нормативный материал
Введение
ПРИНЯТЫ И ВВЕДЕНЫ в действие Распоряжением Банка России от 17 мая 2014 года № Р-400.
В соответствии с действующим стандартом Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения” (далее — СТО БР ИББС-1.0) организациям банковской системы Российской Федерации (БС РФ) требуется принимать меры к обеспечению информационной безопасности (ИБ) автоматизированных банковских систем (АБС) на всех стадиях их жизненного цикла.
Принятие мер к обеспечению ИБ на стадиях жизненного цикла АБС осуществляется с целью выполнения следующих основных задач:
- обеспечение реализации в АБС необходимых требований к обеспечению ИБ, установленных законодательством Российской Федерации, в том числе нормативными актами Банка России, СТО БР ИББС-1.0, внутренними документами организации БС РФ;
- снижение рисков нарушения ИБ, связанных с наличием уязвимостей в АБС;
- контроль обеспечения ИБ в рамках эксплуатации АБС;
- снижение рисков нарушения ИБ, в том числе рисков утечки информации, на этапе сопровождения, модернизации АБС и вывода из эксплуатации АБС;
- оперативная модернизация АБС в случае выявления недопустимых рисков нарушения ИБ,связанных с ее эксплуатацией.
С целью установления рекомендаций по выполнению указанных задач настоящий документ устанавливает положения:
- по организации работ на этапах жизненного цикла АБС, в том числе обеспечивающей возможность контроля с целью установления доверия к проведению указанных работ и, соответственно, доверия к реализации обеспечения ИБ в АБС;
- по составу типовых недостатков в реализации требований к обеспечению ИБ в АБС, создающих условия для возникновения недопустимых рисков нарушения ИБ при эксплуатации АБС (далее - типовые недостатки в обеспечении ИБ АБС);
- по составу, содержанию и порядку проведения работ по контролю исходного кода программного обеспечения АБС, оценке защищенности АБС и по контролю параметров настроек технических защитных мер (выявление ошибок конфигурации).
Область применения
Настоящие рекомендации распространяются на организации БС РФ, реализующие требования СТО БР ИББС-1.0 по обеспечению ИБ на этапах жизненного цикла АБС в рамках построения (совершенствования) системы обеспечения ИБ, а также на организации, привлекаемые организациями БС РФ для выполнения работ на стадиях жизненного цикла АБС.
Настоящий документ применяется в организациях БС РФ и иных организациях путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах и договорах, заключаемых организацией БС РФ.
Рекомендательный статус документа допускает, что по решению организации БС РФ вместо его отдельных положений могут применяться иные положения, обеспечивающие эквивалентный (аналогичный) уровень обеспечения ИБ в АБС на различных стадиях их жизненного цикла.
Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.
Полный текст документа представлен на официальном сайте Банка России (ссылку см. ниже)