- документы, содержащие положения ИБ, применяемые к процедурам (порядку выполнения действий или операций) обеспечения ИБ (документы третьего уровня), содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых в организации БС РФ, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, порядки, инструкции);
- документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ (документы четвертого уровня), отражают достигнутые результаты (промежуточные и окончательные), относящиеся к обеспечению ИБ организации БС РФ.
2.2 Разработка корпоративной политики
Корпоративная политика ИБ определяет на высоком (общем) уровне цели и задачи обеспечения ИБ организации БС РФ, включая способы контроля реализации требований политики ИБ организации БС РФ. Корпоративная политика ИБ организации БС РФ определяет содержание, назначение и требования к деятельности по обеспечению ИБ организации БС РФ без указания специфических деталей.
В корпоративной политике ИБ организации БС РФ рекомендуется определять высокоуровневые правила и требования к деятельности по управлению рисками, в том числе по анализу и выработке позиций в отношении рисков.
Корпоративная политика ИБ организации БС РФ может быть представлена как в виде комплекта документов, так и в виде единого обобщающего документа.
В корпоративную политику ИБ организации БС РФ рекомендуется включать следующие положения:
- определение ИБ в терминах деятельности данной организации БС РФ, области действия политики, целей, задач и принципов обеспечения ИБ организации БС РФ;
- изложение намерения обеспечения ИБ, направленного на достижение указанных целей и на реализацию принципов обеспечения ИБ;
- общие сведения об активах, подлежащих защите, их классификацию;
- модели угроз и нарушителей (внутреннего и внешнего) в соответствии с требованиями раздела 7 СТО БР ИББС-1.0, на противодействие которым ориентирована корпоративная политика ИБ;
- высокоуровневое изложение правил и требований в области ИБ, представляющих особую важность для организации БС РФ, например:
- обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения ИБ и нормативным актам Банка России;
- требования к управлению ИБ;
- требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения;
- требования по управлению непрерывностью бизнеса;
- санкции и последствия нарушений политики безопасности;
- определение общих ролей и обязанностей, связанных с обеспечением ИБ, включая информирование об инцидентах ИБ;
- перечень частных политик ИБ, развивающих и детализирующих положения корпоративной политики ИБ, а также указание подразделений организации БС РФ, ответственных за их соблюдение и/или реализацию;
- положения по контролю реализации корпоративной политики информационной безопасности организации БС РФ;
- ответственность за реализацию и поддержку документа;
- условия пересмотра (выпуска новой редакции) документа.
К разработке и согласованию корпоративной политики ИБ рекомендуется привлекать представителей следующих служб организации БС РФ, связанных с ее информационной сферой:
- руководство организации БС РФ;
- профильные подразделения;
- служба информатизации;
- служба безопасности (информационной безопасности).
Корпоративная политика ИБ должна быть утверждена руководителем организации БС РФ (например, председателем, генеральным директором, президентом, руководителем филиала).
На основе корпоративной политики безопасности информационных и коммуникационных технологий должны быть разработаны указания, обязательные для выполнения всеми менеджерами и служащими. Это может потребовать подписи на документе от каждого служащего, который признает за собой ответственность за безопасность внутри организации. Далее должна быть разработана и реализована Программа компетентности и обучения безопасности, в которой указываются все эти ответственности.
Должен быть назначен ответственный за корпоративную политику безопасности информационных и коммуникационных технологий и за обеспечение того, что эта политика отражает требования и действующий статус организации. Этот ответственный обычно является официальным лицом корпоративной безопасности информационных и коммуникационных технологий, который, кроме прочего, должен отвечать и за последующую деятельность, которая включает проверку соответствия безопасности, повторные анализы и аудиты, обработку инцидентов и слабостей безопасности и любые изменения в корпоративной политике безопасности информационных и коммуникационных технологий, которые могут оказаться необходимыми в результате проведения этих действий.
2.3 Разработка частных политик
Второй уровень документов по обеспечению ИБ составляют документы, определяющие правила, требования и принципы, используемые применительно к отдельным областям ИБ, видам и технологиям деятельности организации БС РФ. информационный безопасность кредитный политика
Кроме того, в состав документов данного уровня рекомендуется включить планы работ по обеспечению ИБ организации БС РФ и стандарты технологий обеспечения ИБ организации БС РФ.
Не рекомендуется повторение одинаковых правил в различных частных политиках. Включение в частную политику правила, содержащегося в другой (существующей) политике, целесообразно осуществлять посредством соответствующей ссылки. Например, для того чтобы в «Политику обеспечения ИБ информационных банковских технологических процессов» включить требования по антивирусной защите, следует сделать ссылку на «Политику антивирусной защиты» (при ее наличии).
Частные политики формируются на основании принципов, требований и задач, определенных в корпоративной политике ИБ организации БС РФ, с учетом детализации, уточнения и дополнительной классификации активов и угроз, определения владельцев активов, анализа, оценки рисков и возможных последствий реализаций угроз в границах области действия регламентируемой области или технологии.
В частные политики ИБ организации БС РФ рекомендуется включать положения, определяющие:
- цели и задачи ИБ, на обеспечение которых направлена частная политика;
- область действия политики, определение объектов (активов) защиты, уязвимостей, угроз и оценка рисков, связанных с объектами защиты;
- сведения о виде деятельности, на обеспечение ИБ которой направлено действие положений частной политики, о совокупности банковских технологий, применяемых в рамках выполнения данного вида деятельности, и об основных технологических процессах, реализующих указанные технологии;
- определение субъектов (ролей), на которых распространяется действие документа. В качестве субъектов (ролей) могут рассматриваться как структурные подразделения организации БС РФ, так и отдельные исполнители;
- содержательную часть документа (требования и правила);
- обязанности по обеспечению ИБ в рамках области действия частной политики ИБ, описание функций субъектов (ролей) над управляемыми объектами в рамках регламентируемых технологических процессов;
- состав ссылочных документов;
- положения по контролю реализации частной политики ИБ;
- ответственность за реализацию и поддержку документа;
- условия пересмотра документа.
В состав планов работ по обеспечению ИБ организации БС РФ рекомендуется включать, но не ограничиваться ими:
- планы по реализации и внедрению процедур, требований и мер обеспечения ИБ;
- планы мероприятий на случаи возможных инцидентов ИБ;
- планы мероприятий по обеспечению деятельности в рамках управления ИБ;
- планы мероприятий по управлению документами, связанными с обеспечением ИБ;
- планы работ по обслуживанию аппаратных средств и программных систем, используемых для обеспечения ИБ;
- планы мероприятий по обучению и повышению осведомленности служащих организации БС РФ.
В планах работ по обеспечению ИБ рекомендуется описывать перечень, порядок, объем (в той или иной форме), сроки выполнения мероприятий по реализации задач обеспечения ИБ организации БС РФ, а также указывать руководителей, исполнителей и ответственность за выполнение этих мероприятий.
Планы по обеспечению ИБ как минимум должны определять:
- последовательность выполнения мероприятий в рамках деятельности по обеспечению ИБ;
- сроки начала и окончания запланированных мероприятий;
- субъектов (лиц или структурные подразделения), ответственных за выполнение каждого указанного мероприятия.
Стандарты технологий обеспечения ИБ организации БС РФ устанавливают требования и характеристики, предназначенные для всеобщего и многократного использования, касающиеся обеспечения ИБ организации БС РФ. Стандарты технологий обеспечения ИБ организации БС РФ могут разрабатываться как в отношении специализированных технологий обеспечения ИБ, так и в отношении технологий, реализуемых банковскими информационными системами.
Структуру и содержание стандартов технологий обеспечения ИБ организации БС РФ рекомендуется разрабатывать на основе требований ГОСТ Р 1.4-2004.
К разработке и согласованию частных политик обеспечения ИБ рекомендуется привлекать представителей:
- руководства организации БС РФ и профильных подразделений;
- служб информатизации и безопасности.
Документы второго уровня могут быть утверждены руководителем организации БС РФ (профильного подразделения организации БС РФ), его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию которых входят вопросы, отраженные в этих документах.
Контроль доступа, идентификация.
Необходимо обратить внимание на два момента:
- следует избегать множественных паролей в различных системах для одного пользователя;
- тщательно отслеживать прекращение доступа к системам покинувших организацию сотрудников.
Вредоносные программы. Современные тенденции таковы, что компаниям приходится тратить миллионы долларов на ликвидацию последствий от вредоносных программ (таких как черви, вирусы, трояны и пр.) и еще большее количество денег - на обеспечение информационной безопасности при помощи оборудования, программного обеспечения, консультаций экспертов и постоянного обучения персонала. Серьезность воздействия и усложнение вредоносных программ постоянно возрастает, и регулярных обновлений антивирусных программ уже недостаточно для защиты.
2.4 Разработка должностных инструкций и положений
Несмотря на то, что в ТК РФ не содержится упоминания о должностной инструкции, она является важным документом, содержанием которого является не только трудовая функция работника, круг должностных обязанностей, пределы ответственности, но и квалификационные требования, предъявляемые к занимаемой должности. При этом, если порядок составления инструкции нормативными правовыми актами не урегулирован, работодатель самостоятельно решает, как ее оформить и вносить в нее изменения.
Уровень организационной культуры. Исследования показали, что большинство организаций наблюдают за своими сотрудниками и пытаются контролировать использование корпоративных информационных ресурсов, в основном акцентируя внимание на использовании сети Интернет и сообщений электронной почты. В случае проведения контрольных мероприятий сотрудники обязательно должны быть об этом уведомлены.
Для организации рекомендуется определить и задокументировать список сведений, подлежащих защите, и заключать соглашение о конфиденциальности как со своими сотрудниками, так и с внешними организациями, имеющими доступ к сведениям подобного рода.
Третий уровень документов по обеспечению ИБ составляют документы, содержащие требования к процедурам обеспечения ИБ, выполняемым работниками в рамках технологических процессов, реализующих технологии, требования ИБ к которым определены в частных политиках организации БС РФ.
В документах, содержащих требования ИБ к процедурам, выполняемым как структурными подразделениями организации БС РФ, так и ее работниками, рекомендуется давать детализированные описания порядка выполняемых действий и (или) вводимых ограничений, что должно позволить четко определить правила выполнения задач обеспечения ИБ на каждом рабочем месте, для каждой роли ИБ, а также установить конкретную ответственность за выполнение предписанных требований.