СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ. Распоряжение. Центральный банк РФ (ЦБР). 26.01.06 Р-27

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа

9.1. Планирование СМИБ

     Для  успешного  функционирования  СМИБ  организации БС РФ следует
реализовать следующие процессы:
     а)  определение/уточнение области действия СМИБ и выбор подхода к
оценке  рисков  ИБ. Определение/уточнение области действия СМИБ должно
осуществляться  на  основе  результатов  оценки операционных рисков, а
также  оценки репутационных и правовых рисков деятельности организации
БС РФ;
     б)  анализ  и  оценка рисков ИБ, варианты обработки рисков ИБ для
наиболее   критичных   информационных   активов   и   бизнес-процессов
организации.  При  анализе  и  оценке  рисков ИБ должны использоваться
положения раздела 7 настоящего стандарта;
     в) определение/уточнение политики для СМИБ организации;
     г)  выбор/уточнение  целей ИБ и защитных мер и их обоснование для
минимизации  рисков  ИБ. Цели ИБ и защитные меры могут быть выбраны на
основе раздела 8 настоящего стандарта, а дополнительно на основе:
     1)  международного  стандарта ISO/IEC IS 27001-2005 или положений
международного   стандарта   ISO/IEC  IS  17799-2005,  обеспечивающего
большую детализацию;
     2) стандартов ISO TR 13569, COBIT, BSI PAS 56 и других руководств
по обеспечению информационной безопасности;
     3)  ГОСТ  Р ИСО/МЭК 15408-1ч3-2002 в части требований к продуктам
информационных технологий;
     4)  стандартов  ISO/IEC  TR  18028,  ISO/IEC TR 18043, ISO/IEC TR
18044 и других стандартов для отдельных областей обеспечения ИБ.
     Обоснование  по обработке рисков с учетом применения защитных мер
должно  быть  подготовлено  в  виде отдельного документа (аналогичного
документу   "Statement   of   applicability"  по  ISO/IEC  IS  27001),
являющегося основой для разработки плана обработки рисков ИБ;
     д)  принятие  менеджментом  организации БС РФ остаточных рисков и
решения о реализации и эксплуатации/совершенствовании СМИБ. Остаточные
риски  ИБ  должны  быть соотнесены с рисками банковской деятельности и
оценено их влияние на достижение целей деятельности организации БС РФ.

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа