Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
8.18. Требования к принятию решений по
стратегическим <*> улучшениям системы обеспечения
информационной безопасности
--------------------------------
<*> К стратегическим улучшениям СОИБ следует относить
корректирующие или превентивные действия, связанные с пересмотром
политики ИБ и частных политик ИБ организации БС РФ, с последующим
выполнением соответствующих тактических улучшений СОИБ. Стратегические
улучшения СОИБ всегда требуют выполнения деятельности в рамках этапа
"планирование" СМИБ.
8.18.1. Для принятия решений, связанных со стратегическими
улучшениями СОИБ, необходимо рассмотреть среди прочего документально
оформленные результаты:
- аудитов ИБ;
- самооценок ИБ;
- мониторинга СОИБ и контроля защитных мер;
- анализа функционирования СОИБ;
- обработки инцидентов ИБ;
- выявления новых информационных активов организации БС РФ или их
типов;
- выявления новых угроз и уязвимостей ИБ;
- оценки рисков;
- пересмотра основных рисков ИБ;
- анализа СОИБ со стороны руководства;
- анализа успешных практик в области ИБ (собственных или других
организаций),
а также изменения:
- в законодательстве Российской Федерации;
- в нормативных актах Банка России, в частности, требованиях
настоящего стандарта;
- интересов, целей и задач бизнеса организации БС РФ;
- контрактных обязательств организации БС РФ.
8.18.2. Решения по стратегическим улучшениям СОИБ должны быть
документально зафиксированы и должны либо содержать выводы об
отсутствии необходимости стратегических улучшений СОИБ, либо указывать
направления стратегических улучшений СОИБ в виде корректирующих или
превентивных действий, например:
- уточнение / пересмотр целей и задач обеспечения ИБ,
определенных в рамках политики ИБ или частных политик ИБ организации
БС РФ;
- изменение в области действия СОИБ;
- уточнение описи типов информационных активов;
- пересмотр моделей угроз и нарушителей;
- изменение подходов к оценке рисков ИБ, критериев принятия риска
ИБ.
8.18.3. Вся деятельность по реализации стратегических улучшений
должна документально регистрироваться. Должны быть определены
документы, содержащие планы реализации стратегических улучшений СОИБ и
документы, в которых фиксируются результаты выполнения указанных
планов.
8.18.4. Деятельность, связанная с реализацией стратегических
улучшений СОИБ, должна быть санкционирована и контролироваться
руководством организации БС РФ.
8.18.5. В случае стратегических улучшений СОИБ должна быть
выполнена деятельность по реализации соответствующих тактических
улучшений СОИБ для всех необходимых процедур обеспечения ИБ,
используемых защитных мер и соответствующих внутренних документов. В
частности, необходимо выполнить:
- выработку планов тактических улучшений СОИБ;
- уточнение планов обработки рисков;
- уточнение программы внедрения защитных мер;
- уточнение процедур использования защитных мер.
8.18.6. Должны быть документально определены и выполняться
процедуры согласования и информирования заинтересованных сторон о
стратегических улучшениях СОИБ, в частности, об изменениях,
относящихся к обеспечению ИБ, к ответственности в области ИБ, к
требованиям по обеспечению ИБ, а также должны быть документально
зафиксированы результаты выполнения указанных процедур.
8.18.7. В случаях принятия решений по стратегическим улучшениям
СОИБ должны быть назначены ответственные за их реализацию.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".