4. "Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009" (приняты и введены в действие Распоряжением Банка России от 11.11.2009 N Р-1190)

4.1. Информационные активы организации БС РФ рассматриваются в совокупности с соответствующими им объектами среды. При этом обеспечение свойств ИБ для информационных активов выражается в создании необходимой защиты соответствующих им объектов среды.

4.2. Угрозы ИБ реализуются их источниками (источниками угроз ИБ), которые могут воздействовать на объекты среды информационных активов организации БС РФ. В случае успешной реализации угрозы ИБ информационные активы теряют часть или все свойства ИБ.

4.3. Оценка рисков нарушения ИБ проводится для типов информационных активов (типов информации), входящих в предварительно определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяются и документально оформляются:

- полный перечень типов информационных активов, входящих в область оценки;

- полный перечень типов объектов среды, соответствующих каждому из типов информационных активов области оценки;

- модель угроз ИБ, описывающую угрозы ИБ для всех выделенных в организации БС РФ типов объектов среды на всех уровнях иерархии информационной инфраструктуры организации БС РФ.

Формирование перечня источников угроз и моделей угроз рекомендуется проводить с учетом положений СТО БР ИББС-1.0, а также перечня основных источников угроз ИБ, приведенных в приложении 1.

4.4. Перечень типов информационных активов формируется на основе результатов выполнения в организации БС РФ классификации информационных активов. Состав перечня типов информационных активов (классификация информации) не должен противоречить нормам законодательства РФ, в том числе нормативных актов Банка России.

В качестве примера используется следующий перечень типов информационных активов в организации БС РФ:

- информация ограниченного доступа:

- информация, содержащая сведения, составляющие банковскую тайну:

- платежная информация (информация, предназначенная для проведения расчетных, кассовых и других банковских операций и учетных операций);

- информация, содержащая сведения, составляющие коммерческую тайну;

- персональные данные;

- управляющая информация платежных, информационных и телекоммуникационных систем (информация, используемая для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации);

- открытая (общедоступная) информация.

В конкретной организации БС РФ указанный перечень может быть изменен в соответствии с принятыми в ней подходами к классификации информационных активов и уровнем детализации типов информационных активов при проведении оценки рисков нарушения ИБ.

4.5. Формирование перечней типов объектов среды выполняется в соответствии с иерархией уровней информационной инфраструктуры организации БС РФ, определенной в СТО БР ИББС-1.0. В частности, указанные перечни могут содержать следующие типы объектов среды:

- линии связи и сети передачи данных;

- сетевые программные и аппаратные средства, в том числе сетевые серверы;

- файлы данных, базы данных, хранилища данных;

- носители информации, в том числе бумажные носители;

- прикладные и общесистемные программные средства;

- программно-технические компоненты автоматизированных систем;

- помещения, здания, сооружения;

- платежные и информационные технологические процессы.

4.6. Риск нарушения ИБ определяется на основании качественных оценок:

- степени возможности реализации угроз ИБ (далее - СВР угроз ИБ) выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов информационных активов;

- степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов (далее - СТП нарушения ИБ).

4.7. Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выполняемой сотрудниками службы ИБ организации БС РФ с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы информационных активов. Взаимодействие сотрудников указанных подразделений осуществляется в рамках постоянно действующей или создаваемой на время проведения оценки рисков нарушения ИБ рабочей группы.

4.8. К экспертной оценке СВР угроз ИБ и СТП нарушения ИБ привлекаются сотрудники организации БС РФ, обладающие необходимыми знаниями, образованием и опытом работы.

4.8.1. Рекомендуется, чтобы эксперты, привлекаемые для оценки СВР угроз ИБ и СТП нарушения ИБ из числа сотрудников службы ИБ или подразделения информатизации организации БС РФ, имели:

знания законодательства РФ в области обеспечения информационной безопасности;

знания международных и национальных стандартов в области обеспечения информационной безопасности;

знания нормативных актов и предписаний регулирующих и надзорных органов в области обеспечения информационной безопасности;

знания внутренних документов организации БС РФ, регламентирующих деятельность в области обеспечения информационной безопасности;

знания о современных средствах вычислительной и телекоммуникационной техники, операционных системах, системах управления базами данных, а также о конкретных способах обеспечения информационной безопасности в них;

знания о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реализации угроз ИБ в прошлом;

знания о способах обеспечения информационной безопасности в платежных, информационных и телекоммуникационных системах организации БС РФ;

понимание различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.

4.8.2. Рекомендуется, чтобы эксперты, привлекаемые для оценки СТП нарушения ИБ из числа сотрудников профильных подразделений, имели:

знания законодательства РФ в области своей профессиональной деятельности;

знания нормативных актов и предписаний регулирующих и надзорных органов в области своей профессиональной деятельности;

знания внутренних документов организации БС РФ, регламентирующих их профессиональную деятельность;

знания бизнес-процессов организации БС РФ, а также организации платежных и информационных технологических процессов в области своей профессиональной деятельности;

понимание степени влияния возможных инцидентов ИБ на функционирование бизнес-процессов организации БС РФ в области своей профессиональной деятельности;

знания о платежных, информационных и телекоммуникационных системах организации БС РФ в области своей профессиональной деятельности.

4.8.3. Рекомендуется, чтобы каждый эксперт, привлекаемый для оценки рисков нарушения ИБ, соответствовал следующим характеристикам:

имел высшее образование;

четырехлетний опыт постоянной работы в своей профессиональной области;

поддерживал и совершенствовал собственные знания;

имел способность идентифицировать в организации БС РФ людей, которые могут предоставить необходимую информацию;

обладал навыками делового и управленческого взаимодействия.

4.8.4. Если работники организации БС РФ не обладают необходимыми знаниями и опытом для оценки СВР угроз ИБ, рекомендуется привлекать консультантов или экспертов, которые не являются работниками организации БС РФ.