st10-08 (1027741), страница 13
Текст из файла (страница 13)
В организации БС РФ должен быть утвержден перечень документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ. В частности, в указанный перечень документов должны входить:— отчеты с результатами мониторинга СОИБ и контроля защитных мер;— отчеты с результатами анализа функционирования СОИБ;— отчеты с результатами аудитов ИБ;— отчеты с результатами самооценок ИБ;— документы, содержащие информацию о способах и методах защиты, защитных мерах илипроцедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ;— документы, содержащие информацию о новых, выявленных уязвимостях и угрозах ИБ;— документы, содержащие информацию о действиях, предпринятых по итогам предыдущиханализов СОИБ, осуществленных руководством;— документы, содержащие информацию об изменениях, которые могли бы повлиять на организацию СОИБ, например, изменения в законодательстве Российской Федерациии(или) в положениях стандартов Банка России;— документы, содержащие информацию по выявленным инцидентам ИБ;— документы, подтверждающие выполнение требуемой деятельности по обеспечению ИБ,например, выполнение планов обработки рисков;— документы, подтверждающие выполнение требований непрерывности бизнеса и его восстановления после прерывания.8.16.2.
В организации БС РФ должен быть определен и утвержден руководством планвыполнения деятельности по контролю и анализу СОИБ. В частности, указанный план долженсодержать положения по проведению совещаний на уровне руководства, на которых в том числе производятся поиск и анализ проблем ИБ, влияющих на бизнес организации БС РФ.8.16.3.
В организации БС РФ должны быть документально определены роли, связанные сподготовкой информации, необходимой для анализа СОИБ руководством, и назначены ответственные за выполнение указанных ролей.8.17. Требования к принятию решений по тактическим1 улучшениямсистемы обеспечения информационной безопасности8.17.1.
Для принятия решений, связанных с тактическими улучшениями СОИБ, необходимо рассмотреть среди прочего документально оформленные результаты:— аудитов ИБ;— самооценок ИБ;— мониторинга СОИБ и контроля защитных мер;— анализа функционирования СОИБ;— обработки инцидентов ИБ;— выявления новых угроз и уязвимостей ИБ;— оценки рисков;1К тактическим улучшениям СОИБ следует относить корректирующие или превентивные действия, связанные с пересмотром отдельных процедур выполнения деятельности в рамках СОИБ организации БС РФ и не требующие пересмотра политики ИБ ичастных политик ИБ организации БС РФ.
Как правило, тактические улучшения СОИБ не требуют выполнения деятельности в рамках этапа “планирование” СМИБ.СТО БР ИББС1.02008 35————анализа перечня защитных мер, возможных для применения;стратегических улучшений СОИБ;анализа СОИБ со стороны руководства;анализа успешных практик в области ИБ (собственных или других организаций).8.17.2. Решения по тактическим улучшениям СОИБ должны быть документально зафиксированы и должны либо содержать выводы об отсутствии необходимости тактических улучшений СОИБ, либо указывать направления тактических улучшений СОИБ в виде корректирующихили превентивных действий, например:— пересмотр процедур выполнения отдельных видов деятельности по обеспечению ИБ;— пересмотр процедур эксплуатации отдельных видов защитных мер;— пересмотр процедур обнаружения и обработки инцидентов;— уточнение описи информационных активов;— пересмотр программы обучения и повышения осведомленности персонала;— пересмотр плана обеспечения непрерывности бизнеса и его восстановления после прерывания;— пересмотр планов обработки рисков;— вынесение санкций в отношении персонала;— пересмотр процедур мониторинга СОИБ и контроля защитных мер;— пересмотр программ аудитов;— корректировка соответствующих внутренних документов, регламентирующих процедурывыполнения деятельности по обеспечению ИБ и эксплуатации защитных мер;— ввод новых или замена используемых защитных мер.8.17.3.
Вся деятельность по реализации тактических улучшений должна документальнорегистрироваться. Должны быть определены документы, содержащие планы реализации тактических улучшений СОИБ и документы, в которых фиксируются результаты выполнения указанных планов.8.17.4. Деятельность, связанная с реализацией тактических улучшений СОИБ, должнабыть санкционирована и контролироваться руководством службы ИБ организации БС РФ.8.17.5.
Должны быть документально определены и выполняться процедуры согласованияи информирования заинтересованных сторон о тактических улучшениях СОИБ, в частности, обизменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиямпо обеспечению ИБ, а также должны быть документально зафиксированы результаты выполнения указанных процедур.8.17.6. В случаях принятия решений по тактическим улучшениям СОИБ, должны быть назначены ответственные за их реализацию.8.18. Требования к принятию решений по стратегическим1 улучшениямсистемы обеспечения информационной безопасности8.18.1.
Для принятия решений, связанных со стратегическими улучшениями СОИБ, необходимо рассмотреть среди прочего документально оформленные результаты:— аудитов ИБ;— самооценок ИБ;— мониторинга СОИБ и контроля защитных мер;— анализа функционирования СОИБ;— обработки инцидентов ИБ;— выявления новых информационных активов организации БС РФ или их типов;— выявления новых угроз и уязвимостей ИБ;— оценки рисков;— пересмотра основных рисков ИБ;— анализа СОИБ со стороны руководства;— анализа успешных практик в области ИБ (собственных или других организаций),а также изменения:— в законодательстве Российской Федерации;— в нормативных актах Банка России, в частности, требованиях настоящего стандарта;— интересов, целей и задач бизнеса организации БС РФ;— контрактных обязательств организации БС РФ.1К стратегическим улучшениям СОИБ следует относить корректирующие или превентивные действия, связанные с пересмотромполитики ИБ и частных политик ИБ организации БС РФ, с последующим выполнением соответствующих тактических улучшенийСОИБ.
Стратегические улучшения СОИБ всегда требуют выполнения деятельности в рамках этапа “планирование” СМИБ.36 СТО БР ИББС1.020088.18.2. Решения по стратегическим улучшениям СОИБ должны быть документально зафиксированы и должны либо содержать выводы об отсутствии необходимости стратегическихулучшений СОИБ, либо указывать направления стратегических улучшений СОИБ в виде корректирующих или превентивных действий, например:— уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамках политикиИБ или частных политик ИБ организации БС РФ;— изменение в области действия СОИБ;— уточнение описи типов информационных активов;— пересмотр моделей угроз и нарушителей;— изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ.8.18.3. Вся деятельность по реализации стратегических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализациистратегических улучшений СОИБ и документы, в которых фиксируются результаты выполненияуказанных планов.8.18.4.
Деятельность, связанная с реализацией стратегических улучшений СОИБ, должнабыть санкционирована и контролироваться руководством организации БС РФ.8.18.5. В случае стратегических улучшений СОИБ должна быть выполнена деятельностьпо реализации соответствующих тактических улучшений СОИБ для всех необходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов.В частности, необходимо выполнить:— выработку планов тактических улучшений СОИБ;— уточнение планов обработки рисков;— уточнение программы внедрения защитных мер;— уточнение процедур использования защитных мер.8.18.6.
Должны быть документально определены и выполняться процедуры согласованияи информирования заинтересованных сторон о стратегических улучшениях СОИБ, в частности,об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ, а также должны быть документально зафиксированы результаты выполнения указанных процедур.8.18.7.
В случаях принятия решений по стратегическим улучшениям СОИБ должны бытьназначены ответственные за их реализацию.9. Ïðîâåðêà è îöåíêà èíôîðìàöèîííîé áåçîïàñíîñòèîðãàíèçàöèé áàíêîâñêîé ñèñòåìûÐîññèéñêîé Ôåäåðàöèè9.1. Проверка и оценка ИБ организаций БС РФ проводится путем выполнения следующихпроцессов:— мониторинга и контроля защитных мер;— самооценки ИБ.— аудита ИБ;— анализа функционирования СОИБ (в том числе со стороны руководства).Указанные процессы являются частью группы процессов “проверка” СМИБ, требования ккоторым приведены в разделе 8 настоящего стандарта.9.2.
Основными целями мониторинга и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданныецели. Такими целями анализа могут быть:— контроль за реализацией положений внутренних документов по обеспечению ИБ в организации БС РФ;— выявление нештатных, в том числе злоумышленных, действий в АБС организации;— выявление инцидентов ИБ.Мониторинг и контроль защитных мер проводятся персоналом организации БС РФ, ответственным за ИБ.Требования к проведению мониторинга и контроля защитных мер в организации БС РФопределены в подразделе 8.12 настоящего стандарта.9.3.
Аудит ИБ проводится внешними, независимыми проверяющими организациями какдля собственных целей самой организации БС РФ, так и с целью повышения доверия к ней состороны других организаций.СТО БР ИББС1.02008 37Требования к проведению аудита ИБ организации БС РФ определены в подразделе 8.13настоящего стандарта, а также в стандарте Банка России СТО БР ИББС1.1 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
