Проект положения о системе менеджмента информационной безопасности (Р. Пашков, Ю. Юденков, журнал "Бухгалтерия и банки", N 3, март 2017 г.)

Проект положения о системе менеджмента информационной безопасности

Р. Пашков,

банковский юрист

Ю. Юденков,

к.э.н., профессор РАНХиГС

Журнал "Бухгалтерия и банки", N 3, март 2017 г., с. 45-55.

Введение

Проблема защиты информации давно уже вышла за рамки частного предмета внимания, обсуждается на уровнях глав государств и правительств, поднимается на заседаниях центральных банков стран и профессиональных сообществ.

Объёмы расходов компаний на ИТ-технологии и кибербезопасность возросли во всём мире, проблема обеспечения информационной безопасности становится актуальной международной задачей. Так, в заявлении Президента РФ Владимира Путина, сделанном ещё в 2014 году на заседании Совета безопасности РФ, посвящённом защите информационного пространства России от современных угроз, говорится: "Сегодня это одно из приоритетных направлений обеспечения национальной безопасности. Надёжная работа информационных ресурсов, систем управления и связи имеет исключительное значение для обороноспособности страны, для устойчивого развития экономики и социальной сферы, для защиты суверенитета России в самом широком смысле этого слова".

В сентябрьском номере прошлого года Обзора регулирования финансовых рынков Банком России затронуты такие проблемы, как источники угроз, киберкриминал, киберриски, стандарты кибербезопасности, рассматриваются и другие вопросы. Главной темой второго выпуска Обзора регулирования финансовых рынков, опубликованного на официальном сайте Банка России, является кибербезопасность.

По результатам исследования, каждая третья компания в мире столкнулась с деятельностью киберпреступников, киберриски вышли на второе место в списке угроз бизнесу, в ближайшие два года риски в киберпространстве продолжат свой рост.

Вопрос управления киберрисками любой организации не может уже, как ранее, рассматриваться только как составляющая часть ИТ-платформы компании, требуется свежий взгляд и новый подход к решению нависшей киберугрозы.

В банках в настоящее время процесс управления рисками информационной безопасности выходит на первый план, а в связи с ужесточением требований надзорных органов возникают взаимозависимые риски из-за несоблюдения законодательства РФ в области информационной безопасности и защиты информации.

Банки начинают понимать, что необходимо внедрять совместно организационные, технические и нормативно-правовые меры защиты: создание независимых служб, не являющихся составной частью ни службы безопасности, ни ИТ-службы, разработку новейших программных средств для анализа и оценки рисков информационной безопасности, опережающих киберриски, применение качественно нового формализованного подхода при использовании ИТ-технологий, расширение количества и повышение качества внутренних документов, регламентирующих деятельность по управлению рисками информационной безопасности, присоединение к стандартам и методикам Банка России. Такой подход к проблеме защиты информации поможет решить важнейшую задачу создания комплексной системы информационной безопасности.

Банки всё чаще сталкиваются с мошенническими действиями злоумышленников. Кража денежных средств со счетов клиентов банка приводит к непредвиденным убыткам кредитных организаций, несанкционированные действия злоумышленников могут быть организованы не только извне, но и внутри кредитной организации. Риски персонала являются главной уязвимостью банка.

Органы управления банка должны на постоянной основе уделять внимание вопросам информационной безопасности, расследовать любые возникающие инциденты, а также чётко представлять, что усиление регуляторных требований напрямую связано с возросшим уровнем киберугрозы.

Необходимо отказаться от формального исполнения регуляторных требований и перейти к созданию реально работающих рабочих органов, связанных с обеспечением кибербезопасности, действующих в масштабах всего банка.

Органы управления банка должны понимать важность мероприятий по обеспечению информационной безопасности, потому что киберустойчивость отдельно взятого банка оказывает влияние на всю финансовую систему.

Совет директоров должен уделять повышенное внимание вопросам эффективного управления рисками информационной безопасности, на своих заседаниях на постоянной основе рассматривать вопросы кибербезопасности банка, потому что вопрос киберустойчивости банка напрямую связан с надлежащим корпоративным управлением и не замыкается на ИТ-технологиях и средствах контроля.

Для обеспечения технологической надёжности кредитной организации надлежащим образом должен быть организован банковский аудит компьютерных технологий, банк должен поддерживать квалификацию внутреннего аудита в связи с ростом информатизации банковской деятельности.

Изменение структуры банковских рисков требует новых подходов в управлении рисками информационной безопасности в условиях автоматизации банковской системы: выхода банковского бизнеса в виртуальное пространство, использования систем электронного банкинга, возникновения технологического и технического рисков, а также взаимного влияния банковских рисков, связанных с информатизацией банковской деятельности.

В современных условиях бурного развития информационных технологий закономерно возрастают роль службы информационной безопасности, требования к качественному исполнению должностных обязанностей и высокому уровню квалификации работников службы информационной безопасности, применению новаторских методов деятельности службы, надлежащему разграничению обязанностей работников службы информационной безопасности в целях недопустимости дублирования функций иных служб банка.

Настоящая статья предназначена в помощь подразделениям и службам информационной безопасности, банковским методологам, работникам внутреннего контроля и аудита, включает шаблон "Положения о системе менеджмента информационной безопасности" для применения в работе или разработки внутреннего документа, регламентирующего организацию деятельности службы информационной безопасности.

Проект положения содержит разделы с описанием: целей деятельности службы информационной безопасности, задач, стоящих перед службой информационной безопасности, полномочий службы информационной безопасности и используемых ресурсов, порядка оценки рисков информационной безопасности и планов обработки рисков нарушения ИБ, процедур обнаружения и реагирования на инциденты ИБ, мониторинга и контроля, организации обеспечения непрерывности бизнеса и его восстановления, самооценки, аудита, а также принятия решений по улучшению системы информационной безопасности.

Положение о системе менеджмента информационной безопасности

1. Термины, определения и сокращения

Перечень терминов, определений и сокращений представлен в документе "Перечень терминов, определений и сокращений, используемых в ООО КБ "_______" при обеспечении информационной безопасности".

2. Область применения

Настоящее положение о системе менеджмента информационной безопасности в ООО КБ "_____" (далее - положение) предназначено для реализации, контроля и поддержания на должном уровне системы обеспечения информационной безопасности (далее - СОИБ).

3. Общие положения

Настоящее положение разработано в соответствии:

- с действующим законодательством РФ;

- комплексом документов Банка России БР ИББС;

- нормативными актами Банка России, регулирующими деятельность по защите информации;

- политикой информационной безопасности, а также иными политиками по обеспечению информационной безопасности, принятыми в банке;

- иными внутренними нормативными документами банка.

4. Организация и функционирование службы информационной безопасности

С целью реализации, контроля и поддержания на должном уровне СОИБ в банке сформирована служба информационной безопасности (далее - СИБ).

В соответствии с законодательством РФ СИБ должна быть сформирована в каждом территориальном подразделении банка.

Председатель правления банка является куратором СИБ.

4.1. Цель деятельности СИБ

Целью СИБ в банке является защита информационных активов (далее - актив), принадлежащих банку, его собственникам, инвесторам и клиентам, от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения.

4.2. Задачи, стоящие перед СИБ

СИБ решает задачи:

- по предотвращению возможностей утечки конфиденциальной информации, в том числе персональных данных, циркулирующих в информационно-телекоммуникационных системах структурных подразделений банка;

- обеспечению защиты информации при осуществлении переводов денежных средств;

- предотвращению возможностей несанкционированного и непреднамеренного воздействия на важную для управленческой и хозяйственной деятельности информацию в банке;

- обеспечению эффективной защиты информации путём реализации организационных, программно-технических, методических мероприятий защиты;

- созданию системы ИБ банка;

- разработке комплекса нормативного обеспечения и организационных мер по учёту и контролю функционирования информационных систем;

- мониторингу системы защиты, в том числе системы защиты персональных данных;

- организации и обеспечению работ по выявлению и оценке угроз безопасности информации, прогнозированию их развития, разработке типового перечня угроз безопасности информации для объектов защиты;

- разработке нормативных правовых актов и методических документов по ИБ, конкретизирующих и дополняющих федеральные законы, нормативные документы регулятора сферы ИБ, стандарт Банка России СТО БР;

- осуществлению планирования работ по защите информации от её утечки по техническим каналам;

- организации и проведению работ по контролю эффективности проводимых мероприятий, принимаемых мер по защите информации и использования технических средств защиты информации;

- организации в установленном порядке расследования причин и условий появления нарушений в области защиты информации и разработке предложений по устранению недостатков и предупреждению подобного рода нарушений, а также осуществлению контроля за устранением этих нарушений;

- подготовке отчётов о состоянии работ по защите информации;

- участию в работе совещательных, коллегиальных органов, координирующих выработку решений по ИБ в банке;

- выработке тактических задач в части применения информационных технологий, отвечающих требованиям защиты информации;

- осуществлению разрешительной деятельности по использованию структурными подразделениями банка информационных систем, удовлетворяющих требованиям ИБ;

- контролю соответствия используемых информационных систем требованиям защиты информации;

- ведению аналитической работы с информацией об уязвимостях и рисках, их обнаружению в информационных системах;

- организации подготовки и повышения квалификации специалистов по вопросам защиты информации.

4.3. Полномочия СИБ

СИБ наделена следующими полномочиями - это:

- организация составления и контроль выполнения планов по обеспечению ИБ;

- разработка и внесение предложений по изменению политик ИБ;

- организация изменений существующих и принятие руководством новых внутренних документов, регламентирующих деятельность по обеспечению ИБ;

- определение требований к мерам обеспечения ИБ;

- контроль работников банка, а также привлекаемых организаций по договорам выполнения работ и услуг в части выполнения ими требований пунктов договоров, внутренних документов банка, регламентирующих деятельность в области обеспечения ИБ, и в первую очередь работников, имеющих максимальные полномочия по доступу к защищаемым активам;

- осуществление мониторинга событий, связанных с обеспечением ИБ;

- требование от работников банка исполнения требований по ИБ;

- участие в расследовании событий, связанных с инцидентами ИБ, и, в случае необходимости, предложения по применению санкций в отношении лиц, осуществивших НСД и НРД, например нарушивших требования положений, порядков, регламентов, инструкций, руководств и т.д. по обеспечению ИБ;

- отстранение работников от исполнения ими своих должностных обязанностей при грубом нарушении требований по ИБ;

- ходатайства перед руководством банка о применении к работнику дисциплинарных и финансовых мер воздействия вплоть до увольнения;

- участие в действиях по восстановлению работоспособности автоматизированных систем после сбоев и аварий;

- участие в создании, поддержании, эксплуатации и совершенствовании СОИБ банка;

- принятие решений о внедрении тех или иных средств защиты информации;

- организация внедрения средств защиты;

- участие в принятии решения о внедрении той или иной информационной технологии или системы;

- запрещение применения технологий и (или) систем, не удовлетворяющих требованиям по ИБ;

- вход в любые помещения, где осуществляется обработка защищаемых активов.

4.4. Наделение СИБ ресурсами

Для реализации целей и задач, поставленных перед СИБ, руководство банка в лице председателя совета директоров и председателя правления банка обеспечивает:

- необходимый штат работников. Минимальная комплектация СИБ - руководитель, инженерно-технический работник. С учётом территориальной распределённости подразделений банка:

1) руководитель, а также инженерно-технический работник должны располагаться на одной территориальной площадке;

2) по решению руководителя СИБ в территориальных подразделениях банка могут назначаться лица, ответственные за информационную безопасность территориального подразделения, структурных подразделений или ответственных за определённое направление обеспечения ИБ (например, антивирусная защита и т.д.);

- комплектование рабочих мест работников СИБ современными, высокопроизводительными аппаратными, аппаратно-программными и программными средствами;

- удовлетворение в полном объёме потребностей СИБ в способах и средствах реализации, контроле и поддержании на должном уровне СОИБ, в том числе потребности в повышении квалификации по государственным и международным программам, с получением официальных документов (дипломов гособразца, сертификатов, признаваемых международными сообществами). На одного работника должно приходиться не менее трёх направлений на обучение, а также неограниченное количество семинаров, консультационных встреч, презентаций и т.д.;

- наделение СИБ собственным бюджетом (по решению руководителя СИБ);

- поощрение работников СИБ дополнительными денежными выплатами (квартальными, в конце года).

5. Определение (коррекция) области действия СОИБ

5.1. СИБ производит опись защищаемых активов и проводит их классификацию на основании оценок ценности активов для интересов (целей) банка, тяжести последствий потери свойств ИБ активов.

5.2. Анализ на изменение состава активов банка проводится не реже одного раза в год работником СИБ. При необходимости вносятся изменения в опись активов, а также осуществляется их переквалификация.

5.3. Во внутренних документах банка по ИБ определяются соответствующие роли по определению (коррекции) области действия СОИБ и по составлению и пересмотру описи активов, находящихся в области действия СОИБ.

6. Риски ИБ

6.1. Оценка риска нарушения ИБ

Оценка риска нарушения ИБ, а также подход к оценке определён во внутренних документах банка по ИБ.

6.1.1. Оценка рисков проводится каждый раз при выявлении новых активов, бизнес-процессов, по запросу на оценку рисков со стороны работников или руководителей подразделений банка, ответственных за эти активы.

6.1.2. Для каждого идентифицированного актива определяются бизнес-требования и требования законодательства, применимые к данному активу, и оценён возможный ущерб для банка, возникающий вследствие нарушения конфиденциальности, целостности или доступности актива, а также несоблюдения требований законодательства и контрактных обязательств. Величина вероятного ущерба определяет ценность актива. Оценку ценности актива СИБ проводит совместно с его владельцем, принимая во внимание экспертное мнение пользователей данного актива.

6.1.3. Для каждого актива экспертная группа производит идентификацию и анализ угроз и уязвимостей, включая оценку вероятности осуществления угроз и величины уязвимостей. Для идентификации угроз безопасности составляются "модель угроз" и "модель нарушителя". В качестве исходных данных для анализа угроз и уязвимостей могут использоваться результаты внутреннего и внешнего аудитов, данные об уязвимостях и инцидентах ИБ, внешние авторитетные источники информации (например, отраслевая частная модель угроз безопасности персональных данных, представленная в комплексе документов БР ИББС), а также экспертные оценки пользователей и владельцев активов, специалистов по ИБ, ИТ-специалистов и внешних консультантов.

6.1.4. Величина риска ИБ определяется размером ожидаемых среднегодовых потерь банка в результате осуществления угроз безопасности, использующих уязвимости активов. Эта величина напрямую зависит от ценности актива, которому может быть нанесён ущерб, вероятности осуществления угрозы и величины уязвимости. В ряде случаев следует учитывать репутационные риски, такие как потеря доверия клиентов. Способы определения величины риска должны определяться принимаемой в банке методологией оценки рисков ИБ.

6.1.5. Оценённые риски должны быть проранжированы в порядке убывания их величины и формализованы в виде реестра информационных рисков банка.

6.1.6. Во внутренних документах банка по ИБ определяются соответствующие роли по определению (коррекции) методик оценки рисков нарушения ИБ, подходы к оценке.

6.2. Планы обработки рисков нарушения ИБ

6.2.1. По результатам оценки рисков осуществляется идентификация и выбор способов обработки рисков (контрмер). При выборе контрмер учитывается стоимость их осуществления, приобретения, разработки и (или) внедрения, а также её соотношение с величиной ожидаемых потерь. Для этого проводится технический и экономический анализ эффективности контрмер, результатом которого является оценка возврата инвестиций от реализации контрмер. Возврат инвестиций определяется как отношение величины сокращения ожидаемых среднегодовых потерь (величины уменьшения риска) к стоимости реализации контрмер.

6.2.2. Одной из основных целей процесса оценки рисков является предоставление руководству банка возможности обоснованного выбора контрмер. Решение по обработке рисков принимается руководством банка. Окончательное решение по обработке рисков документируется в виде декларации о применимости механизмов контроля и плана обработки информационных рисков и хранится не менее пяти лет с сопутствующими материалами, обосновывающими сделанный выбор.

6.2.3. Декларация о применимости одновременно служит отчётом о несоответствиях банка требованиям безопасности, показывающим, насколько банк соответствует требованиям безопасности, идентифицированным на основе оценки рисков. Этот документ актуализируется в случае возникновения новых рисков или переоценки существующих рисков, а также по мере реализации мер по обработке рисков.

6.2.4. Для каждого риска после выбора контрмер по его уменьшению в плане обработки рисков определён остаточный риск как ожидаемая величина среднегодовых потерь после внедрения выбранных контрмер, выбранные способы обработки риска, сроки их реализации и ответственные за их реализацию.

6.2.5. Приемлемая для банка величина остаточного риска не должна превышать максимально допустимый уровень риска, утверждённый руководством, который должен быть сопоставим со стандартными издержками одного производственного процесса банка.

В случае если оценочная величина остаточного риска превышает максимально допустимый уровень риска, то для его уменьшения должны быть выбраны дополнительные механизмы контроля, обеспечивающие приемлемый возврат инвестиций и позволяющие уменьшить остаточный риск до приемлемого уровня.

В случае невозможности либо экономической нецелесообразности уменьшения риска до приемлемого уровня должны быть рассмотрены варианты передачи данного риска третьей стороне, в качестве которой может выступать страховая компания или компания, предоставляющая услуги по аутсорсингу ИТ-процессов и сервисов безопасности, а также варианты избежания риска, связанные с отказом от рискованных операций либо их заменой на менее рискованные.

В случае отсутствия других приемлемых вариантов обработки риска, превышающего установленный максимально допустимый уровень, руководством банка может быть принято решение о принятии данного риска.

6.2.6. Координация всех шагов по реализации плана обработки рисков (включая приобретение, внедрение, тестирование механизмов безопасности, заключение договоров страхования и аутсорсинга и т.д.) возлагается на СИБ.

6.2.7. Во внутренних документах банка по ИБ определяются соответствующие роли по разработке планов обработки рисков.

7. Внутренние документы, регламентирующие деятельность в области обеспечения ИБ

В целях обеспечения функционирования системы ИБ банка разрабатываются и актуализируются внутренние документы, регламентирующие деятельность в области обеспечения ИБ, с учётом методических рекомендаций по документации комплекса документов Банка России БР ИББС.

Внутренние документы разрабатываются на основе:

- законодательства РФ;

- комплекса БР ИББС, в частности требований разделов 7 и 8 стандарта СТО БР ИББС-1.0;

- нормативных актов и предписаний регулирующих и надзорных органов;

- договорных требований банка к сторонним организациям;

- требований к защите информации, определённых правилами платёжной системы.

Совокупность внутренних документов содержит исчерпывающий набор требований по обеспечению ИБ всех выявленных активов, находящихся в области действия СОИБ.

Недопустимы противоречия между различными документами, регламентирующими процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, положениями и иными документами.

Разработка и актуализация внутренних документов, регламентирующих деятельность по обеспечению ИБ, возложена на СИБ.

Соответствующие роли по разработке, поддержке, пересмотру и контролю определены внутренними документами банка.

Внутренние документы должны пересматриваться в случаях:

- изменения требований законодательства РФ в области обработки и обеспечения ИБ, нормативных актов Банка России, а также требований комплекса документов в области стандартизации Банка России "Обеспечение ИБ организаций банковской системы Российской Федерации";

- изменения основных направлений политик ИБ банка, в том числе по обработке персональных данных;

- изменения организационной и технологической инфраструктуры;

- выявления снижения общего уровня ИБ (по результатам регулярного мониторинга или аудита);

- определения результатов оценки рисков;

- выявления угроз и уязвимостей в обеспечении информационной безопасности;

- определения результатов оценки соответствия требованиям к обеспечению ИБ на основании самооценки или внешнего аудита не реже одного раза в год.

8. Обязанности, права и ответственность по обеспечению ИБ

8.1. В банке выделены и документально определены роли работников в документе "Положение о ролях по обеспечению ИБ в ООО КБ "___". Обязанности, права и ответственность".

8.2. Роли должны быть персонифицированы с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.

8.3. С целью снижения рисков нарушения ИБ не рекомендуется, чтобы в рамках одной роли совмещались следующие функции: разработки и сопровождения информационной системы (ПО), их разработки и эксплуатации, сопровождения и эксплуатации, настройки и эксплуатации, выполнения операций в системе и контроля их выполнения.

8.4. Работники обязаны выполнять требования СИБ по устранению допущенных ими нарушений норм и требований по обработке и (или) обеспечению ИБ. Также работники несут персональную ответственность за соблюдение требований по обеспечению ИБ входе проведения работ.

8.5. Невыполнение работниками требований ИБ приравнивается к невыполнению должностных обязанностей и приводит как минимум к дисциплинарной ответственности.

9. Планы реализации СОИБ

9.1. Планы реализации СОИБ, в частности планы реализации требований по ИБ разделов 7 и 8 комплекса документов БР ИББС, планы обработки рисков нарушения ИБ и внедрения защитных мер определяют перечень основных проводимых организационно-технических мероприятий по защите информации в банке.

Указанные планы фиксируют:

- последовательность выполнения мероприятий в рамках указанных планов;

- сроки начала и окончания;

- должностных лиц (подразделения), ответственных за выполнение каждого указанного мероприятия.

9.2. Планы на очередной календарный год разрабатываются СИБ.

9.3. Роль по разработке, пересмотру и контролю исполнения планов определена во внутренних документах по обеспечению ИБ.

9.4. Утверждённые планы хранятся в СИБ.

9.5. Отчёт о результатах выполнения запланированных мероприятий по обеспечению ИБ за текущий год формируется в рамках общего отчёта работы за текущей год, подписывается руководителем СИБ и представляется руководству банка.

9.6. Все планы внедрения СОИБ утверждаются председателем правления банка.

9.7. Решения о реализации и эксплуатации СОИБ утверждаются решениями председателя правления банка. Решения органов управления банка документируются.

10. Обучение и повышение осведомлённости в области ИБ

10.1. В целях обучения и повышения осведомлённости разрабатываются и актуализируются внутренние документы, регламентирующие деятельность в данной области обеспечения ИБ ("Порядок ознакомления с системой информационной безопасности в ООО КБ "_____", обучения и контроля знаний"),

10.2. В банке проводится документально оформленная и утверждённая руководством работа с персоналом в направлении повышения осведомлённости и обучения в области ИБ, включая разработку и реализацию планов и программ обучения, повышения осведомлённости в области ИБ и контроля результатов выполнения указанных планов.

10.3. В планах обучения и повышения осведомлённости устанавливаются требования к периодичности обучения и повышения осведомлённости.

10.4. Планы обучения и повышения осведомлённости содержат информацию:

- по существующим требованиям обеспечения ИБ;

- по применяемым в банке защитным мерам;

- по правилам использования защитных мер;

- о значимости и важности деятельности работников для обеспечения ИБ в банке.

10.5. Свидетельством выполнения программ обучения и повышения осведомлённости в области ИБ в банке являются:

- документы, подтверждающие прохождение руководителями и работниками банка обучения в области ИБ;

- документы, содержащие результаты проверок обучения работников банка;

- документы, содержащие результаты проверок осведомлённости в области ИБ.

10.6. Для работника, получившего новую роль, организуется обучение или инструктаж в области ИБ, соответствующие полученной роли.

10.7. Обязанность по разработке и реализации планов и программ обучения и повышения осведомлённости в области ИБ возлагается на СИБ.

10.8. Роли по разработке, реализации планов и программ обучения и повышения осведомлённости в области ИБ определены во внутренних документах по обеспечению ИБ.

10.9. Обязанности по контролю результатов обучения и повышения осведомлённости в области ИБ возлагаются на СИБ.

11. Обнаружение и реагирование на инциденты ИБ

11.1. В банке в целях своевременного устранения выявленных нарушений безопасности определён и задокументирован порядок действий при возникновении инцидентов ИБ, связанных с нарушением требований по обработке и обеспечению ИБ ("Порядок реагирования на инциденты информационной безопасности в ООО КБ "____").

11.2. К инцидентам ИБ, связанным с нарушением требований по обеспечению ИБ, относятся любые нарушения, приводящие к снижению уровня защищённости, в том числе несоблюдение условий хранения материальных носителей информации и использования средств защиты информации, которые могут привести к нарушению конфиденциальности, целостности или доступности.

11.3. В банке в случаях возникновения подобных инцидентов ИБ проводятся разбирательства, составляются заключения по фактам возникновения инцидентов, разрабатываются и принимаются меры по предотвращению возможных последствий инцидентов.

11.4. Процедуры расследований инцидентов кроме внутренних документов банка в области ИБ учитывают законодательство РФ, а также положения нормативных актов Банка России.

11.5. Организация и контроль процесса реагирования на инциденты ИБ, связанные с обработкой и обеспечением ИБ, в банке возлагаются на СИБ.

11.6. Роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ определены во внутренних документах по обеспечению ИБ.

12. Организация обеспечения непрерывности бизнеса и его восстановления после прерываний

12.1. В описи защищаемых активов выделяются активы, существенные для обеспечения непрерывности бизнеса.

12.2. В целях обеспечения непрерывности бизнеса в банке разрабатывается, поддерживается в актуальном состоянии, а также периодически тестируется план обеспечения непрерывности бизнеса.

12.3. План обеспечения непрерывности бизнеса представляет собой порядок действий работников банка в случае нештатных ситуаций и должен включать в себя:

- условия активации плана;

- порядок действий, которые должны быть предприняты после инцидента ИБ;

- процедуры восстановления;

- процедуры тестирования и проверки плана;

- план обучения и повышения осведомлённости работников;

- обязанности работников банка с указанием ответственных за выполнение каждого из положений плана.

12.4. Разработка плана обеспечения непрерывности бизнеса и его восстановления после прерывания основывается на документально оформленных результатах оценки рисков нарушения ИБ применительно к защищаемым активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания.

12.5. Документально определяются защитные меры обеспечения непрерывности бизнеса применительно к активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания.

Применение защитных мер основывается на требованиях обеспечения ИБ, определённых во внутренних документах банка по организации обеспечения ИБ.

12.6. В целях тестирования плана обеспечения непрерывности бизнеса составляется сценарий тестирования с учётом принятых в банке моделей угроз и нарушителей, а также результатов оценки рисков.

По необходимости по результатам тестирования осуществляется корректировка плана обеспечения непрерывности бизнеса и его восстановления после прерывания.

12.7. Организация по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания возлагается на отдел информационных технологий по согласованию с СИБ.

12.8. Соответствующие роли определены во внутренних документах по обеспечению ИБ.

13. Мониторинг и контроль защитных мер

13.1. В банке осуществляется мониторинг СОИБ и контроль применяемых защитных мер, включая контроль параметров конфигурации и настроек средств и механизмов защиты.

13.2. Мониторинг и контроль состояния защищённости (далее - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации вследствие несанкционированного доступа (далее - НСД) к ней, преднамеренных программно-технических воздействий и оценки защищённости.

13.3. Мониторинг СОИБ и контроль осуществляются на основе информации о действиях работников банка, событиях и параметрах, имеющих отношение к функционированию защитных мер, документально фиксируемых.

13.4. Результаты выполнения процедур мониторинга СОИБ фиксируются в журнале мониторинга СОИБ (приложение 4 к настоящему положению).

13.5. Мониторинг СОИБ и контроль осуществляются СИБ.

13.6. Ответственность за выполнение указанных функций возлагается на руководителя СИБ.

13.7. Контроль заключается в проверке выполнения требований действующих нормативных документов в области обработки и обеспечения ИБ, в оценке обоснованности и эффективности принятых мер по защите информации.

13.8. Контроль эффективности внедрённых мер и средств защиты информации должен проводиться в соответствии с требованиями эксплуатационной документации на средства защиты информации и требованиями других нормативных документов не реже одного раза в год.

13.9. Обязательным является контроль средств защиты информации при вводе их в эксплуатацию после проведения ремонта таких средств, а также при изменении условий и расположения их эксплуатации.

13.10. Контроль состояния и эффективности осуществляется в соответствии со сводным планом по обеспечению ИБ (приложение 1 к настоящему положению) на текущий год или носит внеплановый характер.

13.11. Результаты периодического контроля оформляются отдельными протоколами или актами.

13.12. По всем выявленным нарушениям требований по защите информации ответственные лица в пределах предоставленных им прав и функциональных обязанностей обязаны добиваться их немедленного устранения.

13.13. Составляется база данных инцидентов.

13.14. Руководители структурных подразделений, в чьей компетенции находятся процессы обработки конфиденциальной информации, ответственные за эксплуатацию компонентов информационных систем, обязаны принять все необходимые меры по немедленному устранению выявленных нарушений.

При невозможности их немедленного устранения они обязаны прекратить работы с конфиденциальной информацией и организовать работы по устранению выявленных нарушений.

13.15. Процедуры мониторинга СОИБ и контроля защитных мер пересматриваются в соответствии с настоящим Положением.

14. Проведение самооценки ИБ банка

14.1. В банке проводится самооценка ИБ в соответствии с СТО БР ИББС-1.2-2014 Банка России, а также Положением Банка России от 09.06.12 N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (зарегистрировано Минюстом России 14 июня 2012 года, регистрационный N 24575).

14.2. Самооценка проводится с целью установления степени выполнения требований к обеспечению защиты информации.

14.3. В банке разрабатывается, документируется и реализуется программа самооценки, содержащая информацию, необходимую для планирования и организации самооценки ИБ, её контроля, анализа и совершенствования, а также обеспечения ресурсами, необходимыми для эффективного и результативного проведения указанной самооценки в заданные сроки.

14.4. По результатам проведения самооценок ИБ подготавливаются отчёты. Результаты самооценок ИБ доводятся до сведения органов управления банка, отчёты о самооценке подлежат утверждению председателем правления банка.

14.5. Порядок формирования, сбора и хранения свидетельств самооценки ИБ, периодичность проведения, порядок составления планов, а также порядок хранения и использования результатов самооценки ИБ должны быть определены во внутренних документах банка по обеспечению ИБ.

14.6. Организация по разработке программ, планов проведения самооценки и их реализация возлагаются на СИБ.

14.7. Мероприятия по самооценке соответствия проводятся не реже одного раза в два года, а также по требованию Банка России.

14.8. Соответствующие роли определены во внутренних документах по обеспечению ИБ.

15. Проведение аудита ИБ

Аудит проводится с целью установления степени выполнения требований к обеспечению защиты информации.

В банке проводится аудит ИБ специализированными организациями на основании заключённых договоров.

Отчёты, подготовленные по результатам проведения аудита, доводятся до сведения руководства банка.

Мероприятия по оценке соответствия с привлечением сторонней организации проводятся не реже одного раза в два года, а также по требованию Банка России.

16. Анализ функционирования СОИБ банка

16.1. Анализ функционирования СОИБ осуществляется на основании:

- результатов мониторинга и контроля защитных мер;

- результатов проведения аудитов, самооценок ИБ;

- сведений об инцидентах ИБ;

- данных об угрозах, возможных нарушителях и уязвимостях ИБ;

- данных об изменениях внутри банка;

- данных об изменениях вне банка.

16.2. Направления анализа:

- внутренние документы банка по обеспечению ИБ подвергаются анализу соответствия требованиям законодательства РФ, требованиям стандартов Банка России, контрактным требованиям банка;

- соответствие внутренних документов нижних уровней иерархии требованиям политик ИБ;

- проверка адекватности модели угроз существующим угрозам ИБ;

- оценка рисков в области ИБ, включая оценку уровня остаточного и допустимого рисков;

- оценка адекватности используемых защитных мер требованиям внутренних документов;

- анализ отсутствия разрывов в технологических процессах обеспечения ИБ, а также несогласованности в использовании защитных мер;

- анализ уровня осведомлённости работников и руководства банка в вопросах обеспечения ИБ.

16.3. Условия проведения анализа:

- изменения требований законодательства РФ в области обработки и обеспечения ИБ, а также требований стандарта Банка России СТО БР ИББС-1.0;

- изменения внутренних документов банка по обеспечению ИБ;

- по результатам внутреннего контроля (аудита) системы защиты в случае выявления существенных нарушений;

- по результатам расследования инцидентов ИБ;

- не реже одного раза в год.

16.4. Анализ функционирования СОИБ осуществляется на основании сводного плана по обеспечению ИБ (форма плана представлена в приложении 1 настоящего положения).

Порядок разработки, пересмотра и контроля исполнения плана по обеспечению ИБ представлен в приложении 2 настоящего положения.

16.5. Организация анализа функционирования СОИБ возлагается на СИБ.

16.6. Соответствующие роли определены во внутренних документах по обеспечению ИБ.

17. Анализ СОИБ со стороны руководства банка

В целях анализа СОИБ банка со стороны руководства банка служба ИБ формирует пакет из следующих документов - это:

- отчёты с результатами мониторинга СОИБ и контроля защитных мер;

- отчёты с результатами анализа функционирования СОИБ;

- отчёты с результатами самооценок ИБ;

- документы, содержащие информацию о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ;

- документы, содержащие информацию о новых выявленных уязвимостях и угрозах ИБ;

- документы, содержащие информацию о действиях, предпринятых по итогам предыдущих анализов СОИБ, осуществлённых органами управления;

- документы, содержащие информацию об изменениях, которые могли бы повлиять на организацию СОИБ, например изменения в законодательстве РФ и (или) положениях стандартов Банка России;

- документы, содержание информацию по выявленным инцидентам ИБ;

- документы, подтверждающие выполнение требуемой деятельности по обеспечению ИБ, например выполнение планов обработки рисков;

- документы, подтверждающие выполнение требований непрерывности бизнеса и его восстановления после прерывания.

Сводный план по обеспечению ИБ должен содержать положения по проведению совещаний на уровне председателя правления банка, при необходимости - на уровне совета директоров банка (по усмотрению руководителя СИБ), на которых в том числе производятся поиск и анализ проблем ИБ, влияющих на бизнес-процессы банка.

18. Принятие решений по тактическим улучшениям СОИБ банка

18.1. К тактическим улучшениям СОИБ относятся корректирующие или превентивные действия, связанные с пересмотром отдельных процедур выполнения деятельности в рамках СОИБ, не требующие пересмотра политик ИБ.

18.2. Для принятия решений, связанных с тактическими улучшениями СОИБ банка, рассматриваются среди прочего документально оформленные результаты:

- аудитов ИБ;

- самооценок ИБ;

- мониторинга СОИБ и контроля защитных мер;

- анализа функционирования СОИБ;

- обработки инцидентов ИБ;

- выявления новых активов банка или их типов;

- выявления новых угроз и уязвимостей ИБ;

- оценки рисков;

- пересмотра основных рисков ИБ;

- анализа СОИБ со стороны органов управления банка;

- анализа успешных практик в области ИБ (собственных или других организаций), -

а также изменения:

- в законодательстве РФ;

- в нормативных актах Банка России, в частности требованиях комплекса документов БР ИББС;

- интересов, целей и задач бизнеса банка;

- контрактных обязательств банка.

18.3. Решения по тактическим улучшениям СОИБ документально фиксируются и либо содержат выводы об отсутствии необходимости тактических улучшений СОИБ, либо должны быть указаны направления тактических улучшений СОИБ в виде корректирующих или превентивных действий, например:

- пересмотр процедур выполнения отдельных видов деятельности по обеспечению ИБ;

- пересмотр процедур эксплуатации отдельных видов защитных мер;

- пересмотр процедур обнаружения и обработки инцидентов;

- уточнение описи активов;

- пересмотр программы обучения и повышения осведомлённости персонала;

- пересмотр плана обеспечения непрерывности бизнеса и его восстановления после прерывания;

- пересмотр планов обработки рисков;

- вынесение санкций в отношении персонала;

- пересмотр процедур мониторинга СОИБ и контроля защитных мер;

- пересмотр программ аудитов;

- корректировка соответствующих внутренних документов, регламентирующих процедуры выполнения деятельности по обеспечению ИБ и эксплуатации защитных мер;

- ввод новых или замена используемых защитных мер.

18.4. Вся деятельность по реализации тактических улучшений документально регистрируется.

В частности, результаты выполнения планов реализации тактических улучшений СОИБ фиксируются в отчёте о реализации плана тактических улучшений СОИБ, в котором в том числе указывается:

- какие мероприятия в рамках плана выполнены;

- какова форма реализации указанных мероприятий;

- выводы и достижения целей плана и необходимость (отсутствие необходимости) проведения дополнительных мероприятий.

18.5. Деятельность, связанная с реализацией тактических улучшений СОИБ, должна быть санкционирована и контролироваться СИБ.

18.6. Согласованней информирование заинтересованных сторон о тактических улучшениях СОИБ, в частности об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям ИБ, осуществляется в форме заполнения подписного листа тактических улучшений СОИБ по форме приложения 3 к настоящему положению.

18.7. В случаях принятия решений по тактическим улучшениям СОИБ должны быть назначены ответственные за их реализацию.

19. Принятие решений по стратегическим улучшениям СОИБ банка

19.1. К стратегическим улучшениям СОИБ следует относить корректирующие или превентивные действия, связанные с пересмотром политик, с последующим выполнением соответствующих тактических улучшений СОИБ.

19.2. Стратегические улучшения СОИБ всегда требуют выполнения деятельности в рамках этапа "планирование" системы менеджмента ИБ.

19.3. Для принятия решений, связанных со стратегическими улучшениями СОИБ банка, рассматриваются среди прочего документально оформленные результаты:

- аудитов ИБ;

- самооценок ИБ;

- мониторинга СОИБ и контроля защитных мер;

- анализа функционирования СОИБ;

- обработки инцидентов ИБ;

- выявления новых активов банка или их типов;

- выявления новых угроз и уязвимостей ИБ;

- оценки рисков;

- пересмотра основных рисков ИБ;

- анализа СОИБ со стороны органов управления банка;

- анализа успешных практик в области ИБ (собственных или других организаций), -

а также изменения:

- в законодательстве РФ;

- в нормативных актах Банка России, в частности требованиях настоящего стандарта;

- интересов, целей и задач бизнеса банка;

- контрактных обязательств банка.

19.4. Решения по стратегическим улучшениям СОИБ банка документально фиксируются и должны либо содержать выводы об отсутствии необходимости стратегических улучшений СОИБ, либо указывать направления стратегических улучшений СОИБ в виде корректирующих или превентивных действий, например:

- уточнение (пересмотр) целей и задач обеспечения ИБ, определённых в рамках политик;

- изменение в области действия СОИБ;

- уточнение описи типов активов;

- пересмотр моделей угроз и нарушителей;

- изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ.

19.5. Деятельность, связанная с реализацией стратегических улучшений СОИБ, должна быть санкционирована и контролироваться руководством банка.

19.6. В случае стратегических улучшений СОИБ выполняется деятельность по реализации соответствующих тактических улучшений СОИБ для всех необходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов.

В частности, выполняется:

- выработка планов тактических улучшений СОИБ;

- уточнение планов обработки рисков;

- уточнение программы внедрения защитных мер;

- уточнение процедур использования защитных мер.

19.7. Согласованней информирование заинтересованных сторон о стратегических улучшениях СОИБ, в частности об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям ИБ, осуществляются в форме заполнения подписного листа тактических улучшений СОИБ по форме приложения 3 к настоящему положению.

19.8. В случаях принятия решений по стратегическим улучшениям СОИБ назначаются ответственные за их реализацию.

Приложение 1

Форма плана по обеспечению ИБ

Утверждено

Начальник службы ИБ

ООО КБ "________"

_____________ / __________

"___" ____________ 20__ г.

На _____ листах

План
по обеспечению ИБ
на период "___" ____________ 20__ г. - "___" ____________ 20__ г.

N п/п	Наименование мероприятия	Основание	Форма реализации	Статус реализации	Срок выполнения	Исполнитель	Примечание

Приложение 2

Порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ

1. Порядок разработки и пересмотра планов по обеспечению ИБ банка

1.1. Разработка и пересмотр планов по обеспечению ИБ осуществляется в случаях, установленных требованиями настоящего положения.

1.2. При разработке плана по обеспечению ИБ банка (далее - план) осуществляются следующие мероприятия:

- определение конечных целей разработки плана;

- выявление объектов воздействия для достижения целей разработки плана;

- формирование списка возможных мероприятий по достижению целей плана на основе анализа имеющейся информации о состоянии СОИБ в банке в части, касающейся целей плана, действующей нормативной базы и т.д.;

- анализ совместимости мероприятий, включённых в сформированный список, формирование окончательного списка предполагаемых мероприятий;

- определение последовательности выполнения запланированных мероприятий;

- определение необходимых ресурсов (времени, материальных ресурсов и др.) для выполнения мероприятий, включённых в список;

- анализ возможности выделения банком таких ресурсов. В случае невозможности - корректировка плана в части невыполнимых мероприятий;

- для окончательного списка мероприятий - определение конкретных сроков, ответственных исполнителей, списка прочих необходимых ресурсов;

- рассмотрение и утверждение плана руководителем СИБ;

- утверждение плана председателем правления банка.

1.3. Типовая форма плана представлена в приложении 1 к настоящему Положению.

2. Контроль исполнения плана

2.1. Контроль над исполнением плана возлагается на СИБ.

2.2. Ответственность за проведение контроля возлагается на руководителя СИБ.

2.3. В ходе проведения контроля исполнения плана работником, проводящим контроль, ставится соответствующая отметка в графу "Статус реализации" плана о выполнении каждого пункта плана.

Приложение 3

Подписной лист тактических (стратегических) улучшений СОИБ (форма)

N п/п	Тактическое (стратегическое) улучшение СОИБ	Согласовал	Проинформирован	Личная подпись

Приложение 4

Журнал мониторинга СОИБ (форма)

N п/п	Дата	Процедура мониторинга СОИБ	Исполнитель	Результаты проведения процедуры