еализации угроз ИБ в прошлом;
знания о способах обеспечения информационной безопасности в платежных, информационных и телекоммуникационных системах организации БС РФ;
понимание различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.
4.8.2. Рекомендуется, чтобы эксперты, привлекаемые для оценки СТП нарушения ИБ из числа сотрудников профильных подразделений, имели:
знания законодательства РФ в области своей профессиональной деятельности;
знания нормативных актов и предписаний регулирующих и надзорных органов в области своей профессиональной деятельности;
знания внутренних документов организации БС РФ, регламентирующих их профессиональную деятельность;
знания бизнес-процессов организации БС РФ, а также организации платежных и информационных технологических процессов в области своей профессиональной деятельности;
понимание степени влияния возможных инцидентов ИБ на функционирование бизнес-процессов организации БС РФ в области своей профессиональной деятельности;
знания о платежных, информационных и телекоммуникационных системах организации БС РФ в области своей профессиональной деятельности.
4.8.3. Рекомендуется, чтобы каждый эксперт, привлекаемый для оценки рисков нарушения ИБ, соответствовал следующим характеристикам:
имел высшее образование;
четырехлетний опыт постоянной работы в своей профессиональной области;
поддерживал и совершенствовал собственные знания;
имел способность идентифицировать в организации БС РФ людей, которые могут предоставить необходимую информацию;
обладал навыками делового и управленческого взаимодействия.
4.8.4. Если работники организации БС РФ не обладают необходимыми знаниями и опытом для оценки СВР угроз ИБ, рекомендуется привлекать консультантов или экспертов, которые не являются работниками организации БС РФ.
5. Процедуры оценки рисков нарушения ИБ
5.1. Исходными данными для оценки рисков нарушения ИБ является информация, определенная в п. 4.4 настоящей методики.
5.2. Для проведения оценки рисков нарушения ИБ выполняются следующие процедуры.
Процедура 1. Определение перечня типов информационных активов, для которых выполняются процедуры оценки рисков нарушения ИБ (далее - область оценки рисков нарушения ИБ).
Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов области оценки рисков нарушения ИБ.
Процедура 3. Определение источников угроз для каждого из типов объектов среды, определенных в рамках выполнения процедуры 2.
Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды, определенных в рамках выполнения процедуры 2.3.
Процедура 5. Определение СТП нарушения ИБ для типов информационных активов области оценки рисков нарушения ИБ.
Процедура 6. Оценка рисков нарушения ИБ.
5.3. Процедура 1. Область оценки рисков нарушения ИБ может быть определена как:
- перечень типов информационных активов организации БС РФ в целом;
- перечень типов информационных активов подразделения организации БС РФ;
- перечень типов информационных активов, соответствующих отдельным процессам деятельности организации БС РФ в целом или подразделения организации БС РФ.
5.3.1. Для каждого из типов информационных активов определяется перечень свойств ИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации БС РФ.
Основными свойствами ИБ в рамках настоящей методики являются:
- конфиденциальность;
- целостность;
- доступность.
При необходимости для конкретных типов информационных активов в организации БС РФ могут определяться другие (дополнительные) свойства ИБ.
5.3.2. Перечень типов информационных активов области
> 1 ... 2 3 4 5 ... 21 22 23