Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
8.18. Требования к принятию решений по стратегическим <*> улучшениям системы обеспечения информационной безопасности -------------------------------- <*> К стратегическим улучшениям СОИБ следует относить корректирующие или превентивные действия, связанные с пересмотром политики ИБ и частных политик ИБ организации БС РФ, с последующим выполнением соответствующих тактических улучшений СОИБ. Стратегические улучшения СОИБ всегда требуют выполнения деятельности в рамках этапа "планирование" СМИБ. 8.18.1. Для принятия решений, связанных со стратегическими улучшениями СОИБ, необходимо рассмотреть среди прочего документально оформленные результаты: - аудитов ИБ; - самооценок ИБ; - мониторинга СОИБ и контроля защитных мер; - анализа функционирования СОИБ; - обработки инцидентов ИБ; - выявления новых информационных активов организации БС РФ или их типов; - выявления новых угроз и уязвимостей ИБ; - оценки рисков; - пересмотра основных рисков ИБ; - анализа СОИБ со стороны руководства; - анализа успешных практик в области ИБ (собственных или других организаций), а также изменения: - в законодательстве Российской Федерации; - в нормативных актах Банка России, в частности, требованиях настоящего стандарта; - интересов, целей и задач бизнеса организации БС РФ; - контрактных обязательств организации БС РФ. 8.18.2. Решения по стратегическим улучшениям СОИБ должны быть документально зафиксированы и должны либо содержать выводы об отсутствии необходимости стратегических улучшений СОИБ, либо указывать направления стратегических улучшений СОИБ в виде корректирующих или превентивных действий, например: - уточнение / пересмотр целей и задач обеспечения ИБ, определенных в рамках политики ИБ или частных политик ИБ организации БС РФ; - изменение в области действия СОИБ; - уточнение описи типов информационных активов; - пересмотр моделей угроз и нарушителей; - изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ. 8.18.3. Вся деятельность по реализации стратегических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализации стратегических улучшений СОИБ и документы, в которых фиксируются результаты выполнения указанных планов. 8.18.4. Деятельность, связанная с реализацией стратегических улучшений СОИБ, должна быть санкционирована и контролироваться руководством организации БС РФ. 8.18.5. В случае стратегических улучшений СОИБ должна быть выполнена деятельность по реализации соответствующих тактических улучшений СОИБ для всех необходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов. В частности, необходимо выполнить: - выработку планов тактических улучшений СОИБ; - уточнение планов обработки рисков; - уточнение программы внедрения защитных мер; - уточнение процедур использования защитных мер. 8.18.6. Должны быть документально определены и выполняться процедуры согласования и информирования заинтересованных сторон о стратегических улучшениях СОИБ, в частности, об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ, а также должны быть документально зафиксированы результаты выполнения указанных процедур. 8.18.7. В случаях принятия решений по стратегическим улучшениям СОИБ должны быть назначены ответственные за их реализацию. |
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".