8.4.4. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ.
8.4.5. В организации БС РФ рекомендуется создать и поддерживать в актуальном состоянии единый информационный ресурс (базу данных), содержащий информацию об инцидентах ИБ.
8.4.6. Полученные в результате оценивания рисков нарушения ИБ величины рисков должны быть соотнесены с уровнем допустимого риска, принятого в организации БС РФ. Результатом выполнения указанной процедуры является документально оформленный перечень недопустимых рисков нарушения ИБ.
8.4.7. В организации БС РФ должны быть документально определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/ подхода к оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
8.4.8. В организации БС РФ должны быть документально определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
8.5. Требования к разработке планов обработки рисков нарушения информационной безопасности
8.5.1. По каждому из рисков нарушения ИБ, который является недопустимым, должен быть документально определен план, определяющий один из возможных способов его обработки:
- перенос риска на сторонние организации (например, путем страхования указанного риска);
- уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска);
- осознанное принятие риска;
- формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до допустимого уровня, и формирования планов по их реализации.
8.5.2. Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в организации БС РФ за обеспечение ИБ, и утверждены руководством.
8.5.3.Планы реализаций требований по обеспечению ИБ должны содержать последовательность и сроки реализации и внедрения организационных, технических и иных защитных мер.
8.5.4. В организации БС РФ должны быть документально определены роли по разработке планов обработки рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
8.6.1. Разработку/коррекцию внутренних документов, регламентирующих деятельность в области обеспечения ИБ в организации БС РФ рекомендуется проводить с учетом рекомендаций по стандартизации Банка России РС БР ИББС– 2.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0».
8.6.2. В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:
- политика ИБ организации БС РФ;
- частные политики ИБ организации БС РФ;
- документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ организации БС РФ.
Кроме того, должен быть определен перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ в организации БС РФ.
Политика ИБ организации БС РФ должна быть утверждена руководством.
8.6.3. В политике (в частных политиках) ИБ должны определяться/корректироваться:
- цели и задачи обеспечения ИБ;
- основные области обеспечения ИБ;
- типы основных защищаемых информационные активов;
- модели угроз и нарушителей;
- совокупность правил, требований и руководящих принципов в области ИБ;
- основные требования по обеспечению ИБ;
- принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;
-основные принципы повышения уровня осознания и осведомленности в области ИБ;
- принципы реализации и контроля выполнения требований политики ИБ.
8.6.4. Разработка/корректировка внутренних документов, регламентирующих деятельность в области обеспечения ИБ, должна проводиться на основе:
– законодательства Российской Федерации;
– комплекса БР ИББС, в частности, требования требований 7 и 8 разделов настоящего стандарта;
– нормативных актов и предписаний регулирующих и надзорных органов;
– договорных требований организации БС РФ со сторонними организациями;
– результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов (типов информационных активов).
8.6.5. Совокупность внутренних документов, регламентирующих деятельность в области обеспечения ИБ, должна содержать требования по обеспечению ИБ всех выявленных информационных активов (типов информационных активов), находящихся в области действия СОИБ организации БС РФ.
8.6.6. Документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, должны детализировать положения политики (частных политик) ИБ и не противоречить им.
8.6.7. В случае наличия в структурных подразделениях организации БС РФ работников, ответственных за обеспечение ИБ, в организации БС РФ должен быть утвержден руководством порядок взаимодействия (координирования работы) службы ИБ с указанными работниками.
8.6.8. В составе внутренних документов, регламентирующих деятельность в области обеспечения ИБ, необходимо определить:
– перечень свидетельств выполнения деятельности;
– ответственность работников организации БС РФ за выполнение этой деятельности.
8.6.9. Должны быть документально определены процедуры выделения и распределения ролей в области обеспечения ИБ.
8.6.10. Должен быть документально определен порядок разработки, поддержки, пересмотра и контроля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации БС РФ.
8.6.11. В организации БС РФ должны быть документально определены роли по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ, а также назначены ответственные за выполнение указанных ролей.
8.7.1. Решения о реализации и эксплуатации СОИБ должны утверждаться руководством организации БС РФ. В частности, в организации БС РФ требуется документально оформить решения руководства:
- об анализе и принятии остаточных рисков нарушения ИБ;
- о планировании этапов внедрения СОИБ, в частности требований по обеспечению ИБ, изложенных в 7 и 8 разделах настоящего стандарта;
- о распределении ролей в области обеспечения ИБ организации БС РФ;
- о принятии со стороны руководства планов внедрения защитных мер, направленных на реализацию требований 7 и 8 разделов настоящего стандарта и снижение рисков ИБ;
- о выделении ресурсов, необходимых для реализации и эксплуатации СОИБ.
8.7.2. Все планы внедрения СОИБ, в частности планы реализаций требований 7 и 8 разделов настоящего стандарта, планы обработки рисков нарушения ИБ и внедрения защитных мер должны быть утверждены руководством. Указанные планы должны документально фиксировать:
- последовательность выполнения мероприятий в рамках указанных планов;
- сроки начала и окончания запланированных мероприятий;
- должностных лиц (подразделения), ответственных за выполнение каждого указанного мероприятия.
8.7.3. Должен быть документально определен порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ организации БС РФ.
8.7.4. В организации БС РФ должны быть документально оформлены решения руководства, связанные с назначением и распределением ролей для всех структурных подразделений в соответствии с положениями внутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ.
8.8.1. Должны быть документально определены и выполняться проектирование/приобретение/развертывание, внедрение, эксплуатация, контроль и сопровождение эксплуатации защитных мер (СИБ), предусмотренных планами реализаций требований по обеспечению ИБ.
8.8.2. Для построения элементов СИБ применительно к конкретной области или сфере деятельности организации БС РФ должны быть реализованы конкретные защитные меры, применяемые к объектам среды в соответствии с существующими в организации БС РФ требованиями по обеспечению ИБ, сформулированными в политике ИБ и других внутренних документах организации БС РФ.
8.8.3. В организации БС РФ должны быть документально определены роли, связанные с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер, и назначены ответственные за выполнение указанных ролей.
8.9.1. Должна быть организована документально оформленная и утвержденная руководством работа с персоналом организации БС РФ в направлении повышения осведомленности и обучения в области ИБ, включая разработку и реализацию планов и программ обучения и повышения осведомленности в области ИБ и контроля результатов выполнения указанных планов.
8.9.2. В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности.
8.9.3. Программы обучения и повышения осведомленности должны включать информацию: