st-10-xx (1027738), страница 15
Текст из файла (страница 15)
В случаях принятия решений по стратегическим улучшениям СОИБдолжны быть назначены ответственные за их реализацию.9. Проверка и оценка информационной безопасностиорганизаций банковской системы Российской Федерации9.1. Проверка и оценка ИБ организаций БС РФ проводится путем выполненияследующих процессов:– мониторинга и контроля защитных мер;– самооценки ИБ.– аудита ИБ;– анализа функционирования СОИБ (в том числе со стороны руководства).Указанные процессы являются частью группы процессов «проверка» СМИБ,требования к которым приведены в разделе 8 настоящего стандарта.9.2. Основными целями мониторинга и контроля защитных мер в организации БСРФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данныхпод заданные цели. Такими целями анализа могут быть:– контроль за реализацией положений внутренних документов по обеспечениюИБ в организации БС РФ;проект 11.05.2010СТО БР ИББС–1.0–20хх53– выявление нештатных, в том числе злоумышленных действий в АБС организации;– выявление инцидентов ИБ.Мониторинг и контроль защитных мер проводится персоналом организации БСРФ, ответственным за ИБ.Требования к проведению мониторинга и контроля защитных мер в организацииБС РФ определены в подразделе 8.12 настоящего стандарта.9.3.
При подготовке к аудиту ИБ рекомендуется проведение самооценки ИБ. Самооценка ИБ проводится собственными силами и по инициативе руководства организации.Порядок проведения самооценки ИБ в организации БС РФ определен в рекомендациях в области стандартизации Банка России РС БР ИББС-2.1 “Обеспечениеинформационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БРИББС-1.0”.В процессе самооценки ИБ проводится оценка степени выполнения требованийнастоящего стандарта и на ее основе вычисление итогового уровня ИБ организации БСРФ.
Порядок проведения указанной деятельности (оценка и вычисление) регламентируется стандартом Банка России СТО БР ИББС-1.2 «Обеспечение информационнойбезопасности организаций банковской системы Российской Федерации. Методикаоценки соответствия информационной безопасности организаций банковской системыРоссийской Федерации требованиям СТО БР ИББС-1.0».9.4. Аудит ИБ, проводимый внешними по отношению к организации БС РФ независимыми проверяющими организациями, является основной формой проверки иоценки (контроля) выполнения организацией БС РФ требований настоящего стандарта.Аудит ИБ проводится как для собственных целей самой организации БС РФ, таки с целью повышения доверия к ней со стороны других организаций.Аудит ИБ проводится в соответствии с требованиями подраздела 8.14 настоящего стандарта, а также в соответствии с требованиями стандартов Банка России СТОБР ИББС-1.1 «Обеспечение информационной безопасности организаций банковскойсистемы Российской Федерации.
Аудит информационной безопасности».В процессе аудита ИБ проводится оценка степени выполнения требований настоящего стандарта и на ее основе вычисление итогового уровня ИБ организации БСРФ. Порядок проведения указанной деятельности (оценка и вычисление) регламентируется стандартом Банка России СТО БР ИББС-1.2 «Обеспечение информационнойбезопасности организаций банковской системы Российской Федерации. Методикаоценки соответствия информационной безопасности организаций банковской системыРоссийской Федерации требованиям СТО БР ИББС-1.0».В качестве проверяющих организаций рекомендуется привлекать организации,входящие в состав Сообщества пользователей стандартов Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (ABISS - Association for Banking Information Security Standards,http://www.abiss.ru).Порядок проведения работ по контролю и надзору, включающий, в частности,вопросы:проект 11.05.201054СТО БР ИББС–1.0–20ххпроведения ведомственного контроля (с участием Банка России, предприятийлицензиатов, самооценки);государственного контроля, предусмотренного Федеральным законом «О персональных данных» [5], со стороны ФСБ России и ФСТЭК России;взаимодействия сторон при проведении указанных видов контроля;согласования планов, информационного взаимодействия, форм предоставленияотчетности и т.
д.,будет изложен в отдельном документе.9.5. Анализ функционирования СОИБ проводится персоналом организации БСРФ, ответственным за обеспечение ИБ, а также руководством, в том числе, на основании подготовленных для руководства документов (данных).Основными целями проведения анализа функционирования СОИБ являются:– оценка эффективности СОИБ;– оценка соответствия СОИБ требованиям законодательства Российской Федерации и стандартов Банка России;– оценка соответствия СОИБ существующим и возможным угрозам ИБ;– оценка следования принципам ИБ и выполнения требований по обеспечениюИБ, закрепленным в политике ИБ организации БС РФ, а также в иных внутренних документах организации БС РФ.Результаты, полученные в ходе анализа функционирования СОИБ являются, среди прочего, основой для совершенствования СОИБ.Требования к проведению анализа функционирования СОИБ определены в подразделах 8.15 и 8.16 настоящего стандарта.9.6.
В настоящем стандарте требование получения лицензии на деятельность потехнической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальныхИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются. В случае введения в действиестандарта в организации БС РФ указанные требования не являются обязательнымипри проведении комплекса мероприятий по обеспечению безопасности персональныхданных в специальных ИСПДн организаций БС РФ.
Альтернативой процедурам лицензирования и аттестации являются процедуры проверки и оценки информационнойбезопасности организаций банковской системы Российской Федерации, требования ккоторым изложены в пункте 9 настоящего стандарта.9.7. Получение организацией БС РФ лицензии ФСБ России – в соответствии стребованиями законодательства Российской Федерации.проект 11.05.2010СТО БР ИББС–1.0–20хх55Библиография[1] Федеральный Закон «О банках и банковской деятельности» от 01.12.1990 №395–1 в ред. ФЗ от 03.02.1996 №17–ФЗ, от 31.07.1998 № 151–ФЗ, от 05.07.1999 № 126–ФЗ, от 08.07.1999 № 136–ФЗ, от 19.06.2001 № 82–ФЗ, от 07.08.2001 № 121–ФЗ, от21.03.2002 № 31–ФЗ, с изменениями, внесенными постановлением КонституционногоСуда РФ от 23.02.1999 № 4–П[2] Федеральный закон «О Центральном Банке Российской Федерации (БанкеРоссии)» от 10 июля 2002 года № 86–ФЗ[3] Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ[4] ISO/IEC IS 27001–2005 Information technology.
Security techniques. Informationsecurity management systems. Requirements[5] Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ.[6] Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".[7] Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Обутверждении Порядка проведения классификации информационных систем персональных данных"проект 11.05.201056СТО БР ИББС–1.0–20ххКлючевые слова: банковская система Российской Федерации, система менеджмента информационной безопасности, политика информационной безопасности.проект 11.05.2010.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
