Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 8

Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
0% 20% 40% 60% 80% 100% Р. 8
Планируемый уровень
Текущий уровень
8.1.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ в организации БС РФ следует реализовать ряд процессов СМИБ, сгруппированных в виде циклической модели Деминга: “… — планирование — реализация — проверка — совершенствование — планирование — …”. 
8.1.2. Целью выполнения деятельности в рамках группы процессов “планирование” является запуск “цикла” СМИБ путем определения первоначальных планов построения, ввода в действие и контроля СОИБ, а также определения планов по совершенствованию СОИБ на основании решений, принятых на этапе “совершенствование”. Выполнение деятельности на стадии “планирование” заключается в определении/корректировке области действия СОИБ, формализации подхода к оценке рисков ИБ и распределении ресурсов, проведении оценки рисков ИБ и определении/коррекции планов их обработки. Важно, чтобы все решения по реализации/корректировке СОИБ были приняты руководством организации БС РФ (далее — руководство). 
8.1.3. Этап “реализация” выполняется по результатам выполнения этапов “планирование” и (или) “совершенствование” и заключается в выполнении всех планов, связанных с построением, вводом в действие и совершенствованием СОИБ, определенных на этапе “планирование” и (или) реализации решений, определенных на этапе “совершенствование” и не требующих выполнения деятельности по планированию соответствующих улучшений. В том числе важным является выполнение таких видов деятельности, как организация обучения и повышение осведомленности в области ИБ, реализация обнаружения и реагирования на инциденты ИБ, обеспечение непрерывности бизнеса организации БС РФ. 
Организация БС РФ должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от реализации угроз. Организация БС РФ должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация БС РФ должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации. 
8.1.4. Целью выполнения деятельности в рамках группы процессов “проверка” является обеспечение достаточной уверенности в том, что СОИБ, включая защитные меры, функционирует надлежащим образом и адекватна существующим угрозам ИБ, а также внутренним и (или) внешним условиям функционирования организации БС РФ, связанным с ИБ. Кроме того, необходимо рассмотреть любые изменения в допущениях или в области оценки рисков. Указанная деятельность может проводиться в любое время и с любой частотой, в зависимости от того, что является подходящим для конкретной ситуации. На этапе “проверка” необходимо осуществлять мониторинг ИБ и контроль используемых защитных мер, периодически выполнять деятельность по самооценке ИБ организации БС РФ требованиям настоящего стандарта и проводить аудит ИБ, анализировать функционирование СОИБ в целом, в том числе со стороны руководства. 
Организация БС РФ должна своевременно обнаруживать проблемы, прямо или косвенно относящиеся к ИБ, потенциально способные повлиять на ее бизнес-цели. Рекомендуется выявлять причинно-следственную связь возможных проблем и строить на этой основе прогноз их развития. 
Результат выполнения деятельности на этапе “проверка” является основой для выполнения деятельности по совершенствованию СОИБ. 
8.1.5. Группа процессов “совершенствование” включает в себя деятельность по принятию решений о реализации тактических и (или) стратегических улучшений СОИБ. Указанная деятельность, т.е. переход к этапу “совершенствование”, реализуется только тогда, когда выполнение процессов этапа “проверка” дало результат, требующий совершенствования СОИБ. При этом сама деятельность по совершенствованию СОИБ должна реализовываться в рамках групп процессов “реализация” и при необходимости “планирование”. Пример первой ситуации — введение в действие существующего плана обеспечения непрерывности бизнеса, поскольку на стадии “проверка” определена необходимость в этом. Пример второй ситуации — идентификация новой угрозы и последующее обновление оценки рисков на стадии “планирование”. При этом важно, чтобы все заинтересованные стороны немедленно извещались о проводимых улучшениях СОИБ и при необходимости проводилось соответствующее обучение. 
Организация БС РФ должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения. 
8.1.6. Для успешного функционирования СМИБ в организации БС РФ следует выполнить следующие группы требований: 
  • требования к организации и функционированию службы ИБ организации БС РФ; 
  • требования к определению/коррекции области действия СОИБ; 
  • требования к выбору/коррекции подхода к оценке рисков нарушения ИБ и проведению оценки рисков нарушения ИБ; 
  • требования к разработке планов обработки рисков нарушения ИБ; 
  • требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения ИБ; — требования к принятию руководством организации БС РФ решений о реализации и эксплуатации СОИБ; 
  • требования к организации реализации планов обработки рисков нарушения ИБ; 
  • требования к разработке и организации реализации программ по обучению и повышению осведомленности в области ИБ; 
  • требования к организации обнаружения и реагирования на инциденты безопасности; 
  • требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний; 
  • требования к мониторингу СОИБ и контролю защитных мер; 
  • требования к проведению самооценки ИБ; 
  • требования к проведению аудита ИБ; 
  • требования к анализу функционирования СОИБ; 
  • требования к анализу СОИБ со стороны руководства организации БС РФ; 
  • требования к принятию решений по тактическим улучшениям СОИБ; 
  • требования к принятию решений по стратегическим улучшениям СОИБ. 
 8.2.2. Служба ИБ должна быть наделена следующими минимальными полномочиями:
  • организовывать составление и контролировать выполнение всех планов по обеспечению ИБ организации БС РФ;
  • разрабатывать и вносить предложения по изменению политик ИБ организации;
  • организовывать изменение существующих и принятие руководством новых внутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ;
  • определять требования к мерам обеспечения ИБ организации БС РФ;
  • контролировать работников организации БС РФ в части выполнения ими требований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь работников, имеющих максимальные полномочия по доступу к защищаемым информационным активам;
  • осуществлять мониторинг событий, связанных с обеспечением ИБ;
  • участвовать в расследовании событий, связанных с инцидентами ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ организации БС РФ;
  • участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий; 
  • осуществлять контроль обеспечения ИБ на стадиях ЖЦ АБС, в том числе при тестировании и вводе в эксплуатацию подсистем ИБ АБС организации БС РФ; 
  • участвовать в создании, поддержании, эксплуатации и совершенствовании СОИБ организации БС РФ. 
8.4.3. Методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ организации БС РФ должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:
  • степени возможности реализации угроз ИБ выявленными и (или) предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз и нарушителя, в результате их воздействия на объекты среды информационных активов организации БС РФ (типов информационных активов);
  • степени тяжести последствий от потери свойств ИБ, в частности свойств доступности, целостности и конфиденциальности, для рассматриваемых информационных активов (типов информационных активов). Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения. 
8.13.1. Самооценка ИБ проводится собственными силами и по инициативе руководства организации БС РФ. 
8.13.2. Самооценка ИБ должна проводиться в соответствии со стандартом Банка России СТО БР ИББС-1.2 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0”. Порядок проведения самооценки ИБ рекомендуется организовывать в соответствии с рекомендациями по стандартизации Банка России РС БР ИББС-2.1 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0” 

Связанные защитные меры