st11 (1027742)
Текст из файла
ÑÒÀÍÄÀÐÒ ÁÀÍÊÀ ÐÎÑÑÈÈÑÒÎ ÁÐ ÈÁÁÑ-1.1-2007ÎÁÅÑÏÅ×ÅÍÈÅÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÀÓÄÈÒ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈДата введения: 20070501Ìîñêâà20072СТО БР ИББС1.12007Ïðåäèñëîâèå1. ПРИНЯТ И ВВЕДЕН в действие Распоряжением Банка России от 28 апреля 2007 года№ Р345.2. ВВЕДЕН ВПЕРВЫЕ.Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.СТО БР ИББС1.120073ÑîäåðæàíèåВведение ....................................................................................................
41. Область применения .................................................................................... 52. Нормативные ссылки ................................................................................... 53. Термины и определения ............................................................................... 54. Исходная концептуальная схема (парадигма) аудита информационнойбезопасности организаций БС РФ .................................................................. 65. Основные принципы проведения аудита информационной безопасностиорганизаций БС РФ .....................................................................................
76. Менеджмент программы аудита информационной безопасности......................... 77. Проведение аудита информационной безопасности .......................................... 97.1. Требования к взаимоотношениям представителей аудиторской организациис представителями проверяемой организации ............................................ 97.2. Требования к этапам проведения аудита информационной безопасностиорганизаций БС РФ ............................................................................. 108.
Проведение самооценки информационной безопасности ................................. 134СТО БР ИББС1.12007ÂâåäåíèåОдним из условий реализации целей деятельности организаций банковской системы Российской Федерации (БС РФ) является обеспечение необходимого и достаточного уровня ихинформационной безопасности (ИБ).Основным из видов проверки уровня ИБ в организациях БС РФ является аудит ИБ. Мировой опыт в области обеспечения ИБ определяет аудит ИБ как важнейший процесс в непрерывном цикле процессов менеджмента ИБ организации.Банк России является сторонником регулярного проведения аудита ИБ в организацияхБС РФ.Основными целями аудита ИБ организаций БС РФ являются:— повышение доверия к организациям БС РФ;— оценка соответствия ИБ организаций БС РФ критериям аудита ИБ, установленным согласно требованиям стандарта Банка России СТО БР ИББС1.0 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
Общиеположения” (далее — СТО БР ИББС1.0).СТО БР ИББС1.120075ÑÒÀÍÄÀÐÒ ÁÀÍÊÀ ÐÎÑÑÈÈÎÁÅÑÏÅ×ÅÍÈÅÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈÎÐÃÀÍÈÇÀÖÈÉ ÁÀÍÊÎÂÑÊÎÉ ÑÈÑÒÅÌÛÐÎÑÑÈÉÑÊÎÉ ÔÅÄÅÐÀÖÈÈÀÓÄÈÒ ÈÍÔÎÐÌÀÖÈÎÍÍÎÉ ÁÅÇÎÏÀÑÍÎÑÒÈДата введения: 200705011. Îáëàñòü ïðèìåíåíèÿНастоящий стандарт распространяется на организации БС РФ, а также на организации,проводящие аудит ИБ организаций БС РФ, и устанавливает требования к проведению внешнего аудита ИБ организаций БС РФ.Настоящий стандарт рекомендован для применения путем включения ссылок на него ииспользования устанавливаемых в нем положений и требований при разработке программ аудита ИБ, а также при разработке других нормативных документов организаций БС РФ по обеспечению ИБ.Положения настоящего стандарта применяются на добровольной основе, если только вотношении конкретных положений обязательность не установлена действующим законодательством, нормативным правовым актом Банка России или условиями договора.2.
Íîðìàòèâíûå ññûëêèВ настоящем стандарте использованы нормативные ссылки на следующие стандарты:ГОСТ Р 1.42004 Стандартизация в Российской Федерации. Стандарты организаций. Общие положенияСТО БР ИББС1.03. Òåðìèíû è îïðåäåëåíèÿВ настоящем стандарте применены термины по СТО БР ИББС1.0, а также следующиетермины (в алфавитном порядке) с соответствующими определениями.3.1. Внешний аудит информационной безопасности организации банковской системы Российской Федерации; аудит информационной безопасности: Систематический,независимый и документируемый процесс получения свидетельств аудита деятельности организации БС РФ по обеспечению ИБ и установления степени выполнения в организации БС РФустановленных критериев аудита ИБ, проводимый внешней по отношению к проверяемой независимой проверяющей организацией.3.2. Аудитор (эксперт): Лицо, обладающее компетентностью для проведения аудита информационной безопасности.3.3.
Аудиторская группа: Один или несколько аудиторов, проводящих аудит информационной безопасности, при необходимости поддерживаемые техническими экспертами.3.4. Выводы аудита информационной безопасности; выводы аудита ИБ: Результатоценки собранных свидетельств аудита информационной безопасности на соответствие критериям аудита информационной безопасности.Примечание. Выводы аудита информационной безопасности указывают на степень соответствияИБ организации БС РФ критериям аудита ИБ.3.5. Заказчик аудита информационной безопасности; заказчик аудита ИБ: Организация или лицо, заказавшие аудит информационной безопасности.Примечание. Заказчик может быть проверяемой организацией или любой другой организацией,которая имеет законное право потребовать аудит информационной безопасности.6СТО БР ИББС1.120073.6. Заключение по результатам аудита информационной безопасности (аудиторское заключение); заключение по результатам аудита ИБ: Качественная и/или количественная оценки степени соответствия установленным критериям аудита информационной безопасности, представленные аудиторской группой после рассмотрения всех выводов аудита информационной безопасности в соответствии с целями аудита информационной безопасности.3.7.
Критерии аудита (самооценки) информационной безопасности; критерии аудита (самооценки) ИБ: Совокупность требований в области информационной безопасности,определенных в соответствии с положениями СТО БР ИББС1.0 или его частью, и характеризующая некоторый уровень информационной безопасности.Примечание. Критерии аудита (самооценки) информационной безопасности используются для сопоставления с ними свидетельств аудита (самооценки) информационной безопасности.3.8. Область аудита информационной безопасности; область аудита ИБ: Содержание и границы аудита информационной безопасности.Примечание.
Область аудита информационной безопасности обычно включает местонахождение,организационную структуру, виды деятельности проверяемой организации и процессы, которые подвергаются аудиту информационной безопасности, а также охватываемый период времени.3.9. Проверяемая организация: Организация банковской системы Российской Федерации, в которой проводится аудит информационной безопасности.3.10. Проверяющая организация (аудиторская организация): Организация, проводящая аудит информационной безопасности.3.11.
Программа аудита информационной безопасности; программа аудита ИБ:План деятельности по проведению одного или нескольких аудитов информационной безопасности (и других проверок информационной безопасности), запланированных на конкретныйпериод времени и направленных на достижение конкретной цели.Примечание. Программа аудита информационной безопасности включает всю деятельность, необходимую для планирования, проведения, контроля, анализа и совершенствования аудитов информационной безопасности (и других проверок информационной безопасности).3.12. Свидетельства (доказательства) аудита (самооценки) информационной безопасности; свидетельства (доказательства) аудита (самооценки) ИБ: Записи, изложениефактов или другая информация, которые имеют отношение к критериям аудита (самооценки)информационной безопасности и могут быть проверены.Примечание.
Свидетельства аудита (самооценки) информационной безопасности могут быть качественными или количественными.3.13. Самооценка информационной безопасности организации банковской системы Российской Федерации; самооценка ИБ: Систематический и документируемый процессполучения свидетельств самооценки в деятельности организации БС РФ по обеспечению ИБ иустановления степени выполнения в организации БС РФ установленных критериев самооценкиИБ. Самооценка ИБ выполняется самостоятельно сотрудниками организации БС РФ.3.14. Технический эксперт: Лицо, предоставляющее аудиторской группе свои знанияи/или опыт по специальным вопросам.4. Èñõîäíàÿ êîíöåïòóàëüíàÿ ñõåìà (ïàðàäèãìà) àóäèòàèíôîðìàöèîííîé áåçîïàñíîñòè îðãàíèçàöèé ÁÑ ÐÔ4.1. В основе исходной концептуальной схемы аудита ИБ организаций БС РФ лежит, содной стороны, желание собственника доказать достижение организацией БС РФ высокого уровня ИБ и таким образом повысить доверие к ней, с другой стороны — стремление аудиторов спомощью проведения независимой и компетентной оценки определить истинный (в пределахвозможностей аудита ИБ) уровень организации работ в области ИБ и степень соответствия ИБорганизации БС РФ установленным требованиям (критериям аудита).4.2.
Характеристики
Тип файла PDF
PDF-формат наиболее широко используется для просмотра любого типа файлов на любом устройстве. В него можно сохранить документ, таблицы, презентацию, текст, чертежи, вычисления, графики и всё остальное, что можно показать на экране любого устройства. Именно его лучше всего использовать для печати.
Например, если Вам нужно распечатать чертёж из автокада, Вы сохраните чертёж на флешку, но будет ли автокад в пункте печати? А если будет, то нужная версия с нужными библиотеками? Именно для этого и нужен формат PDF - в нём точно будет показано верно вне зависимости от того, в какой программе создали PDF-файл и есть ли нужная программа для его просмотра.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
