st-10-xx (1027738), страница 13
Текст из файла (страница 13)
В организации БС РФ рекомендуется сформировать и поддерживать в актуальном состоянии централизованную база данных инцидентов ИБ. Должны быть документально определены процедуры по хранению информации об инцидентах ИБ,практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ.8.10.3. Должны быть документально определены порядки действий работниковорганизации БС РФ при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях.
Работники организации должны быть осведомлены обуказанных порядках.8.10.4. Процедуры расследования инцидентов ИБ должны учитывать действующее законодательство Российской Федерации, положения нормативных актов БанкаРоссии, а также внутренних документов организации БС РФ в области ИБ.8.10.5. В организациях БС РФ должны приниматься и выполняться документально оформленные решения по всем выявленным инцидентам ИБ.8.10.6. В организации БС РФ должны быть документально определены роли пообнаружению, классификации, реагированию, анализу и расследованию инцидентовИБ и назначены ответственные за выполнение указанных ролей.8.11. Требования к организации обеспечения непрерывности бизнесаи его восстановления после прерываний8.11.1.
В описи защищаемых информационных активов должны быть выделеныинформационные активы, существенные для обеспечения непрерывности бизнеса организации БС РФ.8.11.2. В организации БС РФ должны быть документально определены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания.8.11.3.
Должен быть документально определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции и порядок действий работников организации БС РФ по восстановлению бизнеса. В частности, в состав плана должны быть включены:– условия активизации плана;проект 11.05.2010СТО БР ИББС–1.0–20хх––––45действия, которые должны быть предприняты после инцидента ИБ;процедуры восстановления;процедуры тестирования и проверки плана;план обучения и повышения осведомленности работников организации БСРФ;– обязанности работников организации с указанием ответственных за выполнение каждого из положений плана.8.11.4.
Разработка планов обеспечения непрерывности бизнеса и его восстановления после прерывания должна основываться на документально оформленных результатах оценки рисков нарушения ИБ организации БС РФ применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и еговосстановления после прерывания.8.11.5. В организации БС РФ должны быть документально определены, реализованы и использоваться защитные меры обеспечения непрерывности бизнеса применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания.Реализация и использование защитных мер обеспечения непрерывности бизнеса и его восстановления после прерывания должна основываться на соответствующихтребованиях по обеспечению ИБ.8.11.6.
План обеспечения непрерывности бизнеса и его восстановления послепрерывания должен быть согласован с существующими в организации процедурамиобработки инцидентов ИБ.8.11.7. Должно быть документально определено и выполняться периодическоетестирование плана обеспечения непрерывности бизнеса и его восстановления послепрерывания. По результатам тестирования, при необходимости, проводится соответствующая корректировка плана. Сценарий тестирования должен быть составлен с учетом существующей в организации БС РФ модели угроз и нарушителей, а также результатов оценки рисков.8.11.8.
В организации БС РФ должна быть реализована программа обучения иповышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний.8.11.9. Должны быть документально определены и выполняться процедуры регулярного пересмотра и обновления плана обеспечения непрерывности бизнеса и еговосстановления после прерывания для обеспечения уверенности в их эффективности.Процедуры пересмотра и обновления плана должны учитывать изменения в приоритетах, целях и интересах бизнеса организации БС РФ; пересмотр моделей угроз; оценку рисков нарушения ИБ.8.11.10.
В организации БС РФ должны быть документально определены роли поразработке плана обеспечения непрерывности бизнеса и его восстановления послепрерывания и назначены ответственные за выполнение указанных ролей.8.12. Требования к мониторингу и контролю защитных мер8.12.1. Должны быть документально определены процедуры мониторинга СОИБи контроля защитных мер, включая контроль параметров конфигурации и настроексредств и механизмов защиты. Указанные процедуры должны проводиться персоналоморганизации БС РФ, ответственным за обеспечение ИБ, и охватывать все реализованные и эксплуатируемые защитные меры, входящие в СИБ.проект 11.05.201046СТО БР ИББС–1.0–20хх8.12.2.
Результаты выполнения процедур мониторинга СОИБ и контроля защитных мер должны документально фиксироваться.8.12.3. Должны быть документально определены и выполняться процедуры сбора и хранения информации о действиях работников организации БС РФ, событиях ипараметрах, имеющих отношение к функционированию защитных мер.8.12.4. Информация обо всех инцидентах, выявленных в процессе мониторингаСОИБ и контроля защитных мер, должна включаться в базу данных инцидентов ИБ.8.12.5.
Процедуры мониторинга СОИБ и контроля защитных мер должны подвергаться регулярным и документально зафиксированным пересмотрам в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также на основе данных об инцидентах ИБ.
Порядок выполнения процедур пересмотра должен быть документально определен.8.12.6. В организации БС РФ должны быть документально определены роли,связанные с выполнением процедур мониторинга СОИБ и контроля защитных мер, атакже пересмотром указанных процедур, и назначены ответственные за выполнениеуказанных ролей.8.13. Требования к проведению самооценки информационнойбезопасности8.13.1. Самооценка ИБ должна проводиться в соответствии со стандартом БанкаРоссии СТО БР ИББС–1.2 «Обеспечение информационной безопасности организацийбанковской системы Российской Федерации.
Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС–1.0». Порядок проведения самооценки ИБ рекомендуется организовывать в соответствии с рекомендациями по стандартизации Банка России РС БРИББС-2.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС–1.0».8.13.2.
Должна быть документально определена и реализована программа самооценок ИБ, содержащая информацию, необходимую для планирования и организациисамооценок ИБ, их контроля, анализа и совершенствования, а также обеспечения ихресурсами, необходимыми для эффективного и результативного проведения указанных самооценок ИБ в заданные сроки.8.13.3. В организации БС РФ должны быть документально определены:– порядок формирования, сбора и хранения свидетельств самооценки ИБ;– периодичность проведения самооценки ИБ;– порядок хранения и использования результатов самооценки ИБ.8.13.4.
Для каждой проводимой в организации БС РФ самооценки ИБ необходимодокументально оформить план проведения самооценки, определяющий:– цель самооценки ИБ;– объекты и деятельность, подвергающиеся самооценки ИБ;– порядок и сроки выполнения мероприятий самооценки ИБ;– распределение ролей среди работников организации БС, связанных с проведением самооценки ИБ;8.13.5. По результатам проведения самооценок ИБ должны быть подготовленыотчеты. Результаты самооценок ИБ, а также соответствующие отчеты должны бытьдоведены до руководства организации БС РФ.проект 11.05.2010СТО БР ИББС–1.0–20хх478.13.6. В организации БС РФ должны быть документально определены роли,связанные с выполнением программы самооценок ИБ и назначены ответственные завыполнение указанных ролей.8.14. Требования к проведению аудита информационнойбезопасности8.14.1.
Аудит ИБ организации БС РФ должен проводиться в соответствии с требованиями стандартов Банка России СТО БР ИББС– 1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и СТО БР ИББС–1.2 «Обеспечение информационнойбезопасности организаций банковской системы Российской Федерации.
Методикаоценки соответствия информационной безопасности организаций банковской системыРоссийской Федерации требованиям СТО БР ИББС–1.0».8.14.2. Должна быть документально определена и реализовываться программааудитов ИБ, содержащая информацию, необходимую для планирования и организацииаудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанныхаудитов ИБ в заданные сроки.8.14.3. Для каждого проводимого в организации БС РФ аудита ИБ необходимодокументально оформить план аудита, определяющий:– цель аудита ИБ;– критерии аудита ИБ;– область аудита ИБ;– дату и продолжительность проведения аудита ИБ;– состав аудиторской группы;– описание деятельности и мероприятий по проведению аудита;– распределение ресурсов при проведении аудита.8.14.4.
В организации БС РФ должны быть оформлены договора с аудиторскимиорганизациями, а также документально определены:– порядок хранения, доступа и использования материалов, получаемых в процессе проведения аудита ИБ;– порядок взаимодействия с аудиторской организацией в процессе проведенияаудита ИБ;– порядок взаимодействия аудиторской группы и руководства, позволяющийпредставителям аудиторской группы при необходимости непосредственно обращатьсяк руководству;– порядок организации опроса работников;– порядок организации наблюдения за деятельностью работников организацииБС РФ со стороны представителей аудиторской организации.8.14.5. По результатам проведения аудита должны быть подготовлены отчеты.Результаты аудитов, а также соответствующие отчеты должны быть доведены до руководства.8.14.6. Должен быть документально определен порядок хранения, доступа ииспользования материалов, получаемых в процессе проведения аудитов, в частностиотчетов аудитов.проект 11.05.201048СТО БР ИББС–1.0–20хх8.14.7.














