st10-08 (1027741), страница 12
Текст из файла (страница 12)
План обеспечения непрерывности бизнеса и его восстановления после прерывания должен быть согласован с существующими в организации процедурами обработки инцидентов ИБ.8.11.7. Должно быть документально определено и выполняться периодическое тестирование плана обеспечения непрерывности бизнеса и его восстановления после прерывания. Порезультатам тестирования при необходимости проводится соответствующая корректировкаплана. Сценарий тестирования должен быть составлен с учетом существующей в организацииБС РФ модели угроз и нарушителей, а также результатов оценки рисков.8.11.8. В организации БС РФ должна быть реализована программа обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний.32 СТО БР ИББС1.020088.11.9.
Должны быть документально определены и выполняться процедуры регулярногопересмотра и обновления плана обеспечения непрерывности бизнеса и его восстановленияпосле прерывания для обеспечения уверенности в их эффективности. Процедуры пересмотраи обновления плана должны учитывать изменения в приоритетах, целях и интересах бизнесаорганизации БС РФ; пересмотр моделей угроз; оценку рисков нарушения ИБ.8.11.10. В организации БС РФ должны быть документально определены роли по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания иназначены ответственные за выполнение указанных ролей.8.12. Требования к мониторингу и контролю защитных мер8.12.1.
Должны быть документально определены процедуры мониторинга СОИБ и контроля защитных мер. Указанные процедуры должны проводиться персоналом организацииБС РФ, ответственным за обеспечение ИБ, и охватывать все реализованные и эксплуатируемые защитные меры, входящие в СИБ.8.12.2. Результаты выполнения процедур мониторинга СОИБ и контроля защитных мердолжны документально фиксироваться.8.12.3.
Должны быть документально определены и выполняться процедуры сбора и хранения информации о действиях работников организации БС РФ, событиях и параметрах, имеющих отношение к функционированию защитных мер.8.12.4. Информация обо всех инцидентах, выявленных в процессе мониторинга СОИБ иконтроля защитных мер, должна включаться в базу данных инцидентов ИБ.8.12.5.
Процедуры мониторинга СОИБ и контроля защитных мер должны подвергатьсярегулярным и документально зафиксированным пересмотрам в связи с изменениями в составеи способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а такжена основе данных об инцидентах ИБ. Порядок выполнения процедур пересмотра должен бытьдокументально определен.8.12.6. В организации БС РФ должны быть документально определены роли, связанные свыполнением процедур мониторинга СОИБ и контроля защитных мер, а также пересмотром указанных процедур, и назначены ответственные за выполнение указанных ролей.8.13. Требования к проведению самооценки информационной безопасности8.13.1.
Самооценка ИБ должна проводиться в соответствии со стандартом Банка РоссииСТО БР ИББС1.2 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасностиорганизаций банковской системы Российской Федерации требованиям СТО БР ИББС1.0”. Порядок проведения самооценки ИБ рекомендуется организовывать в соответствии с рекомендациями по стандартизации Банка России РС БР ИББС2.1 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы РоссийскойФедерации требованиям СТО БР ИББС1.0”.8.13.2.
Должна быть документально определена и реализована программа самооценокИБ, содержащая информацию, необходимую для планирования и организации самооценок ИБ,их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимымидля эффективного и результативного проведения указанных самооценок ИБ в заданные сроки.8.13.3.
В организации БС РФ должны быть документально определены:— порядок формирования, сбора и хранения свидетельств самооценки ИБ;— периодичность проведения самооценки ИБ;— порядок хранения и использования результатов самооценки ИБ.8.13.4. Для каждой проводимой в организации БС РФ самооценки ИБ необходимо документально оформить план проведения самооценки, определяющий:— цель самооценки ИБ;— объекты и деятельность, подвергающиеся самооценке ИБ;— порядок и сроки выполнения мероприятий самооценки ИБ;— распределение ролей среди работников организации БС, связанных с проведением самооценки ИБ.8.13.5.
По результатам проведения самооценок ИБ должны быть подготовлены отчеты.Результаты самооценок ИБ, а также соответствующие отчеты должны быть доведены до руководства организации БС РФ.8.13.6. В организации БС РФ должны быть документально определены роли, связанные свыполнением программы самооценок ИБ, и назначены ответственные за выполнение указанных ролей.СТО БР ИББС1.02008 338.14. Требования к проведению аудита информационной безопасности8.14.1. Аудит ИБ организации БС РФ должен проводиться в соответствии с требованиямистандартов Банка России СТО БР ИББС1.1 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
Аудит информационной безопасности”и СТО БР ИББС1.2 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасностиорганизаций банковской системы Российской Федерации требованиям СТО БР ИББС1.0”.8.14.2. Должна быть документально определена и реализовываться программа аудитовИБ, содержащая информацию, необходимую для планирования и организации аудитов ИБ, ихконтроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимымидля эффективного и результативного проведения указанных аудитов ИБ в заданные сроки.8.14.3.
Для каждого проводимого в организации БС РФ аудита ИБ необходимо документально оформить план аудита, определяющий:— цель аудита ИБ;— критерии аудита ИБ;— область аудита ИБ;— дату и продолжительность проведения аудита ИБ;— состав аудиторской группы;— описание деятельности и мероприятий по проведению аудита;— распределение ресурсов при проведении аудита.8.14.4. В организации БС РФ должны быть оформлены договоры с аудиторскими организациями, а также документально определены:— порядок хранения, доступа и использования материалов, получаемых в процессе проведения аудита ИБ;— порядок взаимодействия с аудиторской организацией в процессе проведения аудита ИБ;— порядок взаимодействия аудиторской группы и руководства, позволяющий представителям аудиторской группы при необходимости непосредственно обращаться к руководству;— порядок организации опроса работников;— порядок организации наблюдения за деятельностью работников организации БС РФ состороны представителей аудиторской организации.8.14.5.
По результатам проведения аудита должны быть подготовлены отчеты. Результаты аудитов, а также соответствующие отчеты должны быть доведены до руководства.8.14.6. Должен быть документально определен порядок хранения, доступа и использования материалов, получаемых в процессе проведения аудитов, в частности, отчетов аудитов.8.14.7. В организации БС РФ должны быть документально определены роли, связанные сорганизацией выполнения программ аудитов и планов отдельных аудитов, и назначены ответственные за выполнение указанных ролей.8.15.
Требования к анализу функционирования системы обеспеченияинформационной безопасности8.15.1. В организации БС РФ должен проводиться анализ функционирования СОИБ, использующий в том числе:— результаты мониторинга СОИБ и контроля защитных мер;— сведения об инцидентах ИБ;— результаты проведения аудитов ИБ, самооценок ИБ;— данные об угрозах, возможных нарушителях и уязвимостях ИБ;— данные об изменениях внутри организации БС РФ, например, данные об изменениях впроцессах и технологиях, реализуемых в рамках основного процессного потока, изменениях во внутренних документах организации БС РФ;— данные об изменениях вне организации БС РФ, например, данные об изменениях в законодательстве Российской Федерации, изменениях в требованиях комплекса БР ИББС,изменениях в договорных обязательствах организации.8.15.2. Анализ функционирования СОИБ должен включать в том числе:— анализ соответствия комплекса внутренних документов, регламентирующих деятельностьпо обеспечению ИБ в организации БС РФ, требованиям законодательства РоссийскойФедерации, требованиям стандартов Банка России, в частности, требованиям настоящего стандарта, контрактным требованиям организации;— анализ соответствия внутренних документов нижних уровней иерархии, регламентирующих деятельность по обеспечению ИБ в организации БС РФ, требованиям политик ИБорганизации БС РФ;34 СТО БР ИББС1.02008— оценку адекватности модели угроз организации БС РФ существующим угрозам ИБ;— оценку рисков в области ИБ организации, включая оценку уровня остаточного и допустимого риска;— проверку адекватности используемых защитных мер требованиям внутренних документов организации БС РФ и результатам оценки рисков;— анализ отсутствия разрывов в технологических процессах обеспечения ИБ, а также несогласованности в использовании защитных мер.8.15.3.
Результаты анализа функционирования СОИБ должны документироваться.8.15.4. В организации БС РФ должны быть документально определены роли, связанные спроцедурами анализа функционирования СОИБ, и назначены ответственные за выполнение указанных ролей.8.16. Требования к анализу системы обеспечения информационнойбезопасности со стороны руководства организации банковской системыРоссийской Федерации8.16.1.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
