9. Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации

Весь документ

9. Проверка и оценка информационной безопасности
организаций банковской системы Российской Федерации

9.1. Проверка и оценка ИБ организаций БС РФ проводится путем выполнения следующих процессов:

- мониторинга ИБ и контроля защитных мер;

- самооценки ИБ;

- аудита ИБ;

- анализа функционирования СОИБ (в том числе со стороны руководства).

Указанные процессы являются частью группы процессов "проверка" СМИБ, требования к которым приведены в разделе 8 настоящего стандарта.

9.2. Основными целями мониторинга ИБ и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:

- контроль за реализацией положений внутренних документов по обеспечению ИБ в организации БС РФ;

- выявление нештатных, в том числе злоумышленных, действий в АБС организации;

- выявление инцидентов ИБ.

Мониторинг и контроль защитных мер проводится персоналом организации БС РФ, ответственным за ИБ.

Требования к проведению мониторинга и контроля защитных мер в организации БС РФ определены в подразделе 8.12 настоящего стандарта.

9.3. При подготовке к аудиту ИБ рекомендуется проведение самооценки ИБ.

9.4. Аудит ИБ, проводимый внешними по отношению к организации БС РФ независимыми проверяющими организациями, является одной из форм проверки и оценки (контроля) выполнения организацией БС РФ требований настоящего стандарта.

Аудит ИБ проводится как для собственных целей самой организации БС РФ, так и с целью повышения доверия к ней со стороны других организаций.

В качестве проверяющих организаций рекомендуется привлекать организации, имеющие квалификацию и опыт проведения оценки соответствия ИБ требованиям настоящего стандарта.

9.5. Анализ функционирования СОИБ проводится персоналом организации БС РФ, ответственным за обеспечение ИБ, а также руководством, в том числе на основании подготовленных для руководства документов (данных).

Основными целями проведения анализа функционирования СОИБ являются:

- оценка эффективности СОИБ;

- оценка соответствия СОИБ требованиям законодательства РФ и стандартов Банка России;

- оценка соответствия СОИБ существующим и возможным угрозам ИБ;

- оценка следования принципам ИБ и выполнения требований по обеспечению ИБ, закрепленным в политике ИБ организации БС РФ, а также в иных внутренних документах организации БС РФ.

Результаты, полученные в ходе анализа функционирования СОИБ, являются среди прочего, основой для совершенствования СОИБ.

9.6. В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации ИСПДн не устанавливаются. В случае введения в действие стандарта в организации БС РФ указанные требования не являются обязательными при проведении комплекса мероприятий по обеспечению безопасности персональных данных в ИСПДн организаций БС РФ.

9.7. Получение организацией БС РФ лицензии ФСБ России - в соответствии с требованиями законодательства РФ.

9.8. Оценка соответствия ИБ в виде аудита ИБ или самооценки ИБ проводится организацией БС РФ не реже одного раза в два года.

Библиография

1. Федеральный закон от 1 декабря 1990 года N 395-1 "О банках и банковской деятельности".

2. Федеральный закон от 10 июля 2002 года N 86-ФЗ "О Центральном Банке Российской Федерации (Банке России)".

3. Федеральный закон от 27 декабря 2002 года N 184-ФЗ "О техническом регулировании".

4. Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

5. ГОСТ Р ИСО 9001-2008 Система менеджмента качества. Требования.

6. ISO/IEC IS 27001:2013 Information technology. Security techniques. Information security management systems. Requirements.

7. Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" в редакции Указания Банка России от 5 июня 2013 года N 3007-У.

8. Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных".

9. Постановление Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

10. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

───────────────────────────────────────────────────────────────────────────
    Ключевые   слова:  банковская  система  Российской  Федерации,  система
менеджмента    информационной    безопасности,    политика   информационной
безопасности.
───────────────────────────────────────────────────────────────────────────

<<< 8.16. Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации8.16. Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации ["Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения" СТО БР ИББС-1.0-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 N Р-399)]