9. Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации

9. Проверка и оценка информационной безопасности

организаций банковской системы Российской Федерации

9.1. Проверка и оценка ИБ организаций БС РФ проводится путем выполнения следующих процессов:

- мониторинга и контроля защитных мер;

- самооценки ИБ;

- аудита ИБ;

- анализа функционирования СОИБ (в том числе со стороны руководства).

Указанные процессы являются частью группы процессов "проверка" СМИБ, требования к которым приведены в разделе 8 настоящего стандарта.

9.2. Основными целями мониторинга и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:

- контроль за реализацией положений внутренних документов по обеспечению ИБ в организации БС РФ;

- выявление нештатных, в том числе злоумышленных, действий в АБС организации;

- выявление инцидентов ИБ.

Мониторинг и контроль защитных мер проводятся персоналом организации БС РФ, ответственным за ИБ.

Требования к проведению мониторинга и контроля защитных мер в организации БС РФ определены в подразделе 8.12 настоящего стандарта.

9.3. Аудит ИБ проводится внешними, независимыми проверяющими организациями как для собственных целей самой организации БС РФ, так и с целью повышения доверия к ней со стороны других организаций.

Требования к проведению аудита ИБ организации БС РФ определены в подразделе 8.13 настоящего стандарта, а также в стандарте Банка России СТО БР ИББС-1.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности".

9.4. При подготовке к аудиту ИБ рекомендуется проведение самооценки ИБ. Самооценка ИБ проводится собственными силами и по инициативе руководства организации.

Порядок проведения самооценки ИБ в организации БС РФ определен в рекомендациях в области стандартизации Банка России РС БР ИББС-2.1 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Руководство по самооценке соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям стандарта СТО БР ИББС-1.0".

9.5. В процессе аудита ИБ и (или) самооценки ИБ проводится оценка степени выполнения требований настоящего стандарта и на ее основе вычисление итогового уровня ИБ организации БС РФ. Порядок проведения указанной деятельности (оценка и вычисление) регламентируется стандартом Банка России СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0".

9.6. Анализ функционирования СОИБ проводится персоналом организации БС РФ, ответственным за обеспечение ИБ, а также руководством, в том числе на основании подготовленных для руководства документов (данных).

Основными целями проведения анализа функционирования СОИБ являются:

- оценка эффективности СОИБ;

- оценка соответствия СОИБ требованиям законодательства Российской Федерации и стандартов Банка России;

- оценка соответствия СОИБ существующим и возможным угрозам ИБ;

- оценка следования принципам ИБ и выполнения требований по обеспечению ИБ, закрепленным в политике ИБ организации БС РФ, а также в иных внутренних документах организации БС РФ.

Результаты, полученные в ходе анализа функционирования СОИБ, являются среди прочего основой для совершенствования СОИБ.

Требования к проведению анализа функционирования СОИБ определены в подразделах 8.15 и 8.16 настоящего стандарта.