5. Общие положения
5.1. Основными целями реализации ресурсного обеспечения ИБ, рассматриваемыми в настоящем документе, являются:
- обеспечение процессов СОИБ финансовыми средствами;
- обеспечение службы ИБ организации БС РФ кадровыми ресурсами, необходимыми и достаточными для реализации процессов СОИБ;
- контроль эффективности использования ресурсов ИБ.
5.2. Потребности в обеспечении процессов СОИБ ресурсами ИБ рекомендуется определять на основе предполагаемой величины возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в случае реализации актуальных для организации БС РФ рисков нарушения ИБ.
Организации БС РФ рекомендуется обеспечить надлежащий баланс между актуальными рисками нарушения ИБ, связанными с наличием уязвимостей в выполнении процессов СОИБ, и ресурсами ИБ, используемыми для обеспечения целевого уровня ИБ и, соответственно, направленными на снижение указанных рисков.
5.3. Для определения потребностей в обеспечении процессов СОИБ ресурсами ИБ в организации БС РФ рекомендуется использование методик оценки актуальных рисков нарушения ИБ в количественной (денежной) форме. Указанные методики рекомендуется разрабатывать для учета влияния рисков нарушения ИБ на основную деятельность организации БС РФ через предполагаемую величину возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в случае реализации актуальных для организации БС РФ рисков нарушения ИБ.
Для оценки рисков нарушения ИБ в количественной (денежной) форме рекомендуется использовать РС БР ИББС-2.2.
5.4. Снижение рисков нарушения ИБ обеспечивается минимизацией уязвимостей в выполнении процессов СОИБ, направленных на непосредственное обеспечение ИБ, путем повышения их уровня зрелости. Повышение уровня зрелости выполнения процессов СОИБ достигается планированием, реализацией, выполнением, поверкой и совершенствованием процессов СОИБ - выполнением для каждого управляемого процесса СОИБ деятельности в рамках СМИБ.
Неполнота выполнения процессов СМИБ создает уязвимости при выполнении управляемых процессов СОИБ, что, в свою очередь, увеличивает риски для основной деятельности организации БС РФ.
Ресурсы ИБ являются одним из основных факторов, определяющих полноту и качество выполнения процессов СМИБ, которые, в свою очередь, определяют уровень зрелости выполнения управляемых процессов СОИБ.
5.5. Для реализации ресурсного обеспечения ИБ организации БС РФ рекомендуется:
- установить и применять методологию оценивания уровня зрелости выполнения процессов СОИБ. Рекомендации к методологии оценивания уровня зрелости выполнения процессов СОИБ установлены в разделе 6 настоящего документа;
- установить и применять методологию оценивания рисков нарушения ИБ с учетом данных о реализованном организацией БС РФ уровне зрелости выполнения процессов СОИБ. Рекомендации к методологии оценивания рисков нарушения ИБ установлены в разделе 7 настоящего документа;
- обеспечить целевой уровень обеспечения ИБ путем повышения уровня зрелости выполнения процессов СОИБ до значения, реализующего снижение рисков нарушения ИБ до допустимого уровня. Повышение уровня зрелости выполнения процессов СОИБ достигается путем:
- инвестирования необходимых финансовых средств в обеспечение процессов СОИБ. При этом инвестирование не предполагает получение дохода от выполнения процессов СОИБ, а приводит к снижению предполагаемой величины возможного ущерба (финансового эквивалента возможных потерь) организации БС РФ в случае реализации актуальных для организации БС РФ рисков нарушения ИБ;
- обеспечения необходимых и достаточных кадровых ресурсов. Рекомендации к определению потребностей службы ИБ организации БС РФ в обеспечении кадровыми ресурсами установлены в разделе 8 настоящего документа;
- проводить контроль эффективности инвестирования в обеспечение процессов СОИБ путем установления и мониторинга целевых (контрольных) показателей, выраженных в количественной (денежной) форме. Рекомендации к проведению контроля эффективности инвестирования в обеспечение процессов СОИБ установлены в разделе 9 настоящего документа.