Документ утратил силу или отменен. Подробнее см. Справку
"Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2010" (принят и введен в действие Распоряжением Банка России от 21.06.2010 N Р-705)

8.18. Требования к принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности

8.18. Требования к принятию решений по стратегическим <*> улучшениям системы обеспечения информационной безопасности

--------------------------------

<*> К стратегическим улучшениям СОИБ следует относить корректирующие или превентивные действия, связанные с пересмотром политики ИБ и частных политик ИБ организации БС РФ, с последующим выполнением соответствующих тактических улучшений СОИБ. Стратегические улучшения СОИБ всегда требуют выполнения деятельности в рамках этапа "планирование" СМИБ.

8.18.1. Для принятия решений, связанных со стратегическими улучшениями СОИБ, необходимо рассмотреть среди прочего документально оформленные результаты:

- аудитов ИБ;

- самооценок ИБ;

- мониторинга СОИБ и контроля защитных мер;

- анализа функционирования СОИБ;

- обработки инцидентов ИБ;

- выявления новых информационных активов организации БС РФ или их типов;

- выявления новых угроз и уязвимостей ИБ;

- оценки рисков;

- пересмотра основных рисков ИБ;

- анализа СОИБ со стороны руководства;

- анализа успешных практик в области ИБ (собственных или других организаций);

а также изменения:

- в законодательстве Российской Федерации;

- в нормативных актах Банка России, в частности, требованиях настоящего стандарта;

- интересов, целей и задач бизнеса организации БС РФ;

- контрактных обязательств организации БС РФ.

8.18.2. Решения по стратегическим улучшениям СОИБ должны быть документально зафиксированы и содержать либо выводы об отсутствии необходимости стратегических улучшений СОИБ, либо указывать направления стратегических улучшений СОИБ в виде корректирующих или превентивных действий, например:

- уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамках политики ИБ или частных политик ИБ организации БС РФ;

- изменение в области действия СОИБ;

- уточнение описи типов информационных активов;

- пересмотр моделей угроз и нарушителей;

- изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ.

8.18.3. Вся деятельность по реализации стратегических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализации стратегических улучшений СОИБ, и документы, в которых фиксируются результаты выполнения указанных планов.

8.18.4. Деятельность, связанная с реализацией стратегических улучшений СОИБ, должна быть санкционирована и контролироваться руководством организации БС РФ.

8.18.5. В случае стратегических улучшений СОИБ должна быть выполнена деятельность по реализации соответствующих тактических улучшений СОИБ для всех необходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов. В частности, необходимо выполнить:

- выработку планов тактических улучшений СОИБ;

- уточнение планов обработки рисков;

- уточнение программы внедрения защитных мер;

- уточнение процедур использования защитных мер.

8.18.6. Должны быть документально определены и выполняться процедуры согласования и информирования заинтересованных сторон о стратегических улучшениях СОИБ, в частности, об изменениях, относящихся к обеспечению ИБ, к ответственности в области ИБ, к требованиям по обеспечению ИБ, а также должны быть документально зафиксированы результаты выполнения указанных процедур.

8.18.7. В случаях принятия решений по стратегическим улучшениям СОИБ должны быть назначены ответственные за их реализацию.

8.17. Требования к принятию решений по тактическим улучшениям системы обеспечения информационной безопасности 9. Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации