Организация и функционирование службы ИБ организации БС РФ

10.1. Разработать приказ о назначении из числа руководства Банка куратора службы информационной безопасности, который при этом не является куратором службы информатизации.

10.2. Доработать «Политику ИБ», включив в нее:

· требования обязательного оформления соответствующей документации на всех стадиях жизненного цикла АБС и систем ДБО и их компонентов (ТЗ, ТП, ПСИ);

· требования привлечения на договорной основе для разработки и(или) производства средств и систем защиты АБС организации, имеющие соответствующие лицензии;

· требования ИБ, направленные на устранение рисков, выявленных в ходе проведенной оценки рисков;

· требования по обеспечению ИБ персональных данных в соответствии с № 152-ФЗ «О защите персональных данных»,

· требования по обеспечению ИБ в соответствии со стандартом СТО БР ИББС-1.0-2010;

· описание принципов противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов, принципов повышения уровня осознания и осведомленности в области ИБ.

10.3. Доработать «Положение о секторе информационной безопасности» и должностные инструкции сотрудников сектора, включив в них следующие полномочия:

· участвовать в расследовании событий, связанных с инцидентами ИБ, и выходить в случае необходимости с предложениями по применению санкций в отношении лиц, осуществивших НСД и НРД;

· контролировать выполнение процедур контроля целостности;

· контролировать выполнение процедур управления доступом;

· контролировать выполнение процедур идентификации, аутентификации и авторизации;

· контролировать выполнение процедур регистрации событий и действий, связанных с ИБ;

· контролировать выполнение процедур контроля доступа в помещения, в которых установлены защищаемые информационные активы.

10.4. Обеспечить документирование результатов установки и изменения программного обеспечения (например, путем включения в Паспорта рабочих мест соответствующего раздела).

10.5. Разработать документ, регламентирующий процедуры контроля со стороны сектора ИБ, или доработать существующие документы в части регламентирования процедур:

· контроля деятельности работников, обладающих совокупностью полномочий (ролями), позволяющих получить контроль над защищаемым информационным активом организации;

· контроля ввода в действие, эксплуатации и сопровождения, снятия с эксплуатации всех АБС;

· контроля работоспособности (функционирования, эффективности) реализованных в Банке мер для обеспечения безопасности платежной и неплатежной информации;

· контроля целостности для всех критичных файлов АБС и другого прикладного ПО (файлы конфигурации, исполняемые файлы), а также для всех применяемых СКЗИ (сертификаты, ключи, библиотеки);

· своевременности установки обновлений средств антивирусной защиты со стороны сектора информационной безопасности;

· соответствия установленного на ЭВМ программного обеспечения разработанным перечням ПО, установленного на ЭВМ и необходимого для выполнения конкретных банковских платежных и информационных процессов;

· соответствия конфигураций и настроек ОС (политика аудита, парольная политика, политика учетных записей), АБС, СУБД, механизмов безопасности маршрутизаторов и межсетевых экранов, требованиям нормативных документов.

10.6. Разработать перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ.

10.7. Разработать документ, регламентирующий порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ.

10.8. Разработать план проведения проверок выполнения процедур контроля, указанных в п.10.5 настоящих Рекомендаций.

10.9. Разработать план внедрения защитных мер, организационных и технических, направленных на устранение нарушений, выявленных в ходе проведения проверок выполнения требований нормативных документов, самооценки ИБ, аудита ИБ.

10.10. Разработать документ, регламентирующий порядок разработки, поддержки, пересмотра и контроля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ.

10.11. Доработать документ, определяющий процедуры категорирования ресурсов Банка, включив в него для каждого типа информационных активов набор требований по обеспечению ИБ, в зависимости от критичности включающий необходимость:

· применения организационных мер защиты;

· использования средств защиты информации;

· применения требований физической безопасности;

· ограничения функциональности для критичных рабочих мест (функционально-замкнутая среда).

10.12. Разработать приказы о назначении лиц, ответственных за выполнение ролей по:

· анализу и пересмотру области действия СОИБ;

· определению/коррекции методики оценки рисков;

· проведению оценки рисков;

· разработке планов обработки рисков;

· разработке, поддержке, пересмотру и контролю исполнения внутренних документов, и назначить ответственных за их выполнение;

· разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю их результатов;

· обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ;

· разработке плана обеспечения непрерывности бизнеса и восстановления его деятельности после прерывания;

· выполнению и пересмотру процедур мониторинга СОИБ и контроля защитных мер;

· анализу функционирования СОИБ;

· подготовке информации, необходимой для анализа СОИБ руководством.