Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
8.15. Требования к анализу функционирования
системы обеспечения информационной безопасности
8.15.1. В организации БС РФ должен проводиться анализ
функционирования СОИБ, использующий в том числе:
- результаты мониторинга СОИБ и контроля защитных мер;
- сведения об инцидентах ИБ;
- результаты проведения аудитов ИБ, самооценок ИБ;
- данные об угрозах, возможных нарушителях и уязвимостях ИБ;
- данные об изменениях внутри организации БС РФ, например, данные
об изменениях в процессах и технологиях, реализуемых в рамках
основного процессного потока, изменениях во внутренних документах
организации БС РФ;
- данные об изменениях вне организации БС РФ, например, данные об
изменениях в законодательстве Российской Федерации, изменениях в
требованиях комплекса БР ИББС, изменениях в договорных обязательствах
организации.
8.15.2. Анализ функционирования СОИБ должен включать в том числе:
- анализ соответствия комплекса внутренних документов,
регламентирующих деятельность по обеспечению ИБ в организации БС РФ,
требованиям законодательства Российской Федерации, требованиям
стандартов Банка России, в частности, требованиям настоящего
стандарта, контрактным требованиям организации;
- анализ соответствия внутренних документов нижних уровней
иерархии, регламентирующих деятельность по обеспечению ИБ в
организации БС РФ, требованиям политик ИБ организации БС РФ;
- оценку адекватности модели угроз организации БС РФ существующим
угрозам ИБ;
- оценку рисков в области ИБ организации, включая оценку уровня
остаточного и допустимого риска;
- проверку адекватности используемых защитных мер требованиям
внутренних документов организации БС РФ и результатам оценки рисков;
- анализ отсутствия разрывов в технологических процессах
обеспечения ИБ, а также несогласованности в использовании защитных
мер.
8.15.3. Результаты анализа функционирования СОИБ должны
документироваться.
8.15.4. В организации БС РФ должны быть документально определены
роли, связанные с процедурами анализа функционирования СОИБ, и
назначены ответственные за выполнение указанных ролей.
|
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".