IBBS-1-0-2006 (1027734), страница 4
Текст из файла (страница 4)
Поэтому этими отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности организации является ее персонал,собственник должен всемерно поощрять решение проблемы ИБ.1Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. МоделиИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее.
При разработке моделей (прогнозе)используются имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.10СТО БР ИББС1.020065.12. Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень ИБ может снижаться. Это неминуемо ведет к возрастанию рисков нарушения ИБ.Для того чтобы этого не допустить, необходимо определить процессы, обеспечивающиеконтроль (мониторинг и аудит ИБ организаций БС РФ), а также оценку эффективности СМИБорганизаций БС РФ (так называемый “процессный подход”), что должно стать основой для дальнейшего планирования ИБ. Указанные процессы должны реализовываться в рамках циклической модели менеджмента ИБ: “планирование — реализация — проверка — совершенствование — планирование — …”, отвечающей принципам и моделям корпоративного менеджмента ворганизациях [3], включая менеджмент в банковском деле [4, 5].При этом эффективность и результативность обеспечения ИБ, включая соответствующиепроцессы ИБ, должны оцениваться с позиции содействия (пользы) в достижении целей деятельности организации.5.13.
Обеспечение ИБ организаций БС РФ основывается на “процессном подходе” дляустановления, реализации, эксплуатации, мониторинга, обслуживания и повышения эффективности СМИБ.Любое действие, использующее ресурсы и управляемое для обеспечения преобразования неких входных ресурсов, информации и иных сущностей в выходы, определяется как “процесс”. Выход одного процесса может быть входом для другого процесса.
Представление деятельностей по обеспечению ИБ в виде системы процессов в пределах организации вместе сидентификацией, взаимодействиями и их координацией и управлением определяется как “процессный подход”.“Процессный подход” к обеспечению ИБ организаций БС РФ требует, чтобы персоналорганизации, клиенты, пользователи, контрагенты и иные заинтересованные стороны придавали особое значение:а) пониманию требований информационной безопасности бизнеса и потребности устанавливать политику и цели для информационной безопасности;б) реализации и надлежащей эксплуатации средств управления ИБ (защитных мер) в контексте управления общим риском деятельности (бизнеса) организации;в) мониторингу и анализу работы и эффективности СМИБ;г) непрерывному усовершенствованию СМИБ на основе объективного измерения.5.14. Рисунок 1 иллюстрирует модель непрерывного циклического процесса менеджмента ИБ организации (модель Деминга), определенную требованиями раздела 4 международногостандарта ISO/IEC IS 270011.ПланированиеУстановитьСМИБЗаинтересованныестороныРеали#зацияТребованияи ожидаемыерезультаты ИБРеализовать иэксплуатироватьСМИБЦиклразработки,поддержкии улучшенияЗаинтересованныестороныПоддерживатьи улучшать СМИБСовер#шенство#ваниеПроводитьмониторинги анализ СМИБПроверкаУправляемаяИБРисунок 1.
Элементы процесса менеджмента ИБНа стадии планирования устанавливают политики информационной безопасности, цели,задачи, процессы и процедуры, адекватные потребностям в менеджменте риска ИБ и совер1Циклическая модель менеджмента Деминга, известная под названием модели “планирование — реализация — проверка — совершенствование — планирование — …” и являющаяся основой международных стандартов менеджмента информационной безопасности (ISO/IEC IS 27001), менеджмента качества (ГОСТ Р ИСО 9001) и других стандартов, может применяться ко всем процессамСМИБ.СТО БР ИББС1.0200611шенствованию СМИБ, для достижения результатов в соответствии с политиками и целями организации.На стадии реализации осуществляются внедрение и поддержка политики информационной безопасности организации, средств управления (защитных мер), регламентов, процессови процедур СМИБ организации.На стадии проверки осуществляются оценка и, если необходимо, измерение эффективности процессов менеджмента ИБ организации на соответствие требованиям политики информационной безопасности, целям и установленным практикам, обеспечивается отчетность высшему руководству о результатах для проведения соответствующего анализа.На стадии совершенствования осуществляются выработка и принятие корректирующих ипревентивных действий, основанных на результатах анализа, для достижения непрерывногоусовершенствования СМИБ организации.5.15.
Использование для обеспечения ИБ организаций БС РФ “процессного подхода” набазе циклической модели Деминга, который является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ГОСТ Р ИСО 14001, позволит обеспечить поддержку и интеграцию требований к различным системам менеджмента в рамках общего корпоративного менеджмента в организациях БС РФ. Требования настоящего стандарта к СМИБ для организаций БС РФимеют прикладную практическую направленность, определяющую условия, цели и задачи применения в организациях БС РФ высокоуровневых международных стандартов для СМИБ организаций.
Подобным прикладным стандартом является Рекомендация Международного союзаэлектросвязи X.1051, обеспечивающая практическую основу по применению положений международного стандарта ISO/IEC IS 27001 в организациях, чей бизнес лежит в области телекоммуникаций.5.16. Обеспечение ИБ организации включает реализацию и поддержку процессов осознания ИБ и процессов менеджмента ИБ.Процессы осознания ИБ организации имеют отношение к руководству организации и определяют его ответственность в части реализации принципов обеспечения информационнойбезопасности организаций БС РФ, определенных положениями настоящего стандарта, а такжетребованиями раздела 5 “Ответственность высшего руководства организации” международного стандарта ISO/IEC IS 27001.Процессы осознания ИБ должны охватывать всю организацию, а процессами менеджментаИБ может быть охвачена ее часть или части.
Обоснованием тому может быть ограниченность вресурсах или времени. Необходимо стремиться к тому, чтобы процессы менеджмента ИБ организации распространялись на всю ее деятельность.5.17. Стратегия обеспечения ИБ организаций БС РФ, таким образом, заключается в развертывании, эксплуатации и совершенствовании СМИБ организации, включающей деятельность(процессы) менеджмента ИБ и стимулируемой и управляемой процессами осознания ИБ. Деятельность (процессы) СМИБ организации должна обеспечивать достижение целей деятельности организации в условиях:— штатного функционирования;— возникновения локальных инцидентов и проблем ИБ;— возникновения широкомасштабных катастроф и аварий различной природы, последствия которых имеют или могут иметь отношение к ИБ организации БС РФ.При этом менеджмент ИБ есть часть общего корпоративного менеджмента организацииБС РФ, которая ориентирована на содействие достижению целей деятельности организациичерез обеспечение защищенности ее информационной сферы.
Менеджмент ИБ не должен рассматриваться как самостоятельный вид деятельности в организации. Осознание ИБ обеспечивает основу эффективного функционирования СМИБ организации, где под эффективностью понимается соотношение между достигнутым результатом и использованными ресурсами.12СТО БР ИББС1.020066.
Îñíîâíûå ïðèíöèïû îáåñïå÷åíèÿèíôîðìàöèîííîé áåçîïàñíîñòè îðãàíèçàöèé ÁÑ ÐÔ6.1. Общие принципы безопасного функционирования организации6.1.1. Своевременность обнаружения проблем. Организация должна своевременнообнаруживать проблемы1, потенциально способные повлиять на ее бизнесцели.6.1.2. Прогнозируемость развития проблем. Организация должна выявлять причинноследственную связь возможных проблем и строить на этой основе точный прогноз их развития.6.1.3. Оценка влияния проблем на бизнес#цели.
Организация должна адекватно оценивать степень влияния выявленных проблем на ее бизнесцели.6.1.4. Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.6.1.5. Эффективность защитных мер. Организация должна эффективно реализовыватьпринятые защитные меры.6.1.6.
Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всехуровнях принятия решений и их исполнения.6.1.7. Непрерывность принципов безопасного функционирования. Организациядолжна обеспечивать непрерывность реализации принципов безопасного функционирования.6.1.8. Контролируемость защитных мер.
Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетомвлияния защитных мер на бизнесцели организации.6.2.
Специальные принципы обеспечения информационной безопасности организацииРеализация специальных принципов обеспечения ИБ направлена на повышение уровнязрелости процессов управления ИБ в организации.6.2.1. Определенность целей. Функциональные цели и цели ИБ организации должныбыть явно определены во внутрибанковском документе. Неопределенность приводит к “расплывчатости” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.6.2.2. Знание своих клиентов и служащих. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживатькорпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.6.2.3.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
