Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0" (введены в действие распоряжением Банка России от 28 апреля 2007 г. N Р-347)
- Приложение Б. Документы, рекомендуемые в качестве источников свидетельств самооценки информационной безопасности организации БС РФ
Приложение Б. Документы, рекомендуемые в качестве источников свидетельств самооценки информационной безопасности организации БС РФ
Приложение Б
Документы, рекомендуемые в качестве источников свидетельств самооценки информационной безопасности организации БС РФ
1. Политика ИБ и частные политики ИБ организации, в том числе:
а) частная политика по обеспечению ИБ банковских платежных систем;
б) частная политика по обеспечению ИБ банковских информационных систем;
в) частная политика по обеспечению ИБ банковских телекоммуникационных систем.
2. Документы (положения, руководства, инструкции), регламентирующие деятельность и (или) содержащие свидетельства выполнения деятельности:
а) по назначению и распределению ролей в организации;
б) по работе с персоналом, в т.ч. документы, определяющие внутренние требования организации БС РФ:
- по приему сотрудников на работу;
- по соблюдению конфиденциальности информации сотрудниками организации;
- по соблюдению правил корпоративной этики сотрудниками организации;
- по недопущению конфликта интересов;
- к проведению обучения, осведомления персонала и проверки уровня компетентности в области ИБ;
в) по обеспечению ИБ автоматизированных банковских систем на стадиях жизненного цикла, в т.ч. требования:
- к выдвижению технических требований, разработке технических заданий, проектированию, созданию, тестированию и приемке средств обеспечения ИБ автоматизированных банковских систем;
- к вводу в действие, эксплуатации, сопровождению и снятию с эксплуатации автоматизированных банковских систем;
г) по управлению доступом к ресурсам ЭВМ, локальным вычислительным сетям и автоматизированным банковским системам организации БС РФ;
д) по обеспечению антивирусной защиты;
е) по использованию ресурсов сети Интернет;
ж) по использованию средств криптографической защиты информации;
з) по обеспечению ИБ банковских платежных технологических процессов организации БС РФ;
и) по обеспечению ИБ банковских информационных технологических процессов организации БС РФ.
3. Документы (положения, руководства, инструкции и т.д.), регламентирующие деятельность и (или) содержащие свидетельства выполнения деятельности в рамках системы менеджмента информационной безопасности (СМИБ) организации БС РФ:
а) определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ. Такими документами могут быть:
- документ, определяющий выбранные подход и методы оценки рисков ИБ;
- документ, описывающий область действия СМИБ;
б) анализ и оценка рисков ИБ, выбор вариантов обработки рисков ИБ. Такими документами могут быть:
- документ, отражающий результаты анализа и оценки рисков ИБ;
- документ, содержащий варианты обработки рисков ИБ;
в) определение/уточнение политик ИБ организации;
г) выбор/уточнение целей ИБ и защитных мер. Такими документами могут быть:
- документ, содержащий результаты выбора (уточнения) состава защитных мер;
- документ, содержащий результаты выбора (уточнения) целей ИБ организации;
д) принятие руководством организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ. Такими документами могут быть:
- решения о реализации и эксплуатации (совершенствовании) СМИБ;
- документы, определяющие деятельность службы ИБ;
- документы, отражающие принятие высшим руководством организации остаточных рисков ИБ;
- документы, определяющие роли по обеспечению ИБ;
е) разработка плана обработки рисков ИБ. Такими документами могут быть документы, определяющие план обработки рисков ИБ;
ж) реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ. Такими документами могут быть:
- свидетельства эксплуатации реализованных защитных мер;
- свидетельства реализации плана обработки рисков ИБ;
- программы по обучению и осведомлению об ИБ;
- документы, определяющие состав документации и порядок управления документацией в области ИБ организации БС РФ;
з) реализация программ по обучению и осведомлению об ИБ. Такими документами могут быть:
- свидетельства реализации программы по обучению ИБ;
- свидетельства реализации программы по осведомлению об ИБ;
и) обнаружение и реагирование на инциденты безопасности. Такими документами могут быть:
- документы, определяющие процедуры обнаружения инцидентов ИБ и информирования об инцидентах;
- документы, определяющие процедуры оценивания и принятия решений по событиям/инцидентам ИБ;
- документы, определяющие процедуры реагирования на инциденты ИБ;
к) обеспечение непрерывности бизнеса и восстановления после прерываний. Такими документами могут быть:
- политика обеспечения непрерывности бизнеса;
- план восстановления бизнеса после прерываний;
- документы, определяющие процедуру периодического тестирования плана восстановления бизнеса после прерываний;
- программа обучения и осведомления по восстановлению бизнес-процессов после прерываний;
л) мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ. Такими документами могут быть:
- отчетность по оперативной оценке ИБ;
- документы, определяющие процедуры мониторинга и контроля;
м) анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ. Такими документами могут быть:
- отчетность, содержащая результаты переоценки рисков ИБ и анализ уровней остаточных и приемлемых рисков ИБ;
- документы, определяющие процедуры по анализу эффективности функционирования СМИБ;
н) внутренний аудит ИБ. Такими документами могут быть:
- документы, определяющие порядок проведения внутреннего аудита ИБ;
- программа аудита ИБ;
- документы по результатам проведенных внутренних аудитов ИБ с предложениями по развитию в области обеспечения ИБ;
о) анализ СМИБ со стороны высшего руководства. Такими документами могут быть:
- документы по результатам анализа СМИБ высшим руководством;
- документ, определяющий перечень документов, предоставляемых высшему руководству для анализа;
п) внешний аудит ИБ. Такими документами могут быть:
- программа аудита ИБ, включающая описание деятельности, необходимой для планирования, организации, проведения и совершенствования внешнего аудита ИБ;
- аудиторские отчеты;
р) реализация тактических улучшений в СМИБ. Такими документами могут быть документы, отражающие действия по совершенствованию СМИБ;
с) реализация стратегических улучшений СМИБ и использование опыта. Такими документами могут быть:
- документы, содержащие описание изменений (в политиках ИБ, плане обработки рисков ИБ и др.);
- документы, содержащие решения руководства о корректирующих и превентивных действиях в отношении СМИБ;
т) информирование об изменениях и их согласование с заинтересованными сторонами. Такими документами могут быть:
- документы, определяющие процедуры информирования заинтересованных сторон об изменениях в обеспечении ИБ;
- документы, определяющие процедуры согласования изменений в обеспечении ИБ с заинтересованными сторонами;
- документы, определяющие процедуры внесения изменений в договоры (соглашения) о взаимодействии с третьими сторонами;
у) оценка достижения поставленных целей. Такими документами могут быть документы, утвержденные руководством по результатам анализа причин несоответствий в реализации и/или эксплуатации СМИБ, относящиеся к уточнению политик ИБ и целей ИБ.
4. Документы (положения, руководства, инструкции и т.д.), регламентирующие деятельность и (или) содержащие свидетельства выполнения деятельности по реализации общих принципов обеспечения информационной безопасности организации БС РФ:
а) своевременность обнаружения, прогноз развития проблем ИБ и оценка их влияния на бизнес-цели организации. Такими документами могут быть:
- документы, отражающие результаты классификации ресурсов по степени их критичности для обеспечения непрерывности бизнеса;
- документы, содержащие модель угроз и модель нарушителя;
- документы, содержащие требования к процедурам обработки инцидентов ИБ;
- документы, содержащие свидетельства деятельности по анализу и обработке инцидентов ИБ;
- документы, содержащие свидетельства выполнения деятельности по управлению рисками ИБ;
б) определение целей, адекватность выбора защитных мер, их эффективность и контролируемость. Такими документами могут быть:
- документы, определяющие цели и задачи обеспечения ИБ организации БС РФ;
- документы, содержащие свидетельства выполнения уточнения/пересмотра целей и задач обеспечения ИБ организации БС РФ;
- документы, обосновывающие выбор защитных мер;
- документы, содержащие план реализации защитных мер;
- документы, содержащие свидетельства контроля правильности реализации и эксплуатации защитных мер;
- документы, определяющие порядок тестирования используемых защитных мер;
- документы, содержащие свидетельства выполнения деятельности по тестированию используемых защитных мер;
- документы, содержащие выполнение деятельности по контролю за реализацией действующих положений и требований по обеспечению ИБ;
в) непрерывность обеспечения ИБ и использование опыта при принятии и реализации решений. Такими документами могут быть:
- документы, регламентирующие деятельность службы ИБ организации БС РФ;
- документы, определяющие роли по обеспечению ИБ организации БС РФ;
- свидетельства выполнения деятельности по анализу и совершенствованию ИБ организации БС РФ;
- документы, определяющие план обеспечения непрерывности бизнеса и восстановления бизнеса после прерываний;
- документы, содержащие свидетельства выполнения процедур периодического тестирования плана восстановления бизнес-процессов после прерываний;
г) знание своих клиентов и служащих, персонификация и адекватное разделение ролей и ответственности и адекватность ролей функциям и процедурам. Такими документами могут быть:
- документы, регламентирующие процедуры, выполняемые при приеме и отборе претендентов на рабочие места;
- договоры организации БС РФ с ее клиентами;
- документы, определяющие роли по обеспечению ИБ организации БС РФ;
д) доступность услуг и сервисов, наблюдаемость и оцениваемость обеспечения ИБ. Такими документами могут быть:
- договоры организации БС РФ с ее клиентами и контрагентами;
- документы, определяющие процедуры мониторинга и контроля;
- программы аудита и самооценки;
- аудиторские отчеты и отчеты с результатами самооценки.