ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 30.07.2021
Просмотров: 292
Скачиваний: 1
ÐÅÊÎÌÅÍÄÀÖÈÈ Â ÎÁËÀÑÒÈ ÑÒÀÍÄÀÐÒÈÇÀÖÈÈ
ÁÀÍÊÀ ÐÎÑÑÈÈ
ÐÑ ÁÐ ÈÁÁÑ-2.2-2009
ÎÁÅÑÏÅ×ÅÍÈÅ
ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ
ÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ
ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈ
ÌÅÒÎÄÈÊÀ ÎÖÅÍÊÈ ÐÈÑÊÎÂ ÍÀÐÓØÅÍÈß
ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ
Дата введения: 20100101
Ìîñêâà
2009
2
РС БР ИББС2.22009
Ïðåäèñëîâèå
1. ПРИНЯТЫ И ВВЕДЕНЫ в действие распоряжением Банка России от 11 ноября 2009 года
№ Р1190.
2. ВВЕДЕНЫ ВПЕРВЫЕ.
Настоящие рекомендации в области стандартизации не могут быть полностью или час
тично воспроизведены, тиражированы и распространены в качестве официального издания без
разрешения Банка России.
3
РС БР ИББС2.22009
Ñîäåðæàíèå
Содержание ................................................................................ 3
Введение .................................................................................... 4
1. Область применения ...................................................................... 5
2. Нормативные ссылки .................................................................... 5
3. Термины и определения .................................................................. 5
4. Общий подход к оценке рисков нарушения ИБ ...................................... 6
5. Процедуры оценки рисков нарушения ИБ ........................................... 8
6. Оценка рисков нарушения ИБ в количественной (денежной) форме ......... 11
Приложение 1. Рекомендуемый перечень классов, основных источников
угроз ИБ и их описание .................................................... 12
Приложение 2. Примерная форма документирования перечня типов
информационных активов области оценки рисков
нарушения ИБ и их свойств ИБ ......................................... 16
Приложение 3. Примерная форма документирования перечня типов
объектов среды ............................................................... 17
Приложение 4. Примерная форма документирования данных и результатов
оценки СВР угроз ИБ ....................................................... 18
Приложение 5. Примерная форма документирования данных и результатов
оценки СТП нарушения ИБ .............................................. 19
Приложение 6. Примерная форма документирования результатов оценки
рисков нарушения ИБ ...................................................... 20
Приложение 7. Примерная форма документирования данных и результатов
оценки СВР
кол
угроз ИБ .................................................... 21
Приложение 8. Примерная форма документирования данных и результатов
оценки СТП
кол
нарушения ИБ ........................................... 22
Приложение 9. Примерная форма документирования результатов
количественной оценки рисков нарушения ИБ .................... 23
4
РС БР ИББС2.22009
Ââåäåíèå
Действующим стандартом Банка России “Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Общие положения” (далее —
СТО БР ИББС1.0) с целью создания и поддержания на должном уровне системы обеспечения
информационной безопасности (СОИБ) организаций банковской системы (БС) Российской
Федерации (РФ) определено требование проведения оценки рисков нарушения информаци
онной безопасности (ИБ).
Настоящая методика устанавливает рекомендуемые способы и порядок проведения оцен
ки рисков нарушения ИБ организации БС РФ, являющейся составной частью системы менедж
мента ИБ (СМИБ) организации БС РФ.
Положения настоящей методики могут быть использованы для целей внутреннего кон
троля организаций БС РФ.
Периодичность проведения оценки рисков нарушения ИБ, в том числе с использованием
положений настоящей методики, определяется организацией БС РФ самостоятельно.
5
РС БР ИББС2.22009
ÐÅÊÎÌÅÍÄÀÖÈÈ Â ÎÁËÀÑÒÈ ÑÒÀÍÄÀÐÒÈÇÀÖÈÈ ÁÀÍÊÀ ÐÎÑÑÈÈ
ÎÁÅÑÏÅ×ÅÍÈÅ
ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ
ÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛ
ÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈ
ÌÅÒÎÄÈÊÀ ÎÖÅÍÊÈ ÐÈÑÊÎÂ ÍÀÐÓØÅÍÈß
ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈ
Дата введения: 20100101
1. Îáëàñòü ïðèìåíåíèÿ
Настоящая методика распространяется на организации БС РФ, проводящие оценку рис
ков нарушения ИБ в рамках построения/совершенствования системы обеспечения информа
ционной безопасности (СОИБ) в соответствии с требованиями СТО БР ИББС1.0.
Настоящая методика рекомендована для применения путем использования устанавли
ваемых в ней положений при проведении оценки рисков нарушения ИБ и использовании ре
зультатов оценки рисков нарушения ИБ, а также путем включения ссылок на нее и (или) прямого
использования содержащихся в ней положений во внутренних документах организации БС РФ.
В конкретной организации БС РФ для проведения оценки рисков нарушения ИБ могут
использоваться иные методики. Результаты использования настоящей методики и иных мето
дик оценки рисков нарушения ИБ имеют равное значение при построении СОИБ организации
БС РФ.
2. Íîðìàòèâíûå ññûëêè
В настоящей методике использованы нормативные ссылки на стандарт СТО БР ИББС1.0.
3. Òåðìèíû è îïðåäåëåíèÿ
В настоящей методике применены термины по СТО БР ИББС1.0, в том числе следующие
термины (в алфавитном порядке) с соответствующими определениями:
3.1.
Априорные защитные меры:
защитные меры, эксплуатация которых сокращает ка
чественно или количественно существующие уязвимости объектов защиты информационных
активов, тем самым снижая вероятность реализации соответствующих угроз ИБ (например,
средства защиты от несанкционированного доступа).
3.2.
Апостериорные защитные меры:
защитные меры, эксплуатация которых сокра
щает степень тяжести последствий нарушения свойств ИБ информационных активов (напри
мер, средства резервного копирования и восстановления информации).
3.3.
Допустимый риск нарушения информационной безопасности:
риск нарушения
ИБ, предполагаемый ущерб от которого организация БС РФ в данное время и в данной ситуа
ции готова принять.
3.4.
Информационный актив:
информация с реквизитами, позволяющими ее иденти
фицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении орга
низации БС РФ и представленная на любом материальном носителе в пригодной для ее обра
ботки, хранения или передачи форме.
3.5.
Источник угрозы информационной безопасности; источник угрозы ИБ:
объект
или субъект, реализующий угрозы ИБ путем воздействия на объекты среды информационных
активов организации БС РФ.
3.6.
Модель угроз информационной безопасности; модель угроз ИБ:
описание ис
точников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз
ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например,