ПОЛОЖЕНИЕ Банка России от 25 ноября 2015 г N 506-П Об обес

N 506-П
25 ноября 2015 г.
ПОЛОЖЕНИЕ
Об обеспечении информационной безопасности в структурных

подразделениях Банка России при обработке, хранении и (или) передаче
информации с использованием средств вычислительной техники
(вступает в силу с 01.01.2017 г.)
(в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
Глава 1. Общие положения
1.1. Настоящее Положение устанавливает требования к обеспечению

информационной безопасности в структурных подразделениях Банка России,
применяемые при обработке, хранении и (или) передаче информации с
использованием средств вычислительной техники (далее - требования к
обеспечению информационной безопасности).
1.2. Настоящим Положением не регламентируются вопросы обеспечения
информационной безопасности сведений, составляющих государственную тайну, а
также вопросы обеспечения информационной безопасности при осуществлении
функций специальной связи.
1.3. Настоящее Положение не устанавливает требования к составу
технологических мер защиты информации в платежной системе Банка России и
автоматизированных системах Банка России.
1.4. Настоящее Положение не распространяется на:
обеспечение информационной безопасности средств криптографической
защиты информации, систем управления ключевой информацией, ключей средств
криптографической защиты информации, суточных ключей, таблиц кодов обмена,
программных средств кодовой защиты, персональных идентификаторов
специализированного архиватора электронных сообщений, на порядок работы с
ними и на сведения о них;
системы инженерно-технических средств охраны, телевизионные системы
охранного наблюдения, специализированное технологическое оборудование со
встроенными средствами вычислительной техники, системы управления
инженерными объектами.
1.5. В целях настоящего Положения используются понятия и определения,
установленные Положением Банка России от 13 декабря 2013 года N 410-П "Об
обеспечении информационной безопасности при физическом и логическом доступе
к объектам и ресурсам информационно-телекоммуникационной системы Банка
России" (далее - Положение Банка России от 13 декабря 2013 года N 410-П), а
также следующие понятия и определения.
Руководство (инструкция) - документ, определяющий для работников Банка
России правила использования по назначению, эксплуатации и (или) контролю
эксплуатации технических средств.
Регламент - документ, определяющий перечень и (или) порядок действий и
правила взаимодействия работников Банка России при использовании по
назначению, эксплуатации и (или) контролю эксплуатации технических средств в
рамках правил, определенных руководством (инструкцией).
Объект защиты - объект доступа или ресурс доступа.
Отдельная категория объектов защиты (далее - ОКОЗ) - совокупность
объектов защиты, обеспечивающих выполнение информационных и (или)
платежных технологических процессов Банка России в целом или большинства
кредитных организаций и (или) некредитных организаций, указанных в части первой
статьи 761 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном
банке Российской Федерации (Банке России)" (Собрание законодательства
Российской Федерации, 2002, N 28, ст. 2790; 2003, N 2, ст. 157; N 52, ст. 5032; 2004,
N 27, ст. 2711; N 31, ст. 3233; 2005, N 25, ст. 2426; N 30, ст. 3101; 2006, N 19, ст. 2061;
N 25, ст. 2648; 2007, N 1, ст. 9, ст. 10; N 10, ст. 1151; N 18, ст. 2117; 2008, N 42, ст.
4696, ст. 4699; N 44, ст. 4982; N 52, ст. 6229, ст. 6231; 2009, N 1, ст. 25; N 29, ст. 3629;
N 48, ст. 5731; 2010, N 45, ст. 5756; 2011, N 7, ст. 907; N 27, ст. 3873; N 43, ст. 5973; N
48, ст. 6728; 2012, N 50, ст. 6954; N 53, ст. 7591, ст. 7607; 2013, N 11, ст. 1076; N 14,
ст. 1649; N 19, ст. 2329; N 27, ст. 3438, ст. 3476, ст. 3477; N 30, ст. 4084; N 49, ст.
6336; N 51, ст. 6695, ст. 6699; N 52, ст. 6975; 2014, N 19, ст. 2311, ст. 2317; N 27, ст.
3634; N 30, ст. 4219; N 40, ст. 5318; N 45, ст. 6154; N 52, ст. 7543; 2015, N 1, ст. 4, ст.
37; N 27, ст. 3958, ст. 4001; N 29, ст. 4348, ст. 4357; N 41, ст. 5639; N 48, ст. 6699;
2016, N 1, ст. 23, ст. 46, ст. 50; N 26, ст. 3891; N 27, ст. 4225, ст. 4273, ст. 4295; 2017,
N 1, ст. 46; N 14, ст. 1997; N 18, ст. 2661, ст. 2669; N 27, ст. 3950; N 30, ст. 4456; N 31,
ст. 4830; N 50, ст. 7562; 2018, N 1, ст. 66; N 9, ст. 1286; N 11, ст. 1584, ст. 1588; N 18,
ст. 2557; N 24, ст. 3400; N 27, ст. 3950; N 31, ст. 4852), действующих на территории
Российской Федерации, в том числе:
(абзац пятый п. 1.5 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
см. текст абзаца в предыдущей редакции
объекты защиты, эксплуатируемые в коллективных центрах обработки
информации и центрах обработки данных Банка России;
(абзац шестой п. 1.5 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
объекты защиты, эксплуатируемые Департаментом информационных
технологий, за исключением объектов защиты, предназначенных для решения
внутренних задач Департамента информационных технологий;
(абзац седьмой п. 1.5 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
объекты защиты, эксплуатируемые Технологическим центром "Нудоль" Банка
России, за исключением объектов защиты, предназначенных для решения
внутренних задач Технологического центра "Нудоль" Банка России;
(абзац восьмой п. 1.5 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
объекты защиты, эксплуатируемые Объединенным эксплуатационным
центром "Красноярск" в Отделении по Красноярскому краю Сибирского главного
управления Центрального банка Российской Федерации (далее - Объединенный
эксплуатационный центр "Красноярск" Банка России), за исключением объектов и
(или) ресурсов доступа, предназначенных для решения внутренних задач
Объединенного эксплуатационного центра "Красноярск" Банка России;
(абзац девятый п. 1.5 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
центром "Воронеж" в Отделении по Воронежской области Главного управления
Центрального банка Российской Федерации по Центральному федеральному округу
(далее - Объединенный эксплуатационный центр "Воронеж" Банка России), за
исключением объектов и (или) ресурсов доступа, предназначенных для решения
внутренних задач Объединенного эксплуатационного центра "Воронеж" Банка
России;
(абзац введен Указанием Банка России от 10.12.2018 г. N 5008-У)
центром "Санкт-Петербург" в Северо-Западном главном управлении Центрального
банка Российской Федерации (далее - Объединенный эксплуатационный центр
"Санкт-Петербург" Банка России), за исключением объектов и (или) ресурсов
доступа, предназначенных для решения внутренних задач Объединенного
эксплуатационного центра "Санкт-Петербург" Банка России;
центром "Нижний Новгород" в Волго-Вятском главном управлении Центрального
банка Российской Федерации (далее - Объединенный эксплуатационный центр
"Нижний Новгород" Банка России), за исключением объектов и (или) ресурсов
доступа, предназначенных для решения внутренних задач Объединенного
эксплуатационного центра "Нижний Новгород" Банка России.
1.6. Объекты защиты, эксплуатируемые только на персональных электронных
вычислительных машинах и терминалах пользователей, не относятся к ОКОЗ.
Объекты защиты, используемые только на этапе создания и (или) развития (в
том числе модернизации) объектов защиты, не относятся к ОКОЗ.
Объекты защиты, расположенные в пределах части информационно-
телекоммуникационной системы Банка России одного структурного подразделения
Банка России и используемые только для целей тестирования технических средств
и программного обеспечения, не относятся к ОКОЗ.
1.7. утратил силу Указанием Банка России от 10.12.2018 г. N 5008-У
см. текст пункта в предыдущей редакции
1.8. Обеспечение информационной безопасности в структурных
подразделениях Банка России заключается в реализации защиты от следующих
угроз информационной безопасности:
неправомерного доступа, копирования, предоставления или распространения
информации (обеспечение конфиденциальности информации);
неправомерного уничтожения или модифицирования информации
(обеспечение целостности информации);
неправомерного блокирования информации (обеспечение доступности
информации).
1.9. В структурных подразделениях Банка России информационная
безопасность обеспечивается использованием программных, аппаратных,
аппаратно-программных технических средств и мер, в том числе технических
средств защиты информации (далее - технические средства обеспечения
информационной безопасности), и применением организационных мер защиты
информации (далее при совместном упоминании - защитные меры).
1.10. В структурных подразделениях Банка России используются:
технические средства обеспечения информационной безопасности и
программные продукты, реализующие сервисы информационной безопасности,
входящие в состав автоматизированных систем Банка России, создаваемые только
для цели обеспечения информационной безопасности (далее - обеспечивающие
системы информационной безопасности);
(абзац второй п. 1.10 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
программные продукты, реализующие сервисы информационной безопасности,
входящие в состав автоматизированных систем Банка России, создаваемые для
цели автоматизации процессов информатизации, реализующих отдельные функции
обеспечения информационной безопасности (далее - обеспечивающие системы
информатизации);
(абзац третий п. 1.10 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
программные продукты, входящие в состав подсистемы информационной
безопасности и (или) комплекс средств и мер защиты (далее при совместном
упоминании - ПИБ) платформ, автоматизированных систем Банка России,
создаваемые для цели автоматизации деятельности структурных подразделений
Банка России, предназначенных не только для обеспечения информационной
безопасности, используемые наряду с обеспечивающими системами
информационной безопасности и обеспечивающими системами информатизации
(далее при совместном упоминании - обеспечивающие системы).
(абзац четвертый п. 1.10 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
Перечень сервисов информационной безопасности определен в приложении
2 к настоящему Положению.
1.11. Требования к обеспечению информационной безопасности,
устанавливаемые настоящим Положением, разделяются на:
требования к организации применения защитных мер;
требования к определению состава функций обеспечения информационной
безопасности, реализуемых использованием обеспечивающих систем, ПИБ
автоматизированных систем Банка России и применением организационных мер
защиты информации (далее при совместном упоминании - функции обеспечения
информационной безопасности).
1.12. Руководители структурных подразделений Банка России, структурных
подразделений центрального аппарата Банка России обеспечивают
информационную безопасность в соответствии с требованиями настоящего
Положения, нормативными и иными актами Банка России в области обеспечения
информационной безопасности.
1.13. Контроль обеспечения информационной безопасности в соответствии с
требованиями настоящего Положения осуществляется Департаментом
безопасности Банка России и подразделениями безопасности и защиты
информации в рамках своих полномочий.
(п. 1.13 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
Глава 2.Требования к организации применения защитных мер
2.1. В целях организации применения защитных мер осуществляются:

определение состава функций обеспечения информационной безопасности;
установление функционально-технических требований к обеспечивающим
системам и типовых функционально-технических требований к ПИБ
автоматизированных систем Банка России;
создание и (или) развитие (в том числе модернизация) обеспечивающих
систем и ПИБ автоматизированных систем Банка России, включающие разработку
и внедрение (ввод в действие, ввод в эксплуатацию) обеспечивающих систем и
ПИБ автоматизированных систем Банка России;
эксплуатация и использование по назначению обеспечивающих систем и ПИБ
автоматизированных систем Банка России в структурных подразделениях Банка
России;
вывод из эксплуатации обеспечивающих систем и автоматизированных
систем Банка России;
применение организационных мер защиты информации в структурных
подразделениях Банка России;
контроль обеспечения информационной безопасности в структурных
подразделениях Банка России.
2.2. В случае эксплуатации в структурных подразделениях Банка России
автоматизированных систем, не созданных Банком России и используемых в том
числе для цели взаимодействия с органами государственной власти Российской
Федерации (далее - внешние автоматизированные системы), обеспечение
информационной безопасности в указанных автоматизированных системах
осуществляется в соответствии с правилами, установленными для указанных
автоматизированных систем, проектной и эксплуатационной документацией,
входящей в их состав.
(абзац первый п. 2.2 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
Размещение внешних автоматизированных систем осуществляется в
выделенных в соответствии с требованиями Положения Банка России от 13
декабря 2013 года N 410-П группах сегментов вычислительных сетей структурных
подразделений Банка России, предназначенных для размещения объектов защиты,
подключенных к внешним по отношению к информационно-телекоммуникационной
системе Банка России вычислительным сетям.
Требования к обеспечению информационной безопасности, установленные
настоящим Положением, не распространяются на внешние автоматизированные
системы.
Подразделения безопасности и защиты информации структурных
подразделений Банка России, в зоне своей ответственности, для структурных
подразделений центрального аппарата Банка России и объектов, отнесенных к
отдельной категории объектов защиты, расположенных на территории московского
региона, - Департамент безопасности Банка России (далее - соответствующие
подразделения безопасности и защиты информации) обеспечивают контроль
информационной безопасности во внешних автоматизированных системах в
соответствии с правилами, установленными для указанных автоматизированных
систем, проектной и эксплуатационной документацией, входящей в их состав.
(абзац четвертый п. 2.2 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
2.3. Создание и (или) развитие (в том числе модернизация), эксплуатация,
использование и вывод из эксплуатации автоматизированных систем Банка России,
в том числе обеспечивающих систем, в части вопросов обеспечения
информационной безопасности, осуществляется под контролем Департамента
безопасности Банка России и соответствующих подразделений безопасности и
защиты информации.
Создание и (или) развитие (в том числе модернизация), эксплуатация и вывод
из эксплуатации автоматизированных систем Банка России, в том числе
обеспечивающих систем, в части вопросов обеспечения автоматизации и
информатизации деятельности структурных подразделений Банка России,
осуществляется подразделениями информатизации структурных подразделений
Банка России и информационно-вычислительными подразделениями в зоне своей
ответственности (далее - соответствующее подразделение информатизации), под
контролем Департамента информационных технологий.
2.4. При привлечении организаций - контрагентов Банка России для
проведения работ по созданию и (или) развитию (в том числе модернизации)
обеспечивающих систем, за исключением обеспечивающих систем,
предназначенных для обеспечения информационной безопасности только объектов
защиты, включенных в контур безопасности внутренней банковской информации
(далее - контур безопасности ВБИ), а также ПИБ автоматизированных систем Банка
России, за исключением автоматизированных систем Банка России, включенных
только в контур безопасности ВБИ, указанные организации должны иметь лицензии
на деятельность по технической защите конфиденциальной информации.
2.5. Состав функций обеспечения информационной безопасности
определяется в соответствии с главой 3 настоящего Положения.
Состав функций обеспечения информационной безопасности определяется с
целью выполнения требований к обеспечению информационной безопасности,
установленных законодательством Российской Федерации, в том числе
нормативными актами Банка России, иными актами Банка России, и на основе
результатов анализа актуальных угроз безопасности информации, возможных
уязвимостей в обеспечении информационной безопасности.
2.6. Функционально-технические требования к обеспечивающим системам
информационной безопасности и типовые функционально-технические требования
к ПИБ автоматизированных систем Банка России устанавливаются для цели
реализации функций обеспечения информационной безопасности Департаментом
безопасности Банка России по согласованию с Департаментом информационных
технологий.
Функционально-технические требования к обеспечивающим системам
информатизации устанавливаются для цели реализации отдельных функций
обеспечения информационной безопасности Департаментом информационных
технологий по согласованию с Департаментом безопасности Банка России.
(абзац второй п. 2.6 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
Функционально-технические требования к обеспечивающим системам и
типовые функционально-технические требования к ПИБ автоматизированных
систем Банка России утверждаются директором Департамента безопасности Банка
России и директором Департамента информационных технологий.
(абзац третий п. 2.6 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
2.7. Требования к созданию и (или) развитию (в том числе модернизации)
обеспечивающих систем и ПИБ автоматизированных систем Банка России
включают в себя следующие положения.
2.7.1. Создание и (или) развитие (в том числе модернизация)
осуществляется для цели реализации функций обеспечения информационной
безопасности в соответствии с утвержденными функционально-техническими
требованиями к обеспечивающим системам и типовыми функционально-
техническими требованиями к ПИБ автоматизированных систем Банка России
соответственно.
Создание и (или) развитие (в том числе модернизация) ПИБ
автоматизированных систем Банка России для цели реализации функций
обеспечения информационной безопасности в соответствии с утвержденными
типовыми функционально-техническими требованиями к ПИБ автоматизированных
систем Банка России являются неотъемлемой частью работ по созданию и (или)
развитию (в том числе модернизации) автоматизированной системы Банка России.
2.7.2. Организация работ по созданию и (или) развитию (в том числе
модернизации) обеспечивающих систем и ПИБ автоматизированных систем Банка
России осуществляется в соответствии с требованиями нормативных и иных актов
Банка России, а также на основе Комплекса стандартов и руководящих документов
на автоматизированные системы "Информационная технология", в том числе ГОСТ
34.601-90 "Информационная технология. Комплекс стандартов на
автоматизированные системы. Автоматизированные системы. Стадии создания".
2.7.3. Требования к реализации функций обеспечения информационной
безопасности обеспечивающими системам и ПИБ автоматизированных систем
Банка России, определяемые соответствующим подразделением безопасности и
защиты информации на основе утвержденных функционально-технических
требований к обеспечивающим системам и типовых функционально-технических
требований к ПИБ автоматизированных систем Банка России соответственно,
включаются в технические задания на автоматизированные системы Банка России,
составляемые с учетом ГОСТ 34.602-89 "Информационная технология. Комплекс
стандартов на автоматизированные системы. Техническое задание на создание
автоматизированной системы". Дополнительно в технические задания на
автоматизированные системы Банка России включаются:
требования к реализации функций обеспечения информационной
безопасности, реализуемых технологическими мерами защиты информации ПИБ
требования к взаимодействию с создаваемыми и (или) эксплуатируемыми
обеспечивающими системами с целью использования реализованных ими функций
обеспечения информационной безопасности;
требования к использованию средств защиты информации, прошедших
оценку соответствия в форме обязательной сертификации на соответствие
требованиям по безопасности информации;
требования к привлечению организаций, имеющих лицензии на деятельность
по технической защите конфиденциальной информации;
требования о необходимости согласования на этапе разработки проектной и
эксплуатационной документации ПИБ автоматизированных систем Банка России с
Департаментом безопасности Банка России;
(абзац шестой п/п. 2.7.3 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
требования, определяемые составом средств вычислительной техники и
программного обеспечения, предназначенных для эксплуатации обеспечивающих
систем и ПИБ автоматизированных систем Банка России (далее - среда
эксплуатации).
2.7.4. Разработку технических заданий на автоматизированные системы
Банка России, включая обеспечивающие системы, организует Департамент
информационных технологий и обеспечивают соответствующие подразделения
информатизации.
Технические задания на обеспечивающие системы, общебанковские
(создаваемые для Банка России в целом) и типовые (содержащие тиражируемые
проектные решения) автоматизированные системы Банка России (далее при
совместном упоминании - централизованные автоматизированные системы Банка
России) согласовываются с Департаментом безопасности Банка России и
Департаментом информационных технологий. Технические задания на иные
автоматизированные системы Банка России согласовываются с соответствующим
подразделением безопасности и защиты информации, соответствующим
подразделением информатизации и Департаментом информационных технологий.
(абзац второй п/п. 2.7.4 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
2.7.5. Технические средства защиты информации, прошедшие оценку
соответствия в форме обязательной сертификации на соответствие требованиям по
безопасности информации, применяются в соответствии с требованиями
законодательства Российской Федерации, в том числе нормативных актов Банка
России, требований настоящего Положения, иных актов Банка России, а также по
решению Департамента безопасности Банка России, согласованному с
Департаментом информационных технологий.
(п/п. 2.7.5 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
см. текст подпункта в предыдущей редакции
2.8. Требования к разработке обеспечивающих систем и ПИБ
автоматизированных систем Банка России, выполняемой при создании и (или)
развитии (в том числе модернизации) обеспечивающих систем и ПИБ
автоматизированных систем Банка России, включают в себя следующие
положения.
2.8.1. За исключением случаев, установленных нормативными и иными
актами Банка России, разработка обеспечивающих систем и ПИБ
автоматизированных систем Банка России организуется Департаментом
информационных технологий и обеспечивается соответствующим подразделением
2.8.2. Размещение средств вычислительной техники, используемых при
разработке, в том числе проведении предварительных испытаний (функциональном
тестировании) автоматизированных систем Банка России, осуществляется в
выделенных в соответствии с требованиями Положения Банка России от 13
декабря 2013 года N 410-П группах сегментах вычислительных сетей структурных
подразделений Банка России, предназначенных для размещения объектов и (или)
ресурсов доступа, используемых только на этапе их создания и (или) развития (в
том числе модернизации). Размещение средств вычислительной техники,
используемых при разработке, в том числе проведении предварительных
испытаний (функциональном тестировании) автоматизированных систем Банка
России, в иных сегментах вычислительных сетей структурных подразделений Банка
России осуществляется по согласованию с Департаментом безопасности Банка
России и Департаментом информационных технологий.
(п. 2.8.2 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
2.8.3. Использование информации ограниченного доступа, персональных
данных и иной информации, защищаемой в соответствии с требованиями
законодательства Российской Федерации, в том числе нормативных актов Банка
России, иных актов Банка России, при разработке автоматизированных систем
Банка России, в том числе при проведении предварительных испытаний
(функциональном тестировании), допускается только по согласованию с
Департаментом безопасности Банка России и Департаментом информационных
технологий, с применением мер по контролю обеспечения конфиденциальности
информации, согласованных с Департаментом безопасности Банка России.
2.8.4. Обеспечивающие системы и автоматизированные системы Банка
России, включая ПИБ автоматизированных систем Банка России, должны быть
обеспечены проектной и эксплуатационной документацией, составленной с учетом
ГОСТ 34.201-89 "Информационная технология. Комплекс стандартов на
автоматизированные системы. Виды, комплектность и обозначение документов при
создании автоматизированных систем" и ГОСТ 34.601-90 "Информационная
технология. Комплекс стандартов на автоматизированные системы.
Автоматизированные системы. Стадии создания", в которой, в том числе
определяются:
состав технических средств обеспечения информационной безопасности,
реализующих функции обеспечения информационной безопасности;
параметры настроек (типовые конфигурации) применяемых технических
средств обеспечения информационной безопасности, в том числе сетевого
оборудования;
требования к среде эксплуатации, в том числе реализованной с применением
технологии виртуализации;
параметры настроек (типовые конфигурации) программного обеспечения
среды эксплуатации;
интерфейсы использования, включая протоколы и стандарты обмена
данными, функций обеспечения информационной безопасности (для
разрабатываемых обеспечивающих систем);
интерфейсы взаимодействия с создаваемыми и (или) эксплуатируемыми
обеспечивающими системами с целью использования реализованных ими функций
состав ролей, прав субъектов доступа (эксплуатационного персонала,
работников Банка России, ответственных за контроль эксплуатации (далее -
контролер эксплуатации), пользователей и программных процессов) и атрибутов
доступа субъектов доступа;
(абзац восьмой п/п. 2.8.4 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
состав ресурсов доступа (баз данных, сетевых файловых ресурсов,
виртуальных машин, ресурсов доступа, расположенных на серверах электронной
почты, ресурсов доступа, расположенных на WEB-серверах информационно-
телекоммуникационной сети Интранет, ресурсов доступа, расположенных на WEB-
серверах информационно-телекоммуникационной сети Интернет);
права доступа ролей субъектов доступа при осуществлении доступа к
ресурсам доступа;
руководства по эксплуатации технических средств обеспечения
информационной безопасности и их обновлению;
руководства по контролю эксплуатации технических средств обеспечения
информационной безопасности, включая контроль параметров их настроек;
руководства использования по назначению технических средств обеспечения
информационной безопасности;
регламенты и программы тестирования функций обеспечения
информационной безопасности, выполняемого при проведении обновлений
технических средств защиты информации на этапе эксплуатации;
требования к составу и содержанию регламентов по эксплуатации, контролю
эксплуатации и использования по назначению технических средств обеспечения
требования к составу и содержанию организационных мер, необходимых к
проведению в структурных подразделениях Банка России для обеспечения
внедрения (ввода в действие, ввода в эксплуатацию) обеспечивающих систем или
ПИБ автоматизированных систем Банка России, в том числе мер, связанных с
назначением ролей эксплуатационного персонала, контролеров эксплуатации и
пользователей;
требования к составу и содержанию организационных мер, необходимых к
проведению в структурных подразделениях Банка России для обеспечения
информационной безопасности при выводе из эксплуатации автоматизированной
системы Банка России (ее отдельных частей) или по окончанию обработки
информации.
2.8.41. В контуре безопасности информации ограниченного доступа (далее -
контур безопасности ИОД), контуре безопасности учетно-операционных систем
(далее - контур безопасности УОС) и контуре безопасности Интернет настройка
средств защиты информации осуществляется эксплуатационным персоналом в
соответствии с унифицированными конфигурациями средств защиты,
разрабатываемыми Департаментом безопасности Банка России и согласованными
с Департаментом информационных технологий.
(подпункт введен Указанием Банка России от 10.12.2018 г. N 5008-У)
2.8.5. В составе ролей эксплуатационного персонала обеспечивающих систем
или ПИБ автоматизированных систем Банка России выделяются роли
администратора нештатного режима автоматизированной системы Банка России,
администратора автоматизированной системы Банка России и администратора
информационной безопасности автоматизированной системы Банка России.
Основной функцией администратора автоматизированной системы Банка
России является создание и удаление учетных записей логического доступа
субъектов доступа, за исключением случаев, когда указанные операции
совершаются автоматически средствами управления ИТС Банка России.
Администратор автоматизированной системы Банка России не должен иметь
служебных полномочий и (или) технических средств по присвоению прав доступа
субъектам доступа (отзыву прав доступа субъектов доступа), для которых он
создает (удаляет) учетные записи.
Основной функцией администратора информационной безопасности
автоматизированной системы Банка России является присвоение и отзыв прав
логического доступа, за исключением случаев, когда указанные операции
совершаются автоматически средствами управления ИТС Банка России.
Администратор информационной безопасности автоматизированной системы Банка
России не должен иметь служебных полномочий и (или) технических средств для
создания (удаления) учетных записей субъектов доступа, которым он присваивает
(у которых он отзывает) права логического доступа.
При отсутствии технической возможности по разделению функций
администратора автоматизированной системы Банка России и администратора
информационной безопасности автоматизированной системы Банка России могут
применяться иные, документально оформленные организационно-
распорядительными документами эксплуатационного подразделения,
согласованными с соответствующим подразделением безопасности и защиты
информации, способы разделения полномочий.
Основной функцией администратора нештатного режима автоматизированной
системы Банка России является управление учетными записями и правами доступа
администраторов автоматизированных систем Банка России, администраторов
информационной безопасности автоматизированных систем Банка России,
контролеров эксплуатации, восстановление функционирования
автоматизированных систем Банка России и обеспечивающих систем, а также
формирование паролей неперсонифицированных административных и технических
учетных записей, используемых для осуществления эксплуатационным персоналом
(в том числе размещенным в объединенных эксплуатационных центрах)
логического доступа к ресурсам доступа, которые относятся к отдельной категории
объектов и (или) ресурсов защиты. Выполнение роли администратора нештатного
режима автоматизированной системы Банка России возможно только совместно
работниками подразделений информатизации (администратора
автоматизированной системы Банка России или администратора информационной
безопасности автоматизированной системы Банка России) и подразделения
безопасности и защиты информации (контролера эксплуатации) путем
использования технических решений, а в случае невозможности такого
использования - с применением способов аутентификации, указанных в абзацах
третьем - шестом подпункта 3.9.5 пункта 3.9 Положения Банка России от 13 декабря
2013 года N 410-П.
2.8.6. Проектная и эксплуатационная документация на обеспечивающие
системы согласовывается с Департаментом безопасности Банка России, с
соответствующим подразделением информатизации и Департаментом
информационных технологий.
(абзац первый п/п. 2.8.6 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
Проектная и эксплуатационная документация на ПИБ централизованных
автоматизированных систем Банка России согласовывается с соответствующим
подразделением информатизации и Департаментом информационных технологий.
Проектная и эксплуатационная документация на ПИБ автоматизированных
систем Банка России, не являющихся централизованными, согласовывается с
соответствующим подразделением информатизации.
Согласование проектной и эксплуатационной документации на ПИБ
автоматизированных систем Банка России с Департаментом безопасности Банка
России и соответствующим подразделением безопасности и защиты информации
осуществляется в соответствии с требованиями технических заданий.
(абзац четвертый п/п. 2.8.6 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
Департамент безопасности Банка России и соответствующее подразделение
безопасности и защиты информации вправе запросить и получить у
соответствующего подразделения информатизации проектную и эксплуатационную
документацию на создаваемую и (или) развиваемую (в том числе
модернизируемую) ПИБ автоматизированной системы Банка России.
(абзац пятый п/п. 2.8.6 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
2.8.7. Предварительные испытания (функциональное тестирование)
проводятся с учетом ГОСТ 34.603-92 "Информационная технология. Виды
испытаний автоматизированных систем" и включают в себя:
проверку требований к реализации функций обеспечения информационной
безопасности, установленных техническим заданием;
проверку корректности взаимодействия с обеспечивающими системами с
целью использования реализованных ими функций обеспечения информационной
безопасности.
2.8.8. Проведение предварительных испытаний (функционального
тестирования) обеспечивающих систем и ПИБ централизованных
автоматизированных систем Банка России осуществляется с участием
Департамента безопасности Банка России и Департамента информационных
технологий по программам и методикам испытаний (программам функционального
тестирования), предварительно согласованным с Департаментом безопасности
Банка России.
Проведение предварительных испытаний (функционального тестирования)
ПИБ автоматизированных систем Банка России, не являющихся
централизованными, осуществляется с участием соответствующего подразделения
безопасности и защиты информации и соответствующего подразделения
информатизации по программам и методикам испытаний (программам
функционального тестирования), предварительно согласованным с
соответствующим подразделением безопасности и защиты информации.
Проведение предварительных испытаний (функционального тестирования)
ПИБ автоматизированных систем Банка России осуществляется совместно с
предварительными испытаниями соответствующей автоматизированной системы
Банка России.
2.8.9. Для проверяемых требований к реализации функций обеспечения
информационной безопасности программа и методика испытаний обеспечивающих
систем и ПИБ автоматизированных систем Банка России (программа
функционального тестирования) должны определять исходные данные,
последовательность проверочных действий, ожидаемый результат выполнения
тестирования, критерии успешного выполнения тестирования.
2.8.10. Проведение предварительных испытаний (функционального
тестирования) подтверждается протоколом проведения предварительных
испытаний (функционального тестирования), содержащим:
указание на программы и методики испытаний (программы функционального
тестирования);
результаты выполнения тестирования каждой функции обеспечения
выводы о выполнении требований к реализации функций обеспечения
информационной безопасности, установленных техническим заданием;
выводы о корректности взаимодействия с обеспечивающими системами;
выводы о возможности эксплуатации, контроля эксплуатации и использования
по назначению технических средств обеспечения информационной безопасности в
рамках опытной эксплуатации обеспечивающей системы или ПИБ
автоматизированной системы Банка России.
Протокол проведения предварительных испытаний (функционального
тестирования) обеспечивающей системы или ПИБ автоматизированной системы
Банка России подписывается, в том числе работником подразделения безопасности
и защиты информации, участвующим в проведении предварительных испытаний
(функциональном тестировании).
2.9. Требования к внедрению (вводу в действие, вводу в эксплуатацию)
обеспечивающих систем и ПИБ автоматизированных систем Банка России,
выполняемому при создании и (или) развитии (в том числе модернизации)
обеспечивающих систем и ПИБ автоматизированных систем Банка России,
включают в себя следующие положения.
актами Банка России, внедрение (ввод в действие, ввод в эксплуатацию)
организуется Департаментом информационных технологий и обеспечивается
соответствующим подразделением информатизации совместно с соответствующим
подразделением безопасности и защиты информации.
2.9.2. При внедрении (вводе в действие, вводе в эксплуатацию)
обеспечивающих систем и ПИБ автоматизированных систем Банка России, в том
числе:
соответствующим подразделением информатизации уточняется проектная и
(или) эксплуатационная документация в части адаптации параметров настроек
технических средств обеспечения информационной безопасности и программного
обеспечения среды эксплуатации, при этом уточненная проектная и (или)
эксплуатационная документация согласовывается с соответствующим
подразделением безопасности и защиты информации и утверждается
руководителем соответствующего подразделения информатизации;
подготавливается среда эксплуатации, в том числе устанавливаются
параметры настроек программного обеспечения среды эксплуатации;
осуществляется развертывание (установка и настройка) технических средств
обеспечения информационной безопасности в среде эксплуатации;
осуществляется разработка регламентов по эксплуатации, контролю
принимаются организационные меры, необходимые для обеспечения
внедрения (ввода в действие, ввода в эксплуатацию) обеспечивающих систем и
ПИБ автоматизированных систем Банка России, назначаются роли
эксплуатационного персонала, роли контролера эксплуатации и роли
пользователей;
проводится опытная эксплуатация обеспечивающих систем и ПИБ
проводится оценка защищенности, решение о проведении которой
принимается в соответствии с пунктом 2.15 настоящего Положения;
проводятся приемочные испытания обеспечивающих систем и ПИБ
автоматизированных систем Банка России.
2.9.3. Регламенты по эксплуатации технических средств обеспечения
информационной безопасности разрабатываются соответствующим
подразделением информатизации, согласовываются с соответствующим
подразделением безопасности и защиты информации и утверждаются
руководителем соответствующего подразделения информатизации.
Регламенты по контролю эксплуатации технических средств обеспечения
подразделением безопасности и защиты информации, согласовываются с
соответствующим подразделением информатизации и утверждаются
руководителем соответствующего подразделения безопасности и защиты
Регламенты использования по назначению технических средств обеспечения
подразделением безопасности и защиты информации, согласовываются с
соответствующим подразделением информатизации и утверждаются
организационно-распорядительным документом структурного подразделения Банка
России, для центрального аппарата Банка России - организационно-
распорядительным документом Банка России. Регламенты использования по
назначению технических средств обеспечения информационной безопасности,
входящих в состав ПИБ автоматизированных систем Банка России, перед их
утверждением дополнительно согласовываются с подразделением -
функциональным заказчиком автоматизированной систем Банка России.
2.9.4. Для программных компонент обеспечивающих систем и ПИБ
автоматизированных систем Банка России обеспечивается контроль их целостности
при переносе из среды разработки и тестирования в среду эксплуатации.
2.9.5. Опытная эксплуатация обеспечивающих систем и ПИБ
автоматизированных систем Банка России проводится с учетом ГОСТ 34.603-92
"Информационная технология. Виды испытаний автоматизированных систем" и
включает в себя проверку в среде эксплуатации:
корректности реализаций функций обеспечения информационной
безопасности, установленных техническим заданием;
корректности развертывания (установки и настройки) технических средств
обеспечения информационной безопасности в среде эксплуатации;
возможности эксплуатации, контроля эксплуатации и использования по
назначению обеспечивающих систем и ПИБ автоматизированных систем Банка
России.
2.9.6. При проведении опытной эксплуатации обеспечивающих систем и ПИБ
автоматизированных систем Банка России допускается использование информации
ограниченного доступа, персональных данных и иной информации, защищаемой в
соответствии с требованиями законодательства Российской Федерации, в том
числе нормативных актов Банка России, иных актов Банка России.
2.9.7. Проведение опытной эксплуатации обеспечивающих систем и ПИБ
автоматизированных систем Банка России осуществляется под контролем
соответствующих подразделений безопасности и защиты информации. Результаты
и решения, принимаемые по результатам опытной эксплуатации обеспечивающих
систем и ПИБ автоматизированных систем Банка России, согласовываются с
соответствующим подразделением безопасности и защиты информации и
соответствующим подразделением информатизации.
2.9.8. Приемочные испытания обеспечивающих систем и ПИБ
автоматизированных систем Банка России проводятся с учетом ГОСТ 34.603-92
"Информационная технология. Виды испытаний автоматизированных систем" на
основе результатов опытной эксплуатации, оценки защищенности, в случае ее
проведения, и заключаются в выполнении выборочного тестирования выполнения
требований к реализации функций обеспечения информационной безопасности,
установленных техническим заданием, по программам и методикам испытаний
(программам функционального тестирования). Состав тестируемых требований
программы и методики испытаний определяется соответствующим подразделением
безопасности и защиты информации и фиксируется в протоколе приемочных
испытаний.
Приемочные испытания обеспечивающих систем и ПИБ автоматизированных
систем Банка России проводятся при участии соответствующего подразделения
безопасности и защиты информации и соответствующего подразделения
2.9.9. Проведение приемочных испытаний ПИБ автоматизированных систем
Банка России осуществляется совместно с проведением приемочных испытаний
соответствующей автоматизированной системы Банка России.
2.9.10. Проведение приемочных испытаний подтверждается протоколом
приемочных испытаний, содержащим:
результаты выполнения требований к реализации функций обеспечения
выводы о реализации функций обеспечения информационной безопасности в
соответствии с требованиями, установленными техническим заданием.
Протокол проведения приемочных испытаний подписывается, в том числе
работником подразделения безопасности и защиты информации, участвующим в
проведении приемочных испытаний.
2.9.11. Наличие утвержденных регламентов по эксплуатации, контролю
информационной безопасности является необходимым условием для ввода в
постоянную эксплуатацию автоматизированной системы Банка России. Наличие
утвержденных регламентов использования по назначению технических средств
обеспечения информационной безопасности, входящих в состав ПИБ
автоматизированных систем Банка России, при проведении приемочных испытаний
автоматизированных систем Банка России не является обязательным.
2.10. Требования к эксплуатации обеспечивающих систем и ПИБ
автоматизированных систем Банка России в структурных подразделениях Банка
России включают в себя следующие положения.
актами Банка России, эксплуатация обеспечивающих систем и ПИБ
автоматизированных систем Банка России организуется Департаментом
информационных технологий и обеспечивается соответствующим подразделением
2.10.2. Роли эксплуатационного персонала, в том числе администратора
автоматизированной системы Банка России и администратора информационной
безопасности автоматизированной системы Банка России и ПИБ
автоматизированных систем Банка России, предоставляются работникам Банка
России в соответствии с пунктом 3.17 Положения Банка России от 13 декабря 2013
года N 410-П по согласованию с соответствующим подразделением безопасности и
Назначение ролей эксплуатационного персонала осуществляется
организационно-распорядительными документами структурных подразделений
Банка России, для центрального аппарата Банка России - распорядительным актом
структурного подразделения центрального аппарата Банка России, с
соответствующим изменением должностных инструкций работников Банка России.
Допускается назначение одному лицу роли администратора информационной
безопасности нескольких автоматизированных систем Банка России. Назначение
одному лицу ролей администратора автоматизированной системы Банка России и
администратора информационной безопасности автоматизированной системы
Банка России в той же автоматизированной системе Банка России не допускается.
2.10.3. При проведении обновлений технических средств обеспечения
информационной безопасности, включая обновления программного обеспечения, в
процессе эксплуатации обеспечивающих систем и ПИБ автоматизированных систем
Банка России, обеспечивается тестирование выполнения требований к реализации
обеспечивающими системами и ПИБ автоматизированных систем Банка России
функций обеспечения информационной безопасности, функционирование которых
затрагивается планируемым обновлением. Тестирование осуществляется в
соответствии с регламентами и программами тестирования, определенными в
составе эксплуатационной документации, под контролем соответствующего
подразделения безопасности и защиты информации.
2.11. Требования к использованию по назначению обеспечивающих систем и
ПИБ автоматизированных систем Банка Росси в структурных подразделениях Банка
России включают в себя следующие положения.
2.11.1. Руководители структурных подразделений Банка России, структурных
подразделений центрального аппарата Банка России обеспечивают, в рамках своих
полномочий:
использование по назначению работниками обеспечивающих систем и ПИБ
автоматизированных систем Банка России в соответствии с руководствами и
регламентами использования по назначению;
назначение работникам ролей пользователей.
2.11.2. Роли пользователей обеспечивающих систем и ПИБ
автоматизированных систем Банка России предоставляются работникам Банка
России в соответствии с пунктом 3.17 Положения Банка России от 13 декабря 2013
года N 410-П по согласованию с подразделением безопасности и защиты
2.12. Требования к применению организационных мер защиты информации в
структурных подразделениях Банка России включают в себя следующие положения.
2.12.1. Состав и регламенты применения организационных мер защиты
информации должны обеспечивать выполнение функций обеспечения
информационной безопасности, определенных в соответствии с главой 3
настоящего Положения и реализуемых применением организационных мер защиты
2.12.2. Регламенты применения организационных мер защиты информации в
структурных подразделениях Банка России разрабатываются соответствующими
подразделениями безопасности и защиты информации, согласовываются
соответствующими подразделениями информатизации и утверждаются
организационно-распорядительными документами структурных подразделений
Банка России, для центрального аппарата Банка России - организационно-
распорядительными документами Банка России.
2.12.3. Наличие утвержденных регламентов применения организационных
мер защиты информации является необходимым условием для применения в
структурных подразделениях Банка России организационных мер защиты
2.12.4. Руководители структурных подразделений Банка России, структурных
подразделений центрального аппарата Банка России обеспечивают, в рамках своих
полномочий, применение работниками организационных мер защиты информации,
в соответствии с установленными регламентами.
2.13. Требования к контролю обеспечения информационной безопасности в
структурных подразделениях Банка России включают в себя следующие положения.
2.13.1. Контроль обеспечения информационной безопасности в структурных
подразделениях Банка России осуществляется соответствующим подразделением
безопасности и защиты информации.
(п/п. 2.13.1 в ред. Указания Банка России от 10.12.2018 г. N 5008-У) - с 01.01.2020
2.13.2. утратил силу Указанием Банка России от 10.12.2018 г. N 5008-У - с
01.01.2020
2.13.3. Администратор информационной безопасности подразделения
осуществляет свою деятельность на основании положения об администраторе
информационной безопасности подразделения. Требования к содержанию
положения об администраторе информационной безопасности подразделения
установлены в приложении 1 к настоящему Положению. На основе указанных
требований соответствующим подразделением безопасности и защиты
информации разрабатываются положения об администраторе информационной
безопасности конкретного подразделения или нескольких подразделений,
согласуемые с соответствующим подразделением информатизации и
утверждаемые руководителем структурного подразделения Банка России.
Для структурных подразделений центрального аппарата Банка России
положения об администраторе информационной безопасности подразделения
разрабатываются и утверждаются Главным управлением безопасности и защиты
информации по согласованию с Департаментом информационных технологий и
структурным подразделением центрального аппарата Банка России, в штате
которого состоит администратор информационной безопасности подразделения.
п/п. 2.13.3 УТРАТИЛ СИЛУ Указанием Банка России от 10.12.2018 г. N 5008-У - с
01.01.2020

01.01.2020
01.01.2020
01.01.2020
2.13.7. В рамках контроля обеспечения информационной безопасности в
структурных подразделениях Банка России должен быть реализован:
контроль эксплуатации и использования по назначению в структурном
подразделении Банка России обеспечивающих систем и ПИБ автоматизированных
систем Банка России;
контроль выполнения в структурном подразделении Банка России
регламентов применения организационных мер защиты информации;
мониторинг и анализ событий информационной безопасности, обнаружение,
реагирование и расследование инцидентов информационной безопасности,
осуществляемые путем использования по назначению обеспечивающих систем и
ПИБ автоматизированных систем.
2.13.8. Контроль эксплуатации обеспечивающих систем и ПИБ
автоматизированных систем заключается в контроле:
фактического состава эксплуатируемых технических средств обеспечения
информационной безопасности, реализующих функции обеспечения
фактических параметров настроек применяемых технических средств
обеспечения информационной безопасности, в том числе сетевого оборудования;
выполнения требований к среде эксплуатации, в том числе контроль
параметров настроек программного обеспечения среды эксплуатации;
выполнения руководств и регламентов по эксплуатации технических средств
принятия организационных мер, необходимых для обеспечения эксплуатации
обеспечивающих систем или ПИБ автоматизированной системы Банка России, в
том числе назначение ролей эксплуатационного персонала.
2.13.9. Контроль использования по назначению обеспечивающих систем и
ПИБ автоматизированных систем заключается в контроле:
назначения ролей пользователей;
выполнения руководств и регламентов использования по назначению
технических средств обеспечения информационной безопасности.
2.13.10. Для осуществления контроля эксплуатации и использования по
назначению обеспечивающих систем и ПИБ автоматизированных систем Банка
России работниками подразделений безопасности и защиты информации
используется роль контролера эксплуатации, которая предоставляется в
соответствии с пунктом 3.17 Положения Банка России от 13 декабря 2013 года N
410-П.
(абзац первый п/п. 2.13.10 в ред. Указания Банка России от 10.12.2018 г. N 5008-
У)- с 01.01.2020
Допускается отсутствие роли контролера эксплуатации в автоматизированных
системах Банка России и приложениях, размещаемых на прикладных платформах,
если реализация функций контроля эксплуатации в них обеспечивается средствами
прикладных платформ и (или) обеспечивающих систем. Информация о реализации
указанных функций контроля эксплуатации должна быть отражена в документации
на соответствующие автоматизированные системы Банка России, приложения,
размещаемые на прикладных платформах.
(абзац второй п/п. 2.13.10 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
Назначение роли контролера эксплуатации осуществляется организационно-
распорядительными документами структурных подразделений Банка России, для
центрального аппарата Банка России - распорядительным актом структурного
подразделения центрального аппарата Банка России, с соответствующим
изменением должностных инструкций работников Банка России.
(абзац третий п/п. 2.13.10 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
Назначение одному лицу ролей эксплуатационного персонала, в том числе
администратора автоматизированной системы Банка России, администратора
информационной безопасности автоматизированной системы Банка России,
администратора систем управления базами данных, и роли контролера
эксплуатации в той же автоматизированной системе Банка России не допускается,
за исключением случаев возникновения в информационно-телекоммуникационной
системе Банка России инцидентов, зафиксированных в соответствии с
требованиями нормативных и (или) иных актов Банка России.
Роль контролера эксплуатации может быть назначена работникам
Департамента внутреннего аудита на период проведении ими аудиторских
проверок.
2.13.11. По решению первого заместителя Председателя Банка России
(заместителя Председателя Банка России), курирующего отдельные вопросы
Департамента безопасности Банка России, подразделениями безопасности и
защиты информации могут проводиться внеплановые процедуры контроля
обеспечения информационной безопасности в подразделениях Банка России.
(пункт введен Указанием Банка России от 10.12.2018 г. N 5008-У)
2.14. Принятие мер по защите информации при выводе из эксплуатации
автоматизированных систем Банка России (их отдельных частей) организуется
Департаментом информационных технологий и обеспечивается соответствующим
подразделением информатизации под контролем соответствующего подразделения
безопасности и защиты информации.
Принятие мер по защите информации при выводе из эксплуатации
автоматизированных систем Банка России (их отдельных частей) реализуется в
соответствии с:
требованиями к составу и содержанию организационных мер, необходимых к
проведению при выводе из эксплуатации автоматизированной системы Банка
России (их отдельных частей), установленных в проектной и эксплуатационной
документации;
порядками, установленными регламентами применения организационных мер
2.15. По решению первого заместителя Председателя Банка России
(заместителя Председателя Банка России), курирующего вопросы безопасности
функционирования Банка России, по предложению Департамента информационной
безопасности и (или) Департамента безопасности Банка России, согласованному с
Департаментом информационных технологий и первым заместителем
Председателя Банка России (заместителем Председателя Банка России),
курирующим вопросы обеспечения автоматизации и информатизации деятельности
структурных подразделений Банка России, на этапе внедрения (ввода в действие) и
(или) эксплуатации осуществляются:
анализ исходного кода программного обеспечения автоматизированных
систем Банка России, с целью выявления уязвимостей в обеспечении
информационной безопасности, за исключением автоматизированных систем Банка
России, включенных только в контур безопасности ВБИ;
проведение оценки защищенности автоматизированных систем Банка России,
за исключением обеспечивающих систем, автоматизированных систем Банка
России, включенных только в контур безопасности ВБИ.
2.16. Проведение анализа исходного кода автоматизированных систем Банка
России и оценки защищенности автоматизированных систем Банка России
организует Департамент безопасности Банка России по согласованию с
Департаментом информационных технологий и осуществляется при участии
работников соответствующего подразделения информатизации. Проведение оценки
защищенности автоматизированных систем Банка России не должно приводить к
ухудшению параметров их функционирования в штатном режиме эксплуатации.
Результаты анализа исходного кода автоматизированных систем Банка России и
оценки защищенности автоматизированных систем Банка России представляются
Департаментом безопасности Банка России в Департамент информационных
технологий.
2.17. утратил силу Указанием Банка России от 10.12.2018 г. N 5008-У
Глава 3. Требования к определению состава функций обеспечения

информационной безопасности
3.1. Состав функций обеспечения информационной безопасности,

реализуемых обеспечивающими системами, ПИБ автоматизированных систем
Банка России, применением организационных мер защиты информации,
определяется Департаментом информационной безопасности по согласованию с
Департаментом безопасности Банка России и Департаментом информационных
технологий и первым заместителем Председателя Банка России (заместителем
Председателя Банка России), курирующим вопросы обеспечения автоматизации и
информатизации деятельности структурных подразделений Банка России, и
утверждается первым заместителем Председателя Банка России (заместителем
Председателя Банка России), координирующим и контролирующим работу
Департамента информационной безопасности.
3.2. Состав функций обеспечения информационной безопасности
определяется для:
контура безопасности ВБИ;
контура безопасности сети Интернет;
контура безопасности ИОД;
контура безопасности УОС;
контура безопасности системно-технической инфраструктуры (далее - контур
безопасности СТИ);
(абзац шестой п. 3.2 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
ОКОЗ.
3.3. Требования к функциям защиты от утечки информации по техническим
каналам, в том числе по каналам побочных электромагнитных излучений и наводок,
в рамках настоящего Положения не предъявляются.
3.4. Состав функций обеспечения информационной безопасности,
реализуемых для конкретного объекта защиты, определяется включением объекта
защиты в один или несколько контуров безопасности.
В случае отнесения конкретного объекта защиты к ОКОЗ для такого объекта
реализуются функции обеспечения информационной безопасности, определенные
для контура безопасности, в который включен объект защиты, и функции
обеспечения информационной безопасности, определенные для ОКОЗ.
Для объектов защиты - прикладных программных комплексов, в том числе
офисного программного обеспечения, для которых разработчиком не
предусмотрена возможность реализации функций обеспечения информационной
безопасности, определенных в соответствии с требованиями настоящего
Положения для ПИБ автоматизированных систем Банка России, применяются
функции обеспечения информационной безопасности, реализуемые
обеспечивающими системами.
Автоматизированные рабочие места пользователей, используемые для
нерегулярной обработки персональных данных и информации, отнесенной
нормативными и иными актами Банка России к информации ограниченного доступа,
только с использованием офисного программного обеспечения, относятся к контуру
безопасности ВБИ.
В случае документально зафиксированного актами соответствующего
подразделения информатизации отсутствия технической возможности и (или)
экономической целесообразности реализации для конкретного объекта защиты
отдельных функций обеспечения информационной безопасности или реализации
для внешней автоматизированной системы правил обеспечения информационной
безопасности, установленных в проектной и эксплуатационной документации,
входящей в состав внешней автоматизированной системы, реализуются иные
документально оформленные организационно-распорядительными документами
соответствующего подразделения информатизации, согласованными с
соответствующим подразделением безопасности и защиты информации, меры
(абзац пятый п. 3.4 в ред. Указания Банка России от 10.12.2018 г. N 5008-У)
3.5. По решению структурного подразделения Банка России или структурного
подразделения центрального аппарата Банка России, являющегося инициатором
создания (функциональным заказчиком) автоматизированной системы Банка
России, и по согласованию с Департаментом безопасности Банка России и
Департаментом информационных технологий осуществляется:
реализация для конкретной автоматизированной системы Банка России
функций обеспечения информационной безопасности, определенных для контура
безопасности СТИ (указанное решение принимается, в случае если
автоматизированная система Банка России используется для цели реализации
задач и функций структурного подразделения Банка России в целом или кредитных
организаций отдельного региона - субъекта Российской Федерации);
реализация для конкретной автоматизированной системы Банка России
функций обеспечения информационной безопасности, определенных для ОКОЗ
(указанное решение принимается, в случае если автоматизированная система
Банка России используется для реализации задач и функций Банка России в целом
или большинства кредитных организаций, действующих на территории Российской
Федерации).
3.6. Функции обеспечения информационной безопасности, установленные
для контура безопасности ИОД, применяются для реализации третьего уровня
защищенности персональных данных при их обработке в информационных
системах персональных данных в соответствии с положениями постановления
Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных" (Собрание законодательства
Российской Федерации, 2012, N 45, ст. 6257) (далее - Постановление
Правительства Российской Федерации от 1 ноября 2012 года N 1119).
Для каждой информационной системы персональных данных руководителем
структурного подразделения Банка России, являющегося владельцем ресурса
персональных данных - информационной системы персональных данных Банка
России, распорядительным актом структурного подразделения Банка России
должен быть назначен работник, ответственный за обеспечение безопасности
персональных данных в информационной системе персональных данных.
3.7. При осуществлении обработки персональных данных в структурных
подразделениях Банка России в качестве актуальных угроз безопасности
персональных данных определяются угрозы третьего типа в соответствии с
положениями Постановления Правительства Российской Федерации от 1 ноября
2012 года N 1119.
3.8. Для реализации функций обеспечения информационной безопасности
применяются средства защиты информации, прошедшие процедуру оценки
соответствия в форме обязательной сертификации по требованиям безопасности
информации в соответствии со статьей 25 Федерального закона от 27 декабря 2002
года N 184-ФЗ "О техническом регулировании" (Собрание законодательства
Российской Федерации, 2002, N 52, ст. 5140; 2005, N 19, ст. 1752; 2007, N 19, ст.
2293; N 49, ст. 6070; 2008, N 30, ст. 3616; 2009, N 29, ст. 3626; N 48, ст. 5711; 2010, N
1, ст. 5, ст. 6; N 40, ст. 4969; 2011, N 30, ст. 4603; N 49, ст. 7025; N 50, ст. 7351; 2012,
N 31, ст. 4322; N 50, ст. 6959; 2013, N 27, ст. 3477; N 30, ст. 4071; 2014, N 26, ст. 3366;
2015, N 17, ст. 2477; N 27, ст. 3951; N 29, ст. 4342; N 48, ст. 6724; 2016, N 15, ст. 2066;
2017, N 27, ст. 3938; N 31, ст. 4765).
Для реализации функций обеспечения информационной безопасности для
объектов и ресурсов доступа, отнесенных к отдельной категории объектов защиты,
и при взаимодействии с общедоступными вычислительными сетями, в том числе с
информационно-телекоммуникационной сетью "Интернет", применяются:
средства защиты информации не ниже четвертого класса;
средства вычислительной техники не ниже пятого класса.
Для реализации функций обеспечения информационной безопасности в
контуре безопасности ИОД и контуре безопасности УОС применяются:
средства защиты информации не ниже шестого класса;
средства вычислительной техники не ниже пятого класса.
Использование средств защиты информации, прошедших процедуру оценки
соответствия в форме обязательной сертификации по требованиям безопасности
информации, с закончившимся сроком действия сертификата допускается в том
случае, если указанные средства были приобретены в период действия
сертификата.
3.9. Применение средств защиты информации, не соответствующих
требованиям, установленным пунктом 3.8 настоящего Положения, осуществляется
по согласованию с Департаментом безопасности Банка России.
Глава 4. Заключительные положения
4.1. Настоящее Положение не подлежит опубликованию и вступает в силу с 1

января 2017 года.
4.2. Со дня вступления в силу настоящего Положения признать утратившими
силу:
Положение Банка России от 11 января 2008 года N 316-П "Об обеспечении
предназначенных для обработки, хранения и (или) передачи информации
ограниченного доступа";
Указание Банка России от 24 декабря 2008 года N 2157-У "О внесении
изменений в Положение Банка России от 11 января 2008 года N 316-П "Об
обеспечении информационной безопасности автоматизированных систем Банка
России, предназначенных для обработки, хранения и (или) передачи информации
ограниченного доступа" и о признании утратившей силу Инструкции Банка России
от 26 декабря 2000 года N 95-И "О порядке обработки информации, содержащей
сведения ограниченного распространения, на средствах вычислительной техники в
системе Банка России";
Указание Банка России от 23 декабря 2009 года N 2368-У "О внесении
изменения в пункт 1.8 Положения Банка России от 11 января 2008 года N 316-П "Об
обеспечении информационной безопасности автоматизированных систем Банка
России, предназначенных для обработки, хранения и (или) передачи информации
ограниченного доступа";
Указание Банка России от 8 июля 2010 года N 2479-У "О внесении изменений
в Положение Банка России от 11 января 2008 года N 316-П "Об обеспечении
предназначенных для обработки, хранения и (или) передачи информации
ограниченного доступа".
Председатель Центрального банка Российской Э.С. Набиуллина

Федерации
Приложение 1
к Положению Банка России
от "25" ноября 2015 года N 506-П
"Об обеспечении информационной
безопасности в структурных
подразделениях Банка России при
обработке, хранении и (или) передаче
информации с использованием
средств вычислительной техники"
(отметка к Приложению в ред. Указания
Банка России от 10.12.2018 г. N 5008-У)
см. отметку в предыдущей редакции
Требования к содержанию Положения об администраторе

информационной безопасности подразделения
Приложение 1 УТРАТИТ СИЛУ Указанием Банка России от 10.12.2018 г. N 5008-У-

с 01.01.2020 г.
см. текст Приложения в предыдущей редакции
1. Положение об администраторе информационной безопасности

подразделения определяет его обязанности, права и зону ответственности в части
контроля обеспечения информационной безопасности и эксплуатации
обеспечивающих систем и ПИБ автоматизированных систем Банка России.
2. В положении об администраторе информационной безопасности
подразделения определяются обязанности администратора информационной
безопасности подразделения из числа следующих обязанностей:
контроль использования по назначению и эксплуатации в подразделении
обеспечивающих систем и ПИБ автоматизированных систем Банка России, в том
числе реализующих функции идентификации, классификации и учет объектов
защиты, управления правами пользователей, идентификации, аутентификации,
авторизации и разграничения доступа, обеспечения защиты от воздействия
вредоносного кода, обеспечения целостности вычислительной среды,
предотвращения утечек информации;
эксплуатация обеспечивающих систем и ПИБ автоматизированных систем
Банка России, для которых в подразделении не реализовано централизованное
управление;
обеспечение в подразделении контроля работоспособности технических
средств обеспечения информационной безопасности, входящих в состав
обеспечивающих систем и ПИБ автоматизированных систем Банка России;
обеспечение контроля соблюдения работниками подразделения руководств и
регламентов использования по назначению технических средств обеспечения
совместно с подразделениями безопасности и защиты информации и
подразделениями информатизации принятие мер по восстановлению в
подразделении работоспособности технических средств обеспечения
информационной безопасности входящих в состав обеспечивающих систем и ПИБ
обеспечение контроля назначения ролей пользователей и эксплуатационного
персонала;
обеспечение контроля соблюдения в подразделении регламентов применения
организационных мер защиты информации;
обращение в подразделение безопасности и защиты информации в случаях
выявления нарушений в обеспечении информационной безопасности;
обеспечение ознакомления пользователей с нормативными и иными актами
Банка России, иными документами Банка России в области обеспечения
информационной безопасности.
подразделения определяются:
состав (перечень) объектов доступа, входящих в зону ответственности
администратора информационной безопасности подразделения;
состав (перечень) обеспечивающих систем и ПИБ автоматизированных
систем Банка России, контроль эксплуатации и (или) использования по назначению,
эксплуатацию и (или) использование по назначению которых обеспечивает
администратор информационной безопасности подразделения;
состав (перечень) обеспечивающих систем и ПИБ автоматизированных
систем Банка России, эксплуатацию которых обеспечивает администратор
информационной безопасности подразделения;
перечень руководств и регламентов по эксплуатации и (или) использования
по назначению технических средств обеспечения информационной безопасности,
контроль соблюдения которых обеспечивает администратор информационной
безопасности подразделения;
перечень руководств и регламентов по эксплуатации технических средств
обеспечения информационной безопасности, которые используются
администратором информационной безопасности подразделения;
перечень регламентов применения организационных мер защиты
информации, контроль соблюдения которых обеспечивает администратор
информационной безопасности подразделения;
перечень документов, входящих в состав проектной и эксплуатационной
документации на обеспечивающие системы и ПИБ автоматизированных систем
Банка России, которыми руководствуется администратор информационной
безопасности подразделения.
4. Положение об администраторе информационной безопасности
подразделения определяет, что методическое руководство деятельностью
администратора информационной безопасности подразделения осуществляется
соответствующими подразделениями безопасности и защиты информации.
подразделения определяются права администратора информационной
безопасности подразделения. Администратор информационной безопасности
подразделения, в том числе вправе:
требовать от пользователей и эксплуатационного персонала безусловного
соблюдения требований к обеспечению информационной безопасности,
установленных нормативными актами Банка России, иными актами Банка России,
соблюдения положений проектной и эксплуатационной документации на
обеспечивающие системы и ПИБ автоматизированных систем Банка России,
соблюдения руководств и регламентов по эксплуатации и (или) использования по
назначению технических средств обеспечения информационной безопасности,
регламентов применения организационных мер защиты информации;
обращаться к руководителю структурного подразделения Банка России или
структурного подразделения центрального аппарата Банка России, в штате которого
состоит администратор информационной безопасности подразделения, с
предложениями о прекращении обработки информации в случаях выявления
нарушений в обеспечении информационной безопасности;
обращаться в подразделение безопасности и защиты информации в случаях
выявления нарушений в обеспечении информационной безопасности;
обращаться в подразделение безопасности и защиты информации с
просьбами об оказании технической и методической помощи в работе по контролю
готовить для подразделения безопасности и защиты информации
предложения по совершенствованию контроля обеспечения информационной
безопасности.
подразделения определяется ответственность администратора информационной
безопасности подразделения за обеспечение полноты и качества осуществляемого
им контроля обеспечения информационной безопасности в соответствии с
возложенными на него обязанностями.
Приложение 2
к Положению Банка России
от 25 ноября 2015 года N 506-П
"Об обеспечении информационной
безопасности в структурных
подразделениях Банка России при
обработке, хранении и (или) передаче
информации с использованием
средств вычислительной техники"
Приложение 2 введено Указанием Банка России от 10.12.2018 г. N 5008-У
Перечень сервисов обеспечения информационной безопасности Банка России
N
Сервис информационной Группы функций обеспечения информационной
п/
безопасности безопасности
п
1 2 3
1 Сервис управления и Управление учетными записями и правами доступа
контроля прав доступа пользователей и эксплуатационного персонала;
(СУД) контроль прав логического доступа;
управление доступом к объектам доступа;
управление доступом к коммуникационным портам и
устройствам ввода-вывода информации
2 Сервис идентификации, Идентификация, аутентификация, авторизация
аутентификации и пользователей и эксплуатационного персонала при
авторизации (СИАА) осуществлении логического доступа
3 Сервис предоставления Предоставление доступа эксплуатационного персонала
привилегированного при осуществлении логического доступа к ресурсам
доступа эксплуатационному доступа, отнесенным к отдельной категории объектов
персоналу (СПД) защиты
4 Сервис защиты Идентификация, классификация и учет объектов
вычислительной защиты и ресурсов доступа;
инфраструктуры (СЗВИ) обеспечение защищенности объектов защиты (в части
средств вычислительной техники);
обеспечение целостности вычислительной среды;
управление конфигурациями систем и средств
обеспечения информационной безопасности
(далее - ИБ)
5 Сервис защиты сетевой Защита информации, передаваемой по
инфраструктуры (СЗСИ) вычислительным сетям;
разделение потоков обрабатываемой информации,
сегментация и межсетевое экранировании;
обнаружение аномальной сетевой активности;
обнаружение и предотвращение вторжений и сетевых
атак;
обеспечение защищенности объектов защиты (в части
сетевого оборудования)
6 Сервис защиты от Обеспечение защиты от воздействий вредоносного
воздействий вредоносного кода
кода (СЗВВК)
7 Сервис предотвращения Контентный контроль и предотвращение утечек
утечек информации (СПУИ) информации;
контроль использования машинных носителей
информации
8 Сервис менеджмента регистрация, классификация, реагирование и
инцидентов ИБ (СМИ ИБ) расследование инцидентов ИБ
9 Сервис мониторинга и Мониторинг и анализ событий ИБ;
анализа событий ИБ выявление инцидентов ИБ
(СМИА)
10 Сервис управления Управление ключевыми системами средств
ключевыми системами криптографической защиты информации
средств криптографической
защиты информации
(Сервис УКС СКЗИ)
11 Сервис управления Автоматизация регламентов:
заявками предоставление прав логического доступа;
изменения состояния вычислительной инфраструктуры;
изменения состояния сетевой инфраструктуры
12 Сервис проведения оценки Оценка ИБ на соответствие документам Банка России в
состояния ИБ (СПОС ИБ) области стандартизации
13 Сервис визуализации Представление информации о состоянии ИБ
состояния ИБ (СВС ИБ) руководству Банка России

ПОЛОЖЕНИЕ Банка России от 25 ноября 2015 г N 506-П Об обес

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ПОЛОЖЕНИЕ Банка России от 25 ноября 2015 г N 506-П Об обес

Оригинальное название:

Загружено:

Авторское право:

Доступные форматы

N 506-П

Об обеспечении информационной безопасности в структурных

(вступает в силу с 01.01.2017 г.)

(в ред. Указания Банка России от 10.12.2018 г. N 5008-У)

Глава 1. Общие положения

1.1. Настоящее Положение устанавливает требования к обеспечению

Глава 2.Требования к организации применения защитных мер

2.1. В целях организации применения защитных мер осуществляются:

2.13.4. утратил силу Указанием Банка России от 10.12.2018 г. N 5008-У - с

Глава 3. Требования к определению состава функций обеспечения

3.1. Состав функций обеспечения информационной безопасности,

4.1. Настоящее Положение не подлежит опубликованию и вступает в силу с 1

Председатель Центрального банка Российской Э.С. Набиуллина

Требования к содержанию Положения об администраторе

Приложение 1 УТРАТИТ СИЛУ Указанием Банка России от 10.12.2018 г. N 5008-У-

1. Положение об администраторе информационной безопасности

Перечень сервисов обеспечения информационной безопасности Банка России

Похожие интересы

Вам также может понравиться