Настоящий стандарт устанавливает рекомендации по разработке программы обеспечения информационной безопасности для организаций в сфере финансовых услуг. Разработка рекомендаций основывалась на рассмотрении бизнес-среды, практических приемов и процедур деятельности финансовых учреждений. Настоящий стандарт предназначен для использования финансовыми учреждениями различного типа и размера, которые должны разрабатывать рациональную и экономически обоснованную программу обеспечения информационной безопасности.
Содержание:
1 Область применения
2 Нормативные ссылки
3 Термины и определения
4 Обозначения и сокращения
5 Политика информационной безопасности организации
5.1 Назначение
5.2 Правовое и нормативное соответствие
5.3 Разработка
5.4 Иерархия документации
6 Менеджмент информационной безопасности. Программа обеспечения безопасности
6.1 Общие положения
6.2 Создание программы
6.3 Осведомленность
6.4 Анализ
6.5 Менеджмент инцидентов
6.6 Мониторинг
6.7 Соответствие требованиям
6.8 Поддержка
6.9 Восстановление после любых прерываний деятельности организации
7 Структура информационной безопасности
7.1 Приверженность целям организации
7.2 Структура организации
8 Анализ и оценка риска
8.1 Процессы
8.2 Процесс оценки риска
8.3 Рекомендации по обеспечению безопасности и принятие риска
9 Выбор и внедрение защитных мер
9.1 Снижение риска
9.2 Идентификация и анализ ограничений
9.3 Логический контроль доступа
9.4 Журнал аудита
9.5 Контроль за внесением изменений
9.6 Осведомленность об информационной безопасности
9.7 Человеческий фактор
10 Меры защиты систем информационных технологий
10.1 Защита систем информационных технологий
10.2 Защитные меры аппаратных систем
10.3 Безопасность систем программного обеспечения
10.4 Меры защиты сетей и сетевых систем
10.5 Меры защиты границ организации и ее связанности с внутренними и внешними сетями
11 Внедрение специальных средств защиты
11.1 Банковские карточки для финансовых операций
11.2 Системы электронного перевода платежей
11.3 Банковские чеки
12 Дополнительная информация
12.1 Страхование
12.2 Адит
12.3 Планирование восстановления деятельности организации после ее прерывания
12.4 Внешние поставщики услуг
12.5 Группы тестирования на проникновение в компьютерные системы
12.6 Криптографические операции
12.7 Распределение криптографических ключей
12.8 Неприкосновенность частной жизни
13 Дополнительные защитные меры
13.1 Поддержка функционирования защитных мер
13.2 Соответствие требованиям безопасности
13.3 Мониторинг
14 Разрешение инцидентов
14.1 Менеджмент событий
14.2 Расследования и правовая экспертиза
14.3 Обработка инцидентов
14.4 Проблемы, связанные с аварийностью
Приложение А (справочное) Образцы документов
Приложение В (справочное) Пример анализа безопасности веб-сервисов
Приложение С (справочное) Иллюстрация оценки риска
Приложение D (справочное) Технологические средства управления
Приложение Е (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам
