IBBS-1-0-2006 (1027734), страница 9
Текст из файла (страница 9)
Регламентирующие документы должны быть согласованы со службой ИБ.9. Ñèñòåìà ìåíåäæìåíòà èíôîðìàöèîííîéáåçîïàñíîñòè îðãàíèçàöèè ÁÑ ÐÔ9.1. Планирование СМИБДля успешного функционирования СМИБ организации БС РФ следует реализовать следующие процессы:а) определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ.Определение/уточнение области действия СМИБ должно осуществляться на основе результатов оценки операционных рисков, а также оценки репутационных и правовых рисков деятельности организации БС РФ;б) анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичных информационных активов и бизнеспроцессов организации.
При анализе и оценке рисковИБ должны использоваться положения раздела 7 настоящего стандарта;в) определение/уточнение политики для СМИБ организации;г) выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисковИБ. Цели ИБ и защитные меры могут быть выбраны на основе раздела 8 настоящего стандарта, а дополнительно на основе:1) международного стандарта ISO/IEC IS 270012005 или положений международногостандарта ISO/IEC IS 177992005, обеспечивающего большую детализацию;СТО БР ИББС1.02006232) стандартов ISO TR 13569, COBIT, BSI PAS 56 и других руководств по обеспечению информационной безопасности;3) ГОСТ Р ИСО/МЭК 154081÷32002 в части требований к продуктам информационныхтехнологий;4) стандартов ISO/IEC TR 18028, ISO/IEC TR 18043, ISO/IEC TR 18044 и других стандартовдля отдельных областей обеспечения ИБ.Обоснование по обработке рисков с учетом применения защитных мер должно быть подготовлено в виде отдельного документа (аналогичного документу “Statement of applicability” по ISO/IEC IS 27001), являющегося основой для разработки плана обработки рисков ИБ;д) принятие менеджментом организации БС РФ остаточных рисков и решения о реализациии эксплуатации/совершенствовании СМИБ.
Остаточные риски ИБ должны быть соотнесены с рисками банковской деятельности и оценено их влияние на достижение целей деятельности организации БС РФ.9.2. Реализация и эксплуатация СМИБОрганизации БС РФ следует реализовать следующие процессы:а) разработка плана обработки рисков ИБ;б) реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ;в) реализация программ по обучению и осведомленности ИБ. Реализация процесса по обучению и осведомленности ИБ должна обеспечиваться с учетом требований раздела 8международного стандарта ISO/IEC IS 177992005;г) обнаружение и реагирование на инциденты безопасности.
Реализация процесса обнаружения и реагирования на инциденты безопасности должна обеспечиваться с учетом требований раздела 13 международного стандарта ISO/IEC IS 177992005 и технического отчета ISO/IEC TR 18044;д) обеспечение непрерывности бизнеса и восстановления после прерываний. Обеспечениенепрерывности бизнеса и восстановления после прерываний должны обеспечиваться сучетом требований раздела 14 международного стандарта ISO/IEC IS 177992005 и положений BSI PAS56.9.3. Проверка (мониторинг и анализ) СМИБПроцессы мониторинга и анализа СМИБ организации должны быть интегрированы в систему внутреннего контроля организаций БС РФ.Организации следует реализовать следующие процессы мониторинга и анализа СМИБ:а) мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ;б) анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ;в) внутренний аудит СМИБ;г) анализ СМИБ со стороны высшего руководства;д) проведение периодического внешнего аудита СМИБ.9.4.
Совершенствование СМИБОрганизации следует реализовать следующие процессы:а) реализация тактических улучшений в СМИБ, осуществляемых в рамках полномочий служб(ответственных) ИБ организации;б) реализация стратегических улучшений СМИБ, требующих принятия решений на уровнеруководства организации и инициирования процессов планирования СМИБ. Использование опыта;в) информирование об изменениях и их согласование с заинтересованными сторонами;г) оценка достижения поставленных целей и потребностей в развитии СМИБ.9.5.
Система документацииОрганизации следует использовать систему менеджмента документации для СМИБ. Документы в данной системе необходимо соответствующим образом защищать и контролировать.Данная система должна также включать любые записи, которые создаются или поддерживаются для обеспечения свидетельств эффективной работы СМИБ.24СТО БР ИББС1.020069.6.
Обеспечение непрерывности бизнеса (деятельности) и восстановлениепосле прерыванийОрганизации следует разработать и внедрить план обеспечения непрерывности бизнеса (деятельности) и восстановления после прерываний. Данный план и соответствующие процессы восстановления должны пересматриваться на регулярной основе и своевременно обновляться (например, при существенных изменениях в операционной деятельности, организационной структуре, бизнеспроцессах и автоматизированных банковских системах). Эффективность документированных процедур восстановления необходимо периодически проверятьи тестировать (как минимум на полугодовой основе). С данным планом должны быть ознакомлены все сотрудники, отвечающие за его выполнение и вовлеченные в процессы восстановления.В качестве методологической основы при разработке плана могут быть использованыобщепринятые международные стандарты, регулирующие вопросы менеджмента непрерывности бизнеса (например, BSI PAS56).9.7.
Служба информационной безопасности (уполномоченное лицо)организации БС РФ9.7.1. Для реализации задач развертывания и эксплуатации СМИБ организации рекомендуется иметь в своем составе (самостоятельную или в составе службы безопасности) службуИБ (уполномоченное лицо).
Службу ИБ (уполномоченное лицо) рекомендуется наделить следующими полномочиями:— управлять всеми планами по обеспечению ИБ организации;— разрабатывать и вносить предложения по изменению политики ИБ организации;— изменять существующие и принимать новые нормативнометодические документы пообеспечению ИБ организации;— выбирать средства управления и обеспечения ИБ организации;— контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;— контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также связанную с применением других средств обеспечения ИБ;— осуществлять мониторинг событий, связанных с ИБ;— расследовать события, связанные с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п.по обеспечению ИБ организации;— участвовать в действиях по восстановлению работоспособности АБС после сбоев иаварий;— создавать, поддерживать и совершенствовать систему управления ИБ организации.Хорошей практикой является создание службы ИБ и выделение ей своего собственногобюджета.Хорошей практикой является, когда служба ИБ организации имеет собственного куратора на уровне Первого лица в руководстве организации БС РФ (Председателя или заместителяПредседателя правления и т.п.).
При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора.9.7.2. Организационная основа менеджмента ИБ в организациях должна определятьсяцелями бизнеса организации на финансовом рынке, размерами организации, наличием сетифилиалов и другими факторами.Организациям, имеющим сеть филиалов или региональных представительств, рекомендуется выделить соответствующие подразделения ИБ на местах, обеспечив их соответствующими ресурсами и нормативной базой.СТО БР ИББС1.020062510.
Ïðîâåðêà è îöåíêà èíôîðìàöèîííîéáåçîïàñíîñòè îðãàíèçàöèè ÁÑ ÐÔ10.1. Проверка и оценка ИБ организации может быть произведена с помощью аудита, самооценки и мониторинга ИБ.10.2. Аудит ИБ организации БС РФ может быть внутренним или внешним (см. п. 7.3.4).Цель, порядок и периодичность проведения аудитов ИБ организации в целом (или ее отдельныхструктурных подразделений) или АБС определяется руководством организации на основе потребностей в такой деятельности и фиксируется в программе аудита ИБ.10.3.














