ГОСТ Р ИСО ТО 13569 —2007
3.73 идентификатор пользователя (user ID): Строка символов, используемая для однозначной
идентификации каждого пользователя системы.
3.74 уязвимость (vulnerability): Слабостьодного или несколькихактивов, которая может быть исполь
зована одной или несколькими угрозами [2].
4 Обозначения и сокращения
КПРС — комитет по платежным и расчетным системам,
FTR — протокол передачи файлов:
http — протокол передачи гипертекста;
HTTPS — протокол защищенной передачи гипертекста;
IP— протокол Интернет;
IPSEC — протокол IPSec:
ИТ— информационная технология;
ПК — персональный компьютер;
РЕАР — защищенный расширяемый протокол аутентификации,
PIN — персональный идентификационный номер;
SMTP — простой протокол электронной почты;
SSH — вид терминального доступа к серверу с большей степенью защищенности сеанса связи;
SSL — протокол безопасных соединений;
WS — веб-серверы;
XML — расширяемый язык разметки;
ЕС — Европейский Союз.
5 Политика информационной безопасности организации
5.1 Назначение
Все учреждения финансовых услуг в значительной степени зависят от использования ИТ информаци
онно-коммуникационных технологий и, следовательно, нуждаются вобеспечении защиты информации и
менеджменте безопасности своих информационных активов. Следовательно обеспечение информацион
ной безопасности и менеджмент информационной безопасности должны стать важным компонентом плана
руководства организации.
Разработка программы обеспечения информационной безопасности является целесообразной биз
нес-практикой. помогающей учреждениям, предоставляющим финансовые услуги, идентифицировать и
осуществлять менеджмент риска. Настоящий стандарт устанавливает общий, основанный на политике
безопасности подход к менеджменту информационной безопасности и рекомендации, которые могут быть
адаптированы для бизнес-целей данной организации. Бизнес-целям должны способствовать политики и
процедуры обеспечения защиты активов ИТ. Основанный на политике безопасности подход применим к
учреждениям с различных масштабов, типов управления и организационных структур.
В настоящем стандарте приводятся общие рекомендации руководству учреждения, предоставляю
щего финансовыеуслуги по различным аспектам менеджмента информационной безопасности в разработ
ке и поддержке программы обеспечения информационной безопасности. Другие источники, в частности
ИСО/МЭК17799. предоставляют важную подробную информациюобщего назначения, которая окажет нео
ценимую помощь в вопросах внедрения и поддержки профаммы обеспечения информационной безопас
ности. Настоящий стандарт устанавливает конкретные правовые и нормативные требования, которые дол
жны учитываться финансовыми учреждениями при создании, основанной на политике безопасности
ме неджмента информационной безопасности.
5.2 Правовое и нормативное соответствие
5.2.1 Общие положения
Распорядительные органы восновном занимаются вопросами безопасности, устойчивости и соблю
дения законов и положений. Одним из элементов безопасности и устойчивости является система защит
ных мер организации, которая обеспечивает защиту информации от недоступности, несанкционированного
изменения, раскрытия и уничтожения. Последние национальные и международные законы, такие как Ба зель
II (10]. закон Сэрбэйнс-Оксли (SOX) [11]. закон Грэма-Лича-Блили (GLB) (12] и Европейская директива
6