Недействующий

СТО БР ИББС-1.0-2004 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения (утратило силу с 01.01.2006 на основании распоряжения Банка России от 26.01.2006 N Р-27)

10. Модель зрелости процессов управления
информационной безопасностью организаций БС РФ

10.1. Модель зрелости является мерой проработанности процессов управления ИБ, применяемых в рамках организации.

10.2. Уровень проработанности процессов управления ИБ определяется тем, насколько полно и последовательно менеджмент банка руководствуется принципами ИБ, реализует политики и требования ИБ, использует накопленный опыт и совершенствует систему управления ИБ.

10.3. Модель зрелости предназначена для определения:

- текущего статуса организации;

- положения (рейтинга) данной организации в рамках БС РФ;

- направлений дальнейшего развития с учетом рекомендаций международных стандартов;

- перспективных целей организации в части совершенствования ИБ.

10.4. Модель зрелости процессов управления ИБ организации в настоящем стандарте основывается на модели зрелости, определенной стандартом COBIT, которая определяет шесть уровней зрелости организации - с нулевого по пятый.

Нулевой уровень характеризует полное отсутствие каких-либо процессов управления ИБ в рамках деятельности организации. Организация не осознает существования проблем ИБ.

Первый уровень ("начальный") характеризует наличие документально зафиксированных свидетельств осознания организацией существования проблем обеспечения ИБ. Однако используемые процессы управления ИБ не стандартизованы, применяются эпизодически и бессистемно. Общий подход к управлению ИБ не выработан.

Второй уровень ("повторяемый") характеризует проработанность процессов управления ИБ до уровня, когда их выполнение обеспечивается различными людьми, решающими одну и ту же задачу. Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам, а ответственность возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность возможных ошибок.

Третий уровень ("определенный") характеризует то, что процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет вероятность отклонений от стандартных процедур, которые могут быть не выявлены. Применяемые процедуры не оптимальны и недостаточно современны, но являются отражением практики, используемой в организации.

Четвертый уровень ("управляемый") характеризует то, что обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. При выявлении низкой эффективности реализуемых процессов управления ИБ обеспечивается их оптимизация. Процессы управления ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации управления ИБ используются частично и в ограниченном объеме.

Пятый уровень ("оптимизированный") характеризует проработанность процессов управления ИБ до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. Защитные меры в организации используются комплексно, обеспечивая основу совершенствования процессов управления ИБ. Организация способна к быстрой адаптации при изменениях в окружении и бизнесе.

10.5. Модель зрелости управления ИБ организации ориентирована на оценку процессов управления ИБ, указанных в разделе 9 настоящего стандарта, и оценку выполнения базовых требований ИБ в организации.

10.6. Рекомендуемыми уровнями зрелости процессов управления ИБ для организаций, способными обеспечить качественное предоставление основного набора банковских услуг, являются уровни не ниже четвертого.

10.7. С учетом состава процессов управления ИБ четвертый уровень зрелости характеризуется следующими основными показателями:

- разработана нормативная и распорядительная документация по ИБ (политика ИБ, должностные инструкции для персонала и т.п.);

- создана организационная структура управления ИБ. Четко определена ответственность персонала за деятельность, связанную с обеспечением ИБ;

- финансирование ИБ осуществляется по отдельной статье бюджета организации;

- есть назначенный куратор службы ИБ;

- осуществляется приобретение необходимых средств обеспечения ИБ;

- защитные меры (технические, технологические, организационные) встроены в АБС и банковские технологические процессы. В процессе внедрения защитных мер используется анализ затрат и результатов;

- последовательно выполняется анализ ИБ организации и рисков нарушения ИБ, а также возможных негативных воздействий;

- краткие занятия с работниками организации по вопросам обеспечения ИБ носят обязательный характер;

- введена аттестация персонала по вопросам обеспечения безопасности;

- проверки на возможность вторжения в АБС являются стандартизованным и формализованным процессом;

- осуществляется оценка соответствия организации требованиям ИБ;