Главная страница
Навигация по странице:

  • Cтр. 31 из 32

    		•

    Сведения о нормативном документе


    Скачать 0.61 Mb.
    НазваниеСведения о нормативном документе
    Дата21.05.2022
    Размер0.61 Mb.
    Формат файлаpdf
    Имя файлаupravlenie_obespecheniem_ib.pdf
    ТипСведения
    #542192
    страница5 из 5
    1   2   3   4   5
    Cтр. 30 из 32
    6.3.8 У
    ПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА
    6.3.9.1.
    Должны быть определены владельцами каждой системы следующие параметры:
    • Допустимая точка восстановления (RPO) – точка во времени до начала инцидента, на момент которой должны быть восстановлены данные в информационной системе после завершения инцидента.
    • Допустимое время восстановления (RTO) – точка во времени, после начала инцидента, характеризующая максимально допустимое время простоя сервиса.
    Эти параметры определяет владелец информационной системы.
    6.3.9.2.
    Должны формироваться планы обеспечения непрерывности функционирования информационных систем и планы восстановления информационных систем после сбоев, основанные на ранее определенных RPO и RTO и включающие в себя набор задокументированных процедур, которые предназначены использования в случае возникновения инцидента ведущего/приведшего к прерыванию деятельности, и направлены на обеспечение возможности продолжения выполнения Корпорацией критических важных видов деятельности на установленном приемлемом уровне.
    6.3.9.3.
    Должны проходить периодическое тестирование разработанных планов, с периодичностью не реже одного раза в год. Результаты такого тестирования должны документально фиксироваться, а в случае выявления их неработоспособности необходимо формировать корректирующие и предупреждающие действия, включаемые в соответствующий план.
    6.3.9.4.
    Должна осуществляться классификация событий, потребовавших применения процедур восстановления деятельности, как инцидентов информационной безопасности.
    6.3.9 О
    БУЧЕНИЕ И ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ
    БЕЗОПАСНОСТИ
    Так как работники, даже не задействованные напрямую в обеспечении информационной безопасности, своими действиями оказывают большое влияние на информационную безопасность организации, то все сотрудники так или иначе задействованные в обработке информации ограниченного доступа или работающие с системами, содержащими такую информацию, должны на регулярной основе проходить обучение по вопросам информационной безопасности.
    6.3.10.1. Должны проводиться тренинги по информационной безопасности в отношении вновь принятых работников, а также работников, изменение должностных обязанностей которых потребовало этого. В ходе таких тренингов должно проводиться ознакомление работников Компании с относящимися к ним документами, регламентирующими вопросы информационной безопасности.
    6.3.10.2. Должны проводится плановые периодические (по крайней мере ежегодные) тренинги по информационной безопасности для уже работающих сотрудников. Такие тренинги, должны включать в себя применимые для их участников вопросы ИБ, обработки и защиты ПДн и информации, относящейся к коммерческой тайне. Должен проводится контроль выполнения планов обучения по ИБ.
    6.3.10.3. Должны применяться заранее подготовленные и согласованные материалы для обучения по вопросам информационной безопасности.
    6.3.10.4. Должна осуществляться документальная фиксация результатов обучения в области ИБ.
    Каждый тренинг должен заканчиваться тестированием его участников.
    6.3.10.5. Должно осуществляться своевременное ознакомление работников Компании с применимыми к их должностным обязанностям новыми или актуализированными внутренними документами в области
    ИБ.

    Cтр. 31 из 32
    6.3.10
    В
    ОВЛЕЧЕННОСТЬ
    МЕНЕДЖМЕНТА
    В
    ВОПРОСЫ
    ИНФОРМАЦИОННОЙ
    БЕЗОПАСНОСТИ
    6.3.11.1. Должны быть утверждены руководством все документы в области информационной безопасности для придания им юридической значимости. Уровень руководителя, утверждающего документ, определяется в зависимости от области действия каждого документа: все работники, на которых распространяется документ должны находиться в прямом или косвенном подчинении утверждающего лица.
    6.3.11.2. Должен быть назначен куратором информационной безопасности, осуществляющим общий надзор за выполнением функций по информационной безопасности, один из руководителей лица, ответственного за обеспечения ИБ в целом.
    6.3.11.3. Должен быть сформирован и выделен бюджет на информационную безопасность.
    6.3.11.4. Должна быть сформирована стратегия развития информационной безопасности, утвержденная куратором ИБ. Данная стратегия должна устанавливать направление развития информационной безопасности как минимум на следующие 3 года.
    6.3.11.5. Должен быть вовлечен куратор ИБ в анализ результатов выполнения следующих процессов информационной безопасности:
    • Проведение внешних и внутренних аудитов ИБ.
    • Оценка рисков ИБ.
    • Управление инцидентами ИБ.
    • Оценка эффективности процессов ИБ.
    6.3.11
    У
    ПРАВЛЕНИЕ СООТВЕТСТВИЕМ РЕГУЛЯТОРНЫМ ТРЕБОВАНИЯМ
    6.3.12.1. Должен быть определен и документирован перечень применимых стандартов и законодательных актов в области ИБ, которым необходимо обеспечить соответствие.
    6.3.12.2. Должен быть организован процесс отслеживания изменений законодательных актов и стандартов в области ИБ, в рамках которого должно осуществляться:
    • Формирование мер по приведению в соответствие изменившимся требованиям.
    • Планирование и реализация мероприятий по приведению в соответствие.
    • Контроль и регистрация выполнения вышеописанных планов.
    6.3.12.3. Должны проводится проверки соответствия применимым требованиям стандартов и законодательства в области ИБ в рамках проведения внешних или внутренних аудитов ИБ.

    О
    ТЧЕТ О ПРИМЕНЯЕМЫХ ЗАЩИТНЫХ МЕРАХ И ТРЕБОВАНИЯХ
    ИБ
    Cтр. 32 из 32
    7 ПРОВЕРКА И ОЦЕНКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
    Проверка и оценка ИБ проводится в следующей форме:
    • Самооценка ИБ.
    • Аудит ИБ.
    Самооценка ИБ проводится сотрудниками Компании самостоятельно по требованиям «Корпоративной методики проведения аудита ИБ» и «Корпоративного регламента проведения аудита ИБ».
    Сбор свидетельств в рамках проведения самооценки ИБ, не является обязательным и осуществляется по решению руководителя группы проводящей самооценку ИБ.
    При подготовке к аудиту ИБ рекомендуется проведение самооценки ИБ.
    С целью получения независимой оценки информационной безопасности, проверка и оценка ИБ может проводится в форме аудита ИБ. Аудит ИБ проводится внешними по отношению к проверяемой Компании независимыми организациями, компетентными в проведении подобных работ (в том числе и компаниями входящими в
    Корпорацию), по требованиям «Корпоративной методики проведения аудита ИБ» и «Корпоративного регламента проведения аудита ИБ».
    Работы по аудиту ИБ проводится по договору, фиксирующему сроки и область проведения аудита ИБ, а так же ответственность привлекаемой для аудита организации за независимость и объективность оценки.
    Работы по аудиту ИБ проводятся с обязательным сбором свидетельств аудита подтверждающих сделанные в рамках аудита выводы.
    Проверка и оценка ИБ должна проводится не реже одного раза в два года.
    Результаты проведения проверки и оценки ИБ должны быть документально оформлены в соответствии с требованиями «Корпоративного регламента проведения аудита ИБ».
    1   2   3   4   5

    написать администратору сайта