st-10-xx (1027738), страница 11
Текст из файла (страница 11)
Для успешного функционирования СМИБ в организации БС РФ следуетвыполнить следующие группы требований:– требования к организации и функционированию службы ИБ организации БСРФ;– требования к определению/коррекции области действия СОИБ;– требования к выбору/коррекции подхода к оценке рисков нарушения ИБ ипроведению оценки рисков нарушения ИБ;– требования к разработке планов обработки рисков нарушения ИБ;– требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения ИБ;– требования к принятию руководством организации БС РФ решений о реализации и эксплуатации СОИБ;проект 11.05.201038СТО БР ИББС–1.0–20хх–требования к организации реализации планов обработки рисков нарушенияИБ;– требования к разработке и организации реализации программ по обучению иповышению осведомленности в области ИБ;– требования к организации обнаружения и реагирования на инциденты безопасности;– требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний;– требования к мониторингу и контролю защитных мер;– требования к проведению самооценки ИБ;– требования к проведению аудита ИБ;– требования к анализу функционирования СОИБ;– требования к анализу СОИБ со стороны руководства организации БС РФ;– требования к принятию решений по тактическим улучшениям СОИБ;– требования к принятию решений по стратегическим улучшениям СОИБ.8.2.
Требования к организации и функционированию службыинформационной безопасности организации банковской системыРоссийской Федерации8.2.1. Для реализации, эксплуатации, контроля и поддержания на должномуровне СОИБ руководству следует сформировать службу ИБ (назначить уполномоченное лицо), а также утвердить цели и задачи ее деятельности.Служба ИБ должна иметь утвержденные руководством полномочия и ресурсы,необходимые для выполнения установленных целей и задач, а также назначенного изчисла руководства куратора. При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора.Рекомендуется наделить службу ИБ собственным бюджетом.Организациям БС РФ, имеющим сеть филиалов или региональных представительств, рекомендуется выделять соответствующие подразделения ИБ (уполномоченных лиц) на местах, обеспечив их необходимыми ресурсами и нормативной базой.8.2.2.
Служба ИБ (уполномоченное лицо) должна быть наделена следующимиминимальными полномочиями:–организовывать составление и контролировать выполнение всех планов пообеспечению ИБ организации БС РФ;–разрабатывать и вносить предложения по изменению политик ИБ организации;–организовывать изменение существующих и принятие руководством новыхвнутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ;–определять требования к мерам обеспечения ИБ организации БС РФ;–контролировать работников организации БС РФ, в части выполнения имитребований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь, работников, имеющих максимальные полномочия подоступу к защищаемым информационным активам;–осуществлять мониторинг событий, связанных с обеспечением ИБ;проект 11.05.2010СТО БР ИББС–1.0–20хх39–участвовать в расследовании событий, связанных с инцидентами ИБ, и вслучае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД, например, нарушивших требования инструкций,руководств и т.
п. по обеспечению ИБ организации БС РФ;–участвовать в действиях по восстановлению работоспособности АБС послесбоев и аварий;–участвовать в создании, поддержании, эксплуатации и совершенствованииСОИБ организации БС РФ.8.3. Требования к определению/коррекции области действия системыобеспечения информационной безопасности8.3.1. Должна быть документально определена/скорректирована опись структурированных по классам защищаемых информационных активов (типов информационных активов - типов информации). Классификацию информационных активов рекомендуется проводить на основании оценок ценности информационных активов для интересов (целей) организации БС РФ, например, в соответствии с тяжестью последствийпотери свойств ИБ информационных активов.8.3.2.
В случае наличия в организации БС РФ классификации информационныхактивов опись информационных активов должна содержать информацию о принадлежности конкретного информационного актива к выделенным типам информационныхактивов.8.3.3. Опись информационных активов (типов информационных активов) должнасодержать перечень их объектов среды. Перечень объектов среды должен покрыватьвсе уровни информационной инфраструктуры организации БС РФ, определенной вразделе 6 настоящего стандарта.8.3.4. Должны быть документально определены процедуры анализа и пересмотра области действия СОИБ, в частности, процедуры пересмотра при изменении перечня информационных активов организации (типов информационных активов).8.3.5.
В организации БС РФ должны быть документально определены роли поопределению/коррекции области действия СОИБ, по составлению и пересмотру описиинформационных активов (типов информационных активов), находящихся в областидействия СОИБ. В организации БС РФ должны быть назначены ответственные за выполнение указанных ролей.8.4.
Требования к выбору/коррекции подхода к оценке рисковнарушения информационной безопасности и проведению оценкирисков нарушения информационной безопасности8.4.1. В организации БС РФ должна быть принята/корректироваться методикаоценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ.8.4.2. В организации БС РФ должны быть определены критерии принятия рисковнарушения ИБ и уровень допустимого риска нарушения ИБ.8.4.3. Методика оценки рисков нарушения ИБ/подход к оценке рисков нарушенияИБ организации БС РФ должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:– степени возможности реализации угроз ИБ выявленными и(или) предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз и нарушителя, впроект 11.05.201040СТО БР ИББС–1.0–20ххрезультате их воздействия на объекты среды информационных активов организацииБС РФ (типов информационных активов);– степени тяжести последствий от потери свойств ИБ, в частности свойств доступности, целостности и конфиденциальности, для рассматриваемых информационных активов (типов информационных активов).Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения.8.4.4.
Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ.8.4.5. В организации БС РФ рекомендуется создать и поддерживать в актуальномсостоянии единый информационный ресурс (базу данных), содержащий информациюоб инцидентах ИБ.8.4.6. Полученные в результате оценивания рисков нарушения ИБ величины рисков должны быть соотнесены с уровнем допустимого риска, принятого в организацииБС РФ. Результатом выполнения указанной процедуры является документальнооформленный перечень недопустимых рисков нарушения ИБ.8.4.7.
В организации БС РФ должны быть документально определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/ подхода к оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.8.4.8. В организации БС РФ должны быть документально определены роли пооценке рисков нарушения ИБ и назначены ответственные за выполнение указанныхролей.8.5. Требования к разработке планов обработки рисков нарушенияинформационной безопасности8.5.1. По каждому из рисков нарушения ИБ, который является недопустимым,должен быть документально определен план, определяющий один из возможных способов его обработки:- перенос риска на сторонние организации (например, путем страхования указанного риска);- уход от риска (например, путем отказа от деятельности, выполнение которойприводит к появлению риска);- осознанное принятие риска;- формирование требований по обеспечению ИБ, снижающих риск нарушения ИБдо допустимого уровня, и формирования планов по их реализации.8.5.2.
Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в организации БС РФ за обеспечениеИБ, и утверждены руководством.8.5.3.Планы реализаций требований по обеспечению ИБ должны содержать последовательность и сроки реализации и внедрения организационных, технических ииных защитных мер.8.5.4. В организации БС РФ должны быть документально определены роли поразработке планов обработки рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.проект 11.05.2010СТО БР ИББС–1.0–20хх418.6. Требования к разработке/коррекции внутренних документов,регламентирующих деятельность в области обеспеченияинформационной безопасности8.6.1. Разработку/коррекцию внутренних документов, регламентирующих деятельность в области обеспечения ИБ в организации БС РФ рекомендуется проводить сучетом рекомендаций по стандартизации Банка России РС БР ИББС– 2.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации.














