2015-06-28
1218
1. Выполнение деятельности по обеспечению информационной безопасности должно поддерживаться системой управления информационной безопасности, которая реализуется службой информационной безопасности в виде совокупности взаимозависимых и постоянно действующих процессов (синхронизации, контроля, мониторинга, анализа и т. д.) штатного функционирования используемых защитных мер и должного исполнения персоналом предъявляемых к ним требований информационной безопасности.
2. Задачи защиты информационных активов Организации решаются в рамках функционирования соответствующих технологических процессов, направленных на достижение конкретных практических результатов. Результатом функционирования процессов является защищенность Организации.
3. В Организации процесс обеспечения защиты информации в информационных системах включает в себя:
- планирование мероприятий по защите информации;
- формирование комплекса средств защиты информации;
- администрирование информационной безопасности и средств защиты;
|
|
|
- мониторинг информационной безопасности информационных активов;
- анализ защищенности и контроль выполнения требований информационной безопасности.
4. Планирование мероприятий по защите информации предполагает определение сроков и состава мероприятий по информационной безопасности, производимое в рамках системы планирования Организации. Формами представления данного процесса являются планы мероприятий, политики безопасности, частные политики безопасности.
5. Формирование комплекса средств зашиты информации предполагает оснащение АС и рабочих мест обработки информации средствами защиты, подтверждение соответствия реализованной подсистемы информационной безопасности требованиям эксплуатационной документации для внедряемых АС, формирование требований по обеспечению информационной безопасности и правил работы со средствами защиты информации. Результатом процесса должна явиться комплексная система информационной безопасности, включающая организационные и технические средства защиты, регламент их использования. Формами представления процесса являются акты установки средств защиты, акты сдачи-приема АС, положения, инструкции, регламенты применения средств защиты.
6. Администрирование информационной безопасности и средств защиты предполагает обеспечение и поддержку защищенности информационных активов Организации. Результатом процесса является обеспечение защиты от несанкционированного доступа к средствам вычислительной техники, контроль целостности аппаратной и программной конфигурации АС, соответствие предоставленных прав доступа функциям, выполняемым сотрудниками, обеспечение разграничения доступа к информационным активам, обеспечение восстановления систем защиты информации в нештатных ситуациях, обеспечение защиты электронного документооборота. Формами представления процесса могут являться учетные формы защищаемых активов, допущенных сотрудников, паспорта программного обеспечения, атрибуты доступа, журналы учета и администрирования средств защиты, документы фиксирования инцидентов информационной безопасности (акты).
|
|
|
7. Мониторинг информационной безопасности информационных активов предполагает выявление возможных отклонений от принятой Частной политики информационной безопасности, попыток несанкционированного доступа к информационным активам. Результатом процесса является выявление инцидентов информационной безопасности, уязвимостей, нарушений правил информационной безопасности, попыток НСД, выявление случаев заражения вредоносным кодом, не должного выполнения персоналом своих обязанностей. Отчетными формами представления процесса могут быть любые документы, регистрирующие инциденты информационной безопасности.
8. Анализ защищенности и контроль выполнения требований информационной безопасности предполагает определение уровня зрелости информационной безопасности Организации в соответствии со Стандартом и соответствие информационной безопасности Организации требованиям нормативных документов Банка России. Результатом процесса является проведение плановых, целевых выборочных проверок по выявлению фактов нарушения требований по защите информации, проведение аудита информационной безопасности, проведение самооценки состояния информационной безопасности с использованием специальных методик. Формами представления процесса являются итоговые документы установленных форм (анкеты, акты, справки, служебные записки).
9. Процессы контроля и оценки состояния безопасности и качества проведения технологических операций по защите активов должны быть регламентированы руководящими документами.
10. Основная задача управления информационной безопасностью заключается в том, чтобы приведенные процессы выполнялись непрерывно в виде замкнутого цикла: «планирование – реализация (администрирование) – проверка (мониторинг) – совершенствование (анализ) - планирование и т. д.» так, чтобы осуществлялась периодическая корректировка принятых мер информационной безопасности активов Организации.
