IBBS-1.0-2004 (1027736), страница 9
Текст из файла (страница 9)
При выявлении низкой эффективности реализуемых процессов управления ИБ обеспечивается их оптимизация. Процессыуправления ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации управления ИБ используются частично и в ограниченном объеме.Пятый уровень (“оптимизированный”) характеризует проработанность процессов управления ИБ до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. Защитные меры в организации используются комплексно, обеспечивая основу совершенствования процессов управления ИБ.
Организация способна к быстрой адаптации при изменениях в окружении и бизнесе.10.5. Модель зрелости управления ИБ организации ориентирована на оценку процессовуправления ИБ, указанных в разделе 9 настоящего стандарта, и оценку выполнения базовыхтребований ИБ в организации.10.6. Рекомендуемыми уровнями зрелости процессов управления ИБ для организаций,способными обеспечить качественное предоставление основного набора банковских услуг, являются уровни не ниже четвертого.10.7. С учетом состава процессов управления ИБ четвертый уровень зрелости характеризуется следующими основными показателями:— разработана нормативная и распорядительная документация по ИБ (политика ИБ, должностные инструкции для персонала и т.п.);— создана организационная структура управления ИБ.
Четко определена ответственностьперсонала за деятельность, связанную с обеспечением ИБ;— финансирование ИБ осуществляется по отдельной статье бюджета организации;— есть назначенный куратор службы ИБ;— осуществляется приобретение необходимых средств обеспечения ИБ;— защитные меры (технические, технологические, организационные) встроены в АБС и банковские технологические процессы. В процессе внедрения защитных мер используетсяанализ затрат и результатов;— последовательно выполняется анализ ИБ организации и рисков нарушения ИБ, а такжевозможных негативных воздействий;— краткие занятия с работниками организации по вопросам обеспечения ИБ носят обязательный характер;— введена аттестация персонала по вопросам обеспечения безопасности;— проверки на возможность вторжения в АБС являются стандартизованным и формализованным процессом;— осуществляется оценка соответствия организации требованиям ИБ;— стандартизованы идентификация, аутентификация и авторизация пользователей.
Защитные меры совершенствуются с учетом накопленного в организации практического опыта;— уровень стандартизации и документирования процессов управления ИБ позволяет проводить аудит ИБ в достаточном объеме;— процессы обеспечения ИБ координируются со службой безопасности всей организации;— деятельность по обеспечению ИБ увязана с целями бизнеса;— руководство организации понимает проблемы ИБ и участвует в их решении через назначенного куратора службы ИБ из состава высшего руководства организации.СТО БР ИББС1.020042310.8.
Уровень зрелости следует оценивать для каждого из реализуемых в организациипроцессов управления ИБ, состав которых определяется целями организации, ее организационной структурой и т.д.10.9. По результатам оценки зрелости каждого из процессов управления ИБ должен формироваться общий итоговый рейтинг зрелости организации.Учет вклада уровня зрелости процессов в общий рейтинг зрелости организации следуетосуществлять в соответствии с рейтингом процесса в обеспечении достижения целей управления ИБ.Низкий уровень зрелости одного процесса управления ИБ может негативно повлиять наобщий рейтинг зрелости организации.
Например, если уровень зрелости процесса контроля(мониторинга или аудита) системы управления ИБ организации оценивается как низкий — нулевой, первый или второй, то общий рейтинг зрелости организации не может превышать уровень зрелости данного процесса.11. Аудит и мониторинг информационной безопасности организаций БС РФ11.1. Аудит ИБ организаций БС РФ может быть внутренним или внешним. Порядок и периодичность проведения внутреннего аудита ИБ организации в целом (или ее отдельных структурных подразделений) или АБС определяется руководством организации на основе потребностей в такой деятельности. Внешний аудит ИБ проводится независимыми аудиторами.11.2. Цель аудита ИБ организации состоит в проверке и оценке ее соответствия требованиям настоящего стандарта и других принятых в организации нормативных актов по ИБ.
АудитИБ должен проводиться периодически. Внешний аудит ИБ организаций БС РФ должен проводиться не реже одного раза в год.11.3. При проведении аудита ИБ организации должны использоваться стандартные процедуры документальной проверки, опрос и интервью с руководством и персоналом организации. При необходимости уточнения результатов документальной проверки, опросов и интервью в рамках внутреннего аудита ИБ в качестве дополнительного способа может применяться“проверка на месте”, которая проводится для обеспечения уверенности в том, что конкретныезащитные меры реализуются, правильно используются и проверяются с помощью тестирования. Обстоятельства, при которых требуется дополнительный способ в рамках внутреннего аудита ИБ, должны быть определены и согласованы в плане проведения аудита ИБ в организации.11.4.
При проведении внутреннего аудита ИБ могут использоваться журналы регистрации инцидентов ИБ, ведущиеся службами безопасности организации и формируемые на основе данных мониторинга ИБ.11.5. Мониторинг ИБ должен проводиться персоналом организации, ответственным заИБ, с целью обнаружения и регистрации отклонений защитных мер от требований ИБ и оценкиполноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации.Основными целями мониторинга ИБ в организации являются оперативное и постоянноенаблюдение, сбор, анализ и обработка данных под заданные цели, определяемые системойуправления ИБ в организации.
Такими целями анализа могут быть:— контроль за реализацией положений нормативных актов по обеспечению ИБ в организации;— выявление нештатных (или злоумышленных) действий в АБС организации;— выявление потенциальных нарушений ИБ.Для целей оперативного и постоянного наблюдения объектов мониторинга могут использоваться как специализированные (например, программные) средства, так и штатные (входящие в коммерческие продукты и системы) средства регистрации действий пользователей, процессов и т.п.11.6. При проведении внешнего аудита ИБ руководство организации должно обеспечитьдокументальное и, если это необходимо, техническое подтверждение того, что:— политика ИБ отражает требования бизнеса и цели организации;— организационная структура управления ИБ создана;— процессы выполнения требований ИБ исполняются и удовлетворяют поставленным целям;— защитные меры (например, межсетевые экраны, средства управления физическим доступом) настроены и используются правильно;— остаточные риски оценены и остаются приемлемыми для организации;— система управления ИБ соответствует определенному уровню зрелости управления ИБ;— рекомендации предшествующих аудитов ИБ реализованы.24СТО БР ИББС1.0200411.7.
Аудиторский отчет должен храниться в организации в течение установленного времени. Доступ к аудиторскому отчету должен быть разрешен только руководству организации ируководителям подразделения (лицам), ответственным за ИБ в организации.12. Направления развития стандартаРеализация положений настоящего стандарта обеспечивается соответствующими руководствами, методическими указаниями и системой оценки ИБ в организациях БС РФ.Положения настоящего стандарта могут уточняться и расширяться по предложениям, поступившим от организаций — разработчиков данного стандарта или иных организаций, использующих стандарт в практической деятельности.
Данные предложения должны быть одобреныБанком России и могут быть включены в стандарт в соответствии с регламентом деятельностиТехнического комитета по стандартизации 362 Федерального агентства по техническому регулированию и метрологии.БИБЛИОГРАФИЯ[1] Федеральный закон “О банках и банковской деятельности” от 01.12.1990 № 3951 в редакции ФЗ от 03.02.1996 № 17ФЗ, от 31.07.1998 № 151ФЗ, от 05.07.1999 № 126ФЗ, от08.07.1999 № 136ФЗ, от 19.06.2001 № 82ФЗ, от 07.08.2001 № 121ФЗ, от 21.03.2002№ 31ФЗ, с изменениями, внесенными постановлением Конституционного Суда РоссийскойФедерации от 23.02.1999 № 4П.[2] Федеральный закон “О Центральном банке Российской Федерации (Банке России)” от10 июля 2002 года № 86ФЗ.СТО БР ИББС1.0200425Приложение AТерминосистемы, используемые в стандарте(справочное)A.1. Информационная безопасность организации банковской системыA.1.1.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
