Требования к организации обнаружения и реагирования на инциденты информационной безопасности

8.10.1. В организации БС РФ должны быть документы, регламентирующие процедуры обработки инцидентов, включающие:

- процедуры обнаружения инцидентов ИБ;

- процедуры информирования об инцидентах;

- процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;

- процедуры реагирования на инцидент;

- процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ);

8.10.2. В организации БС РФ рекомендуется сформировать и поддерживать в актуальном состоянии централизованную база данных инцидентов ИБ. Должны быть документально определены процедуры по хранению информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ.

8.10.3. Должны быть документально определены порядки действий работников организации БС РФ при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях. Работники организации должны быть осведомлены об указанных порядках.

8.10.4. Процедуры расследования инцидентов ИБ должны учитывать действующее законодательство Российской Федерации, положения нормативных актов Банка России, а также внутренних документов организации БС РФ в области ИБ.

8.10.5. В организациях БС РФ должны приниматься и выполняться документально оформленные решения по всем выявленным инцидентам ИБ.

8.10.6. В организации БС РФ должны быть документально определены роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ и назначены ответственные за выполнение указанных ролей.

Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний

8.11.1. В описи защищаемых информационных активов должны быть выделены информационные активы, существенные для обеспечения непрерывности бизнеса организации БС РФ.

8.11.2. В организации БС РФ должны быть документально определены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания.

8.11.3. Должен быть документально определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции и порядок действий работников организации БС РФ по восстановлению бизнеса. В частности, в состав плана должны быть включены:

– условия активизации плана;

– действия, которые должны быть предприняты после инцидента ИБ;

– процедуры восстановления;

– процедуры тестирования и проверки плана;

– план обучения и повышения осведомленности работников организации БС РФ;

– обязанности работников организации с указанием ответственных за выполнение каждого из положений плана. 

8.11.4. Разработка планов обеспечения непрерывности бизнеса и его восстановления после прерывания должна основываться на документально оформленных результатах оценки рисков нарушения ИБ организации БС РФ применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания.

8.11.5. В организации БС РФ должны быть документально определены, реализованы и использоваться защитные меры обеспечения непрерывности бизнеса применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания. 

Реализация и использование защитных мер обеспечения непрерывности бизнеса и его восстановления после прерывания должна основываться на соответствующих требованиях по обеспечению ИБ.

8.11.6. План обеспечения непрерывности бизнеса и его восстановления после прерывания должен быть согласован с существующими в организации процедурами обработки инцидентов ИБ.

8.11.7. Должно быть документально определено и выполняться периодическое тестирование плана обеспечения непрерывности бизнеса и его восстановления после прерывания. По результатам тестирования, при необходимости, проводится соответствующая корректировка плана. Сценарий тестирования должен быть составлен с учетом существующей в организации БС РФ модели угроз и нарушителей, а также результатов оценки рисков.

8.11.8. В организации БС РФ должна быть реализована программа обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний.

8.11.9. Должны быть документально определены и выполняться процедуры регулярного пересмотра и обновления плана обеспечения непрерывности бизнеса и его восстановления после прерывания для обеспечения уверенности в их эффективности. Процедуры пересмотра и обновления плана должны учитывать изменения в приоритетах, целях и интересах бизнеса организации БС РФ; пересмотр моделей угроз; оценку рисков нарушения ИБ.

8.11.10. В организации БС РФ должны быть документально определены роли по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания и назначены ответственные за выполнение указанных ролей.