3.1. Банковская система Российской Федерации: Банк России и кредитные организации, а также филиалы и представительства иностранных банков [1].
3.2. Активы организации банковской системы Российской Федерации: все, что имеет ценность для организации банковской системы Российской Федерации и находится в ее распоряжении.
К активам организации БС РФ могут относиться:
- банковские ресурсы (финансовые, людские, вычислительные, телекоммуникационные и пр.);
- информационные активы, в т.ч. различные виды банковской информации (платежной, финансово-аналитической, служебной, управляющей и пр.) на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;
- банковские процессы (банковские платежные технологические процессы, банковские информационные технологические процессы, процессы жизненного цикла автоматизированных банковских систем и др.);
- банковские продукты и услуги, предоставляемые клиентам.
3.3. Автоматизированная банковская система: автоматизированная система, реализующая банковский технологический процесс или его часть.
3.4. Роль в организации банковской системы Российской Федерации: заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом в организации БС РФ.
1. К субъектам относятся лица из числа руководителей организации БС РФ, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.
3.5. Банковский технологический процесс: технологический процесс, содержащий операции по изменению и (или) определению состояния банковской информации, используемой при функционировании или необходимой для реализации банковских услуг.
1. Операции над банковской информацией могут выполняться вручную или быть автоматизированными, например, с помощью комплексов средств автоматизации автоматизированных банковских систем.
2. Операции над банковской информацией требуют указания ролей их участников (исполнителей и лиц, принимающих решения или имеющих полномочия по изменению технологических процессов, в том числе персонала автоматизированных банковских систем).
3. В зависимости от вида деятельности выделяют: банковский информационный технологический процесс, банковский платежный технологический процесс и др.
3.6. Информационная безопасность организации банковской системы Российской Федерации: состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз в информационной сфере.
1. Защищенность достигается обеспечением совокупности свойств информационной безопасности - конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации.
2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.
3.7. Менеджмент: скоординированная деятельность по руководству и управлению.
В английском языке термин "management" иногда относится к людям, т.е. к лицу или группе работников, наделенных полномочиями и ответственностью для руководства и управления организацией. Когда "management" используется в этом смысле, его следует всегда применять с определяющими словами с целью избежания путаницы с понятием "management", определенным выше. Например, не одобряется выражение "руководство должно...", в то время как "высшее руководство должно..." - приемлемо.
3.8. Система менеджмента информационной безопасности организации банковской системы Российской Федерации; СМИБ: часть общей системы менеджмента организации банковской системы Российской Федерации, основывающаяся на подходе бизнес-риска, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности организации банковской системы Российской Федерации [ISO/IEC IS 27001].
Система менеджмента включает структуру, политики, деятельности по планированию, обязанности, практики, процедуры, процессы и ресурсы организации.
3.9. Осознание информационной безопасности: понимание организацией необходимости самостоятельно на основе принятых в ней ценностей и накопленных знаний формировать и учитывать в рамках основной деятельности (бизнеса) прогноз результатов от деятельности по обеспечению информационной безопасности, а также поддерживать эту деятельность адекватно прогнозу.
Осознание информационной безопасности является внутренним побудительным мотивом организации инициировать и поддерживать деятельность по менеджменту информационной безопасности, в отличие от побуждения или принуждения, когда решение об инициировании и поддержке деятельности по менеджменту информационной безопасности определяется соответственно либо возникшими проблемами организации, такими как инцидент информационной безопасности, либо внешними факторами, например требованиями законов.
3.10. Политика информационной безопасности организации банковской системы Российской Федерации: одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности.
3.11. Инцидент информационной безопасности организации банковской системы Российской Федерации: событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности организации банковской системы Российской Федерации.
Нарушение может вызываться либо ошибкой людей, либо неправильным функционированием технических средств, либо природными факторами (например, пожар или наводнение), либо преднамеренными злоумышленными действиями, приводящими к нарушению конфиденциальности, целостности, доступности, учетности или неотказуемости.
3.12. Риск: неопределенность, предполагающая возможность потерь (ущерба).
3.13. Менеджмент риска: скоординированные действия по руководству и управлению в отношении риска с целью его минимизации.
Обычно менеджмент риска включает в себя оценку риска, обработку риска, принятие риска.
3.14. Риск нарушения информационной безопасности организации банковской системы Российской Федерации: неопределенность, предполагающая возможность ущерба состояния защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз в информационной сфере.
3.15. Мониторинг информационной безопасности организации банковской системы Российской Федерации (мониторинг ИБ): постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения.
3.16. Аудит информационной безопасности организации банковской системы Российской Федерации: периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях БС РФ установленных требований по обеспечению информационной безопасности.
1. Внутренние аудиты ("аудиты первой стороной") проводятся самой организацией или от ее имени для анализа менеджмента или других внутренних целей и могут служить основанием для самодеклараций организации о соответствии требованиям по ИБ.
2. Внешние аудиты включают "аудиты второй стороной" и "аудиты третьей стороной". Аудиты второй стороной проводятся сторонами, заинтересованными в деятельности организации, например потребителями или другими лицами от их имени. Аудиты третьей стороной проводятся внешними независимыми организациями.
3. Независимость при аудите предполагает полную свободу аудитора (самостоятельность) в отборе и анализе свидетельства аудита (изложение фактов или другой информации, связанной с критериями аудита) в отношении объекта аудита.
3.17. Оценка соответствия информационной безопасности организации банковской системы Российской Федерации установленным требованиям: любая деятельность, связанная с прямым или косвенным определением того, что выполняются или не выполняются соответствующие требования информационной безопасности в организации банковской системы Российской Федерации.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей