РС БР ИББС-2.0-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0

4.2. Документы второго уровня

4.2.1. Второй уровень документов по обеспечению ИБ составляют документы, определяющие правила, требования и принципы, используемые применительно к отдельным областям ИБ, видам и технологиям деятельности организации БС РФ.

Кроме того, в состав документов данного уровня рекомендуется включить планы работ по обеспечению ИБ организации БС РФ и стандарты технологий обеспечения ИБ организации БС РФ.

4.2.2. Не рекомендуется повторение одинаковых правил в различных частных политиках. Включение в частную политику правила, содержащегося в другой (существующей) политике, целесообразно осуществлять посредством соответствующей ссылки. Например, для того чтобы в "Политику обеспечения ИБ информационных банковских технологических процессов" включить требования по антивирусной защите, следует сделать ссылку на "Политику антивирусной защиты" (при ее наличии).

4.2.3. Частные политики формируются на основании принципов, требований и задач, определенных в корпоративной политике ИБ организации БС РФ, с учетом детализации, уточнения и дополнительной классификации активов и угроз, определения владельцев активов, анализа, оценки рисков и возможных последствий реализаций угроз в границах области действия регламентируемой области или технологии.

4.2.4. В частные политики ИБ организации БС РФ рекомендуется включать положения, определяющие:

- цели и задачи ИБ, на обеспечение которых направлена частная политика;

- область действия политики, определение объектов (активов) защиты, уязвимостей, угроз и оценка рисков, связанных с объектами защиты;

- сведения о виде деятельности, на обеспечение ИБ которой направлено действие положений частной политики, о совокупности банковских технологий, применяемых в рамках выполнения данного вида деятельности, и об основных технологических процессах, реализующих указанные технологии;

- определение субъектов (ролей), на которых распространяется действие документа. В качестве субъектов (ролей) могут рассматриваться как структурные подразделения организации БС РФ, так и отдельные исполнители;

- содержательную часть документа (требования и правила);

- обязанности по обеспечению ИБ в рамках области действия частной политики ИБ, описание функций субъектов (ролей) над управляемыми объектами в рамках регламентируемых технологических процессов;

- состав ссылочных документов;

________________

К ссылочным документам относятся документы, ознакомление с которыми обязательно для адекватного понимания текста политики ИБ. Например, если в тексте политики говорится о требованиях к конфиденциальной информации, то в ссылочных документах должен быть указан документ, определяющий перечень сведений, которые относятся к конфиденциальной информации.

- положения по контролю реализации частной политики ИБ;

- ответственность за реализацию и поддержку документа;

- условия пересмотра документа.

4.2.5. В состав планов работ по обеспечению ИБ организации БС РФ рекомендуется включать, но не ограничиваться ими:

- планы по реализации и внедрению процедур, требований и мер обеспечения ИБ;

- планы мероприятий на случаи возможных инцидентов ИБ;

- планы мероприятий по обеспечению деятельности в рамках управления ИБ;

- планы мероприятий по управлению документами, связанными с обеспечением ИБ;

- планы работ по обслуживанию аппаратных средств и программных систем, используемых для обеспечения ИБ;

- планы мероприятий по обучению и повышению осведомленности служащих организации БС РФ.

4.2.6. В планах работ по обеспечению ИБ рекомендуется описывать перечень, порядок, объем (в той или иной форме), сроки выполнения мероприятий по реализации задач обеспечения ИБ организации БС РФ, а также указывать руководителей, исполнителей и ответственность за выполнение этих мероприятий.

4.2.7. Планы по обеспечению ИБ как минимум должны определять:

- последовательность выполнения мероприятий в рамках деятельности по обеспечению ИБ;