st10-08 (1027741), страница 11
Текст из файла (страница 11)
В организации БС РФ должны быть документально определены роли по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующихдеятельность по обеспечению ИБ, а также назначены ответственные за выполнение указанныхролей.8.7. Требования к принятию руководством организации банковской системыРоссийской Федерации решений о реализации и эксплуатации системыобеспечения информационной безопасности8.7.1. Решения о реализации и эксплуатации СОИБ должны утверждаться руководствоморганизации БС РФ. В частности, в организации БС РФ требуется документально оформитьрешения руководства:— об анализе и принятии остаточных рисков нарушения ИБ;— о планировании этапов внедрения СОИБ, в частности, требований по обеспечению ИБ,изложенных в 7м и 8м разделах настоящего стандарта;— о распределении ролей в области обеспечения ИБ организации БС РФ;— о принятии со стороны руководства планов внедрения защитных мер, направленных на реализацию требований 7го и 8го разделов настоящего стандарта и снижение рисков ИБ;— о выделении ресурсов, необходимых для реализации и эксплуатации СОИБ.8.7.2.
Все планы внедрения СОИБ, в частности, планы реализаций требований 7го и8го разделов настоящего стандарта, планы обработки рисков нарушения ИБ и внедрения защитных мер должны быть утверждены руководством. Указанные планы должны документальнофиксировать:30 СТО БР ИББС1.02008— последовательность выполнения мероприятий в рамках указанных планов;— сроки начала и окончания запланированных мероприятий;— должностных лиц (подразделения), ответственных за выполнение каждого указанногомероприятия.8.7.3. Должен быть документально определен порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ организации БС РФ.8.7.4.
В организации БС РФ должны быть документально оформлены решения руководства, связанные с назначением и распределением ролей для всех структурных подразделений в соответствии с положениями внутренних документов, регламентирующих деятельностьпо обеспечению ИБ организации БС РФ.8.8. Требования к организации реализации планов внедрения системыобеспечения информационной безопасности8.8.1. Должны быть документально определены и выполняться проектирование/приобретение/развертывание, внедрение, эксплуатация, контроль и сопровождение эксплуатациизащитных мер (СИБ), предусмотренных планами реализации требований по обеспечению ИБ.8.8.2. Для построения элементов СИБ применительно к конкретной области или сфередеятельности организации БС РФ должны быть реализованы конкретные защитные меры, применяемые к объектам среды в соответствии с существующими в организации БС РФ требованиями по обеспечению ИБ, сформулированными в политике ИБ и других внутренних документах организации БС РФ.8.8.3.
В организации БС РФ должны быть документально определены роли, связанные среализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер,и назначены ответственные за выполнение указанных ролей.8.9. Требования к разработке и организации реализации программ по обучениюи повышению осведомленности в области информационной безопасности8.9.1. Должна быть организована документально оформленная и утвержденная руководством работа с персоналом организации БС РФ в направлении повышения осведомленностии обучения в области ИБ, включая разработку и реализацию планов и программ обучения и повышения осведомленности в области ИБ и контроля результатов выполнения указанных планов.8.9.2. В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности.8.9.3.
Программы обучения и повышения осведомленности должны включать информацию:— по существующим политикам ИБ;— по применяемым в организации БС РФ защитным мерам;— по правильному использованию защитных мер в соответствии с внутренними документами организации БС РФ;— о значимости и важности деятельности работников для обеспечения ИБ организацииБС РФ.8.9.4. В организации БС РФ должен быть определен перечень документов, являющихсясвидетельством выполнения программ обучения и повышения осведомленности в области ИБ.В частности, такими документами могут являться:— документы (журналы), подтверждающие прохождение руководителями и работникамиорганизации БС РФ обучения в области ИБ с указанием уровня образования, навыков,опыта и квалификации обучаемых;— документы, содержащие результаты проверок обучения работников организации БС РФ;— документы, содержащие результаты проверок осведомленности в области ИБ в организации БС РФ.8.9.5.
Для работника, получившего новую роль, должно быть организовано обучение илиинструктаж в области ИБ, соответствующее полученной роли.8.9.6. В организации БС РФ должны быть документально определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и поконтролю результатов, а также назначены ответственные за выполнение указанных ролей.8.10. Требования к организации обнаружения и реагированияна инциденты информационной безопасности8.10.1. В организации БС РФ должны быть документы, регламентирующие процедурыобработки инцидентов, включающие:— процедуры обнаружения инцидентов ИБ;СТО БР ИББС1.02008 31————процедуры информирования об инцидентах;процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;процедуры реагирования на инцидент;процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ).8.10.2.
В организации БС РФ рекомендуется сформировать и поддерживать в актуальном состоянии централизованную базу данных инцидентов ИБ. Должны быть документально определены процедуры по хранению информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ.8.10.3. Должны быть документально определены порядки действий работников организации БС РФ при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях. Работники организации должны быть осведомлены об указанных порядках.8.10.4. Процедуры расследования инцидентов ИБ должны учитывать действующее законодательство Российской Федерации, положения нормативных актов Банка России, а такжевнутренних документов организации БС РФ в области ИБ.8.10.5.
В организациях БС РФ должны приниматься и выполняться документально оформленные решения по всем выявленным инцидентам ИБ.8.10.6. В организации БС РФ должны быть документально определены роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ и назначеныответственные за выполнение указанных ролей.8.11. Требования к организации обеспечения непрерывности бизнесаи его восстановления после прерываний8.11.1. В описи защищаемых информационных активов должны быть выделены информационные активы, существенные для обеспечения непрерывности бизнеса организации БС РФ.8.11.2.
В организации БС РФ должны быть документально определены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания.8.11.3. Должен быть документально определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции ипорядок действий работников организации БС РФ по восстановлению бизнеса. В частности, всостав плана должны быть включены:— условия активизации плана;— действия, которые должны быть предприняты после инцидента ИБ;— процедуры восстановления;— процедуры тестирования и проверки плана;— план обучения и повышения осведомленности работников организации БС РФ;— обязанности работников организации с указанием ответственных за выполнение каждого из положений плана.8.11.4.
Разработка планов обеспечения непрерывности бизнеса и его восстановленияпосле прерывания должна основываться на документально оформленных результатах оценкирисков нарушения ИБ организации БС РФ применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания.8.11.5. В организации БС РФ должны быть документально определены, реализованы ииспользоваться защитные меры обеспечения непрерывности бизнеса применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания.Реализация и использование защитных мер обеспечения непрерывности бизнеса и еговосстановления после прерывания должна основываться на соответствующих требованиях пообеспечению ИБ.8.11.6.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
