Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 5

Для проведения оценки соответствия по документу войдите в систему.
5.1. Сущность бизнеса заключается в вовлечении актива, принадлежащего собственнику (организации БС РФ), в бизнес-процесс. Эта деятельность всегда подвержена рискам, так как и на сам актив, и на бизнес-процесс могут воздействовать различного рода угрозы.
Угрозы реализуются через их источники и имеют соответствующую вероятность реализации.
Выделяют источники угроз природного, техногенного и антропогенного характера. Источники угроз антропогенного характера могут быть как злоумышленные, так и незлоумышленные.
5.2. В основе исходной концептуальной схемы ИБ организаций БС РФ лежит противоборство собственника*(2) и злоумышленника*(3) с целью получения контроля над информационными активами. Однако другие, незлоумышленные действия или источники угроз также лежат в сфере рассмотрения настоящего стандарта.
Если злоумышленнику удается установить такой контроль, то как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, наносится ущерб.

*(2) Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику. 
*(3)  Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий (адаптировано из ст. 27 УК РФ).
5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.
Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ.
Незлоумышленные действия собственных работников создают либо уязвимости ИБ, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности информационного актива или параметры системы, которая этот актив поддерживает.
5.5. Практически никогда не известно о готовящемся нападении, оно, как правило, бывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер.
5.6. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем выявления уязвимостей ИБ. Путем поиска или создания уязвимостей ИБ он отрабатывает наиболее эффективный метод нападения (получения контроля над активом).
С целью управления рисками нарушения ИБ собственник создает уполномоченный орган - свою службу ИБ (подразделение (лица) в организации БС РФ, ответственные за обеспечение ИБ), организует создание и эксплуатацию СОИБ, а также организует эксплуатацию АБС в соответствии с правилами и требованиями, задаваемыми СОИБ. Одна из задач службы ИБ - выявление следов активности нарушителя.
5.7. Один из главных инструментов собственника в обеспечении ИБ - основанный на опыте прогноз (составление модели угроз и модели нарушителя)*.
Чем обоснованнее и точнее сделан прогноз в отношении актуальных для организации БС РФ рисков нарушения ИБ, тем адекватнее и эффективнее будут планируемые и предпринимаемые усилия по обеспечению требуемого уровня ИБ. При этом следует учитывать, что со временем угрозы, их источники и риски могут изменяться. Поэтому модели следует периодически пересматривать.

(*) Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используется имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.
5.19. При принятии решений о внедрении защитных мер для противодействия идентифицированным угрозам (рискам) необходимо учитывать, что тем самым одновременно может увеличиваться сложность СОИБ организации БС РФ, что, в свою очередь, как правило, порождает новые риски. Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на общую структуру рисков организации.
5.20. Организация БС РФ осуществляет свою деятельность путем реализации совокупности процессов, среди которых возможно выделение следующих групп:
  • основные процессы, обеспечивающие достижение целей и задач организации БС РФ;
  • вспомогательные процессы, обеспечивающие качество, в том числе обеспечение ИБ организации БС РФ;
  • процессы менеджмента (управления), обеспечивающие поддержку параметров основных и вспомогательных процессов в заданных пределах и их корректировку в случае изменения внешних или внутренних условий.
Такое разделение процессов является условным, так как основные и вспомогательные процессы нередко образуют единое целое, например, функционирование защитных мер составляет часть группы основных процессов. В то же время процессы менеджмента отделены от основных и вспомогательных процессов, которые являются объектами менеджмента.
5.21. Совокупность защитных мер, реализующих обеспечение ИБ организации БС РФ, и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение, составляет СИБ организации БС РФ.
Совокупность процессов менеджмента ИБ, включая ресурсное и административное (организационное) обеспечение этих процессов, составляет СМИБ организации БС РФ.
Совокупность СИБ и СМИБ составляет СОИБ организации БС РФ.
5.22. Процессы эксплуатации защитных мер функционируют в реальном времени. Совокупность защитных мер и процессов их эксплуатации должна обеспечивать текущий требуемый уровень ИБ в условиях штатного функционирования, а также в условиях реализации угроз, учтенных в моделях организации БС РФ и приводящих к возникновению:
  • локальных инцидентов ИБ;
  • широкомасштабных катастроф и аварий различной природы, последствия которых могут иметь отношение к ИБ организации БС РФ.
5.23. СОИБ должна быть определена, спланирована и регламентирована в организации БС РФ. Однако даже правильно выстроенные процессы и используемые защитные меры в силу объективных причин со временем имеют тенденцию к ослаблению своей эффективности. Это неминуемо ведет к деградации системы защиты и возрастанию рисков нарушения ИБ.
Для поддержания системы защиты на должном уровне в качестве оперативной меры используется мониторинг событий и инцидентов в СИБ. Менеджмент событий и инцидентов безопасности, полученных в результате мониторинга ИБ, позволяет избежать деградации и обеспечить требуемый уровень безопасности активов.
Для оценки состояния ИБ защищаемого актива и выявления признаков деградации используемых защитных мер проводится оценка (самооценка) соответствия системы требованиям настоящего стандарта.
5.24. Для реализации и поддержания ИБ в организации БС РФ необходима реализация четырех групп процессов:
  • планирование СОИБ организации БС РФ ("планирование");
  • реализация СОИБ организации БС РФ ("реализация");
  • мониторинг и анализ СОИБ организации БС РФ ("проверка");
  • поддержка и улучшение СОИБ организации БС РФ ("совершенствование").
Указанные группы процессов составляют СМИБ организации БС РФ.
5.25. Менеджмент ИБ есть часть общего корпоративного менеджмента организации БС РФ, которая ориентирована на содействие достижению целей деятельности организации через обеспечение защищенности ее информационной сферы.
Группы процессов СМИБ организации БС РФ следует организовывать в виде циклической модели Деминга "... - планирование - реализация - проверка - совершенствование - планирование - ...”, которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS 27001-2005. Организация и выполнение процессов СМИБ необходимы в том числе для обеспечения уверенности в том, что хороший практический опыт организации БС РФ документируется, становится обязательным к применению, а СОИБ совершенствуется.
5.26. Основой для построения СОИБ организации БС РФ являются требования законодательства РФ, нормативные акты Банка России, контрактные требования организации БС РФ, а также условия ведения бизнеса, выраженные на основе идентификации активов организации БС РФ, построения модели нарушителей и угроз.
5.27. Рисунок 1 иллюстрирует взаимосвязь СИБ, СМИБ и СОИБ организации БС РФ.

Связанные защитные меры

Название Дата Влияние
Community
40 / 60
Управление рисками информационной безопасности
Ежеквартально Вручную Организационная Детективная
08.05.2022
08.05.2022 40 / 60
Цель: выявление и устранение актуальных проблем информационной безопасности.

Общий процесс управления рисками включает следующие подпроцессы:
  1. Оценивание / Risk Assessment
    1. Идентификация / Risk Identification
      Результат: Реестр рисков
    2. Анализ / Risk Analysis
      Результат: оценка параметров рисков (ущерб, вероятность)
    3. Оценка / Risk Evaluation
      Результат: рассчет величины для каждого риска, соотнесение рисков с допустимым уровнем
  2. Обработка / Risk Treatment
    Результат: План обработки рисков
Реализация меры означает выполнение в организации всех подпроцессов управления рисками.
Варианты реализации:
Для обеспечения процесса должны быть определены:
  • область оценки рисков (активы или типы активов, для которых оцениваются риски);
  • ценность (приоритет) активов (типов активов), для которых проводится оценка рисков;
  • периодичность оценивания (ежегодно, ежеквартально, непрерывно/динамически); 
  • методика оценки, включая:
    • формулы расчета величины риска;
    • критерии для оценки рисков;
    • критерии принятия рисков ( = критерии приемлемости риска);
    • риск-аппетит ( = уровень допустимого риска, допустимый остаточный риск);
  • ответственные и роли в процессе;
  • владельцы рисков;
Результатами процесса являются:
  • Реестр рисков, в т.ч.: 
    • реестр недопустимых рисков;
    • реестр принятых рисков;
  • План обработки рисков
    • включает перечень влияющих на риски защитных мер ( = средств управления, контролей).
Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по актуализации реестра рисков, переоценке рисков, проверке полноты и исполнения плана обработки рисков.