Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
10. Проверка и оценка информационной
безопасности организации БС РФ
10.1. Проверка и оценка ИБ организации может быть произведена с
помощью аудита, самооценки и мониторинга ИБ.
10.2. Аудит ИБ организации БС РФ может быть внутренним или
внешним (см. п. 7.3.4). Цель, порядок и периодичность проведения
аудитов ИБ организации в целом (или ее отдельных структурных
подразделений) или АБС определяется руководством организации на основе
потребностей в такой деятельности и фиксируется в программе аудита ИБ.
10.3. Цель аудита ИБ организации состоит в проверке и оценке
соответствия ИБ требованиям настоящего стандарта. Заключение по
результатам проведения аудита ИБ организации должно показывать:
- текущий уровень ИБ организации;
- уровень зрелости процессов менеджмента ИБ организации;
- уровень осознания ИБ организации.
10.4. При проведении аудита ИБ организации должны использоваться
стандартные процедуры документальной проверки, опрос и интервью с
руководством и персоналом организации. При необходимости уточнения
результатов документальной проверки, опросов и интервью в рамках
внутреннего аудита ИБ в качестве дополнительного способа может
применяться "проверка на месте", которая проводится для обеспечения
уверенности в том, что конкретные защитные меры реализуются, правильно
используются и проверяются с помощью тестирования. Обстоятельства, при
которых требуется дополнительный способ в рамках внутреннего аудита
ИБ, должны быть определены и согласованы в плане проведения аудита ИБ
в организации.
10.5. При проведении внутреннего аудита ИБ могут использоваться
журналы регистрации инцидентов ИБ, ведущиеся службами безопасности
организации и формируемые на основе данных мониторинга ИБ.
10.6. При проведении внешнего аудита ИБ руководство организации
должно обеспечить документальное и, если это необходимо, техническое
подтверждение того, что:
- политика ИБ отражает требования бизнеса и цели организации;
- организационная структура управления ИБ создана;
- процессы выполнения требований ИБ исполняются и удовлетворяют
поставленным целям;
- защитные меры (например, межсетевые экраны, средства управления
физическим доступом) настроены и используются правильно;
- остаточные риски оценены и остаются приемлемыми для
организации;
- система управления ИБ соответствует определенному уровню
зрелости управления ИБ;
- рекомендации предшествующих аудитов ИБ реализованы.
10.7. Аудиторский отчет должен храниться в организации в течение
установленного времени. Доступ к аудиторскому отчету должен быть
разрешен только руководству организации и руководителям подразделения
(лицам), ответственным за ИБ в организации.
10.8. Хорошей практикой подготовки к аудиту ИБ и проверки уровня
ИБ организации БС РФ является проведение самооценки ИБ. Самооценка ИБ
проводится собственными силами и по инициативе руководства
организации. При проведении самооценки ИБ должны использоваться
журналы регистрации инцидентов ИБ, ведущиеся службами безопасности
организации и формируемые на основе данных мониторинга ИБ, проверяться
эффективность реализованных защитных мер путем тестовых проверок
(могут быть проверки на проникновение).
10.9. Мониторинг ИБ должен проводиться персоналом организации,
ответственным за ИБ, с целью обнаружения и регистрации отклонений
функционирования защитных мер от требований ИБ и оценки полноты
реализации положений политики ИБ, инструкций и руководств обеспечения
ИБ в организации.
Основными целями мониторинга ИБ в организации являются
оперативное и постоянное наблюдение, сбор, анализ и обработка данных
под заданные руководством цели. Такими целями анализа могут быть:
- контроль за реализацией положений нормативных актов по
обеспечению ИБ в организации;
- выявление нештатных (или злоумышленных) действий в АБС
организации;
- выявление инцидентов ИБ.
Для целей оперативного и постоянного наблюдения объектов
мониторинга могут использоваться как специализированные (например,
программные) средства, так и штатные (входящие в коммерческие продукты
и системы) средства регистрации действий пользователей, процессов и
т.п.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".