной безопасности - это:

Цель Индивидуального подхода:
Стратегические цели и принципы информационной безопасности определены, приняты и известны всему персоналу.

Определенные Процедуры Тестирования Подхода:

Цель:
Общая политика информационной безопасности организации связана со всеми другими политиками и процедурами, определяющими защиту данных о держателях карт, и регулирует их.
Политика информационной безопасности отражает намерения и цели руководства в отношении защиты его наиболее ценных активов, включая данные о держателях карт.
Без политики информационной безопасности отдельные лица будут принимать свои собственные ценностные решения в отношении средств контроля, которые требуются в организации, что может привести к тому, что организация не будет выполнять свои юридические, нормативные и договорные обязательства, а также не сможет надлежащим образом защитить свои активы последовательным образом.
Для обеспечения реализации политики важно, чтобы весь соответствующий персонал в организации, а также соответствующие третьи стороны, поставщики и деловые партнеры были осведомлены о политике информационной безопасности организации и их обязанностях по защите информационных активов.

Надлежащая практика:
Политика безопасности организации определяет цель, сферу охвата, подотчетность и информацию, которая четко определяет позицию организации в отношении информационной безопасности.
Общая политика информационной безопасности отличается от отдельных политик безопасности, которые касаются конкретных технологий или дисциплин безопасности. Эта политика устанавливает директивы для всей организации, в то время как отдельные политики безопасности согласовывают и поддерживают общую политику безопасности и сообщают конкретные цели для технологий или дисциплин безопасности.
Важно, чтобы весь соответствующий персонал в организации, а также соответствующие третьи стороны, поставщики и деловые партнеры были осведомлены о политике информационной безопасности организации и их обязанностях по защите информационных активов.

Определения:
“Соответствующий” для этого требования означает, что политика информационной безопасности распространяется среди лиц, чьи роли применимы к некоторым или всем разделам политики, либо внутри компании, либо из-за услуг/функций, выполняемых поставщиком или третьей стороной

12.2.1
Определенные Требования к Подходу:
Документируются и внедряются политики приемлемого использования технологий конечного пользователя, включая:

Цель Индивидуального подхода:
Использование технологий конечного пользователя определяется и управляется для обеспечения авторизованного использования.

Примечания по применению:
Примеры технологий конечного пользователя, для которых ожидается приемлемая политика использования, включают, но не ограничиваются ими, удаленный доступ и беспроводные технологии, ноутбуки, планшеты, мобильные телефоны и съемные электронные носители, использование электронной почты и использование Интернета.

Определенные Процедуры Тестирования Подхода:

Цель:
Технологии для конечных пользователей являются значительными инвестициями и могут представлять значительный риск для организации, если ими не управлять должным образом. Политика приемлемого использования описывает ожидаемое поведение персонала при использовании информационных технологий организации и отражает толерантность организации к риску
Эти правила инструктируют персонал о том, что они могут и не могут делать с оборудованием компании, а также инструктируют персонал о правильном и неправильном использовании ресурсов Интернета и электронной почты компании. Такая политика может юридически защитить организацию и позволить ей действовать в случае нарушения политики.

Надлежащая практика:
Важно, чтобы политики использования поддерживались техническими средствами контроля для управления применением политик.
Структурирование политики в виде простых требований “делать” и “не делать”, связанных с целью, может помочь устранить двусмысленность и предоставить персоналу контекст для требования.

А.8.27 Архитектура и принципы проектирования безопасных систем
Для любой деятельности по разработке информационных систем должны быть установлены, задокументированы, поддерживаться и применяться принципы проектирования безопасных систем.

1.14. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны:

Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны устанавливать во внутренних документах порядок регистрации событий операционного риска, связанных с нарушением операционной надежности. По каждому событию операционного риска, связанному с нарушением операционной надежности, некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечивать регистрацию:

Принципы безопасного проектирования систем должны быть установлены, задокументированы, поддерживаться и применяться к любым работам по реализации информационной системы.

Процедуры безопасного проектирования информационных систем, основанные на указанных выше принципах, должны быть установлены, задокументированы и применены к внутренним процессам по проектированию информационных систем. Безопасность должна проектироваться на всех уровнях архитектуры (бизнес, данные, приложения и технологии), чтобы сбалансировать потребность в ИБ и удобстве. Новые технологии должны быть проанализированы на предмет угроз безопасности, а решения должны быть рассмотрены с точки зрения известных шаблонов атак.

Эти принципы и установленные процедуры проектирования должны регулярно пересматриваться, чтобы гарантировать, что они эффективно способствуют развитию стандартов безопасности в процессе проектирования. Их также следует регулярно пересматривать, чтобы обеспечить их актуальность с точки зрения борьбы с любыми потенциальными новыми угрозами и их пригодности к постоянно улучшающимся применяемым технологиям и решениям.

Установленные принципы безопасного проектирования должны применяться, по возможности, к информационным системам, находящимся на аутсорсинге, при помощи обязательных соглашений и контрактов между организацией и поставщиком. Организация должна подтвердить, что строгость принципов безопасного проектирования сопоставима с ее собственными.

Процедуры разработки приложений должны применять методы безопасного проектирования при разработке приложений, имеющих интерфейсы ввода и вывода. Методы безопасного проектирования предоставляют методическую основу для методов аутентификации пользователей, безопасного управления сессиями и валидации данных, санитизации и удаления отладочной информации.

А.8.27 Secure system architecture and engineering principles
Principles for engineering secure systems shall be established, documented, maintained and applied to any information system development activities.