8.13.5. По результатам проведения самооценок ИБ должны быть подготовлены отчеты. Результаты самооценок ИБ, а также соответствующие отчеты должны быть доведены до руководства организации БС РФ.
8.13.6. В организации БС РФ должны быть документально определены роли, связанные с выполнением программы самооценок ИБ и назначены ответственные за выполнение указанных ролей.
8.14. Требования к проведению аудита информационной безопасности
8.14.1. Аудит ИБ организации БС РФ должен проводиться в соответствии с требованиями стандартов Банка России СТО БР ИББС– 1.1 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности» и СТО БР ИББС–1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС–1.0».
8.14.2. Должна быть документально определена и реализовываться программа аудитов ИБ, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки.
8.14.3. Для каждого проводимого в организации БС РФ аудита ИБ необходимо документально оформить план аудита, определяющий:
– цель аудита ИБ;
– критерии аудита ИБ;
– область аудита ИБ;
– дату и продолжительность проведения аудита ИБ;
– состав аудиторской группы;
– описание деятельности и мероприятий по проведению аудита;
– распределение ресурсов при проведении аудита.
8.14.4. В организации БС РФ должны быть оформлены договора с аудиторскими организациями, а также документально определены:
– порядок хранения, доступа и использования материалов, получаемых в процессе проведения аудита ИБ;
– порядок взаимодействия с аудиторской организацией в процессе проведения аудита ИБ;
– порядок взаимодействия аудиторской группы и руководства, позволяющий представителям аудиторской группы при необходимости непосредственно обращаться к руководству;
– порядок организации опроса работников;
– порядок организации наблюдения за деятельностью работников организации БС РФ со стороны представителей аудиторской организации.
8.14.5. По результатам проведения аудита должны быть подготовлены отчеты. Результаты аудитов, а также соответствующие отчеты должны быть доведены до руководства.
8.14.6. Должен быть документально определен порядок хранения, доступа и использования материалов, получаемых в процессе проведения аудитов, в частности отчетов аудитов.
8.14.7. В организации БС РФ должны быть документально определены роли, связанные с организацией выполнения программ аудитов и планов отдельных аудитов, и назначены ответственные за выполнение указанных ролей.
8.15. Требования к анализу функционирования системы обеспечения информационной безопасности
8.15.1. В организации БС РФ должен проводиться анализ функционирования СОИБ, использующий, в том числе:
- результаты мониторинга СОИБ и контроля защитных мер;
- сведения об инцидентах ИБ;
- результаты проведения аудитов ИБ, самооценок ИБ;
- данные об угрозах, возможных нарушителях и уязвимостях ИБ;
- данные об изменениях внутри организации БС РФ, например, данные об изменениях в процессах и технологиях, реализуемых в рамках основного процессного потока, изменениях во внутренних документах организации БС РФ;
- данные об изменениях вне организации БС РФ, например, данные об изменениях в законодательстве Российской Федерации, изменениях в требованиях комплекса БР ИББС, изменениях в договорных обязательствах организации.
8.15.2. Анализ функционирования СОИБ должен включать, в том числе:
- анализ соответствия комплекса внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации БС РФ, требованиям законодательства Российской Федерации, требованиям стандартов Банка России, в частности требованиям настоящего стандарта, контрактным требованиям организации;
- анализ соответствия внутренних документов нижних уровней иерархии, регламентирующих деятельность по обеспечению ИБ в организации БС РФ, требованиям политик ИБ организации БС РФ;
- оценку адекватности модели угроз организации БС РФ существующим угрозам ИБ;
- оценку рисков в области ИБ организации, включая оценку уровня остаточного и допустимого риска;
- проверку адекватности используемых защитных мер требованиям внутренних документов организации БС РФ и результатам оценки рисков;
- анализ отсутствия разрывов в технологических процессах обеспечения ИБ, а также несогласованности в использовании защитных мер.
8.15.3. Результаты анализа функционирования СОИБ должны документироваться.
8.15.4. В организации БС РФ должны быть документально определены роли, связанные с процедурами анализа функционирования СОИБ, и назначены ответственные за выполнение указанных ролей.
8.16.1. В организации БС РФ должен быть утвержден перечень документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ. В частности, в указанный перечень документов должны входить:
- отчеты с результатами мониторинга СОИБ и контроля защитных мер;
- отчеты с результатами анализа функционирования СОИБ;
- отчеты с результатами аудитов ИБ;
- отчеты с результатами самооценок ИБ;
- документы, содержащие информацию о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СОИБ;
- документы, содержащие информацию о новых, выявленных уязвимостях и угрозах ИБ;
- документы, содержащие информацию о действиях, предпринятых по итогам предыдущих анализов СОИБ, осуществленных руководством;
- документы, содержащие информацию об изменениях, которые могли бы повлиять на организацию СОИБ, например, изменения в законодательстве Российской Федерации и(или) в положениях стандартов Банка России;
- документы, содержащие информацию по выявленным инцидентам ИБ;
- документы, подтверждающие выполнение требуемой деятельности по обеспечению ИБ, например выполнения планов обработки рисков;
- документы, подтверждающие выполнение требований непрерывности бизнеса и его восстановления после прерывания.
8.16.2. В организации БС РФ должен быть определен и утвержден руководством план выполнения деятельности по контролю и анализу СОИБ. В частности, указанный план должен содержать положения по проведению совещаний на уровне руководства, на которых, в том числе, производится поиск и анализ проблем ИБ, влияющих на бизнес организации БС РФ.
8.16.3. В организации БС РФ должны быть документально определены роли, связанные с подготовкой информации, необходимой для анализа СОИБ руководством, и назначены ответственные за выполнение указанных ролей.
8.17. Требования к принятию решений по тактическим[12] улучшениям системы обеспечения информационной безопасности
8.17.1. Для принятия решений, связанных с тактическими улучшениями СОИБ, необходимо рассмотреть, среди прочего, документально оформленные результаты:
– аудитов ИБ;
– самооценок ИБ;
– мониторинга СОИБ и контроля защитных мер;
– анализа функционирования СОИБ;
– обработки инцидентов ИБ;
– выявления новых угроз и уязвимостей ИБ;
– оценки рисков;
– анализа перечня защитных мер, возможных для применения;
– стратегических улучшений СОИБ;
– анализа СОИБ со стороны руководства;
– анализа успешных практик в области ИБ (собственных или других организаций).
8.17.2.Решения по тактическим улучшениям СОИБ должны быть документально зафиксированы и содержать либо выводы об отсутствии необходимости тактических улучшений СОИБ, либо должны быть указаны направления тактических улучшений СОИБ в виде корректирующих или превентивных действий, например:
– пересмотр процедур выполнения отдельных видов деятельности по обеспечению ИБ;
– пересмотр процедур эксплуатации отдельных видов защитных мер;
– пересмотр процедур обнаружения и обработки инцидентов;
– уточнение описи информационных активов;
– пересмотр программы обучения и повышения осведомленности персонала;
– пересмотр плана обеспечения непрерывности бизнеса и его восстановления после прерывания;
– пересмотр планов обработки рисков;
– вынесение санкций в отношении персонала;
– пересмотр процедур мониторинга СОИБ и контроля защитных мер;
– пересмотр программ аудитов;
– корректировка соответствующих внутренних документов, регламентирующих процедуры выполнения деятельности по обеспечению ИБ и эксплуатации защитных мер;
– ввод новых или замена используемых защитных мер.
8.17.3. Вся деятельность по реализации тактических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализации тактических улучшений СОИБ и документы, в которых фиксируются результаты выполнения указанных планов.
8.17.4. Деятельность, связанная с реализацией тактических улучшений СОИБ должна быть санкционирована и контролироваться руководством службы ИБ организации БС РФ.
8.17.5. Должны быть документально определены и выполняться процедуры согласования и информирования заинтересованных сторон о тактических улучшениях СОИБ, в частности, об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ, а также должны быть документально зафиксированы результаты выполнения указанных процедур