8.6. Требования к разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности

8.6.1. Разработку/коррекцию внутренних документов, регламентирующих деятельность в области обеспечения ИБ в организации БС РФ, рекомендуется проводить с учетом рекомендаций по стандартизации Банка России РС БР ИББС-2.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0".

8.6.2. В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:

- политика ИБ организации БС РФ;

- частные политики ИБ организации БС РФ;

- документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ организации БС РФ.

Кроме того, должен быть определен перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ в организации БС РФ.

Политика ИБ организации БС РФ должна быть утверждена руководством.

8.6.3. В политике (в частных политиках) ИБ должны определяться/корректироваться:

- цели и задачи обеспечения ИБ;

- основные области обеспечения ИБ;

- типы основных защищаемых информационных активов;

- модели угроз и нарушителей;

- совокупность правил, требований и руководящих принципов в области ИБ;

- основные требования по обеспечению ИБ;

- принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;

- основные принципы повышения уровня осознания и осведомленности в области ИБ;

- принципы реализации и контроля выполнения требований политики ИБ.

8.6.4. Разработка/корректировка внутренних документов, регламентирующих деятельность в области обеспечения ИБ, должна проводиться на основе:

- законодательства РФ;

- комплекса БР ИББС, в частности, требований разделов 7 и 8 настоящего стандарта;

- нормативных актов и предписаний регулирующих и надзорных органов;

- договорных требований организации БС РФ со сторонними организациями;

- результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов или типов информационных активов.

8.6.5. Совокупность внутренних документов, регламентирующих деятельность в области обеспечения ИБ, должна содержать требования по обеспечению ИБ всех выявленных информационных активов или типов информационных активов, находящихся в области действия СОИБ организации БС РФ.

8.6.6. Документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, должны детализировать положения политики (частных политик) ИБ и не противоречить им.

8.6.7. В случае наличия в структурных подразделениях организации БС РФ работников, ответственных за обеспечение ИБ, в организации БС РФ должен быть утвержден руководством порядок взаимодействия (координирования работы) службы ИБ с указанными работниками.

8.6.8. В составе внутренних документов, регламентирующих деятельность в области обеспечения ИБ, необходимо определить:

- перечень свидетельств выполнения деятельности;

- ответственность работников организации БС РФ за выполнение этой деятельности.

8.6.9. Должны быть определены процедуры выделения и распределения ролей в области обеспечения ИБ.

8.6.10. Должен быть определен порядок разработки, поддержки, пересмотра и контроля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации БС РФ.

8.6.11. В организации БС РФ должны быть определены роли по разработке, поддержке, пересмотру и контролю исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ, а также назначены ответственные за выполнение указанных ролей.