Структура документа
Весь документ

РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ

РС БР ИББС-2.6-2014

ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ

ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА СТАДИЯХ ЖИЗНЕННОГО ЦИКЛА
АВТОМАТИЗИРОВАННЫХ БАНКОВСКИХ СИСТЕМ

Дата введения: 2014-09-01

Предисловие

ПРИНЯТЫ И ВВЕДЕНЫ в действие Распоряжением Банка России от 10 июля 2014 года N Р-556.

Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.

Введение

В соответствии с действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) организациям банковской системы Российской Федерации (БС РФ) требуется принимать меры к обеспечению информационной безопасности (ИБ) автоматизированных банковских систем (АБС) на всех стадиях их жизненного цикла.

Принятие мер к обеспечению ИБ на стадиях жизненного цикла АБС осуществляется с целью выполнения следующих основных задач:

- обеспечение реализации в АБС необходимых требований к обеспечению ИБ, установленных законодательством Российской Федерации, в том числе нормативными актами Банка России, СТО БР ИББС-1.0, внутренними документами организации БС РФ;

- снижение рисков нарушения ИБ, связанных с наличием уязвимостей в АБС;

- контроль обеспечения ИБ в рамках эксплуатации АБС;

- снижение рисков нарушения ИБ, в том числе рисков утечки информации, на этапе сопровождения, модернизации АБС и вывода из эксплуатации АБС;

- оперативная модернизация АБС в случае выявления недопустимых рисков нарушения ИБ, связанных с ее эксплуатацией.

С целью установления рекомендаций по выполнению указанных задач настоящий документ устанавливает положения:

- по организации работ на этапах жизненного цикла АБС, в том числе обеспечивающей возможность контроля с целью установления доверия к проведению указанных работ и, соответственно, доверия к реализации обеспечения ИБ в АБС;

- по составу типовых недостатков в реализации требований к обеспечению ИБ в АБС, создающих условия для возникновения недопустимых рисков нарушения ИБ при эксплуатации АБС (далее - типовые недостатки в обеспечении ИБ АБС);

- по составу, содержанию и порядку проведения работ по контролю исходного кода программного обеспечения АБС, оценке защищенности АБС и по контролю параметров настроек технических защитных мер (выявление ошибок конфигурации).

1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Общие положения
6. Стадия разработки технического задания
7. Стадия проектирования АБС
8. Стадия создания и тестирования АБС
9. Стадия приемки и ввода в действие
10. Стадия эксплуатации
11. Сопровождение и модернизация АБС
12. Стадия снятия с эксплуатации
Приложение 1. ТИПОВЫЕ НЕДОСТАТКИ В РЕАЛИЗАЦИИ ФУНКЦИЙ БЕЗОПАСНОСТИ АВТОМАТИЗИРОВАННЫХ СИСТЕМ
1. Общие недостатки АБС и банковских приложений
2. Типовые недостатки приложений дистанционного банковского обслуживания и электронных средств платежа
3. Типовые недостатки веб-приложений
4. Типовые недостатки систем управления базами данных
5. Типовые недостатки операционных систем
6. Типовые недостатки телекоммуникационного оборудования
7. Типовые недостатки технологий виртуализации
Приложение 2. РЕКОМЕНДАЦИИ К ПРОВЕДЕНИЮ КОНТРОЛЯ ИСХОДНОГО КОДА
Приложение 3. РЕКОМЕНДАЦИИ К ПРОВЕДЕНИЮ ОЦЕНКИ ЗАЩИЩЕННОСТИ
1. Тестирование на проникновение
2. Выявление известных уязвимостей
Приложение 4. РЕКОМЕНДАЦИИ К ПРОВЕДЕНИЮ КОНТРОЛЯ ПАРАМЕТРОВ НАСТРОЕК ТЕХНИЧЕСКИХ ЗАЩИТНЫХ МЕР (ВЫЯВЛЕНИЕ ОШИБОК КОНФИГУРАЦИИ)