8.17.6. В случаях принятия решений по тактическим улучшениям СОИБ должны быть назначены ответственные за их реализацию.
8.18. Требования к принятию решений по стратегическим[13] улучшениям системы обеспечения информационной безопасности
8.18.1. Для принятия решений, связанных со стратегическими улучшениями СОИБ необходимо рассмотреть, среди прочего, документально оформленные результаты:
– аудитов ИБ;
– самооценок ИБ;
– мониторинга СОИБ и контроля защитных мер;
– анализа функционирования СОИБ;
– обработки инцидентов ИБ;
– выявления новых информационных активов организации БС РФ или их типов;
– выявления новых угроз и уязвимостей ИБ;
– оценки рисков;
– пересмотра основных рисков ИБ;
– анализа СОИБ со стороны руководства;
– анализа успешных практик в области ИБ (собственных или других организаций),
а также изменения:
– в законодательстве Российской Федерации;
– в нормативных актах Банка России, в частности требованиях настоящего стандарта;
– интересов, целей и задач бизнеса организации БС РФ;
– контрактных обязательств организации БС РФ.
8.18.2. Решения по стратегическим улучшениям СОИБ должны быть документально зафиксированы и содержать либо выводы об отсутствии необходимости стратегических улучшений СОИБ, либо указаны направления стратегических улучшений СОИБ в виде корректирующих или превентивных действий, например:
– уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамках политики ИБ или частных политик ИБ организации БС РФ;
– изменение в области действия СОИБ;
– уточнение описи типов информационных активов;
– пересмотр моделей угроз и нарушителей;
– изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ.
8.18.3. Вся деятельность по реализации стратегических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализации стратегических улучшений СОИБ и документы, в которых фиксируются результаты выполнения указанных планов.
8.18.4. Деятельность, связанная с реализацией стратегических улучшений СОИБ должна быть санкционирована и контролироваться руководством организации БС РФ.
8.18.5. В случае стратегических улучшений СОИБ должна быть выполнена деятельность по реализации соответствующих тактических улучшений СОИБ, для всех необходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов. В частности необходимо выполнить:
– выработку планов тактических улучшений СОИБ;
– уточнение планов обработки рисков;
– уточнение программы внедрения защитных мер;
– уточнение процедур использования защитных мер.
8.18.6. Должны быть документально определены и выполняться процедуры согласования и информирования заинтересованных сторон о стратегических улучшениях СОИБ, в частности об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ, а также должны быть документально зафиксированы результаты выполнения указанных процедур
8.18.7. В случаях принятия решений по стратегическим улучшениям СОИБ должны быть назначены ответственные за их реализацию.
9.1. Проверка и оценка ИБ организаций БС РФ проводится путем выполнения следующих процессов:
– мониторинга и контроля защитных мер;
– самооценки ИБ.
– аудита ИБ;
– анализа функционирования СОИБ (в том числе со стороны руководства).
Указанные процессы являются частью группы процессов «проверка» СМИБ, требования к которым приведены в разделе 8 настоящего стандарта.
9.2. Основными целями мониторинга и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:
– контроль за реализацией положений внутренних документов по обеспечению ИБ в организации БС РФ;
– выявление нештатных, в том числе злоумышленных действий в АБС организации;
– выявление инцидентов ИБ.
Мониторинг и контроль защитных мер проводится персоналом организации БС РФ, ответственным за ИБ.
Требования к проведению мониторинга и контроля защитных мер в организации БС РФ определены в подразделе 8.12 настоящего стандарта.
9.3. При подготовке к аудиту ИБ рекомендуется проведение самооценки ИБ. Самооценка ИБ проводится собственными силами и по инициативе руководства организации.
Порядок проведения самооценки ИБ в организации БС РФ определен в рекомендациях в области стандартизации Банка России РС БР ИББС-2.1 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0”.
В процессе самооценки ИБ проводится оценка степени выполнения требований настоящего стандарта и на ее основе вычисление итогового уровня ИБ организации БС РФ. Порядок проведения указанной деятельности (оценка и вычисление) регламентируется стандартом Банка России СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
9.4. Аудит ИБ, проводимый внешними по отношению к организации БС РФ независимыми проверяющими организациями, является основной формой проверки и оценки (контроля) выполнения организацией БС РФ требований настоящего стандарта.
Аудит ИБ проводится как для собственных целей самой организации БС РФ, так и с целью повышения доверия к ней со стороны других организаций.
Аудит ИБ проводится в соответствии с требованиями подраздела 8.14 настоящего стандарта, а также в соответствии с требованиями стандартов Банка России СТО БР ИББС-1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности».
В процессе аудита ИБ проводится оценка степени выполнения требований настоящего стандарта и на ее основе вычисление итогового уровня ИБ организации БС РФ. Порядок проведения указанной деятельности (оценка и вычисление) регламентируется стандартом Банка России СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
В качестве проверяющих организаций рекомендуется привлекать организации, входящие в состав Сообщества пользователей стандартов Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (ABISS - Association for Banking Information Security Standards, http://www.abiss.ru).
Порядок проведения работ по контролю и надзору, включающий, в частности, вопросы:
проведения ведомственного контроля (с участием Банка России, предприятий лицензиатов, самооценки);
государственного контроля, предусмотренного Федеральным законом «О персональных данных» [5], со стороны ФСБ России и ФСТЭК России;
взаимодействия сторон при проведении указанных видов контроля;
согласования планов, информационного взаимодействия, форм предоставления отчетности и т. д.,
будет изложен в отдельном документе.
9.5. Анализ функционирования СОИБ проводится персоналом организации БС РФ, ответственным за обеспечение ИБ, а также руководством, в том числе, на основании подготовленных для руководства документов (данных).
Основными целями проведения анализа функционирования СОИБ являются:
– оценка эффективности СОИБ;
– оценка соответствия СОИБ требованиям законодательства Российской Федерации и стандартов Банка России;
– оценка соответствия СОИБ существующим и возможным угрозам ИБ;
– оценка следования принципам ИБ и выполнения требований по обеспечению ИБ, закрепленным в политике ИБ организации БС РФ, а также в иных внутренних документах организации БС РФ.
Результаты, полученные в ходе анализа функционирования СОИБ являются, среди прочего, основой для совершенствования СОИБ.
Требования к проведению анализа функционирования СОИБ определены в подразделах 8.15 и 8.16 настоящего стандарта.
9.6. В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются. В случае введения в действие стандарта в организации БС РФ указанные требования не являются обязательными при проведении комплекса мероприятий по обеспечению безопасности персональных данных в специальных ИСПДн организаций БС РФ. Альтернативой процедурам лицензирования и аттестации являются процедуры проверки и оценки информационной безопасности организаций банковской системы Российской Федерации, требования к которым изложены в пункте 9 настоящего стандарта.
9.7. Получение организацией БС РФ лицензии ФСБ России – в соответствии с требованиями законодательства Российской Федерации.
[1] Федеральный Закон «О банках и банковской деятельности» от 01.12.1990 № 395–1 в ред. ФЗ от 03.02.1996 №17–ФЗ, от 31.07.1998 № 151–ФЗ, от 05.07.1999 № 126–ФЗ, от 08.07.1999 № 136–ФЗ, от 19.06.2001 № 82–ФЗ, от 07.08.2001 № 121–ФЗ, от 21.03.2002 № 31–ФЗ, с изменениями, внесенными постановлением Конституционного Суда РФ от 23.02.1999 № 4–П