Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
6.2. Специальные принципы обеспечения
информационной безопасности организации
Реализация специальных принципов обеспечения ИБ направлена на
повышение уровня зрелости процессов управления ИБ в организации.
6.2.1. Определенность целей. Функциональные цели и цели ИБ
организации должны быть явно определены во внутрибанковском документе.
Неопределенность приводит к "расплывчатости" организационной
структуры, ролей персонала, политик ИБ и невозможности оценки
адекватности принятых защитных мер.
6.2.2. Знание своих клиентов и служащих. Организация должна
обладать информацией о своих клиентах, тщательно подбирать персонал
(служащих), вырабатывать и поддерживать корпоративную этику, что
создает благоприятную доверительную среду для деятельности организации
по управлению активами.
6.2.3. Персонификация и адекватное разделение ролей и
ответственности. Ответственность должностных лиц организации за
решения, связанные с ее активами, должна персонифицироваться и
осуществляться преимущественно в форме поручительства. Она должна быть
адекватной степени влияния на цели организации, фиксироваться в
политиках, контролироваться и совершенствоваться.
6.2.4. Адекватность ролей функциям и процедурам и их
сопоставимость с критериями и системой оценки. Роли должны адекватно
отражать исполняемые функции и процедуры их реализации, принятые в
организации. При назначении взаимосвязанных ролей должна учитываться
необходимая последовательность их выполнения. Роль должна быть
согласована с критериями оценки эффективности ее выполнения. Основное
содержание и качество исполняемой роли реально определяются
применяемой к ней системой оценки.
6.2.5. Доступность услуг и сервисов. Организация должна
обеспечить доступность для своих клиентов и контрагентов услуг и
сервисов в установленные сроки, определенные соответствующими
договорами (соглашениями) и/или иными документами.
6.2.6. Наблюдаемость и оцениваемость обеспечения ИБ. Любые
предлагаемые защитные меры должны быть устроены так, чтобы результат
их применения был явно наблюдаем (прозрачен) и мог быть оценен
подразделением организации, имеющим соответствующие полномочия.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".