st10-08 (1027741), страница 10
Текст из файла (страница 10)
Пример второй ситуации — идентификацияновой угрозы и последующее обновление оценки рисков на стадии “планирование”. При этомважно, чтобы все заинтересованные стороны немедленно извещались о проводимых улучшениях СОИБ и при необходимости проводилось соответствующее обучение.Организация БС РФ должна накапливать, обобщать и использовать как свой опыт, так иопыт других организаций на всех уровнях принятия решений и их исполнения.8.1.6. Для успешного функционирования СМИБ в организации БС РФ следует выполнитьследующие группы требований:— требования к организации и функционированию службы ИБ организации БС РФ;— требования к определению/коррекции области действия СОИБ;— требования к выбору/коррекции подхода к оценке рисков нарушения ИБ и проведениюоценки рисков нарушения ИБ;— требования к разработке планов обработки рисков нарушения ИБ;— требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения ИБ;— требования к принятию руководством организации БС РФ решений о реализации и эксплуатации СОИБ;— требования к организации реализации планов обработки рисков нарушения ИБ;— требования к разработке и организации реализации программ по обучению и повышению осведомленности в области ИБ;— требования к организации обнаружения и реагирования на инциденты безопасности;— требования к организации обеспечения непрерывности бизнеса и его восстановленияпосле прерываний;— требования к мониторингу и контролю защитных мер;— требования к проведению самооценки ИБ;— требования к проведению аудита ИБ;— требования к анализу функционирования СОИБ;— требования к анализу СОИБ со стороны руководства организации БС РФ;— требования к принятию решений по тактическим улучшениям СОИБ;— требования к принятию решений по стратегическим улучшениям СОИБ.8.2.
Требования к организации и функционированию службы информационнойбезопасности организации банковской системы Российской Федерации8.2.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБруководству следует сформировать службу ИБ (назначить уполномоченное лицо), а также утвердить цели и задачи ее деятельности.Служба ИБ должна иметь утвержденные руководством полномочия и ресурсы, необходимые для выполнения установленных целей и задач, а также назначенного из числа руководствакуратора. При этом служба ИБ и служба информатизации (автоматизации) не должны иметьобщего куратора.Рекомендуется наделить службу ИБ собственным бюджетом.Организациям БС РФ, имеющим сеть филиалов или региональных представительств, рекомендуется выделять соответствующие подразделения ИБ (уполномоченных лиц) на местах,обеспечив их необходимыми ресурсами и нормативной базой.СТО БР ИББС1.02008 278.2.2. Служба ИБ (уполномоченное лицо) должна быть наделена следующими минимальными полномочиями:— организовывать составление и контролировать выполнение всех планов по обеспечениюИБ организации БС РФ;— разрабатывать и вносить предложения по изменению политик ИБ организации;— организовывать изменение существующих и принятие руководством новых внутреннихдокументов, регламентирующих деятельность по обеспечению ИБ организации БС РФ;— определять требования к мерам обеспечения ИБ организации БС РФ;— контролировать работников организации БС РФ в части выполнения ими требований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь работников, имеющих максимальные полномочия по доступу к защищаемыминформационным активам;— осуществлять мониторинг событий, связанных с обеспечением ИБ;— участвовать в расследовании событий, связанных с инцидентами ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД, например, нарушивших требования инструкций, руководств и т.п.
пообеспечению ИБ организации БС РФ;— участвовать в действиях по восстановлению работоспособности АБС после сбоев иаварий;— участвовать в создании, поддержании, эксплуатации и совершенствовании СОИБ организации БС РФ.8.3. Требования к определению/коррекции области действия системыобеспечения информационной безопасности8.3.1. Должна быть документально определена/скорректирована опись структурированных по классам защищаемых информационных активов (типов информационных активов —типов информации). Классификацию информационных активов рекомендуется проводить наосновании оценок ценности информационных активов для интересов (целей) организацииБС РФ, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов.8.3.2. В случае наличия в организации БС РФ классификации информационных активовопись информационных активов должна содержать информацию о принадлежности конкретного информационного актива к выделенным типам информационных активов.8.3.3.
Опись информационных активов (типов информационных активов) должна содержать перечень их объектов среды. Перечень объектов среды должен покрывать все уровни информационной инфраструктуры организации БС РФ, определенной в разделе 6 настоящегостандарта.8.3.4. Должны быть документально определены процедуры анализа и пересмотра области действия СОИБ, в частности, процедуры пересмотра при изменении перечня информационных активов организации (типов информационных активов).8.3.5. В организации БС РФ должны быть документально определены роли по определению/коррекции области действия СОИБ, по составлению и пересмотру описи информационных активов (типов информационных активов), находящихся в области действияСОИБ. В организации БС РФ должны быть назначены ответственные за выполнение указанных ролей.8.4. Требования к выбору/коррекции подхода к оценке рисков нарушенияинформационной безопасности и проведению оценки рисков нарушенияинформационной безопасности8.4.1.
В организации БС РФ должна быть принята/корректироваться методика оценкирисков нарушения ИБ/подход к оценке рисков нарушения ИБ.8.4.2. В организации БС РФ должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.8.4.3. Методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ организации БС РФ должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:— степени возможности реализации угроз ИБ выявленными и(или) предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз и нарушителя, в результате ихвоздействия на объекты среды информационных активов организации БС РФ (типов информационных активов);28 СТО БР ИББС1.02008— степени тяжести последствий от потери свойств ИБ, в частности, свойств доступности,целостности и конфиденциальности, для рассматриваемых информационных активов (типов информационных активов).Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценкирисков нарушения ИБ, а также последовательность их выполнения.8.4.4.
Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационныхактивов (типов информационных активов) области действия СОИБ.8.4.5. В организации БС РФ рекомендуется создать и поддерживать в актуальном состоянии единый информационный ресурс (базу данных), содержащий информацию об инцидентах ИБ.8.4.6. Полученные в результате оценивания рисков нарушения ИБ величины рисков должны быть соотнесены с уровнем допустимого риска, принятого в организации БС РФ. Результатом выполнения указанной процедуры является документально оформленный перечень недопустимых рисков нарушения ИБ.8.4.7. В организации БС РФ должны быть документально определены роли, связанные сдеятельностью по определению/коррекции методики оценки рисков нарушения ИБ/ подхода коценке рисков нарушения ИБ, и назначены ответственные за выполнение указанных ролей.8.4.8.
В организации БС РФ должны быть документально определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.8.5. Требования к разработке планов обработки рисков нарушенияинформационной безопасности8.5.1. По каждому из рисков нарушения ИБ, который является недопустимым, должен бытьдокументально определен план, определяющий один из возможных способов его обработки:— перенос риска на сторонние организации (например, путем страхования указанного риска);— уход от риска (например, путем отказа от деятельности, выполнение которой приводит кпоявлению риска);— осознанное принятие риска;— формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до допустимого уровня, и формирование планов по их реализации.8.5.2.
Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в организации БС РФ за обеспечение ИБ, и утверждены руководством.8.5.3. Планы реализаций требований по обеспечению ИБ должны содержать последовательность и сроки реализации и внедрения организационных, технических и иных защитных мер.8.5.4. В организации БС РФ должны быть документально определены роли по разработкепланов обработки рисков нарушения ИБ и назначены ответственные за выполнение указанныхролей.8.6. Требования к разработке/коррекции внутренних документов,регламентирующих деятельность в области обеспеченияинформационной безопасности8.6.1.
Разработку/коррекцию внутренних документов, регламентирующих деятельностьв области обеспечения ИБ в организации БС РФ, рекомендуется проводить с учетом рекомендаций по стандартизации Банка России РС БР ИББС2.0 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствиис требованиями СТО БР ИББС1.0”.8.6.2.
В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:— политика ИБ организации БС РФ;— частные политики ИБ организации БС РФ;— документы, регламентирующие процедуры выполнения отдельных видов деятельности,связанных с обеспечением ИБ организации БС РФ.Кроме того, должны быть определены перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ в организации БС РФ.Политика ИБ организации БС РФ должна быть утверждена руководством.8.6.3. В политике (в частных политиках) ИБ должны определяться/корректироваться:— цели и задачи обеспечения ИБ;СТО БР ИББС1.02008 29——————основные области обеспечения ИБ;типы основных защищаемых информационных активов;модели угроз и нарушителей;совокупность правил, требований и руководящих принципов в области ИБ;основные требования по обеспечению ИБ;принципы противодействия угрозам ИБ по отношению к типам основных защищаемыхинформационных активов;— основные принципы повышения уровня осознания и осведомленности в области ИБ;— принципы реализации и контроля выполнения требований политики ИБ.8.6.4.
Разработка/корректировка внутренних документов, регламентирующих деятельность в области обеспечения ИБ, должна проводиться на основе:— законодательства Российской Федерации;— комплекса БР ИББС, в частности, требований 7го и 8го разделов настоящего стандарта;— нормативных актов и предписаний регулирующих и надзорных органов;— договорных требований организации БС РФ со сторонними организациями;— результатов оценки рисков, выполненной с соответствующей уровню разрабатываемогодокумента детализацией рассматриваемых информационных активов (типов информационных активов).8.6.5. Совокупность внутренних документов, регламентирующих деятельность в областиобеспечения ИБ, должна содержать требования по обеспечению ИБ всех выявленных информационных активов (типов информационных активов), находящихся в области действия СОИБорганизации БС РФ.8.6.6. Документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, должны детализировать положения политики (частныхполитик) ИБ и не противоречить им.8.6.7.
В случае наличия в структурных подразделениях организации БС РФ работников,ответственных за обеспечение ИБ, в организации БС РФ должен быть утвержден руководствомпорядок взаимодействия (координирования работы) службы ИБ с указанными работниками.8.6.8. В составе внутренних документов, регламентирующих деятельность в области обеспечения ИБ, необходимо определить:— перечень свидетельств выполнения деятельности;— ответственность работников организации БС РФ за выполнение этой деятельности.8.6.9. Должны быть документально определены процедуры выделения и распределенияролей в области обеспечения ИБ.8.6.10. Должен быть документально определен порядок разработки, поддержки, пересмотра и контроля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации БС РФ.8.6.11.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
