st-10-xx (1027738), страница 12
Текст из файла (страница 12)
Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0».8.6.2. В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:- политика ИБ организации БС РФ;- частные политики ИБ организации БС РФ;- документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ организации БС РФ.Кроме того, должен быть определен перечень и формы документов, являющихсясвидетельством выполнения деятельности по обеспечению ИБ в организации БС РФ.Политика ИБ организации БС РФ должна быть утверждена руководством.8.6.3.
В политике (в частных политиках) ИБ должны определяться/корректироваться:- цели и задачи обеспечения ИБ;- основные области обеспечения ИБ;- типы основных защищаемых информационные активов;- модели угроз и нарушителей;- совокупность правил, требований и руководящих принципов в области ИБ;- основные требования по обеспечению ИБ;- принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;-основные принципы повышения уровня осознания и осведомленности в областиИБ;- принципы реализации и контроля выполнения требований политики ИБ.8.6.4. Разработка/корректировка внутренних документов, регламентирующихдеятельность в области обеспечения ИБ, должна проводиться на основе:– законодательства Российской Федерации;– комплекса БР ИББС, в частности, требования требований 7 и 8 разделов настоящего стандарта;– нормативных актов и предписаний регулирующих и надзорных органов;– договорных требований организации БС РФ со сторонними организациями;– результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов(типов информационных активов).8.6.5.
Совокупность внутренних документов, регламентирующих деятельность вобласти обеспечения ИБ, должна содержать требования по обеспечению ИБ всех выявленных информационных активов (типов информационных активов), находящихся вобласти действия СОИБ организации БС РФ.проект 11.05.201042СТО БР ИББС–1.0–20хх8.6.6. Документы, регламентирующие процедуры выполнения отдельных видовдеятельности, связанных с обеспечением ИБ, должны детализировать положения политики (частных политик) ИБ и не противоречить им.8.6.7. В случае наличия в структурных подразделениях организации БС РФ работников, ответственных за обеспечение ИБ, в организации БС РФ должен быть утвержден руководством порядок взаимодействия (координирования работы) службы ИБс указанными работниками.8.6.8.
В составе внутренних документов, регламентирующих деятельность в области обеспечения ИБ, необходимо определить:– перечень свидетельств выполнения деятельности;– ответственность работников организации БС РФ за выполнение этой деятельности.8.6.9. Должны быть документально определены процедуры выделения и распределения ролей в области обеспечения ИБ.8.6.10.
Должен быть документально определен порядок разработки, поддержки,пересмотра и контроля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации БС РФ.8.6.11. В организации БС РФ должны быть документально определены роли поразработке, поддержке, пересмотру и контролю исполнения внутренних документов,регламентирующих деятельность по обеспечению ИБ, а также назначены ответственные за выполнение указанных ролей.8.7. Требования к принятию руководством организации банковскойсистемы Российской Федерации решений о реализации иэксплуатации системы обеспечения информационной безопасности8.7.1.
Решения о реализации и эксплуатации СОИБ должны утверждаться руководством организации БС РФ. В частности, в организации БС РФ требуется документально оформить решения руководства:- об анализе и принятии остаточных рисков нарушения ИБ;- о планировании этапов внедрения СОИБ, в частности требований по обеспечению ИБ, изложенных в 7 и 8 разделах настоящего стандарта;- о распределении ролей в области обеспечения ИБ организации БС РФ;- о принятии со стороны руководства планов внедрения защитных мер, направленных на реализацию требований 7 и 8 разделов настоящего стандарта и снижениерисков ИБ;- о выделении ресурсов, необходимых для реализации и эксплуатации СОИБ.8.7.2. Все планы внедрения СОИБ, в частности планы реализаций требований 7и 8 разделов настоящего стандарта, планы обработки рисков нарушения ИБ и внедрения защитных мер должны быть утверждены руководством.
Указанные планы должныдокументально фиксировать:- последовательность выполнения мероприятий в рамках указанных планов;- сроки начала и окончания запланированных мероприятий;- должностных лиц (подразделения), ответственных за выполнение каждого указанного мероприятия.8.7.3. Должен быть документально определен порядок разработки, пересмотра иконтроля исполнения планов по обеспечению ИБ организации БС РФ.проект 11.05.2010СТО БР ИББС–1.0–20хх438.7.4.
В организации БС РФ должны быть документально оформлены решенияруководства, связанные с назначением и распределением ролей для всех структурныхподразделений в соответствии с положениями внутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ.8.8. Требования к организации реализации планов внедрениясистемы обеспечения информационной безопасности8.8.1. Должны быть документально определены и выполняться проектирование/приобретение/развертывание, внедрение, эксплуатация, контроль и сопровождение эксплуатации защитных мер (СИБ), предусмотренных планами реализаций требований по обеспечению ИБ.8.8.2. Для построения элементов СИБ применительно к конкретной области илисфере деятельности организации БС РФ должны быть реализованы конкретные защитные меры, применяемые к объектам среды в соответствии с существующими в организации БС РФ требованиями по обеспечению ИБ, сформулированными в политикеИБ и других внутренних документах организации БС РФ.8.8.3.
В организации БС РФ должны быть документально определены роли, связанные с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер, и назначены ответственные за выполнение указанных ролей.8.9. Требования к разработке и организации реализации программ пообучению и повышению осведомленности в областиинформационной безопасности8.9.1.
Должна быть организована документально оформленная и утвержденнаяруководством работа с персоналом организации БС РФ в направлении повышения осведомленности и обучения в области ИБ, включая разработку и реализацию планов ипрограмм обучения и повышения осведомленности в области ИБ и контроля результатов выполнения указанных планов.8.9.2. В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности.8.9.3. Программы обучения и повышения осведомленности должны включатьинформацию:- по существующим политикам ИБ;- по применяемым в организации БС РФ защитным мерам;- по правильному использованию защитных мер в соответствии с внутреннимидокументами организации БС РФ;- о значимости и важности деятельности работников для обеспечения ИБ организации БС РФ.8.9.4.
В организации БС РФ должен быть определен перечень документов, являющихся свидетельством выполнения программ обучения и повышения осведомленности в области ИБ. В частности, такими документами могут являться:–документы (журналы), подтверждающие прохождение руководителями иработниками организации БС РФ обучения в области ИБ с указанием уровня образования, навыков, опыта и квалификации обучаемых;–документы, содержащие результаты проверок обучения работников организации БС РФ;–документы, содержащие результаты проверок осведомленности в областиИБ в организации БС РФ.проект 11.05.201044СТО БР ИББС–1.0–20хх8.9.5.
Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли.8.9.6. В организации БС РФ должны быть документально определены роли поразработке, реализации планов и программ обучения и повышения осведомленности вобласти ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей.8.10. Требования к организации обнаружения и реагирования наинциденты информационной безопасности8.10.1. В организации БС РФ должны быть документы, регламентирующие процедуры обработки инцидентов, включающие:- процедуры обнаружения инцидентов ИБ;- процедуры информирования об инцидентах;- процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;- процедуры реагирования на инцидент;- процедуры анализа причин инцидентов ИБ и оценки результатов реагированияна инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ);8.10.2.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
