8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности

8.10.1. В организации БС РФ должны быть документы, регламентирующие процедуры обработки инцидентов, включающие:

- процедуры обнаружения инцидентов ИБ;

- процедуры информирования об инцидентах;

- процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;

- процедуры реагирования на инцидент;

- процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ).

8.10.2. В организации БС РФ рекомендуется сформировать и поддерживать в актуальном состоянии централизованную базу данных инцидентов ИБ. Должны быть документально определены процедуры по хранению информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ.

8.10.3. Должны быть документально определены порядки действий работников организации БС РФ при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях. Работники организации должны быть осведомлены об указанных порядках.

8.10.4. Процедуры расследования инцидентов ИБ должны учитывать действующее законодательство Российской Федерации, положения нормативных актов Банка России, а также внутренних документов организации БС РФ в области ИБ.

8.10.5. В организациях БС РФ должны приниматься и выполняться документально оформленные решения по всем выявленным инцидентам ИБ.

8.10.6. В организации БС РФ должны быть документально определены роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ и назначены ответственные за выполнение указанных ролей.