9.1. Планирование СМИБ

Для успешного функционирования СМИБ организации БС РФ следует реализовать следующие процессы:

а) определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ. Определение/уточнение области действия СМИБ должно осуществляться на основе результатов оценки операционных рисков, а также оценки репутационных и правовых рисков деятельности организации БС РФ;

б) анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичных информационных активов и бизнес-процессов организации. При анализе и оценке рисков ИБ должны использоваться положения раздела 7 настоящего стандарта;

в) определение/уточнение политики для СМИБ организации;

г) выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ. Цели ИБ и защитные меры могут быть выбраны на основе раздела 8 настоящего стандарта, а дополнительно на основе:

1) международного стандарта ISO/IEC IS 27001-2005 или положений международного стандарта ISO/IEC IS 17799-2005, обеспечивающего большую детализацию;

2) стандартов ISO TR 13569, COBIT, BSI PAS 56 и других руководств по обеспечению информационной безопасности;

3) ГОСТ Р ИСО/МЭК 15408-1-3-2002 в части требований к продуктам информационных технологий;

4) стандартов ISO/IEC TR 18028, ISO/IEC TR 18043, ISO/IEC TR 18044 и других стандартов для отдельных областей обеспечения ИБ.

Обоснование по обработке рисков с учетом применения защитных мер должно быть подготовлено в виде отдельного документа (аналогичного документу "Statement of applicability" по ISO/IEC IS 27001), являющегося основой для разработки плана обработки рисков ИБ;

д) принятие менеджментом организации БС РФ остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ. Остаточные риски ИБ должны быть соотнесены с рисками банковской деятельности и оценено их влияние на достижение целей деятельности организации БС РФ.