Первая страница
Наша команда
Контакты
О нас

    Главная страница


Утвержден и введен в действие Приказом Ростехрегулирования




страница1/10
Дата01.07.2017
Размер2.38 Mb.
  1   2   3   4   5   6   7   8   9   10
Утвержден и введен в действие
Приказом Ростехрегулирования
от 27 декабря 2007 г. N 514-ст
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФИНАНСОВЫЕ УСЛУГИ

РЕКОМЕНДАЦИИ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ISO/TR 13569:2005 Financial services - Information security guidelines

(IDT)

ГОСТ Р ИСО/ТО 13569-2007
Группа Т00
ОКС 01.040.01
35.040
Дата введения
1 июля 2008 года
Предисловие
Цели и принципы стандартизации в Российской Федерации установлены

Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании",

а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-

2004 "Стандартизация в Российской Федерации. Основные положения".


Сведения о стандарте
1. Подготовлен Федеральным государственным учреждением "Государственный
____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
научно-исследовательский испытательный институт проблем технической защиты

информации Федеральной службы по техническому и экспортному контролю" (ФГУ

"ГНИИИ ПТЗИ ФСТЭК России") и обществом с ограниченной ответственностью

"Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") на основе

собственного аутентичного перевода стандарта, указанного в пункте 5.
2. Внесен Управлением технического регулирования и стандартизации

Федерального агентства по техническому регулированию и метрологии.


3. Утвержден и введен в действие Приказом Федерального агентства по

техническому регулированию и метрологии от 27 декабря 2007 г. N 514-ст.


4. Введен впервые.
5. Настоящий стандарт идентичен международному стандарту ИСО/ТО

13569:2005 "Финансовые услуги. Рекомендации по информационной безопасности"

(ISO/TR 13569:2005 "Financial services - Information security guidelines").
При применении настоящего стандарта рекомендуется использовать вместо

ссылочных международных стандартов соответствующие им национальные стандарты

Российской Федерации, сведения о которых приведены в дополнительном

Приложении E.


Информация об изменениях к настоящему стандарту публикуется в ежегодно

издаваемом информационном указателе "Национальные стандарты", а текст изменений

и поправок - в ежемесячно издаваемых информационных указателях "Национальные

стандарты". В случае пересмотра (замены) или отмены настоящего стандарта

соответствующее уведомление будет опубликовано в ежемесячно издаваемом

информационном указателе "Национальные стандарты". Соответствующая

информация, уведомления и тексты размещаются также в информационной системе

общего пользования - на официальном сайте Федерального агентства по техническому

регулированию и метрологии в сети Интернет.
Введение
Финансовые услуги как экономическая категория отражают процесс

использования денежных средств на основе товарно-денежного обращения. Оказание

финансовых услуг за прошедшее десятилетие изменилось как с точки зрения

масштабности их осуществления, так и в связи с внедрением компьютерных и сетевых

технологий в эту сферу деятельности. При этом подобные операции осуществляются

как внутри государства, так и при взаимодействии организаций разных стран.


____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
Настоящий стандарт дает представление о системе обеспечения информационной

безопасности в процессе оказания финансовых услуг с учетом сложившейся практики

на международном уровне, что особенно важно для организаций, стремящихся

развивать свою деятельность за пределами Российской Федерации.


1. Область применения
Настоящий стандарт устанавливает рекомендации по разработке программы

обеспечения информационной безопасности для организаций в сфере финансовых

услуг. Разработка рекомендаций основывалась на рассмотрении бизнес-среды,

практических приемов и процедур деятельности финансовых учреждений. Настоящий

стандарт предназначен для использования финансовыми учреждениями различного

типа и размера, которые должны разрабатывать рациональную и экономически

обоснованную программу обеспечения информационной безопасности.
2. Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие международные

стандарты:


ИСО 9564 (все части). Банковское дело. Менеджмент и обеспечение безопасности

персональных идентификационных номеров


ИСО 10202 (все части). Банковские карточки для финансовых операций.

Архитектура безопасности систем финансовых операций, использующих смарт-карты


ИСО 11568 (все части). Банковское дело. Менеджмент ключей (розничная

торговля)


ИСО/МЭК 11770 (все части). Информационная технология. Методы и средства

обеспечения безопасности. Менеджмент ключей


ИСО 15782 (все части). Менеджмент сертификатов в сфере финансовых услуг
ИСО 16609:2004. Банковское дело. Требования к аутентификации сообщений,

используя симметричные методы


ИСО/МЭК 17799:2005. Информационная технология. Практические правила

управления информационной безопасностью


ИСО/МЭК 18028 (все части). Информационная технология. Методы и средства
____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
обеспечения безопасности. Безопасность информационной сети
ИСО/МЭК 18033 (все части). Информационная технология. Методы и средства

обеспечения безопасности. Алгоритмы шифрования


ИСО 21188:2006. Инфраструктура открытых ключей для сферы финансовых услуг.

Практические приемы и структура политики.


3. Термины и определения
В настоящем стандарте применены следующие термины с соответствующими

определениями:


3.1. Управление доступом (access control): функции, ограничивающие доступ к

информации или средствам обработки информации только авторизованным лицам или

приложениям, включая физическое управление доступом, основанное на размещении

физических барьеров между неавторизованными лицами и защищаемыми

информационными ресурсами, и логические средства управления доступом,

использующие другие способы управления.


3.2. Подотчетность (accountability): свойство, обеспечивающее однозначное

прослеживание действий любого логического объекта.


[ИСО 7498-2:1989] [1], [ИСО/МЭК 13335-1:2004] [2].
3.3. Сигнал тревоги (alarm): указание на нарушение безопасности, необычное или

опасное состояние, которое может потребовать немедленного внимания.


3.4. Активы (asset): все, что имеет ценность для организации [2].
3.5. Аудит (audit): служба, задачей которой является проверка наличия адекватных

мер контроля и сообщение руководству соответствующего уровня о несоответствиях.


3.6. Журнал аудита (audit journal): запись в хронологическом порядке действий

системы, содержащей достаточно сведений для того, чтобы реконструировать,

проанализировать и проверить последовательность сред и действий, окружающих

каждое событие или ведущих к каждому событию по ходу операции от ее начала до

выдачи окончательных результатов.
[ИСО 15782-1:2003] [3].
3.7. Аутентификация (authentication): предоставление гарантии заявленной

идентичности объекта.


____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
[ИСО/МЭК 10181-1:1196] [4], [ИСО/МЭК ТО 13335-4:2000] [5].
3.8. Аутентичность (authenticity): свойство, гарантирующее, что субъект или ресурс

идентичны заявленным.


Примечание. Аутентичность применяется к таким субъектам, как пользователи, к

процессам, системам и информации.


3.9. Доступность (availability): характеристика, определяющая доступность и

используемость по запросу со стороны авторизованного логического объекта [1], [2].


3.10. Резервное копирование (back-up): сохранение бизнес-информации для

обеспечения непрерывности бизнес-процесса в случае утраты информационных

ресурсов.
3.11. Биометрические данные (biometric): измеримая биологическая или

поведенческая характеристика, с достоверностью отличающая одного человека от

другого, используемая для установления либо подтверждения личности человека.
[ANSI X9.84:2003] [6].
3.12. Биометрия (biometrics): автоматические методы, используемые для

распознавания личности или подтверждения заявленной личности человека на основе

физиологических или поведенческих характеристик.
3.13. Метод аутентификации карточек (МАК) (card authentication method (CAM)):

метод, делающий возможной уникальную машиночитаемую идентификацию

банковской карточки для финансовых операций и предотвращающий копирование

карт.
3.14. Классификация (classification): схема, в соответствии с которой информация

подразделяется на категории с целью применения соответствующих защитных мер

против этих категорий.


Примечание. Соответствующие защитные меры применяют для следующих

категорий: возможность мошенничества, конфиденциальность или критичность

информации.
3.15. Конфиденциальность (confidentialit): свойство информации быть недоступной

и закрытой для неавторизованного индивидуума, логического объекта или процесса [1],

[2], [3].
3.16. План действий в чрезвычайных обстоятельствах (contingency plan): порядок

действия, который позволяет организации восстановить работу после природного или

иного бедствия.
____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
3.17. Мера управления (control): по 3.64, термин "защитная мера".
3.18. Политика информационной безопасности организации [политика] (corporate

information security policy) [policy]: общее положение о намерениях и целях разработки

программы обеспечения информационной безопасности организации.
3.19. Кредитный риск (credit risk): риск того, что контрагент в системе будет не

способен полностью выполнить свои финансовые обязательства в системе в срок или в

любое время в будущем.
[CPSS Ключевые принципы для системно значимых платежных систем] [7].
3.20. Критичность (criticality): требования к тому, чтобы конкретная информация

или средства обработки информации были доступны для ведения бизнеса.


3.21. Криптография (cryptography): математический аппарат, используемый для

шифрования или аутентификации информации.


3.22. Криптографическая аутентификация (cryptographic authentication):

аутентификация, основанная на цифровой подписи, коде аутентификации сообщения,

генерируемых в соответствии с криптографическим ключом.
3.23. Криптографический ключ (cryptographic key): значение, используемое для

управления криптографическим процессом, таким как шифрование или

аутентификация.
Примечание. Знание соответствующего криптографического ключа дает

возможность правильно дешифровать сообщение или подтвердить его целостность.


3.24. Уничтожение информации (destruction of information): любое условие,

делающее информацию непригодной для использования независимо от причины.


3.25. Цифровая подпись (digital signature): криптографическое преобразование,

которое, будучи связано с элементом данных, обеспечивает услуги по аутентификации

источника, целостности данных и неотказуемости подписавшей стороны.
[ANSI X9.79] [8].
3.26. Раскрытие информации (disclosure of information): несанкционированный

просмотр или потенциальная возможность несанкционированного просмотра

информации.
3.27. Двойной контроль (dual control): процесс использования двух или более

отдельных логических объектов (обычно людей), действующих совместно для

обеспечения защиты важных функций или информации [3].
Примечания. 1. Оба логических объекта несут равную ответственность за

обеспечение физической защиты материалов, задействованных в уязвимых операциях.


____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
Ни один человек в отдельности не может получить доступ к материалам (например,

криптографическому ключу) или использовать их.


2. При ручном формировании, передаче, загрузке, хранении и извлечении ключей

и сертификатов двойной контроль требует, чтобы каждый из сотрудников знал только

часть ключа.
3. При использовании двойного контроля следует позаботиться о том, чтобы

обеспечить независимость лиц друг от друга.


3.28. Шифрование (encryption): процесс преобразования информации к виду, когда

она не имеет смысла ни для кого, кроме обладателей криптографического ключа.


Примечание. Использование шифрования защищает информацию в период между

процессом шифрования и процессом дешифрования (который является

противоположным шифрованию) от несанкционированного раскрытия.
3.29. Межсетевой экран (firewall): совокупность компонентов, помещенных между

двумя сетями, которые вместе обладают следующими свойствами:


- весь входящий и исходящий сетевой трафик должен проходить через межсетевой

экран;
- пропускается только сетевой трафик, авторизованный в соответствии с

локальной политикой безопасности;
- межсетевой экран сам по себе устойчив к проникновению.
3.30. Идентификация (identification): процесс установления единственным образом

однозначной идентичности объекта [5].


3.31. Образ (image): цифровое представление документа для обработки или

хранения в системе обработки информации.


3.32. Инцидент (incident): любое непредвиденное или нежелательное событие,

которое может нарушать деятельность или информационную безопасность [2].


Примечание. К инцидентам информационной безопасности относятся:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки;
- ошибки пользователей;
- несоблюдение политик или рекомендаций;
____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
- нарушение физических защитных мер;
- неконтролируемые изменения систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
3.33. Средство(а) обработки информации (information processing facility): любая

система обработки информации, сервис или инфраструктура, или их физические места

размещения [2].
3.34. Информация (information): любые данные, представленные в электронной

форме, написанные на бумаге, высказанные на совещании или находящиеся на любом

другом носителе, используемые финансовым учреждением для принятия решений,

перемещения денежных средств, установления ставок, предоставления ссуд, обработки

операций и т.п., включая компоненты программного обеспечения системы обработки.
3.35. Информационные активы (information asset): информационные ресурсы или

средства обработки информации организации.


3.36. Информационная безопасность (information security): все аспекты, связанные с

определением, достижением и поддержанием конфиденциальности, целостности,

доступности, неотказуемости, подотчетности, аутентичности и достоверности

информации или средств ее обработки [2].


3.37. Лицо, ответственное за информационную безопасность (information security

officer): лицо, отвечающее за внедрение и поддержку программы обеспечения

информационной безопасности.
3.38. Информационные ресурсы (information resource): оборудование, используемое

для обработки, передачи или хранения информации, независимо от того, находится оно

внутри организации или за ее пределами.
Примечание. К подобному оборудованию относятся: телефоны, факсимильные

аппараты и компьютеры.


3.39. Целостность (integrity): свойство сохранения правильности и полноты

активов [2].


3.40. Ключ (key): по 3.23, термин "Криптографический ключ".
3.41. Использование фальшивого чека (kiting): использование фальшивого чека для

получения кредита или денег.


3.42. Правовой риск (legal risk): риск потерь из-за непредвиденного применения
____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
закона или нормативного акта или из-за невозможности выполнения контракта [7].
3.43. Гарантийное письмо (letter of assurance): документ, описывающий меры

обеспечения информационной безопасности, применяемые для защиты информации,

хранимой по поручению получателя письма.
3.44. Риск ликвидности (liquidity risk): риск того, что у контрагента в системе будет

недостаточно средств для выполнения своих финансовых обязательств в системе в

полном объеме в срок, хотя существует возможность, что он сможет сделать это в

какой-то момент в будущем [7].


3.45. Код аутентификации сообщений (КАС) (message authentication code MAC): код,

который присоединяется к сообщению его автором, являющийся результатом

обработки сообщения посредством криптографического процесса.
Примечание. Если получатель может создать такой же код, возникает уверенность

в том, что сообщение не было модифицировано и что оно исходит от владельца

соответствующего криптографического ключа.
3.46. Модификация информации (modification of information): обнаруженное или

необнаруженное несанкционированное или случайное изменение информации.


3.47. Принцип необходимого знания (need to know): концепция безопасности,

ограничивающая доступ к информации и ресурсам обработки информации в объеме,

необходимом для выполнения обязанностей данного лица.
3.48. Сеть (network): совокупность систем связи и систем обработки информации,

которая может использоваться несколькими пользователями.


3.49. Неотказуемость (non-repudiation): способность удостоверять имевшее место

действие или событие так, чтобы эти события или действия не могли быть позже

отвергнуты [1], [2].
[ИСО/МЭК 13888-1:2004] [9].
3.50. Операционный риск (operational risk): риск того, что операционные факторы,

такие как технические нарушения функционирования или операционные ошибки,

вызовут или усугубят кредитный риск или риск ликвидности [7].
3.51. Обладатель информации (owner of information): работник или служба,

отвечающие за сбор и сохранение данной совокупности информации.


3.52. Пароль (password): строка символов, служащая в качестве аутентификатора

пользователя.


3.53. Целесообразная бизнес-практика (prudent business practice): совокупность

практических приемов, которые были в целом признаны как необходимые.


____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
3.54. Достоверность (reliability): свойство соответствия предусмотренному

поведению и результатам [2].


3.55. Остаточный риск (residual risk): риск, остающийся после его обработки [2].
3.56. Риск (risk): потенциальная опасность нанесения ущерба организации в

результате реализации некоторой угрозы с использованием уязвимостей актива или

группы активов [2].
Примечание. Определяется как сочетание вероятности события и его

последствий.


3.57. Принятие риска (risk acceptance): решение организации взять риск на себя,

связанное с исключением в политике.


3.58. Анализ риска (risk analysis): систематический процесс определения величины

рисков [2].


3.59. Оценка риска (risk assessment): процесс, объединяющий идентификацию

риска, анализ риска и оценивание риска [2].


3.60. Оценивание риска (risk evaluation): процесс сравнения проанализированных

уровней риска с заранее установленными критериями и идентификации областей, где

требуется обработка риска.
3.61. Идентификация риска (risk identification): процесс идентификации рисков,

рассматривающий бизнес-цели, угрозы и уязвимости как основу для дальнейшего

анализа.
3.62. Менеджмент риска (risk management): полный процесс идентификации,

контроля, устранения или уменьшение последствий вероятных событий, которые могут

оказать влияние на ресурсы информационно-телекоммуникационных технологий [2].
3.63. Обработка риска (risk treatment): процесс выбора и реализации мер по

изменению рисков.


3.64. Защитная мера (safeguard): сложившаяся практика, процедура или механизм

обработки риска [2].


Примечание. Следует заметить, что понятие "защитная мера" может считаться

синонимом понятия "мера управления".


3.65. Безопасность (security): качество или состояние защищенности от

несанкционированного доступа или неконтролируемых потерь или воздействий.


Примечания. 1. Абсолютная безопасность является практически недостижимой, а
____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
качество определенной системы безопасности - относительным.
2. В рамках системы безопасности "состояние-модель" безопасность является

таким "состоянием", которое должно сохраняться при различных операциях.


3.66. Сервер (server): компьютер, действующий как поставщик некоторых услуг,

таких как обработка коммуникаций, обеспечение интерфейса с системой хранения

файлов или печатное устройство.
3.67. Регистрация (sign-on): завершение идентификации и аутентификации

пользователя.


3.68. Разделенное знание (split knowledge): разделение критичной информации на

множество частей так, чтобы требовалось наличие минимального числа частей, перед

выполнением какого-либо действия.
Примечание. Разделенное знание часто используется для осуществления двойного

контроля.


3.69. Карточка хранения ценностей (stored value card): устройство, позволяющее

хранить и осуществлять операции с электронными деньгами.


3.70. Системный риск (systemic risk): риск того, что неспособность одного из

участников выполнить свои обязательства либо нарушения в функционировании самой

системы могут привести к неспособности других участников системы или других

финансовых учреждений в других частях финансовой системы выполнять свои

обязательства в срок [7].
Примечание. Подобный сбой может вызвать распространение проблем с

ликвидностью или кредитами и в результате поставить под угрозу стабильность

системы или финансовых рынков.
3.71. Угроза (threat): потенциальная причина инцидента, который может нанести

ущерб системе или организации [2].


3.72. Средство идентификации (token): контролируемое пользователем устройство

(например, диск, смарт-карта, компьютерный файл), содержащее информацию, которая

может использоваться в электронной торговле для аутентификации или управления

доступом.


3.73. Идентификатор пользователя (user ID): строка символов, используемая для

однозначной идентификации каждого пользователя системы.


3.74. Уязвимость (vulnerability): слабость одного или нескольких активов, которая
____________________________________________________________________________________

Не является официальным изданием предназначено для ознакомительных целей.

Бесплатно предоставляется клиентам компании «Древград» - деревянные дома.
может быть использована одной или несколькими угрозами [2].

  1   2   3   4   5   6   7   8   9   10

  • ISO/TR 13569:2005 Financial services - Information security guidelines (IDT) ГОСТ Р ИСО/ТО 13569-2007
  • Сведения о стандарте
  • 1. Область применения
  • 2. Нормативные ссылки
  • 3. Термины и определения