9. Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации
9. Проверка и оценка информационной безопасности
организаций банковской системы Российской Федерации
9.1. Проверка и оценка ИБ организаций БС РФ проводится путем выполнения следующих процессов:
- мониторинга и контроля защитных мер;
- анализа функционирования СОИБ (в том числе со стороны руководства).
Указанные процессы являются частью группы процессов "проверка" СМИБ, требования к которым приведены в разделе 8 настоящего стандарта.
9.2. Основными целями мониторинга и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:
- контроль за реализацией положений внутренних документов по обеспечению ИБ в организации БС РФ;
- выявление нештатных, в том числе злоумышленных, действий в АБС организации;
Мониторинг и контроль защитных мер проводится персоналом организации БС РФ, ответственным за ИБ.
Требования к проведению мониторинга и контроля защитных мер в организации БС РФ определены в подразделе 8.12 настоящего стандарта.
9.3. При подготовке к аудиту ИБ рекомендуется проведение самооценки ИБ. Самооценка ИБ проводится собственными силами и по инициативе руководства организации.
Порядок проведения самооценки ИБ в организации БС РФ определен в рекомендациях в области стандартизации Банка России РС БР ИББС-2.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0".
В процессе самооценки ИБ проводятся оценка степени выполнения требований настоящего стандарта и на ее основе - вычисление итогового уровня ИБ организации БС РФ. Порядок проведения указанной деятельности (оценка и вычисление) регламентируется стандартом Банка России СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0".
9.4. Аудит ИБ, проводимый внешними по отношению к организации БС РФ независимыми проверяющими организациями, является одной из форм проверки и оценки (контроля) выполнения организацией БС РФ требований настоящего стандарта.
Аудит ИБ проводится как для собственных целей самой организации БС РФ, так и с целью повышения доверия к ней со стороны других организаций.
Аудит ИБ проводится в соответствии с требованиями подраздела 8.14 настоящего стандарта, а также в соответствии с требованиями стандартов Банка России СТО БР ИББС-1.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности".
В процессе аудита ИБ проводятся оценка степени выполнения требований настоящего стандарта и на ее основе - вычисление итогового уровня ИБ организации БС РФ. Порядок проведения указанной деятельности (оценка и вычисление) регламентируется стандартом Банка России СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0".
В качестве проверяющих организаций рекомендуется привлекать организации, имеющие квалификацию и опыт проведения оценки соответствия ИБ требованиям настоящего стандарта.
Порядок проведения работ по контролю и надзору, включающий, в частности, вопросы:
проведения ведомственного контроля (с участием Банка России, предприятий лицензиатов, самооценки);
государственного контроля, предусмотренного Федеральным законом "О персональных данных" [5], со стороны ФСБ России и ФСТЭК России;
взаимодействия сторон при проведении указанных видов контроля;
согласования планов, информационного взаимодействия, форм предоставления отчетности и т.д.;
а также регламентация обеспечения безопасности персональных данных при использовании средств криптографической защиты информации будут изложены в отдельных документах.
9.5. Анализ функционирования СОИБ проводится персоналом организации БС РФ, ответственным за обеспечение ИБ, а также руководством, в том числе на основании подготовленных для руководства документов (данных).
Основными целями проведения анализа функционирования СОИБ являются:
- оценка соответствия СОИБ требованиям законодательства Российской Федерации и стандартов Банка России;
- оценка соответствия СОИБ существующим и возможным угрозам ИБ;
- оценка следования принципам ИБ и выполнения требований по обеспечению ИБ, закрепленным в политике ИБ организации БС РФ, а также в иных внутренних документах организации БС РФ.
Результаты, полученные в ходе анализа функционирования СОИБ, являются среди прочего основой для совершенствования СОИБ.
Требования к проведению анализа функционирования СОИБ определены в подразделах 8.15 и 8.16 настоящего стандарта.
9.6. В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются. В случае введения в действие стандарта в организации БС РФ указанные требования не являются обязательными при проведении комплекса мероприятий по обеспечению безопасности персональных данных в специальных ИСПДн организаций БС РФ.
9.7. Получение организацией БС РФ лицензии ФСБ России - в соответствии с требованиями законодательства Российской Федерации.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей