8.7. Требования к принятию руководством организации банковской системы Российской Федерации решений о реализации и эксплуатации системы обеспечения информационной безопасности

8.7.1. Решения о реализации и эксплуатации СОИБ должны утверждаться руководством организации БС РФ. В частности, в организации БС РФ требуется документально оформить решения руководства:

- об анализе и принятии остаточных рисков нарушения ИБ;

- о планировании этапов внедрения СОИБ, в частности, требований по обеспечению ИБ, изложенных в 7-м и 8-м разделах настоящего стандарта;

- о распределении ролей в области обеспечения ИБ организации БС РФ;

- о принятии со стороны руководства планов внедрения защитных мер, направленных на реализацию требований 7-го и 8-го разделов настоящего стандарта и снижение рисков ИБ;

- о выделении ресурсов, необходимых для реализации и эксплуатации СОИБ.

8.7.2. Все планы внедрения СОИБ, в частности, планы реализации требований 7-го и 8-го разделов настоящего стандарта, планы обработки рисков нарушения ИБ и внедрения защитных мер должны быть утверждены руководством. Указанные планы должны документально фиксировать:

- последовательность выполнения мероприятий в рамках указанных планов;

- сроки начала и окончания запланированных мероприятий;

- должностных лиц (подразделения), ответственных за выполнение каждого указанного мероприятия.

8.7.3. Должен быть документально определен порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ организации БС РФ.

8.7.4. В организации БС РФ должны быть документально оформлены решения руководства, связанные с назначением и распределением ролей для всех структурных подразделений в соответствии с положениями внутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ.