Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
9. Проверка и оценка информационной безопасности
организаций банковской системы Российской Федерации
9.1. Проверка и оценка ИБ организаций БС РФ проводится путем
выполнения следующих процессов:
- мониторинга и контроля защитных мер;
- самооценки ИБ;
- аудита ИБ;
- анализа функционирования СОИБ (в том числе со стороны
руководства).
Указанные процессы являются частью группы процессов "проверка"
СМИБ, требования к которым приведены в разделе 8 настоящего стандарта.
9.2. Основными целями мониторинга и контроля защитных мер в
организации БС РФ являются оперативное и постоянное наблюдение, сбор,
анализ и обработка данных под заданные цели. Такими целями анализа
могут быть:
- контроль за реализацией положений внутренних документов по
обеспечению ИБ в организации БС РФ;
- выявление нештатных, в том числе злоумышленных, действий в АБС
организации;
- выявление инцидентов ИБ.
Мониторинг и контроль защитных мер проводятся персоналом
организации БС РФ, ответственным за ИБ.
Требования к проведению мониторинга и контроля защитных мер в
организации БС РФ определены в подразделе 8.12 настоящего стандарта.
9.3. Аудит ИБ проводится внешними, независимыми проверяющими
организациями как для собственных целей самой организации БС РФ, так и
с целью повышения доверия к ней со стороны других организаций.
Требования к проведению аудита ИБ организации БС РФ определены в
подразделе 8.13 настоящего стандарта, а также в стандарте Банка России
СТО БР ИББС-1.1 "Обеспечение информационной безопасности организаций
банковской системы Российской Федерации. Аудит информационной
безопасности".
9.4. При подготовке к аудиту ИБ рекомендуется проведение
самооценки ИБ. Самооценка ИБ проводится собственными силами и по
инициативе руководства организации.
Порядок проведения самооценки ИБ в организации БС РФ определен в
рекомендациях в области стандартизации Банка России РС БР ИББС-2.1
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Руководство по самооценке соответствия
информационной безопасности организаций банковской системы Российской
Федерации требованиям стандарта СТО БР ИББС-1.0".
9.5. В процессе аудита ИБ и (или) самооценки ИБ проводится оценка
степени выполнения требований настоящего стандарта и на ее основе
вычисление итогового уровня ИБ организации БС РФ. Порядок проведения
указанной деятельности (оценка и вычисление) регламентируется
стандартом Банка России СТО БР ИББС-1.2 "Обеспечение информационной
безопасности организаций банковской системы Российской Федерации.
Методика оценки соответствия информационной безопасности организаций
банковской системы Российской Федерации требованиям СТО БР ИББС-1.0".
9.6. Анализ функционирования СОИБ проводится персоналом
организации БС РФ, ответственным за обеспечение ИБ, а также
руководством, в том числе на основании подготовленных для руководства
документов (данных).
Основными целями проведения анализа функционирования СОИБ
являются:
- оценка эффективности СОИБ;
- оценка соответствия СОИБ требованиям законодательства
Российской Федерации и стандартов Банка России;
- оценка соответствия СОИБ существующим и возможным угрозам ИБ;
- оценка следования принципам ИБ и выполнения требований по
обеспечению ИБ, закрепленным в политике ИБ организации БС РФ, а также
в иных внутренних документах организации БС РФ.
Результаты, полученные в ходе анализа функционирования СОИБ,
являются среди прочего основой для совершенствования СОИБ.
Требования к проведению анализа функционирования СОИБ определены
в подразделах 8.15 и 8.16 настоящего стандарта.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".