Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
8.11. Требования к организации обеспечения
непрерывности бизнеса и его восстановления после
прерываний
8.11.1. В описи защищаемых информационных активов должны быть
выделены информационные активы, существенные для обеспечения
непрерывности бизнеса организации БС РФ.
8.11.2. В организации БС РФ должны быть документально определены
требования по обеспечению ИБ, регламентирующие вопросы обеспечения
непрерывности бизнеса и его восстановления после прерывания.
8.11.3. Должен быть документально определен план обеспечения
непрерывности бизнеса и его восстановления после возможного
прерывания. План должен содержать инструкции и порядок действий
работников организации БС РФ по восстановлению бизнеса. В частности, в
состав плана должны быть включены:
- условия активизации плана;
- действия, которые должны быть предприняты после инцидента ИБ;
- процедуры восстановления;
- процедуры тестирования и проверки плана;
- план обучения и повышения осведомленности работников
организации БС РФ;
- обязанности работников организации с указанием ответственных за
выполнение каждого из положений плана.
8.11.4. Разработка планов обеспечения непрерывности бизнеса и его
восстановления после прерывания должна основываться на документально
оформленных результатах оценки рисков нарушения ИБ организации БС РФ
применительно к информационным активам, существенным для обеспечения
непрерывности бизнеса и его восстановления после прерывания.
8.11.5. В организации БС РФ должны быть документально определены,
реализованы и использоваться защитные меры обеспечения непрерывности
бизнеса применительно к информационным активам, существенным для
обеспечения непрерывности бизнеса и его восстановления после
прерывания.
Реализация и использование защитных мер обеспечения непрерывности
бизнеса и его восстановления после прерывания должна основываться на
соответствующих требованиях по обеспечению ИБ.
8.11.6. План обеспечения непрерывности бизнеса и его
восстановления после прерывания должен быть согласован с существующими
в организации процедурами обработки инцидентов ИБ.
8.11.7. Должно быть документально определено и выполняться
периодическое тестирование плана обеспечения непрерывности бизнеса и
его восстановления после прерывания. По результатам тестирования при
необходимости проводится соответствующая корректировка плана. Сценарий
тестирования должен быть составлен с учетом существующей в организации
БС РФ модели угроз и нарушителей, а также результатов оценки рисков.
8.11.8. В организации БС РФ должна быть реализована программа
обучения и повышения осведомленности работников в области обеспечения
непрерывности бизнеса и его восстановления после прерываний.
8.11.9. Должны быть документально определены и выполняться
процедуры регулярного пересмотра и обновления плана обеспечения
непрерывности бизнеса и его восстановления после прерывания для
обеспечения уверенности в их эффективности. Процедуры пересмотра и
обновления плана должны учитывать изменения в приоритетах, целях и
интересах бизнеса организации БС РФ; пересмотр моделей угроз; оценку
рисков нарушения ИБ.
8.11.10. В организации БС РФ должны быть документально определены
роли по разработке плана обеспечения непрерывности бизнеса и его
восстановления после прерывания и назначены ответственные за
выполнение указанных ролей.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".