11. Модель зрелости процессов менеджмента информационной безопасности организации БС РФ

11. МОДЕЛЬ ЗРЕЛОСТИ ПРОЦЕССОВ МЕНЕДЖМЕНТА

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ БС РФ

11.1. Модель зрелости является мерой оценки полноты, адекватности и эффективности процессов менеджмента ИБ.

11.2. Уровень проработанности процессов менеджмента ИБ определяется тем, насколько полно и последовательно менеджмент организации руководствуется принципами ИБ, реализует политики и требования ИБ, использует накопленный опыт и совершенствует СМИБ.

11.3. Оценка зрелости процессов менеджмента ИБ организации основывается на рассмотрении совокупности параметров для каждого из этих процессов, отражающих достижение того или иного уровня зрелости данного процесса.

11.4. Модель зрелости процессов менеджмента ИБ организации настоящего стандарта основывается на универсальной модели зрелости процессов, определенной стандартом COBIT, которая определяет шесть уровней зрелости организации - с нулевого по пятый.

Нулевой уровень характеризует полное отсутствие каких-либо процессов менеджмента ИБ в рамках деятельности организации. Организация не осознает существования проблем ИБ.

Первый уровень ("начальный") характеризует наличие документально зафиксированных свидетельств осознания организацией существования проблем обеспечения ИБ. Однако используемые процессы менеджмента ИБ нестандартизованы, применяются эпизодически и бессистемно. Общий подход к менеджменту ИБ не выработан.

Второй уровень ("повторяемый") характеризует проработанность процессов менеджмента ИБ до уровня, когда их выполнение обеспечивается различными людьми, решающими одну и ту же задачу. Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам, а ответственность возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность возможных ошибок.

Третий уровень ("определенный") характеризует то, что процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет вероятность отклонений от стандартных процедур, которые могут быть не выявлены. Применяемые процедуры не оптимальны и недостаточно современны, но являются отражением практики, используемой в организации.

Четвертый уровень ("управляемый") характеризует то, что обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. При выявлении низкой эффективности реализуемых процессов менеджмента ИБ обеспечивается их оптимизация. Процессы менеджмента ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации менеджмента ИБ используются частично и в ограниченном объеме.

Пятый уровень ("оптимизированный") характеризует проработанность процессов менеджмента ИБ до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. Защитные меры в организации используются комплексно, обеспечивая основу совершенствования процессов менеджмента ИБ. Организация способна к быстрой адаптации при изменениях в окружении и бизнесе.

11.5. Рекомендуемыми уровнями зрелости процессов менеджмента ИБ для организаций, способными обеспечить качественное предоставление основного набора банковских услуг, являются уровни не ниже четвертого.

11.6. Достижение четвертого уровня зрелости процессов менеджмента ИБ характеризуется следующими параметрами:

- разработана и совершенствуется нормативная и распорядительная документация по ИБ (политика ИБ, регламенты и положения ИБ, должностные инструкции персонала и т.п.);

- создана организационная структура управления ИБ. Четко определена ответственность персонала за деятельность, связанную с обеспечением ИБ;

- финансирование ИБ осуществляется по отдельной статье бюджета организации;

- есть назначенный куратор службы ИБ;

- осуществляется приобретение необходимых средств обеспечения ИБ;

- защитные меры (технические, технологические, организационные) встроены в АБС и банковские технологические процессы, непрерывно совершенствуются и основываются на хорошей практике. В процессе внедрения защитных мер используется анализ затрат и результатов, обеспечивается их оптимизация;

- последовательно выполняется анализ ИБ организации и рисков нарушения ИБ, а также возможных негативных воздействий;

- краткие занятия с работниками организации по вопросам обеспечения ИБ носят обязательный характер;

- введена аттестация персонала по вопросам обеспечения безопасности;

- проверки на возможность вторжения в АБС являются стандартизованным и формализованным процессом;

- осуществляется оценка соответствия организации требованиям ИБ;

- стандартизованы идентификация, аутентификация и авторизация пользователей. Защитные меры совершенствуются с учетом накопленного в организации практического опыта;

- уровень стандартизации и документирования процессов управления ИБ позволяет проводить аудит ИБ в достаточном объеме;

- процессы обеспечения ИБ координируются со службой безопасности всей организации;

- деятельность по обеспечению ИБ увязана с целями бизнеса;

- руководство организации понимает проблемы ИБ и участвует в их решении через назначенного куратора службы ИБ из состава высшего руководства организации.

11.7. Результаты оценки зрелости каждого из процессов менеджмента ИБ должны учитываться в общем итоговом рейтинге зрелости организации.