IBBS-1.0-2004 (1027736), страница 8
Текст из файла (страница 8)
Процессы подготовки, ввода, обработки и хранения информации, а также порядок установки, настройки, эксплуатации и восстановления необходимых технических и программных средств должны быть регламентированы и обеспечены инструктивными и методическими материалами, согласованными со службой информационной безопасности.8.2.9.8.
Должна осуществляться и быть регламентирована процедура периодическоготестирования всех реализованных программнотехническими средствами функций (требований) по обеспечению ИБ. Регламентирующие документы должны быть согласованы со службойинформационной безопасности.8.2.9.9. Должна осуществляться и быть регламентирована процедура восстановлениясистемы обеспечения ИБ.9. Управление информационной безопасностью организации БС РФ9.1.
Управление ИБ организации БС РФ включает в себя:— разработку политики информационной безопасности;— разработку технических, организационных и административных планов обеспечения реализации политики информационной безопасности;— разработку нормативнометодических документов обеспечения ИБ;— создание административного и кадрового обеспечения комплекса средств управленияИБ организации;— обеспечение штатного функционирования комплекса средств ИБ организации;— осуществление контроля (мониторинга) функционирования системы управления ИБ организации;— обучение с целью поддержки (повышения) квалификации персонала организации;— оценку рисков, связанных с нарушениями ИБ.9.2. Для реализации этих задач рекомендуется иметь в составе организации (самостоятельную или в составе службы безопасности) службу (уполномоченное лицо) по информационной безопасности.
Службу (уполномоченное лицо) по информационной безопасности рекомендуется наделить следующими полномочиями:— управлять всеми планами по обеспечению ИБ организации;— разрабатывать и вносить предложения по изменению политики ИБ организации;— изменять существующие и принимать новые нормативнометодические документы пообеспечению ИБ организации;— выбирать средства управления и обеспечения ИБ организации;— контролировать пользователей, в первую очередь пользователей, имеющих максимальные полномочия;— контролировать активность, связанную с доступом и использованием средств антивирусной защиты, а также с применением других средств обеспечения ИБ;— осуществлять мониторинг событий, связанных с ИБ;— расследовать события, связанные с нарушениями ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших противоправные действия, например, нарушивших требования инструкций, руководств и т.п.по обеспечению ИБ организации;— участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;— создавать, поддерживать и совершенствовать систему управления ИБ организации.Хорошей практикой является создание службы ИБ и выделение ей своего собственногобюджета.Хорошей практикой является, когда служба ИБ организации имеет собственного куратора на уровне первого лица в руководстве организации БС РФ (или заместителя председателяправления и т.п.).
При этом служба ИБ и служба информатизации (автоматизации) не должныиметь общего куратора.9.3. Система управления ИБ реализуется службой ИБ в виде совокупности взаимозависимых и постоянно действующих процессов (контроля, мониторинга, анализа и т.д.) штатногофункционирования используемых защитных мер и должного исполнения персоналом предъявляемых к ним требований ИБ.СТО БР ИББС1.02004219.4.
Для успешного функционирования системы управления ИБ и поддержки действующих в ней процессов стандарт BS 77992 рекомендует выделять четыре основных процесса:планирование процессов выполнения требований ИБ; реализация и эксплуатация защитныхмер; проверка процессов выполнения требований ИБ и защитных мер; совершенствование процессов выполнения требований ИБ и защитных мер. Их выполнение должно быть реализованов виде непрерывного цикла — “планирование — реализация — проверка — совершенствование — планирование — …”.9.5. Планирование процессов выполнения требований ИБ должно включать в себя определение целей и политики ИБ, требований ИБ и процессов их реализации. К планированию следует относить процессы формирования политики ИБ, формирования требований ИБ, оценкирисков, выбора защитных мер.
Процессы выполнения требований ИБ должны быть спланированы так, чтобы они позволили выбрать защитные меры, обеспечивающие достижение результатов в соответствии с установленными целями и политиками ИБ1.9.6. Реализация и эксплуатация защитных мер должна включать в себя внедрение выбранных защитных мер (организационных мер, технических средств обеспечения ИБ и пр.) спомощью процессов оптимального размещения и тестирования на их соответствие установленным требованиям ИБ.9.7.
Проверка процессов выполнения требований ИБ и защитных мер должна включать всебя проверку и оценку соответствия процессов выполнения требований ИБ установленнымтребованиям ИБ, а также проверку и оценку соответствия ИБ организации требованиям настоящего стандарта. Проверка и оценка должны производиться с помощью процессов аудита ИБ,мониторинга ИБ.9.8. Совершенствование процессов выполнения требований ИБ и защитных мер должновключать в себя корректирующие и превентивные действия в отношении процессов выполнения требований ИБ и защитных мер по результатам оценки соответствия реализации процессов ИБ в организации и изменений в среде организации. Корректирующие действия должнывключать определение причин несоответствия или характера изменений в среде организации,корректировки процессов выполнения требований ИБ и защитных мер.
Превентивные действия должны включать процессы определения потенциальных причин несоответствия, а такжереализацию превентивных изменений.9.9. Качество функционирования системы управления ИБ следует оценивать по полноте,адекватности и уровню зрелости поддерживаемых ею процессов.9.10. Организационная основа управления ИБ в организациях должна определяться целями бизнеса организации на финансовом рынке, размерами организации, наличием сети филиалов и другими факторами.Для организаций, имеющих сеть филиалов или региональных представительств, рекомендуется выделить соответствующие подразделения ИБ на местах, обеспечив их необходимымиресурсами и нормативной базой.10.
Модель зрелости процессов управления информационной безопасностьюорганизаций БС РФ10.1. Модель зрелости является мерой проработанности процессов управления ИБ, применяемых в рамках организации.10.2. Уровень проработанности процессов управления ИБ определяется тем, насколькополно и последовательно менеджмент банка руководствуется принципами ИБ, реализует политики и требования ИБ, использует накопленный опыт и совершенствует систему управления ИБ.10.3. Модель зрелости предназначена для определения:— текущего статуса организации;— положения (рейтинга) данной организации в рамках БС РФ;— направлений дальнейшего развития с учетом рекомендаций международных стандартов;— перспективных целей организации в части совершенствования ИБ.10.4.
Модель зрелости процессов управления ИБ организации в настоящем стандартеосновывается на модели зрелости, определенной стандартом COBIT, которая определяет шестьуровней зрелости организации — с нулевого по пятый.Нулевой уровень характеризует полное отсутствие какихлибо процессов управления ИБв рамках деятельности организации. Организация не осознает существования проблем ИБ.1Для соответствующих областей ИБ (организационных, административных, технических и т.д.) защитные меры могут быть выбраны на основе рекомендаций, изложенных в стандартах ISO/IEC IS 17799, ГОСТ Р ИСО/МЭК 15408, руководстве ISO TR 13569 и др.22СТО БР ИББС1.02004Первый уровень (“начальный”) характеризует наличие документально зафиксированныхсвидетельств осознания организацией существования проблем обеспечения ИБ.
Однако используемые процессы управления ИБ не стандартизованы, применяются эпизодически и бессистемно. Общий подход к управлению ИБ не выработан.Второй уровень (“повторяемый”) характеризует проработанность процессов управленияИБ до уровня, когда их выполнение обеспечивается различными людьми, решающими одну и туже задачу. Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам, а ответственность возложена на исполнителя. Руководство организации в значительнойстепени полагается на знания исполнителей, что влечет за собой высокую вероятность возможных ошибок.Третий уровень (“определенный”) характеризует то, что процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако порядок использования данных процессов оставлен на усмотрение самого персонала.
Это определяет вероятностьотклонений от стандартных процедур, которые могут быть не выявлены. Применяемые процедуры не оптимальны и недостаточно современны, но являются отражением практики, используемой в организации.Четвертый уровень (“управляемый”) характеризует то, что обеспечиваются мониторинг иоценка соответствия используемых в организации процессов.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
