СТО БР ИББС-1.0-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения (утратил силу с 01.06.2014 на основании распоряжения Банка России от 17.05.2014 N Р-399)

8.18. Требования к принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности

_______________

К стратегическим улучшениям СОИБ следует относить корректирующие или превентивные действия, связанные с пересмотром политики ИБ и частных политик ИБ организации БС РФ, с последующим выполнением соответствующих тактических улучшений СОИБ. Стратегические улучшения СОИБ всегда требуют выполнения деятельности в рамках этапа "планирование" СМИБ.

8.18.1. Для принятия решений, связанных со стратегическими улучшениями СОИБ, необходимо рассмотреть среди прочего документально оформленные результаты:

- аудитов ИБ;

- самооценок ИБ;

- мониторинга СОИБ и контроля защитных мер;

- анализа функционирования СОИБ;

- обработки инцидентов ИБ;

- выявления новых информационных активов организации БС РФ или их типов;

- выявления новых угроз и уязвимостей ИБ;

- оценки рисков;

- пересмотра основных рисков ИБ;

- анализа СОИБ со стороны руководства;

- анализа успешных практик в области ИБ (собственных или других организаций);

а также изменения:

- в законодательстве Российской Федерации;

- в нормативных актах Банка России, в частности, требованиях настоящего стандарта;

- интересов, целей и задач бизнеса организации БС РФ;

- контрактных обязательств организации БС РФ.

8.18.2. Решения по стратегическим улучшениям СОИБ должны быть документально зафиксированы и содержать либо выводы об отсутствии необходимости стратегических улучшений СОИБ, либо указывать направления стратегических улучшений СОИБ в виде корректирующих или превентивных действий, например:

- уточнение/пересмотр целей и задач обеспечения ИБ, определенных в рамках политики ИБ или частных политик ИБ организации БС РФ;

- изменение в области действия СОИБ;

- уточнение описи типов информационных активов;

- пересмотр моделей угроз и нарушителей;

- изменение подходов к оценке рисков ИБ, критериев принятия риска ИБ.

8.18.3. Вся деятельность по реализации стратегических улучшений должна документально регистрироваться. Должны быть определены документы, содержащие планы реализации стратегических улучшений СОИБ, и документы, в которых фиксируются результаты выполнения указанных планов.

8.18.4. Деятельность, связанная с реализацией стратегических улучшений СОИБ, должна быть санкционирована и контролироваться руководством организации БС РФ.

8.18.5. В случае стратегических улучшений СОИБ должна быть выполнена деятельность по реализации соответствующих тактических улучшений СОИБ для всех необходимых процедур обеспечения ИБ, используемых защитных мер и соответствующих внутренних документов. В частности, необходимо выполнить: