6. Рекомендации к методологии оценивания уровня зрелости выполнения процессов СОИБ
6.1. С целью установления и применения методологии оценивания уровня зрелости выполнения процессов СОИБ организации БС РФ рекомендуется:
- установить состав процессов СОИБ, направленных на непосредственное обеспечение ИБ, уровень зрелости выполнения которых влияет на величину остаточных рисков нарушения ИБ организации БС РФ;
- установить показатели уровня зрелости выполнения процессов СОИБ организации БС РФ.
6.2. Организациям БС РФ рекомендуется установить в качестве процессов СОИБ, направленных на непосредственное обеспечение ИБ, уровень зрелости выполнения которых влияет на величину остаточных рисков нарушения ИБ организации БС РФ, среди прочих следующие.
6.2.1. Процессы СОИБ, реализуемые в соответствии с положениями, установленными в разделе 7 "Система информационной безопасности организаций банковской системы Российской Федерации" СТО БР ИББС-1.0:
- обеспечение ИБ при назначении и распределении ролей;
- обеспечение ИБ при эксплуатации и снятии с эксплуатации автоматизированных банковских систем (АБС), используемых для реализации банковских платежных и информационных технологических процессов;
- обеспечение ИБ при управлении доступом и регистрацией;
- обеспечение ИБ средствами антивирусной защиты;
- обеспечение ИБ при использовании ресурсов сети Интернет;
- обеспечение ИБ при использовании средств криптографической защиты информации.
При установлении процессов СОИБ, уровень зрелости выполнения которых влияет на величину остаточных рисков нарушения ИБ организации БС РФ, рекомендуется дополнительно рассматривать следующие процессы:
- предотвращение утечек информации, контентный контроль информационного обмена и передачи информации за пределы локальной вычислительной сети организации БС РФ, в том числе при использовании сети Интернет;
- контроль вывода информации на печать;
- обеспечение защиты от сетевых атак;
- обеспечение целостности вычислительной среды;
- обеспечение защиты информации технологическими мерами, в том числе при осуществлении переводов денежных средств;
- контроль резервного копирования информации и целостности резервных копий.
6.2.2. Процессы СОИБ, реализуемые в соответствии с положениями, установленными в разделе 8 "Система менеджмента информационной безопасности организаций банковской системы Российской Федерации" СТО БР ИББС-1.0:
- обнаружение и реагирование на инциденты ИБ;
- мониторинг ИБ;
- обеспечение непрерывности бизнеса и его восстановления после прерывания.
6.3. Организации БС РФ при установлении показателей уровня зрелости выполнения процессов СОИБ рекомендуется выполнить следующие мероприятия:
- установить состав процессов СМИБ, полнота и качество выполнения которых влияет на уровень зрелости выполнения управляемых процессов СОИБ;
- установить и применять общую модель полноты и качества выполнения процессов СМИБ;
- с использованием общей модели оценивать полноту и качество выполнения каждого из процессов СМИБ для каждого управляемого процесса СОИБ;
- установить и применять общие правила определения показателей уровня зрелости выполнения управляемых процессов СОИБ на основе соответствующих оценок полноты и качества выполнения процессов СМИБ.
6.4. В качестве процессов СМИБ, полнота и качество выполнения которых влияют на уровень зрелости выполнения управляемых процессов СОИБ, рекомендуется среди прочего рассматривать процессы, реализуемые в соответствии с положениями, установленными в разделе 8 "Система менеджмента информационной безопасности организаций банковской системы Российской Федерации" СТО БР ИББС-1.0:
- определение/коррекция области действия процесса СОИБ;
- планирование реализации процесса СОИБ;
- разработка/коррекция внутренних документов, регламентирующих выполнение процесса СОИБ;
- выполнение планов реализации процесса СОИБ с учетом выполнения положений по обеспечению ИБ на этапах создания АБС;
- реализация автоматизации выполнения процесса СОИБ;
- реализация программ по обучению и повышению осведомленности в области выполнения процесса СОИБ;
- реализация контроля выполнения процесса СОИБ;
- включение процесса СОИБ в область самооценки и аудита ИБ;
- анализ реализации и выполнения процесса СОИБ;
- инициирование своевременного совершенствования процесса СОИБ.
6.5. Общая модель полноты и качества выполнения процессов СМИБ может быть установлена следующим образом:
- "Нулевой уровень". Полное отсутствие каких-либо процессов СМИБ.
- "Первый уровень". Процессы СМИБ применяются бессистемно и (или) эпизодически.
- "Второй уровень". Процессы СМИБ применяются на постоянной основе. Общие подходы (способы) применения процессов СМИБ в организации БС РФ не установлены. Выполнение процессов СМИБ осуществляется на усмотрение исполнителя.
- "Третий уровень". Процессы СМИБ применяются на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ.
- "Четвертый уровень". Процессы СМИБ применяются на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ. В организации БС РФ реализованы контроль, анализ и необходимое своевременное совершенствование процессов СМИБ.
- "Пятый уровень". Процессы СМИБ применяются на постоянной основе в соответствии с общими подходами (способами), установленными в организации БС РФ. В организации БС РФ реализованы анализ и необходимое совершенствование процессов СМИБ. Процессы СМИБ основаны на лучших отечественных и международных практиках.
6.6. Организации БС РФ рекомендуется определить весовые коэффициенты