Рекомендации по созданию политики ИБ

Наступление любой из кризисных ситуаций может быть вызвано неправомерным использованием информационных активов организации, а результатом становится риск потери бизнеса. Безусловно, кризисные ситуации могут наступить и по причине форс-мажорных ситуаций, но – как показывает практика и статистика – угрозы в области информационной безопасности существенно более реальны.

Зависимость финансовых организаций от компьютерных и телекоммуникационных ресурсов свидетельствует о необходимости разработки планов аварийного восстановления всех банковских систем в случае возникновения кризисной ситуации.

Планы аварийного восстановления для финансово-кредитных учреждений являются одним из требований Центрального банка РФ и входят в состав обязательных документов внутреннего контроля наряду с политикой обеспечения ИБ.

Рекомендуется, чтобы положения документов по обеспечению ИБ организации БС РФ:

– носили не рекомендательный, а обязательный характер;

– были выполнимыми и контролируемыми. Не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;

– были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;

– не противоречили друг другу.

В состав документов организации БС РФ рекомендуется включить документ (классификатор), содержащий перечень и назначение всех документов организации БС РФ (для каждого из вышеопределенных уровней иерархической структуры), регламентирующих деятельность по обеспечению ИБ организации БС РФ. Указанный классификатор может быть полезен при осуществлении менеджмента документов организации БС РФ, для повышения степени осведомленности сотрудников организации БС РФ, а также при выполнении аудита информационной безопасности организации БС РФ.

При наличии у организации БС РФ сети филиалов (территориальных учреждений) в каждом из филиалов (территориальном учреждении) рекомендуется иметь единый для организации БС РФ, утвержденный комплект документов по обеспечению ИБ. В случае возникновения необходимости учета специфики конкретных филиалов в них должны быть разработаны собственные документы, учитывающие эту специфику. Рекомендуется, чтобы документы по обеспечению ИБ филиала (территориального учреждения) организации БС РФ базировались на положениях документов по обеспечению ИБ, принятых головной организацией (центральным аппаратом) организации БС РФ, и не противоречили им.

В состав внутренних документов организаций БС РФ по обеспечению ИБ рекомендуется включать следующие виды документов (документированной информации):

– документы, содержащие положения корпоративной политики ИБ организации БС РФ (документы первого уровня), определяют высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенные для организации в целом;

– документы, содержащие положения частных политик (документы второго уровня), детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации БС РФ;

– документы, содержащие положения ИБ, применяемые к процедурам (порядку выполнения действий или операций) обеспечения ИБ (документы третьего уровня), содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых в организации БС РФ, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, порядки, инструкции);

– документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ (документы четвертого уровня), отражают достигнутые результаты (промежуточные и окончательные), относящиеся к обеспечению ИБ организации БС РФ.

Другое по теме:

Создание «кредитных» денег коммерческими банками
Исторически первым видом кредитных денег являлся вексель как первое долговое обязательство, дающее право владельцу право по истечении срока требовать от должника уплаты указанной денежной суммы. Вексель также мог передаваться другому лицу, таким образом, он принимает некоторые черты денег, не выпол ...

Государственный страховой надзор за деятельностью страховых организаций
Страховщики - юридические лица, созданные в соответствии с законодательством РФ для осуществления страхования, перестрахования, взаимного страхования и получившие лицензии в установленном настоящим Законом порядке. Страховщики осуществляют оценку страхового риска, получают страховые премии (страхов ...

Совершенствование механизма управления банковскими рисками ОАО Банк «Возрождение»
Общий план мероприятий по совершенствованию управления кредитными риском в Банке «Возрождение» выглядит следующим образом. 1. В Банке необходимо создать систему управления рисками, направленная на выявление, измерение, контроль и управление принимаемыми на себя банком рисков в целях их оптимального ...