Структура документа
Весь документ

СТАНДАРТ БАНКА РОССИИ

СТО БР ИББС-1.3-2016

ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ

СБОР И АНАЛИЗ
ТЕХНИЧЕСКИХ ДАННЫХ ПРИ РЕАГИРОВАНИИ НА ИНЦИДЕНТЫ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ
ДЕНЕЖНЫХ СРЕДСТВ

Дата введения: 2017-01-01

Предисловие

1. ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от 30 ноября 2016 года N ОД-4234.

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.

Введение

Документами Банка России в области стандартизации обеспечения информационной безопасности, в том числе стандартом Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) определена необходимость выполнения организациями банковской системы (далее - БС) Российской Федерации (далее - РФ) деятельности по выявлению инцидентов информационной безопасности (далее - ИБ) и реагированию на инциденты ИБ.

К числу инцидентов ИБ относятся свершившиеся, предпринимаемые или вероятные реализации угроз ИБ, целью и (или) результатом которых являются:

- несанкционированное распоряжение денежными средствами, которое привело или может привести к:

- осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;

- несвоевременности осуществления переводов денежных средств;

- осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях на осуществление переводов денежных средств (реквизитов платежей);

- деструктивное воздействие на информационную инфраструктуру, используемую для осуществления переводов денежных средств, которое привело или может привести к нарушению непрерывности оказания платежных услуг.

Такие угрозы ИБ могут осуществляться как работниками организации БС РФ и иными лицами, имеющими легально предоставленный доступ к информационной инфраструктуре, используемой для осуществления переводов денежных средств (внутренними нарушителями ИБ), так и лицами, не имеющими такого доступа, в том числе не являющимися работниками организации БС РФ (внешними нарушителями ИБ).

Одними из ключевых направлений работ в рамках реагирования на инциденты ИБ являются:

- определение технических способов и схем реализаций угроз ИБ, целью и (или) результатом которых являются несанкционированное распоряжение денежными средствами и (или) нарушение непрерывности оказания платежных услуг (далее - угрозы ИБ), на основе сбора и анализа технических данных, формируемых объектами информационной инфраструктуры организации БС РФ и (или) клиентов;

- предотвращение повторных реализаций угроз ИБ с использованием ранее примененных технических способов и схем;

- проведение идентификации субъектов, реализующих угрозы ИБ, на основе результатов обработки технических данных, полученных в рамках реагирования на инциденты ИБ;

- проведение своевременного выявления маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры, используемыми для осуществления переводов денежных средств, на основе результатов обработки технических данных, полученных в рамках реагирования на инциденты ИБ.

Для обеспечения возможности выполнения указанных направлений работ в рамках системы менеджмента инцидентов ИБ (в том числе на стадии сбора и фиксации информации об инциденте ИБ), реализуемой в соответствии с рекомендациями в области стандартизации Банка России РС БР ИББС-2.5 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" (далее - РС БР ИББС-2.5), организации БС РФ рекомендуется применение методов сбора, обработки, анализа и документирования данных, формируемых объектами информационной инфраструктуры, в том числе техническими средствами защиты информации, используемыми организациями БС РФ и их клиентами для осуществления переводов денежных средств (далее - технические данные), связанных со свершившимися, предпринимаемыми или вероятными реализациями угроз ИБ.

Настоящий документ устанавливает рекомендации к деятельности организаций БС РФ, реализующих функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры, по применению организационных, технологических и технических подходов, связанных со сбором, обработкой, анализом и распространением (передачей) технических данных.

1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Общие положения по организации процесса обработки технических данных в рамках реагирования на инциденты ИБ
6. Рекомендации по сбору технических данных
7. Рекомендации по проведению поиска (выделения) содержательной (семантической) информации, ее анализу и оформлению
8. Рекомендации к распространению (передаче) выделенной и оформленной содержательной (семантической) информации
9. Рекомендации по распределению зон ответственности подразделений организации БС РФ в рамках процесса обработки технических данных
10. Рекомендации по взаимодействию с клиентами организации БС РФ в рамках процесса обработки технических данных
11. Рекомендации к компетенции персонала организации БС РФ и (или) иных внешних организаций, задействованных в процессах обработки технических данных
12. Рекомендации по обеспечению наличия технических данных на этапах создания и эксплуатации информационной инфраструктуры
Приложение А. (справочное) | СТРУКТУРА ПРОТОКОЛА ОБРАБОТКИ ТЕХНИЧЕСКИХ ДАННЫХ
Приложение Б. (справочное) | ПРИМЕР ПРОТОКОЛА ВЫПОЛНЕНИЯ КРИМИНАЛИСТИЧЕСКОЙ КОПИИ (СОЗДАНИЯ ОБРАЗА) НАКОПИТЕЛЯ НА ЖЕСТКИХ МАГНИТНЫХ ДИСКАХ
1. Диск-источник
2. Аутентичная посекторная копия
Приложение В. (справочное) | ПРИМЕРЫ ТЕХНИЧЕСКИХ СРЕДСТВ СБОРА И ОБРАБОТКИ ТЕХНИЧЕСКИХ ДАННЫХ, ИМЕЮЩИХ ОТДЕЛЬНЫЕ ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ