Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации

8.16.1. В организации БС РФ должен быть утвержден перечень документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ. В частности, в указанный перечень документов должны входить:

 - отчеты с результатами мониторинга СОИБ и контроля защитных мер;

- отчеты с результатами анализа функционирования СОИБ;

- отчеты с результатами аудитов ИБ;

- отчеты с результатами самооценок ИБ;

- документы, содержащие информацию о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ;

- документы, содержащие информацию о новых, выявленных уязвимостях и угрозах ИБ;

- документы, содержащие информацию о действиях, предпринятых по итогам предыдущих анализов СОИБ, осуществленных руководством;

 - документы, содержащие информацию об изменениях, которые могли бы повлиять на организацию СОИБ, например, изменения в законодательстве Российской Федерации и(или) в положениях стандартов Банка России;

- документы, содержащие информацию по выявленным инцидентам ИБ;

- документы, подтверждающие выполнение требуемой деятельности по обеспечению ИБ, например выполнения планов обработки рисков;

- документы, подтверждающие выполнение требований непрерывности бизнеса и его восстановления после прерывания.

8.16.2. В организации БС РФ должен быть определен и утвержден руководством план выполнения деятельности по контролю и анализу СОИБ. В частности, указанный план должен содержать положения по проведению совещаний на уровне руководства, на которых, в том числе, производится поиск и анализ проблем ИБ, влияющих на бизнес организации БС РФ.

8.16.3. В организации БС РФ должны быть документально определены роли, связанные с подготовкой информации, необходимой для анализа СОИБ руководством, и назначены ответственные за выполнение указанных ролей.

8.17. Требования к принятию решений по тактическим[12] улучшениям системы обеспечения информационной безопасности

8.17.1. Для принятия решений, связанных с тактическими улучшениями СОИБ, необходимо рассмотреть, среди прочего, документально оформленные результаты:   

– аудитов ИБ;

– самооценок ИБ;

– мониторинга СОИБ и контроля защитных мер;

– анализа функционирования СОИБ;

– обработки инцидентов ИБ;

– выявления новых угроз и уязвимостей ИБ;

– оценки рисков;

– анализа перечня защитных мер, возможных для применения;

– стратегических улучшений СОИБ;

– анализа СОИБ со стороны руководства;

– анализа успешных практик в области ИБ (собственных или других организаций).

8.17.2.Решения по тактическим улучшениям СОИБ должны быть документально зафиксированы и содержать либо выводы об отсутствии необходимости тактических улучшений СОИБ, либо должны быть указаны направления тактических улучшений СОИБ в виде корректирующих или превентивных действий, например:

– пересмотр процедур выполнения отдельных видов деятельности по обеспечению ИБ;

– пересмотр процедур эксплуатации отдельных видов защитных мер;

– пересмотр процедур обнаружения и обработки инцидентов;

– уточнение описи информационных активов;

– пересмотр программы обучения и повышения осведомленности персонала;

– пересмотр плана обеспечения непрерывности бизнеса и его восстановления после прерывания;

– пересмотр планов обработки рисков;

– вынесение санкций в отношении персонала;

– пересмотр процедур мониторинга СОИБ и контроля защитных мер;

– пересмотр программ аудитов;

– корректировка соответствующих внутренних документов, регламентирующих процедуры выполнения деятельности по обеспечению ИБ и эксплуатации защитных мер;

– ввод новых или замена используемых защитных мер.

8.17.3. Вся деятельность по реализации тактических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализации тактических улучшений СОИБ и документы, в которых фиксируются результаты выполнения указанных планов.

8.17.4. Деятельность, связанная с реализацией тактических улучшений СОИБ должна быть санкционирована и контролироваться руководством службы ИБ организации БС РФ. 

8.17.5. Должны быть документально определены и выполняться процедуры согласования и информирования заинтересованных сторон о тактических улучшениях СОИБ, в частности, об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ, а также должны быть документально зафиксированы результаты выполнения указанных процедур

8.17.6. В случаях принятия решений по тактическим улучшениям СОИБ должны быть назначены ответственные за их реализацию.

 8.18. Требования к принятию решений по стратегическим[13] улучшениям системы обеспечения информационной безопасности

8.18.1. Для принятия решений, связанных со стратегическими улучшениями СОИБ необходимо рассмотреть, среди прочего, документально оформленные результаты:

– аудитов ИБ;

– самооценок ИБ;

– мониторинга СОИБ и контроля защитных мер;

– анализа функционирования СОИБ;

– обработки инцидентов ИБ;

– выявления новых информационных активов организации БС РФ или их типов;

– выявления новых угроз и уязвимостей ИБ;

– оценки рисков;

– пересмотра основных рисков ИБ;

– анализа СОИБ со стороны руководства;

– анализа успешных практик в области ИБ (собственных или других организаций),

а также изменения:

– в законодательстве Российской Федерации;

– в нормативных актах Банка России, в частности требованиях настоящего стандарта;

– интересов, целей и задач бизнеса организации БС РФ;

– контрактных обязательств организации БС РФ.

8.18.2. Решения по стратегическим улучшениям СОИБ должны быть документально зафиксированы и содержать либо выводы об отсутствии необходимости стратегических улучшений СОИБ, либо указаны направления стратегических улучшений СОИБ в виде корректирующих или превентивных действий, например: 

– уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамках политики ИБ или частных политик ИБ организации БС РФ;

– изменение в области действия СОИБ;

– уточнение описи типов информационных активов;

– пересмотр моделей угроз и нарушителей;

– изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ.

8.18.3. Вся деятельность по реализации стратегических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализации стратегических улучшений СОИБ и документы, в которых фиксируются результаты выполнения указанных планов.

8.18.4. Деятельность, связанная с реализацией стратегических улучшений СОИБ должна быть санкционирована и контролироваться руководством организации БС РФ.

8.18.5. В случае стратегических улучшений СОИБ должна быть выполнена деятельность по реализации соответствующих тактических улучшений СОИБ, для всех необходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов.  В частности необходимо выполнить:

– выработку планов тактических улучшений СОИБ;

– уточнение планов обработки рисков;

– уточнение программы внедрения защитных мер;

– уточнение процедур использования защитных мер.

8.18.6. Должны быть документально определены и выполняться процедуры согласования и информирования заинтересованных сторон о стратегических улучшениях СОИБ, в частности об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ, а также должны быть документально зафиксированы результаты выполнения указанных процедур

8.18.7. В случаях принятия решений по стратегическим улучшениям СОИБ должны быть назначены ответственные за их реализацию.