st-10-xx (1027738), страница 14
Текст из файла (страница 14)
В организации БС РФ должны быть документально определены роли,связанные с организацией выполнения программ аудитов и планов отдельных аудитов, и назначены ответственные за выполнение указанных ролей.8.15. Требования к анализу функционирования системы обеспеченияинформационной безопасности8.15.1. В организации БС РФ должен проводиться анализ функционированияСОИБ, использующий, в том числе:- результаты мониторинга СОИБ и контроля защитных мер;- сведения об инцидентах ИБ;- результаты проведения аудитов ИБ, самооценок ИБ;- данные об угрозах, возможных нарушителях и уязвимостях ИБ;- данные об изменениях внутри организации БС РФ, например, данные об изменениях в процессах и технологиях, реализуемых в рамках основного процессного потока, изменениях во внутренних документах организации БС РФ;- данные об изменениях вне организации БС РФ, например, данные об изменениях в законодательстве Российской Федерации, изменениях в требованиях комплексаБР ИББС, изменениях в договорных обязательствах организации.8.15.2.
Анализ функционирования СОИБ должен включать, в том числе:- анализ соответствия комплекса внутренних документов, регламентирующихдеятельность по обеспечению ИБ в организации БС РФ, требованиям законодательства Российской Федерации, требованиям стандартов Банка России, в частности требованиям настоящего стандарта, контрактным требованиям организации;- анализ соответствия внутренних документов нижних уровней иерархии, регламентирующих деятельность по обеспечению ИБ в организации БС РФ, требованиямполитик ИБ организации БС РФ;- оценку адекватности модели угроз организации БС РФ существующим угрозамИБ;- оценку рисков в области ИБ организации, включая оценку уровня остаточного идопустимого риска;- проверку адекватности используемых защитных мер требованиям внутреннихдокументов организации БС РФ и результатам оценки рисков;- анализ отсутствия разрывов в технологических процессах обеспечения ИБ, атакже несогласованности в использовании защитных мер.8.15.3.
Результаты анализа функционирования СОИБ должны документироваться.8.15.4. В организации БС РФ должны быть документально определены роли,связанные с процедурами анализа функционирования СОИБ, и назначены ответственные за выполнение указанных ролей.проект 11.05.2010СТО БР ИББС–1.0–20хх498.16. Требования к анализу системы обеспечения информационнойбезопасности со стороны руководства организации банковскойсистемы Российской Федерации8.16.1.
В организации БС РФ должен быть утвержден перечень документов (данных), необходимых для формирования информации, предоставляемой руководству сцелью проведения анализа СОИБ. В частности, в указанный перечень документовдолжны входить:- отчеты с результатами мониторинга СОИБ и контроля защитных мер;- отчеты с результатами анализа функционирования СОИБ;- отчеты с результатами аудитов ИБ;- отчеты с результатами самооценок ИБ;- документы, содержащие информацию о способах и методах защиты, защитныхмерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ;- документы, содержащие информацию о новых, выявленных уязвимостях и угрозах ИБ;- документы, содержащие информацию о действиях, предпринятых по итогампредыдущих анализов СОИБ, осуществленных руководством;- документы, содержащие информацию об изменениях, которые могли бы повлиять на организацию СОИБ, например, изменения в законодательстве РоссийскойФедерации и(или) в положениях стандартов Банка России;- документы, содержащие информацию по выявленным инцидентам ИБ;- документы, подтверждающие выполнение требуемой деятельности по обеспечению ИБ, например выполнения планов обработки рисков;- документы, подтверждающие выполнение требований непрерывности бизнесаи его восстановления после прерывания.8.16.2.
В организации БС РФ должен быть определен и утвержден руководствомплан выполнения деятельности по контролю и анализу СОИБ. В частности, указанныйплан должен содержать положения по проведению совещаний на уровне руководства,на которых, в том числе, производится поиск и анализ проблем ИБ, влияющих на бизнес организации БС РФ.8.16.3.
В организации БС РФ должны быть документально определены роли,связанные с подготовкой информации, необходимой для анализа СОИБ руководством,и назначены ответственные за выполнение указанных ролей.проект 11.05.201050СТО БР ИББС–1.0–20хх8.17. Требования к принятию решений по тактическим 1 улучшениямсистемы обеспечения информационной безопасности8.17.1. Для принятия решений, связанных с тактическими улучшениями СОИБ,необходимо рассмотреть, среди прочего, документально оформленные результаты:– аудитов ИБ;– самооценок ИБ;– мониторинга СОИБ и контроля защитных мер;– анализа функционирования СОИБ;– обработки инцидентов ИБ;– выявления новых угроз и уязвимостей ИБ;– оценки рисков;– анализа перечня защитных мер, возможных для применения;– стратегических улучшений СОИБ;– анализа СОИБ со стороны руководства;– анализа успешных практик в области ИБ (собственных или других организаций).8.17.2.Решения по тактическим улучшениям СОИБ должны быть документальнозафиксированы и содержать либо выводы об отсутствии необходимости тактическихулучшений СОИБ, либо должны быть указаны направления тактических улучшенийСОИБ в виде корректирующих или превентивных действий, например:– пересмотр процедур выполнения отдельных видов деятельности по обеспечению ИБ;– пересмотр процедур эксплуатации отдельных видов защитных мер;– пересмотр процедур обнаружения и обработки инцидентов;– уточнение описи информационных активов;– пересмотр программы обучения и повышения осведомленности персонала;– пересмотр плана обеспечения непрерывности бизнеса и его восстановленияпосле прерывания;– пересмотр планов обработки рисков;– вынесение санкций в отношении персонала;– пересмотр процедур мониторинга СОИБ и контроля защитных мер;– пересмотр программ аудитов;– корректировка соответствующих внутренних документов, регламентирующихпроцедуры выполнения деятельности по обеспечению ИБ и эксплуатации защитныхмер;– ввод новых или замена используемых защитных мер.1К тактическим улучшениям СОИБ следуют относить корректирующие или превентивные действия, связанные с пересмотром отдельных процедур выполнения деятельности в рамках СОИБ организации БСРФ и не требующих пересмотра политики ИБ и частных политик ИБ организации БС РФ.
Как правило,тактические улучшения СОИБ не требуют выполнение деятельности в рамках этапа «планирование»СМИБ.проект 11.05.2010СТО БР ИББС–1.0–20хх518.17.3. Вся деятельность по реализации тактических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планыреализации тактических улучшений СОИБ и документы, в которых фиксируются результаты выполнения указанных планов.8.17.4. Деятельность, связанная с реализацией тактических улучшений СОИБдолжна быть санкционирована и контролироваться руководством службы ИБ организации БС РФ.8.17.5.
Должны быть документально определены и выполняться процедуры согласования и информирования заинтересованных сторон о тактических улучшенияхСОИБ, в частности, об изменениях, относящихся к обеспечению ИБ, к ответственностив области ИБ, к требованиям по обеспечению ИБ, а также должны быть документальнозафиксированы результаты выполнения указанных процедур8.17.6. В случаях принятия решений по тактическим улучшениям СОИБ должныбыть назначены ответственные за их реализацию.8.18.
Требования к принятию решений по стратегическим 1улучшениям системы обеспечения информационной безопасности8.18.1. Для принятия решений, связанных со стратегическими улучшениями СОИБ необходимо рассмотреть, среди прочего, документально оформленные результаты:– аудитов ИБ;– самооценок ИБ;– мониторинга СОИБ и контроля защитных мер;– анализа функционирования СОИБ;– обработки инцидентов ИБ;– выявления новых информационных активов организации БС РФ или их типов;– выявления новых угроз и уязвимостей ИБ;– оценки рисков;– пересмотра основных рисков ИБ;– анализа СОИБ со стороны руководства;– анализа успешных практик в области ИБ (собственных или других организаций),а также изменения:– в законодательстве Российской Федерации;– в нормативных актах Банка России, в частности требованиях настоящегостандарта;– интересов, целей и задач бизнеса организации БС РФ;– контрактных обязательств организации БС РФ.8.18.2.
Решения по стратегическим улучшениям СОИБ должны быть документально зафиксированы и содержать либо выводы об отсутствии необходимости стра1К стратегическим улучшениям СОИБ следуют относить корректирующие или превентивные действия, связанные с пересмотром политики ИБ и частных политик ИБ организации БС РФ, с последующимвыполнением соответствующих тактических улучшений СОИБ. Стратегические улучшения СОИБ всегдатребуют выполнение деятельности в рамках этапа «планирование» СМИБ.проект 11.05.201052СТО БР ИББС–1.0–20ххтегических улучшений СОИБ, либо указаны направления стратегических улучшенийСОИБ в виде корректирующих или превентивных действий, например:– уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамкахполитики ИБ или частных политик ИБ организации БС РФ;– изменение в области действия СОИБ;– уточнение описи типов информационных активов;– пересмотр моделей угроз и нарушителей;– изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ.8.18.3.
Вся деятельность по реализации стратегических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализации стратегических улучшений СОИБ и документы, в которых фиксируютсярезультаты выполнения указанных планов.8.18.4. Деятельность, связанная с реализацией стратегических улучшений СОИБдолжна быть санкционирована и контролироваться руководством организации БС РФ.8.18.5.
В случае стратегических улучшений СОИБ должна быть выполнена деятельность по реализации соответствующих тактических улучшений СОИБ, для всехнеобходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов. В частности необходимо выполнить:– выработку планов тактических улучшений СОИБ;– уточнение планов обработки рисков;– уточнение программы внедрения защитных мер;– уточнение процедур использования защитных мер.8.18.6. Должны быть документально определены и выполняться процедуры согласования и информирования заинтересованных сторон о стратегических улучшенияхСОИБ, в частности об изменениях, относящихся к обеспечению ИБ, к ответственностив области ИБ, к требованиям по обеспечению ИБ, а также должны быть документальнозафиксированы результаты выполнения указанных процедур8.18.7.















