Документ утратил силу или отменен. Подробнее см. Справку
"Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2010" (принят и введен в действие Распоряжением Банка России от 21.06.2010 N Р-705)

8.15. Требования к анализу функционирования системы обеспечения информационной безопасности

8.15.1. В организации БС РФ должен проводиться анализ функционирования СОИБ, использующий в том числе:

- результаты мониторинга СОИБ и контроля защитных мер;

- сведения об инцидентах ИБ;

- результаты проведения аудитов ИБ, самооценок ИБ;

- данные об угрозах, возможных нарушителях и уязвимостях ИБ;

- данные об изменениях внутри организации БС РФ, например, данные об изменениях в процессах и технологиях, реализуемых в рамках основного процессного потока, изменениях во внутренних документах организации БС РФ;

- данные об изменениях вне организации БС РФ, например, данные об изменениях в законодательстве Российской Федерации, изменениях в требованиях комплекса БР ИББС, изменениях в договорных обязательствах организации.

8.15.2. Анализ функционирования СОИБ должен включать в том числе:

- анализ соответствия комплекса внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации БС РФ, требованиям законодательства Российской Федерации, требованиям стандартов Банка России, в частности, требованиям настоящего стандарта, контрактным требованиям организации;

- анализ соответствия внутренних документов нижних уровней иерархии, регламентирующих деятельность по обеспечению ИБ в организации БС РФ, требованиям политик ИБ организации БС РФ;

- оценку адекватности модели угроз организации БС РФ существующим угрозам ИБ;

- оценку рисков в области ИБ организации, включая оценку уровня остаточного и допустимого риска;

- проверку адекватности используемых защитных мер требованиям внутренних документов организации БС РФ и результатам оценки рисков;

- анализ отсутствия разрывов в технологических процессах обеспечения ИБ, а также несогласованности в использовании защитных мер.

8.15.3. Результаты анализа функционирования СОИБ должны документироваться.

8.15.4. В организации БС РФ должны быть документально определены роли, связанные с процедурами анализа функционирования СОИБ, и назначены ответственные за выполнение указанных ролей.

8.14. Требования к проведению аудита информационной безопасности 8.16. Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации