Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
8.6. Требования к разработке / коррекции внутренних
документов, регламентирующих деятельность в области
обеспечения информационной безопасности
8.6.1. Разработку / коррекцию внутренних документов,
регламентирующих деятельность в области обеспечения ИБ в организации
БС РФ, рекомендуется проводить с учетом рекомендаций по стандартизации
Банка России РС БР ИББС-2.0 "Обеспечение информационной безопасности
организаций банковской системы Российской Федерации. Методические
рекомендации по документации в области обеспечения информационной
безопасности в соответствии с требованиями СТО БР ИББС-1.0".
8.6.2. В организации БС РФ должны разрабатываться /
корректироваться следующие внутренние документы:
- политика ИБ организации БС РФ;
- частные политики ИБ организации БС РФ;
- документы, регламентирующие процедуры выполнения отдельных
видов деятельности, связанных с обеспечением ИБ организации БС РФ.
Кроме того, должны быть определены перечень и формы документов,
являющихся свидетельством выполнения деятельности по обеспечению ИБ в
организации БС РФ.
Политика ИБ организации БС РФ должна быть утверждена
руководством.
8.6.3. В политике (в частных политиках) ИБ должны
определяться/корректироваться:
- цели и задачи обеспечения ИБ;
- основные области обеспечения ИБ;
- типы основных защищаемых информационных активов;
- модели угроз и нарушителей;
- совокупность правил, требований и руководящих принципов в
области ИБ;
- основные требования по обеспечению ИБ;
- принципы противодействия угрозам ИБ по отношению к типам
основных защищаемых информационных активов;
- основные принципы повышения уровня осознания и осведомленности
в области ИБ;
- принципы реализации и контроля выполнения требований политики
ИБ.
8.6.4. Разработка / корректировка внутренних документов,
регламентирующих деятельность в области обеспечения ИБ, должна
проводиться на основе:
- законодательства Российской Федерации;
- комплекса БР ИББС, в частности, требований 7-го и 8-го разделов
настоящего стандарта;
- нормативных актов и предписаний регулирующих и надзорных
органов;
- договорных требований организации БС РФ со сторонними
организациями;
- результатов оценки рисков, выполненной с соответствующей уровню
разрабатываемого документа детализацией рассматриваемых информационных
активов (типов информационных активов).
8.6.5. Совокупность внутренних документов, регламентирующих
деятельность в области обеспечения ИБ, должна содержать требования по
обеспечению ИБ всех выявленных информационных активов (типов
информационных активов), находящихся в области действия СОИБ
организации БС РФ.
8.6.6. Документы, регламентирующие процедуры выполнения отдельных
видов деятельности, связанных с обеспечением ИБ, должны детализировать
положения политики (частных политик) ИБ и не противоречить им.
8.6.7. В случае наличия в структурных подразделениях организации
БС РФ работников, ответственных за обеспечение ИБ, в организации БС РФ
должен быть утвержден руководством порядок взаимодействия
(координирования работы) службы ИБ с указанными работниками.
8.6.8. В составе внутренних документов, регламентирующих
деятельность в области обеспечения ИБ, необходимо определить:
- перечень свидетельств выполнения деятельности;
- ответственность работников организации БС РФ за выполнение этой
деятельности.
8.6.9. Должны быть документально определены процедуры выделения и
распределения ролей в области обеспечения ИБ.
8.6.10. Должен быть документально определен порядок разработки,
поддержки, пересмотра и контроля исполнения внутренних документов,
регламентирующих деятельность по обеспечению ИБ в организации БС РФ.
8.6.11. В организации БС РФ должны быть документально определены
роли по разработке, поддержке, пересмотру и контролю исполнения
внутренних документов, регламентирующих деятельность по обеспечению
ИБ, а также назначены ответственные за выполнение указанных ролей.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".