Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
8.4. Требования к выбору / коррекции подхода к
оценке рисков нарушения информационной безопасности и
проведению оценки рисков нарушения информационной
безопасности
8.4.1. В организации БС РФ должна быть принята/корректироваться
методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения
ИБ.
8.4.2. В организации БС РФ должны быть определены критерии
принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.
8.4.3. Методика оценки рисков нарушения ИБ/подход к оценке рисков
нарушения ИБ организации БС РФ должна определять способ и порядок
качественного или количественного оценивания риска нарушения ИБ на
основании оценивания:
- степени возможности реализации угроз ИБ выявленными и (или)
предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз
и нарушителя, в результате их воздействия на объекты среды
информационных активов организации БС РФ (типов информационных
активов);
- степени тяжести последствий от потери свойств ИБ, в частности,
свойств доступности, целостности и конфиденциальности, для
рассматриваемых информационных активов (типов информационных активов).
Порядок оценки рисков нарушения ИБ должен определять необходимые
процедуры оценки рисков нарушения ИБ, а также последовательность их
выполнения.
8.4.4. Оценка рисков нарушения ИБ проводится для свойств ИБ всех
информационных активов (типов информационных активов) области действия
СОИБ.
8.4.5. В организации БС РФ рекомендуется создать и поддерживать в
актуальном состоянии единый информационный ресурс (базу данных),
содержащий информацию об инцидентах ИБ.
8.4.6. Полученные в результате оценивания рисков нарушения ИБ
величины рисков должны быть соотнесены с уровнем допустимого риска,
принятого в организации БС РФ. Результатом выполнения указанной
процедуры является документально оформленный перечень недопустимых
рисков нарушения ИБ.
8.4.7. В организации БС РФ должны быть документально определены
роли, связанные с деятельностью по определению/коррекции методики
оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ, и
назначены ответственные за выполнение указанных ролей.
8.4.8. В организации БС РФ должны быть документально определены
роли по оценке рисков нарушения ИБ и назначены ответственные за
выполнение указанных ролей.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".