Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации
8.16.1. В организации БС РФ должен быть утвержден перечень документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ. В частности, в указанный перечень документов должны входить: - отчеты с результатами мониторинга СОИБ и контроля защитных мер; - отчеты с результатами анализа функционирования СОИБ; - отчеты с результатами аудитов ИБ; - отчеты с результатами самооценок ИБ; - документы, содержащие информацию о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ; - документы, содержащие информацию о новых, выявленных уязвимостях и угрозах ИБ; - документы, содержащие информацию о действиях, предпринятых по итогам предыдущих анализов СОИБ, осуществленных руководством; - документы, содержащие информацию об изменениях, которые могли бы повлиять на организацию СОИБ, например, изменения в законодательстве Российской Федерации и(или) в положениях стандартов Банка России; - документы, содержащие информацию по выявленным инцидентам ИБ; - документы, подтверждающие выполнение требуемой деятельности по обеспечению ИБ, например выполнения планов обработки рисков; - документы, подтверждающие выполнение требований непрерывности бизнеса и его восстановления после прерывания. 8.16.2. В организации БС РФ должен быть определен и утвержден руководством план выполнения деятельности по контролю и анализу СОИБ. В частности, указанный план должен содержать положения по проведению совещаний на уровне руководства, на которых, в том числе, производится поиск и анализ проблем ИБ, влияющих на бизнес организации БС РФ. 8.16.3. В организации БС РФ должны быть документально определены роли, связанные с подготовкой информации, необходимой для анализа СОИБ руководством, и назначены ответственные за выполнение указанных ролей. 8.17. Требования к принятию решений по тактическим[12] улучшениям системы обеспечения информационной безопасности 8.17.1. Для принятия решений, связанных с тактическими улучшениями СОИБ, необходимо рассмотреть, среди прочего, документально оформленные результаты: – аудитов ИБ; – самооценок ИБ; – мониторинга СОИБ и контроля защитных мер; – анализа функционирования СОИБ; – обработки инцидентов ИБ; – выявления новых угроз и уязвимостей ИБ; – оценки рисков; – анализа перечня защитных мер, возможных для применения; – стратегических улучшений СОИБ; – анализа СОИБ со стороны руководства; – анализа успешных практик в области ИБ (собственных или других организаций). 8.17.2.Решения по тактическим улучшениям СОИБ должны быть документально зафиксированы и содержать либо выводы об отсутствии необходимости тактических улучшений СОИБ, либо должны быть указаны направления тактических улучшений СОИБ в виде корректирующих или превентивных действий, например: – пересмотр процедур выполнения отдельных видов деятельности по обеспечению ИБ; – пересмотр процедур эксплуатации отдельных видов защитных мер; – пересмотр процедур обнаружения и обработки инцидентов; – уточнение описи информационных активов; – пересмотр программы обучения и повышения осведомленности персонала; – пересмотр плана обеспечения непрерывности бизнеса и его восстановления после прерывания; – пересмотр планов обработки рисков; – вынесение санкций в отношении персонала; – пересмотр процедур мониторинга СОИБ и контроля защитных мер; – пересмотр программ аудитов; – корректировка соответствующих внутренних документов, регламентирующих процедуры выполнения деятельности по обеспечению ИБ и эксплуатации защитных мер; – ввод новых или замена используемых защитных мер. 8.17.3. Вся деятельность по реализации тактических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализации тактических улучшений СОИБ и документы, в которых фиксируются результаты выполнения указанных планов. 8.17.4. Деятельность, связанная с реализацией тактических улучшений СОИБ должна быть санкционирована и контролироваться руководством службы ИБ организации БС РФ. 8.17.5. Должны быть документально определены и выполняться процедуры согласования и информирования заинтересованных сторон о тактических улучшениях СОИБ, в частности, об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ, а также должны быть документально зафиксированы результаты выполнения указанных процедур 8.17.6. В случаях принятия решений по тактическим улучшениям СОИБ должны быть назначены ответственные за их реализацию. 8.18. Требования к принятию решений по стратегическим[13] улучшениям системы обеспечения информационной безопасности 8.18.1. Для принятия решений, связанных со стратегическими улучшениями СОИБ необходимо рассмотреть, среди прочего, документально оформленные результаты: – аудитов ИБ; – самооценок ИБ; – мониторинга СОИБ и контроля защитных мер; – анализа функционирования СОИБ; – обработки инцидентов ИБ; – выявления новых информационных активов организации БС РФ или их типов; – выявления новых угроз и уязвимостей ИБ; – оценки рисков; – пересмотра основных рисков ИБ; – анализа СОИБ со стороны руководства; – анализа успешных практик в области ИБ (собственных или других организаций), а также изменения: – в законодательстве Российской Федерации; – в нормативных актах Банка России, в частности требованиях настоящего стандарта; – интересов, целей и задач бизнеса организации БС РФ; – контрактных обязательств организации БС РФ. 8.18.2. Решения по стратегическим улучшениям СОИБ должны быть документально зафиксированы и содержать либо выводы об отсутствии необходимости стратегических улучшений СОИБ, либо указаны направления стратегических улучшений СОИБ в виде корректирующих или превентивных действий, например: – уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамках политики ИБ или частных политик ИБ организации БС РФ; – изменение в области действия СОИБ; – уточнение описи типов информационных активов; – пересмотр моделей угроз и нарушителей; – изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ. 8.18.3. Вся деятельность по реализации стратегических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализации стратегических улучшений СОИБ и документы, в которых фиксируются результаты выполнения указанных планов. 8.18.4. Деятельность, связанная с реализацией стратегических улучшений СОИБ должна быть санкционирована и контролироваться руководством организации БС РФ. 8.18.5. В случае стратегических улучшений СОИБ должна быть выполнена деятельность по реализации соответствующих тактических улучшений СОИБ, для всех необходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов. В частности необходимо выполнить: – выработку планов тактических улучшений СОИБ; – уточнение планов обработки рисков; – уточнение программы внедрения защитных мер; – уточнение процедур использования защитных мер. 8.18.6. Должны быть документально определены и выполняться процедуры согласования и информирования заинтересованных сторон о стратегических улучшениях СОИБ, в частности об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ, а также должны быть документально зафиксированы результаты выполнения указанных процедур 8.18.7. В случаях принятия решений по стратегическим улучшениям СОИБ должны быть назначены ответственные за их реализацию.
Популярное: Как вы ведете себя при стрессе?: Вы можете самостоятельно управлять стрессом! Каждый из нас имеет право и возможность уменьшить его воздействие на нас... Как распознать напряжение: Говоря о мышечном напряжении, мы в первую очередь имеем в виду мускулы, прикрепленные к костям ... Как построить свою речь (словесное оформление):
При подготовке публичного выступления перед оратором возникает вопрос, как лучше словесно оформить свою... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (198)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |