Обозначение: | ГОСТ Р ИСО/ТО 13569-2007 |
Обозначение англ: | GOST R ISO/TR 13569-2007 |
Статус: | действует |
Название рус.: | Финансовые услуги. Рекомендации по информационной безопасности |
Название англ.: | Financial services. Information security guidelines |
Дата добавления в базу: | 01.09.2013 |
Дата актуализации: | 05.05.2017 |
Дата введения: | 01.07.2008 |
Область применения: | Стандарт устанавливает рекомендации по разработке программы обеспечения информационной безопасности для организаций в сфере финансовых услуг. Разработка рекомендаций основывалась на рассмотрении бизнес-среды, практических приемов и процедур деятельности финансовых учреждений. Настоящий стандарт предназначен для использования финансовыми учреждениями различного типа и размера, которые должны разрабатывать рациональную и экономически обоснованную программу обеспечения информационной безопасности. |
Оглавление: | 1 Область применения 2 Нормативные ссылки 3 Термины и определения 4 Обозначения и сокращения 5 Политика информационной безопасности организации 5.1 Назначение 5.2 Правовое и нормативное соответствие 5.2.1 Общие положения 5.2.2 Требования к финансовым учреждениям 5.3 Разработка 5.4 Иерархия документации 5.4.1 Общий обзор 5.4.2 Документы практики обеспечения безопасности 5.4.3 Документы операционных процедур обеспечения безопасности. 6 Менеджмент информационной безопасности. Программа обеспечения безопасности 6.1 Общие положения 6.2 Создание программы 6.3 Осведомленность 6.4 Анализ 6.5 Менеджмент инцидентов. 6.6 Мониторинг 6.7 Соответствие требованиям 6.8 Поддержка 6.9 Восстановление после любых прерываний деятельности организации 7 Структура информационной безопасности 7.1 Приверженность целям организации 7.2 Структура организации 7.2.1 Роли и обязанности 7.2.2 Совет директоров 7.2.3 Комитет по аудиту 7.2.4 Комитет по менеджменту риска 7.2.5 Правовая функция 7.2.6 Должностные лица 7.2.7 Управляющие делами 7.2.8 Сотрудники 7.2.9 Сотрудники (персонал), не относящиеся к организации 7.2.10 Должности, связанные с безопасностью 8 Анализ и оценка риска 8.1 Процессы 8.2 Процесс оценки риска 8.3 Рекомендации по обеспечению безопасности и принятие риска 9 Выбор и внедрение защитных мер 9.1 Снижение риска 9.2 Идентификация и анализ ограничений 9.3 Логический контроль доступа 9.3.1 Общие положения 9.3.2 Идентификация пользователя 9.3.3 Санкционирование 9.3.4 Аутентификация пользователей 9.4 Журнал аудита 9.5 Контроль за внесением изменений 9.6 Осведомленность об информационной безопасности 9.7 Человеческий фактор 10 Меры защиты систем информационных технологий 10.1 Защита систем информационных технологий 10.2 Защитные меры аппаратных систем 10.3 Безопасность систем программного обеспечения 10.4 Меры защиты сетей и сетевых систем 10.5 Меры защиты границ организации и ее связанности с внутренними и внешними сетями 10.5.1 Общие положения 10.5.2 Межсетевые экраны 10.5.3 Система обнаружения вторжений 10.5.4 Другие защитные меры противодействия сетевым атакам 11 Внедрение специальных средств защиты 11.1 Банковские карточки для финансовых операций 11.1.1 Общие положения 11.1.2 Физическая безопасность 11.1.3 Злоупотребление со стороны инсайдеров 11.1.4 Перемещение личных идентификационных номеров 11.1.5 Персонал 11.1.6 Аудит 11.1.7 Предупреждение подделки карточек 11.1.8 Банкоматы 11.1.9 Идентификация и аутентификация владельцев карточек 11.1.10 Аутентичность информации 11.1.11 Раскрытие информации 11.1.12 Предупреждение мошеннического использования банкоматов 11.1.13 Техническое обслуживание и текущий ремонт 11.2 Системы электронного перевода платежей 11.2.1 Несанкционированный источник 11.2.2 Несанкционированные изменения 11.2.3 Воспроизведение сообщений 11.2.4 Сохранение записей 11.2.5 Правовая основа платежей 11.3 Банковские чеки 11.3.1 Общие положения 11.3.2 Новые клиенты 11.3.3 Вопросы целостности 12 Дополнительная информация 12.1 Страхование 12.2 Аудит 12.3 Планирование восстановления деятельности организации после ее прерывания 12.4 Внешние поставщики услуг 12.5 Группы тестирования на проникновение в компьютерные системы 12.6 Криптографические операции 12.7 Распределение криптографических ключей 12.8 Неприкосновенность частной жизни 13 Дополнительные защитные меры. 13.1 Поддержка функционирования защитных мер 13.2 Соответствие требованиям безопасности 13.3 Мониторинг 14 Разрешение инцидентов 14.1 Менеджмент событий 14.2 Расследования и правовая экспертиза 14.3 Обработка инцидентов 14.4 Проблемы, связанные с аварийностью Приложение А (справочное) Образцы документов Приложение В (справочное) Пример анализа безопасности веб-сервисов Приложение С (справочное) Иллюстрация оценки риска Приложение D (справочное) Технологические средства управления Приложение Е (справочное) Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам Библиография |
Разработан: | ФГУ ГНИИИ ПТЗИ ФСТЭК России ООО НПФ Кристалл
|
Утверждён: | 27.12.2007 Федеральное агентство по техническому регулированию и метрологии (514-ст)
|
Издан: | Стандартинформ (2009 г. )
|
Расположен в: |
|
Список изменений: | |
Нормативные ссылки: | |