Разработка частных политик

Второй уровень документов по обеспечению ИБ составляют документы, определяющие правила, требования и принципы, используемые применительно к отдельным областям ИБ, видам и технологиям деятельности организации БС РФ.

Кроме того, в состав документов данного уровня рекомендуется включить планы работ по обеспечению ИБ организации БС РФ и стандарты технологий обеспечения ИБ организации БС РФ.

Не рекомендуется повторение одинаковых правил в различных частных политиках. Включение в частную политику правила, содержащегося в другой (существующей) политике, целесообразно осуществлять посредством соответствующей ссылки. Например, для того чтобы в «Политику обеспечения ИБ информационных банковских технологических процессов» включить требования по антивирусной защите, следует сделать ссылку на «Политику антивирусной защиты» (при ее наличии).

Частные политики формируются на основании принципов, требований и задач, определенных в корпоративной политике ИБ организации БС РФ, с учетом детализации, уточнения и дополнительной классификации активов и угроз, определения владельцев активов, анализа, оценки рисков и возможных последствий реализаций угроз в границах области действия регламентируемой области или технологии.

В частные политики ИБ организации БС РФ рекомендуется включать положения, определяющие:

– цели и задачи ИБ, на обеспечение которых направлена частная политика;

– область действия политики, определение объектов (активов) защиты, уязвимостей, угроз и оценка рисков, связанных с объектами защиты;

– сведения о виде деятельности, на обеспечение ИБ которой направлено действие положений частной политики, о совокупности банковских технологий, применяемых в рамках выполнения данного вида деятельности, и об основных технологических процессах, реализующих указанные технологии;

– определение субъектов (ролей), на которых распространяется действие документа. В качестве субъектов (ролей) могут рассматриваться как структурные подразделения организации БС РФ, так и отдельные исполнители;

– содержательную часть документа (требования и правила);

– обязанности по обеспечению ИБ в рамках области действия частной политики ИБ, описание функций субъектов (ролей) над управляемыми объектами в рамках регламентируемых технологических процессов;

– состав ссылочных документов;

– положения по контролю реализации частной политики ИБ;

– ответственность за реализацию и поддержку документа;

– условия пересмотра документа.

В состав планов работ по обеспечению ИБ организации БС РФ рекомендуется включать, но не ограничиваться ими:

– планы по реализации и внедрению процедур, требований и мер обеспечения ИБ;

– планы мероприятий на случаи возможных инцидентов ИБ;

– планы мероприятий по обеспечению деятельности в рамках управления ИБ;

– планы мероприятий по управлению документами, связанными с обеспечением ИБ;

– планы работ по обслуживанию аппаратных средств и программных систем, используемых для обеспечения ИБ;

– планы мероприятий по обучению и повышению осведомленности служащих организации БС РФ.

В планах работ по обеспечению ИБ рекомендуется описывать перечень, порядок, объем (в той или иной форме), сроки выполнения мероприятий по реализации задач обеспечения ИБ организации БС РФ, а также указывать руководителей, исполнителей и ответственность за выполнение этих мероприятий.

Планы по обеспечению ИБ как минимум должны определять:

– последовательность выполнения мероприятий в рамках деятельности по обеспечению ИБ;

– сроки начала и окончания запланированных мероприятий;

– субъектов (лиц или структурные подразделения), ответственных за выполнение каждого указанного мероприятия.

Стандарты технологий обеспечения ИБ организации БС РФ устанавливают требования и характеристики, предназначенные для всеобщего и многократного использования, касающиеся обеспечения ИБ организации БС РФ. Стандарты технологий обеспечения ИБ организации БС РФ могут разрабатываться как в отношении специализированных технологий обеспечения ИБ, так и в отношении технологий, реализуемых банковскими информационными системами.

Структуру и содержание стандартов технологий обеспечения ИБ организации БС РФ рекомендуется разрабатывать на основе требований ГОСТ Р 1.4-2004.

Другое по теме:

Анализ кредитоспособности ООО «Транссклад»
Объектом нашего исследования является ООО «Транссклад» – компания, созданная 7 мая 2007 года и занимающаяся организацией перевозок грузов. Компания ООО «Транссклад» является юридическим лицом, имеет самостоятельный баланс, расчетные счета в банках. Уставной капитал ООО «Транссклад» составляет 100% ...

Сравнительный анализ глобальных и локальных систем денежных переводов
Следует подчеркнуть, что российские эксперты делят международные системы денежных переводов на глобальные, наглядным примером которых являются WU и MG, и на локальные, то есть те системы, которые имеют головной банк в России, например Anelik, Contact, Unistream и т.д. Если глобальные системы начали ...

Организационная структура биржи
Теперь рассмотрим организацию биржи. Высшим органом биржи является общее собрание ее членов, которое решает финансовые и организационные вопросы, определяет правила внутреннего распорядка. В промежутках между собраниями высшим органом является биржевой совет (комитет), который осуществляет контроль ...