Соответствие требованиям

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 8

Для проведения оценки соответствия по документу войдите в систему.

Для оценки соответствия
- авторизуйтесь

Планируемый уровень

Текущий уровень

Показывать только требования

8. Система менеджмента информационной безопасности организаций банковской системы Российской Федерации

8.1. Общие положения

8.1.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ в организации БС РФ следует реализовать ряд процессов СМИБ, сгруппированных в виде циклической модели Деминга: “… — планирование — реализация — проверка — совершенствование — планирование — …”.
8.1.2. Целью выполнения деятельности в рамках группы процессов “планирование” является запуск “цикла” СМИБ путем определения первоначальных планов построения, ввода в действие и контроля СОИБ, а также определения планов по совершенствованию СОИБ на основании решений, принятых на этапе “совершенствование”. Выполнение деятельности на стадии “планирование” заключается в определении/корректировке области действия СОИБ, формализации подхода к оценке рисков ИБ и распределении ресурсов, проведении оценки рисков ИБ и определении/коррекции планов их обработки. Важно, чтобы все решения по реализации/корректировке СОИБ были приняты руководством организации БС РФ (далее — руководство).

8.1.3. Этап “реализация” выполняется по результатам выполнения этапов “планирование” и (или) “совершенствование” и заключается в выполнении всех планов, связанных с построением, вводом в действие и совершенствованием СОИБ, определенных на этапе “планирование” и (или) реализации решений, определенных на этапе “совершенствование” и не требующих выполнения деятельности по планированию соответствующих улучшений. В том числе важным является выполнение таких видов деятельности, как организация обучения и повышение осведомленности в области ИБ, реализация обнаружения и реагирования на инциденты ИБ, обеспечение непрерывности бизнеса организации БС РФ.
Организация БС РФ должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от реализации угроз. Организация БС РФ должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация БС РФ должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.

8.1.4. Целью выполнения деятельности в рамках группы процессов “проверка” является обеспечение достаточной уверенности в том, что СОИБ, включая защитные меры, функционирует надлежащим образом и адекватна существующим угрозам ИБ, а также внутренним и (или) внешним условиям функционирования организации БС РФ, связанным с ИБ. Кроме того, необходимо рассмотреть любые изменения в допущениях или в области оценки рисков. Указанная деятельность может проводиться в любое время и с любой частотой, в зависимости от того, что является подходящим для конкретной ситуации. На этапе “проверка” необходимо осуществлять мониторинг ИБ и контроль используемых защитных мер, периодически выполнять деятельность по самооценке ИБ организации БС РФ требованиям настоящего стандарта и проводить аудит ИБ, анализировать функционирование СОИБ в целом, в том числе со стороны руководства.
Организация БС РФ должна своевременно обнаруживать проблемы, прямо или косвенно относящиеся к ИБ, потенциально способные повлиять на ее бизнес-цели. Рекомендуется выявлять причинно-следственную связь возможных проблем и строить на этой основе прогноз их развития.
Результат выполнения деятельности на этапе “проверка” является основой для выполнения деятельности по совершенствованию СОИБ.

8.1.5. Группа процессов “совершенствование” включает в себя деятельность по принятию решений о реализации тактических и (или) стратегических улучшений СОИБ. Указанная деятельность, т.е. переход к этапу “совершенствование”, реализуется только тогда, когда выполнение процессов этапа “проверка” дало результат, требующий совершенствования СОИБ. При этом сама деятельность по совершенствованию СОИБ должна реализовываться в рамках групп процессов “реализация” и при необходимости “планирование”. Пример первой ситуации — введение в действие существующего плана обеспечения непрерывности бизнеса, поскольку на стадии “проверка” определена необходимость в этом. Пример второй ситуации — идентификация новой угрозы и последующее обновление оценки рисков на стадии “планирование”. При этом важно, чтобы все заинтересованные стороны немедленно извещались о проводимых улучшениях СОИБ и при необходимости проводилось соответствующее обучение.
Организация БС РФ должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.

8.1.6. Для успешного функционирования СМИБ в организации БС РФ следует выполнить следующие группы требований:

требования к организации и функционированию службы ИБ организации БС РФ;
требования к определению/коррекции области действия СОИБ;
требования к выбору/коррекции подхода к оценке рисков нарушения ИБ и проведению оценки рисков нарушения ИБ;
требования к разработке планов обработки рисков нарушения ИБ;
требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения ИБ; — требования к принятию руководством организации БС РФ решений о реализации и эксплуатации СОИБ;
требования к организации реализации планов обработки рисков нарушения ИБ;
требования к разработке и организации реализации программ по обучению и повышению осведомленности в области ИБ;
требования к организации обнаружения и реагирования на инциденты безопасности;
требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний;
требования к мониторингу СОИБ и контролю защитных мер;
требования к проведению самооценки ИБ;
требования к проведению аудита ИБ;
требования к анализу функционирования СОИБ;
требования к анализу СОИБ со стороны руководства организации БС РФ;
требования к принятию решений по тактическим улучшениям СОИБ;
требования к принятию решений по стратегическим улучшениям СОИБ.

8.2. Требования к организации и функционированию службы информационной безопасности организации банковской системы Российской Федерации

8.2.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ руководству следует сформировать службу ИБ в составе не менее двух человек (назначить уполномоченных лиц), а также утвердить цели и задачи ее деятельности.
Служба ИБ должна иметь утвержденные руководством полномочия и ресурсы, необходимые для выполнения установленных целей и задач, а также назначенного из числа руководства куратора. При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора.
Рекомендуется наделить службу ИБ собственным бюджетом.
Организациям БС РФ, имеющим сеть филиалов или региональных представительств, рекомендуется выделять соответствующие подразделения ИБ (уполномоченных лиц) на местах, обеспечив их необходимыми ресурсами и нормативной базой.

8.2.2. Служба ИБ должна быть наделена следующими минимальными полномочиями:

организовывать составление и контролировать выполнение всех планов по обеспечению ИБ организации БС РФ;
разрабатывать и вносить предложения по изменению политик ИБ организации;
организовывать изменение существующих и принятие руководством новых внутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ;
определять требования к мерам обеспечения ИБ организации БС РФ;
контролировать работников организации БС РФ в части выполнения ими требований внутренних документов, регламентирующих деятельность в области обеспечения ИБ, в первую очередь работников, имеющих максимальные полномочия по доступу к защищаемым информационным активам;
осуществлять мониторинг событий, связанных с обеспечением ИБ;
участвовать в расследовании событий, связанных с инцидентами ИБ, и в случае необходимости выходить с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД, например, нарушивших требования инструкций, руководств и т.п. по обеспечению ИБ организации БС РФ;
участвовать в действиях по восстановлению работоспособности АБС после сбоев и аварий;
осуществлять контроль обеспечения ИБ на стадиях ЖЦ АБС, в том числе при тестировании и вводе в эксплуатацию подсистем ИБ АБС организации БС РФ;
участвовать в создании, поддержании, эксплуатации и совершенствовании СОИБ организации БС РФ.

8.3. Требования к определению/коррекции области действия системы обеспечения информационной безопасности

8.3.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета структурированных по классам (типам) защищаемых информационных активов. Классификацию информационных активов рекомендуется проводить на основании оценок ценности информационных активов для интересов (целей) организации БС РФ, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов.

8.3.2. В организации БС РФ должны быть установлены критерии отнесения конкретных информационных активов к одному или нескольким типам информационных активов.

8.3.3. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета объектов среды для каждого информационного актива и (или) типа информационного актива, покрывающие все уровни информационной инфраструктуры организации БС РФ, определенной в разделе 6 настоящего стандарта.

8.3.4. В организации БС РФ должны быть определены роли по учету информационных активов, учету объектов среды и назначены ответственные за выполнение указанных ролей.

8.4. Требования к выбору/коррекции подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности

8.4.1. В организации БС РФ должна быть принята/корректироваться методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ.

8.4.2. В организации БС РФ должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.

8.4.3. Методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ организации БС РФ должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:

степени возможности реализации угроз ИБ выявленными и (или) предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз и нарушителя, в результате их воздействия на объекты среды информационных активов организации БС РФ (типов информационных активов);
степени тяжести последствий от потери свойств ИБ, в частности свойств доступности, целостности и конфиденциальности, для рассматриваемых информационных активов (типов информационных активов). Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения.

8.4.4. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ.

8.4.5. Полученные в результате оценивания рисков нарушения ИБ величины рисков должны быть соотнесены с уровнем допустимого риска, принятого в организации БС РФ. Результатом выполнения указанной процедуры является зафиксированный перечень недопустимых рисков нарушения ИБ.

8.4.6. В организации БС РФ должны быть определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.

8.4.7. В организации БС РФ должны быть определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.

8.5. Требования к разработке планов обработки рисков нарушения информационной безопасности

8.5.1. По каждому из рисков нарушения ИБ, который является недопустимым, должен быть определен план, устанавливающий один из возможных способов его обработки:

перенос риска на сторонние организации (например, путем страхования указанного риска);
уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска);
осознанное принятие риска;
формирование требований по обеспечению ИБ, снижающих риск нарушения ИБ до допустимого уровня, и формирование планов по их реализации.

8.5.2. Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в организации БС РФ за обеспечение ИБ, и утверждены руководством.

8.5.3. Планы реализаций требований по обеспечению ИБ должны содержать последовательность и сроки реализации и внедрения организационных, технических и иных мер защиты.

8.5.4. В организации БС РФ должны быть определены роли по разработке планов обработки рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.

8.6. Требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности

8.6.1. Разработку/коррекцию внутренних документов, регламентирующих деятельность в области обеспечения ИБ в организации БС РФ, рекомендуется проводить с учетом рекомендаций по стандартизации Банка России РС БР ИББС-2.0 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0”.

8.6.2. В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:

политика ИБ организации БС РФ;
частные политики ИБ организации БС РФ;
документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ организации БС РФ.

Кроме того, должен быть определен перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ в организации БС РФ.
Политика ИБ организации БС РФ должна быть утверждена руководством

8.6.3. В политике (в частных политиках) ИБ должны определяться/корректироваться:

цели и задачи обеспечения ИБ;
основные области обеспечения ИБ;
типы основных защищаемых информационных активов;
модели угроз и нарушителей;
совокупность правил, требований и руководящих принципов в области ИБ;
основные требования по обеспечению ИБ;
принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;
основные принципы повышения уровня осознания и осведомленности в области ИБ;
принципы реализации и контроля выполнения требований политики ИБ.

8.6.4. Разработка/корректировка внутренних документов, регламентирующих деятельность в области обеспечения ИБ, должна проводиться на основе:

законодательства РФ;
комплекса БР ИББС, в частности, требований разделов 7 и 8 настоящего стандарта;
нормативных актов и предписаний регулирующих и надзорных органов;
договорных требований организации БС РФ со сторонними организациями;
результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов или типов информационных активов.

8.6.5. Совокупность внутренних документов, регламентирующих деятельность в области обеспечения ИБ, должна содержать требования по обеспечению ИБ всех выявленных информационных активов или типов информационных активов, находящихся в области действия СОИБ организации БС РФ.

8.6.6. Документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, должны детализировать положения политики (частных политик) ИБ и не противоречить им.

8.6.7. В случае наличия в структурных подразделениях организации БС РФ работников, ответственных за обеспечение ИБ, в организации БС РФ должен быть утвержден руководством порядок взаимодействия (координирования работы) службы ИБ с указанными работниками.

8.6.8. В составе внутренних документов, регламентирующих деятельность в области обеспечения ИБ, необходимо определить:

перечень свидетельств выполнения деятельности;
ответственность работников организации БС РФ за выполнение этой деятельности.

8.6.9. Должны быть определены процедуры выделения и распределения ролей в области обеспечения ИБ.

8.6.10. Должен быть определен порядок разработки, поддержки, пересмотра и контроля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации БС РФ.

8.6.11. В организации БС РФ должны быть определены роли по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ, а также назначены ответственные за выполнение указанных ролей.

8.7. Требования к принятию руководством организации банковской системы Российской Федерации решений о реализации и эксплуатации системы обеспечения информационной безопасности

8.7.1. Решения о реализации и эксплуатации СОИБ должны утверждаться руководством организации БС РФ. В частности, в организации БС РФ требуется зафиксировать решения руководства:

об анализе и принятии остаточных рисков нарушения ИБ;
о планировании этапов внедрения СОИБ, в частности требований по обеспечению ИБ, изложенных в разделах 7 и 8 настоящего стандарта;
о распределении ролей в области обеспечения ИБ организации БС РФ;
о принятии со стороны руководства планов внедрения защитных мер, направленных на реализацию требований разделов 7 и 8 настоящего стандарта и снижение рисков ИБ;
о выделении ресурсов, необходимых для реализации и эксплуатации СОИБ.

8.7.2. Все планы внедрения СОИБ, в частности планы реализации требований разделов 7 и 8 настоящего стандарта, планы обработки рисков нарушения ИБ и внедрения защитных мер, должны быть утверждены руководством. Указанные планы должны определять:

последовательность выполнения мероприятий в рамках указанных планов;
сроки начала и окончания запланированных мероприятий;
должностных лиц (подразделения), ответственных за выполнение каждого указанного мероприятия.

8.7.3. Должен быть определен порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ организации БС РФ.

8.7.4. В организации БС РФ должны быть зафиксированы решения руководства, связанные с назначением и распределением ролей для всех структурных подразделений в соответствии с положениями внутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ.

8.8. Требования к организации реализации планов внедрения системы обеспечения информационной безопасности

8.8.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры проектирования/приобретения/развертывания, внедрения, эксплуатации, контроля и сопровождения эксплуатации защитных мер (СИБ), предусмотренных планами реализаций требований по обеспечению ИБ.

8.8.2. Для построения элементов СИБ применительно к конкретной области или сфере деятельности организации БС РФ должны быть реализованы конкретные защитные меры, применяемые к объектам среды в соответствии с существующими в организации БС РФ требованиями по обеспечению ИБ, сформулированными в политике ИБ и других внутренних документах организации БС РФ.

8.8.3. В организации БС РФ должны быть определены роли, связанные с реализацией планов обработки рисков нарушения ИБ и с реализацией требуемых защитных мер, и назначены ответственные за выполнение указанных ролей.

8.9. Требования к разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности

8.9.1. Должна быть организована санкционированная руководством организации БС РФ работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ.

8.9.2. Должны быть разработаны планы, программы обучения и повышения осведомленности в области ИБ. По результатам выполнения указанных планов должна осуществляться проверка полученных знаний.

8.9.3. В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности.

8.9.4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию:

по существующим политикам ИБ;
по применяемым в организации БС РФ защитным мерам;
по правильному использованию защитных мер в соответствии с внутренними документами организации БС РФ;
о значимости и важности деятельности работников для обеспечения ИБ организации БС РФ.

8.9.5. В организации БС РФ должен быть определен перечень свидетельств выполнения программ обучения и повышения осведомленности в области ИБ. В частности, такими свидетельствами могут являться:

документы (журналы), подтверждающие прохождение руководителями и работниками организации БС РФ обучения в области ИБ с указанием уровня образования, навыков, опыта и квалификации обучаемых;
документы, содержащие результаты проверок обучения работников организации БС РФ;
документы, содержащие результаты проверок осведомленности в области ИБ в организации БС РФ.

8.9.6. Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области ИБ, соответствующее полученной роли.

8.9.7. В организации БС РФ должны быть определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей.

8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности

8.10.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обработки инцидентов, включающие:

процедуры обнаружения инцидентов ИБ;
процедуры информирования об инцидентах, в том числе информирования службы ИБ;
процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;
— процедуры реагирования на инцидент;
— процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ).

8.10.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры хранения и распространения информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ.

8.10.3. Должны быть определены, выполняться, регистрироваться и контролироваться действия работников организации БС РФ при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях. Работники организации должны быть осведомлены об указанных порядках

8.10.4. Процедуры расследования инцидентов ИБ должны учитывать законодательство РФ, положения нормативных актов Банка России, а также внутренних документов организации БС РФ в области ИБ.

8.10.5. В организациях БС РФ должны приниматься, фиксироваться и выполняться решения по всем выявленным инцидентам ИБ.

8.10.6. В организации БС РФ должны быть определены роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ и назначены ответственные за выполнение указанных ролей.

8.11. Требования к организации обеспечения непрерывности бизнеса и его восстановления после прерываний

8.11.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета информационных активов или типов информационных активов, существенных для обеспечения непрерывности бизнеса организации БС РФ.

8.11.2. В организации БС РФ должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи.

8.11.3. Должен быть определен план обеспечения непрерывности бизнеса и его восстановления после возможного прерывания. План должен содержать инструкции и порядок действий работников организации БС РФ по восстановлению бизнеса. В частности, в состав плана должны быть включены:

условия активации плана;
действия, которые должны быть предприняты после инцидента ИБ;
процедуры восстановления;
процедуры тестирования и проверки плана;
план обучения и повышения осведомленности работников организации БС РФ;
обязанности работников организации с указанием ответственных за выполнение каждого из положений плана.

8.11.4. Разработка планов обеспечения непрерывности бизнеса и его восстановления после прерывания должна основываться на результатах оценки рисков нарушения ИБ организации БС РФ применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания.

8.11.5. В организации БС РФ должны применяться защитные меры обеспечения непрерывности бизнеса применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания.
Применение защитных мер обеспечения непрерывности бизнеса и его восстановления после прерывания должно основываться на соответствующих требованиях по обеспечению ИБ.

8.11.6. План обеспечения непрерывности бизнеса и его восстановления после прерывания должен быть согласован с существующими в организации процедурами обработки инцидентов ИБ.

8.11.7. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры периодического тестирования плана обеспечения непрерывности бизнеса и его восстановления после прерывания. По результатам тестирования при необходимости проводится соответствующая корректировка плана. Сценарий тестирования должен быть составлен с учетом существующей в организации БС РФ модели угроз и нарушителей, а также результатов оценки рисков

8.11.8. В организации БС РФ должна быть реализована программа обучения и повышения осведомленности работников в области обеспечения непрерывности бизнеса и его восстановления после прерываний.

8.11.9. В организации БС РФ должны быть определены роли по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания и назначены ответственные за выполнение указанных ролей.

8.12. Требования к мониторингу информационной безопасности и контролю защитных мер

8.12.1. Должны быть определены, выполняться и регистрироваться процедуры мониторинга ИБ и контроля защитных мер, включая контроль параметров конфигурации и настроек средств и механизмов защиты. Выполнение указанных процедур должно организовываться службой ИБ, охватывать все реализованные и эксплуатируемые защитные меры, входящие в СИБ.

8.12.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры сбора и хранения информации о действиях работников организации БС РФ, событиях и параметрах, имеющих отношение к функционированию защитных мер.

8.12.3. Информация обо всех инцидентах, выявленных в процессе мониторинга ИБ и контроля защитных мер, должна быть учтена в рамках выполнения процедур хранения информации об инцидентах ИБ.

8.12.4. Процедуры мониторинга ИБ и контроля защитных мер должны подвергаться регулярным, регистрируемым пересмотрам в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также на основе данных об инцидентах ИБ.

8.12.5. В организации БС РФ должны быть определены роли, связанные с выполнением процедур мониторинга ИБ и контроля защитных мер, а также пересмотром указанных процедур, и назначены ответственные за выполнение указанных ролей.

8.13. Требования к проведению самооценки информационной безопасности

8.13.1. Самооценка ИБ проводится собственными силами и по инициативе руководства организации БС РФ.
8.13.2. Самооценка ИБ должна проводиться в соответствии со стандартом Банка России СТО БР ИББС-1.2 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0”. Порядок проведения самооценки ИБ рекомендуется организовывать в соответствии с рекомендациями по стандартизации Банка России РС БР ИББС-2.1 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0”

8.13.3. Должна быть установлена и реализована программа самооценок ИБ, содержащая информацию, необходимую для планирования и организации самооценок ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных самооценок ИБ в заданные сроки.

Связанные защитные меры

	Название	Дата	Влияние
Community 40 / 144	Управление рисками информационной безопасности Ежеквартально Вручную Организационная Детективная 08.05.2022	08.05.2022	40 / 144
Community 11 / 58	Проведение обучающих мероприятий по информационной безопасности Разово Организационная 08.05.2022	08.05.2022	11 / 58
Community 27 / 87	Ведение реестра информационных активов По событию Вручную Организационная 16.03.2022	16.03.2022	27 / 87