8. "Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Менеджмент инцидентов информационной безопасности" РС БР ИББС-2.5-2014" (приняты и введены в действие Распоряжением Банка России от 17.05.2014 N Р-400)

8.1. В организации БС РФ рекомендуется установить и выполнять процедуры анализа процессов обнаружения инцидентов ИБ и реагирования на инциденты ИБ. Выполнение указанных процедур рекомендуется осуществлять под общим руководством куратора ГРИИБ работникам службы ИБ организации БС РФ.

8.2. Выполнение процедур анализа следует осуществлять на основе:

- результатов проведения контроля за выполнением процессов обнаружения инцидентов ИБ и реагирования на инциденты ИБ;

- анализа статистической отчетности по обнаружению инцидентов ИБ и реагированию на инциденты ИБ;

- анализа записей об инцидентах ИБ, содержащих информацию о нарушениях ИБ, затронутых инцидентом ИБ информационных активах, АБС, степени тяжести последствий от обнаруженных инцидентов ИБ.

8.3. В результате анализа рекомендуется определять наиболее проблемные с точки зрения подверженности инцидентам ИБ сегменты и компоненты информационной инфраструктуры организации БС РФ, наиболее существенные уязвимости и недостатки в обеспечении ИБ, оценивать достаточность принятых мер и выделенных ресурсов для реагирования на инциденты ИБ.

Кроме того, рекомендуется анализировать наличие тенденций, которые могут указывать на потребности в совершенствовании СОИБ организации БС РФ.

8.4. Дополнительному анализу подлежат действия работников организации БС РФ, осуществляемые при реагировании на инциденты ИБ. Целью проведения анализа является формирование (инициирование) совершенствований в части:

- корректировки установленных регламентов обнаружения инцидентов ИБ и реагирования на инциденты ИБ;

- изменения состава ГРИИБ и корректировка состава лиц, привлекаемых к реагированию на инциденты ИБ;

- изменения требований к квалификации членов ГРИИБ;

- корректировки порядка взаимодействия лиц, осуществляющих реагирование на инциденты ИБ;

- корректировки порядка эксплуатации технических средств.

8.5. Результаты анализа обнаружения инцидентов ИБ и реагирования на инциденты ИБ целесообразно использовать в качестве основы для инициирования и реализации процесса проведения тактических и стратегических улучшений СОИБ организации БС РФ, требования к выполнению которого установлены СТО БР ИИБС-1.0.

8.6. Для определения направлений и способов улучшения процессов менеджмента инцидентов ИБ рекомендуется на основе анализа документов и отчетов по инцидентам ИБ провести анализ эффективности применяемых процедур обнаружения инцидентов ИБ и реагирования на инциденты ИБ, в частности:

- оценить адекватность применяемого состава регистрируемых событий ИБ и потребность в его корректировке;

- оценить адекватность используемого классификатора инцидентов ИБ и потребность в его корректировке;

- оценить эффективность используемых процедур мониторинга ИБ;

- оценить адекватность регламентов реагирования на инциденты ИБ.

8.7. При выработке предложений по совершенствованию процессов менеджмента инцидентов ИБ рекомендуется учитывать:

- доступные сведения о соответствующем опыте сторонних организаций;

- изменения в законодательстве РФ, требованиях нормативных актов Банка России, правил платежной системы, внутренних документов организации БС РФ.

8.8. В организации БС РФ рекомендуется установить процедуры информирования руководства организации БС РФ о результатах анализа процессов менеджмента инцидентов ИБ, а также о значимых инцидентах ИБ, оказывающих существенное негативное влияние на выполнение бизнес-процессов организации БС РФ.