8. Оценка менеджмента информационной безопасности организации банковской системы Российской Федерации

8. Оценка менеджмента информационной безопасности

организации банковской системы Российской Федерации

8.1. Оценка менеджмента ИБ организации определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения требований ИБ СТО БР ИББС-1.0 для следующих областей:

- организация и функционирование службы ИБ организации;

- определение/коррекция области действия СОИБ;

- выбор/коррекция подхода к оценке рисков нарушения ИБ и проведение оценки рисков нарушения ИБ;

- разработка планов обработки рисков нарушения ИБ;

- разработка/коррекция внутренних документов, регламентирующих деятельность в области обеспечения ИБ;

- принятие руководством организации решений о реализации и эксплуатации СОИБ;

- организация реализации планов обработки рисков нарушения ИБ;

- разработка и организация реализации программ по обучению и повышению осведомленности в области ИБ;

- организация обнаружения и реагирования на инциденты безопасности;

- организация обеспечения непрерывности бизнеса и его восстановления после прерываний;

- мониторинг и контроль защитных мер;

- проведение самооценки ИБ;

- проведение внешнего аудита ИБ;

- анализ функционирования СОИБ;

- анализ СОИБ со стороны руководства организации;

- принятие решений по тактическим улучшениям СОИБ;

- принятие решений по стратегическим улучшениям СОИБ.

8.2. Групповые показатели по направлению оценки "менеджмент ИБ организации" отражают совокупность требований ИБ к областям, определенным в разделе 8 СТО БР ИББС-1.0. Таблица 5 отражает соответствие между структурными элементами СТО БР ИББС-1.0, содержащими требования ИБ, и групповыми показателями ИБ, предназначенными для проверки реализации данных требований.