6.1. Рекомендации по разработке и документированию политики менеджмента инцидентов ИБ организации БС РФ
6.1. Рекомендации по разработке и документированию политики менеджмента инцидентов ИБ организации БС РФ 
6.1.1. Политика менеджмента инцидентов ИБ организации БС РФ является внутренним документом организации БС РФ, устанавливающим принципы и основные положения, регламентирующие деятельность по менеджменту инцидентов ИБ организации БС РФ.
Политика менеджмента инцидентов ИБ организации БС РФ разрабатывается службой ИБ организации БС РФ совместно и (или) по согласованию с подразделением информатизации организации БС РФ, юридической службой организации БС РФ, подразделениями организации БС РФ, в зоне компетенции которых находятся вопросы обеспечения непрерывности выполнения банковских технологических процессов организации БС РФ, службой персонала (кадров) организации БС РФ и утверждается руководством организации БС РФ.
6.1.2. В политике менеджмента инцидентов ИБ организации БС РФ рекомендуется установить следующие положения:
1. Цель и задачи менеджмента инцидентов ИБ.
Основные цели менеджмента инцидентов ИБ, устанавливаемые политикой менеджмента инцидентов ИБ организации БС РФ, должны определять:
- создание условий для осуществления своевременного обнаружения и оперативного реагирования на инциденты ИБ, в том числе их закрытия;
- предотвращение и (или) снижение негативного влияния инцидентов ИБ на выполнение банковских технологических процессов организации БС РФ и (или) ее клиентов;
- оперативное совершенствование СОИБ организации БС РФ.
Основные задачи, устанавливаемые политикой менеджмента инцидентов ИБ организации БС РФ и решаемые в рамках менеджмента инцидентов ИБ, должны обеспечивать достижение установленных целей менеджмента инцидентов ИБ путем:
- своевременного обнаружения инцидентов ИБ;
- оперативного реагирования на инциденты ИБ в соответствии с требованиями законодательства РФ, нормативных актов Банка России и регламентами, установленными внутренними документами организации БС РФ;
- координации деятельности работников структурных подразделений организации БС РФ в рамках процессов реагирования на инциденты ИБ, в том числе их закрытия;
- ведения базы данных зарегистрированных событий ИБ и обнаруженных инцидентов ИБ;
- накопления и повторного использования знаний по обнаружению инцидентов ИБ и реагированию на них;
- анализа, оценки эффективности и совершенствования процессов менеджмента инцидентов ИБ организации БС РФ;
- предоставления руководству организации БС РФ информации и отчетов по результатам выполнения процессов менеджмента инцидентов ИБ, в том числе информации о фактах обнаружения инцидентов ИБ и результатах реагирования на них.
2. Общее описание состава событий ИБ и критериев классификации событий ИБ как инцидентов ИБ. Описание событий ИБ рекомендуется производить путем формирования перечня типов событий ИБ для каждого из уровней информационной инфраструктуры организации БС РФ, определенных СТО БР ИББС-1.0.
3. Общее описание стадий обнаружения инцидентов ИБ и реагирования на инциденты ИБ, ролей работников организации БС РФ, задействованных на стадиях реагирования на инциденты ИБ, с указанием подразделений организации БС РФ, работникам которых назначаются указанные роли.
Рекомендуется рассматривать следующие стадии обнаружения инцидентов ИБ и реагирования на инциденты ИБ:
- стадия обнаружения, оповещения и оценки, на которой путем анализа события ИБ и установленных в организации БС РФ критериев выявляется инцидент ИБ, производится оповещение уполномоченных работников организации БС РФ, оценка инцидента ИБ, принятие решений о дальнейшем реагировании на инцидент ИБ;
- стадия сбора и фиксации информации, относящейся к инциденту ИБ;
- стадия закрытия инцидента ИБ, в том числе локализации (предотвращение распространения) и восстановления штатного выполнения банковских технологических процессов организации БС РФ, на которой происходит устранение негативных последствий от реализации инцидента ИБ (при их наличии);
- стадия анализа собранной информации, относящейся к инциденту ИБ, и принятие управленческих решений по результатам реагирования на инцидент ИБ.
Стадии сбора и фиксации информации, закрытия инцидента ИБ, анализа информации и принятия управленческих решений в рамках настоящих рекомендаций объединяются общим термином "реагирование на инцидент ИБ".
4. Общее описание организационной структуры процессов реагирования на инциденты ИБ с указанием:
- состава структурных подразделений организации БС РФ, работникам которых назначаются роли, связанные с реагированием на инциденты ИБ;
- требований к ГРИИБ, в том числе к составу лиц, включаемых в ГРИИБ;
- состава ролей участников процессов реагирования на инциденты ИБ;
- принципов и способов взаимодействия ГРИИБ и работников организации БС РФ в рамках реализации процесса реагирования на инциденты ИБ.
