и невозможности оценки адекватности
принятых защитных мер.Специальные принципы обеспечения информационной безопасности организации
Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации.
| Определенность целей | Функциональные цели и цели ИБ
организации должны быть явно определены во
внутрибанковском документе. Неопределенность
приводит к "расплывчатости"
организационной структуры, ролей персонала,
политик
ИБ и невозможности оценки адекватности
принятых защитных мер. |
| Знание своих клиентов и служащих | Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (служащих), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами. |
| Персонификация и адекватное разделение ролей и ответственности | Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться. |
| Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки | Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки |
| Доступность услуг и сервисов | Организация должна обеспечить доступность для своих клиентов и контрагентов услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями) и/или иными документами. |
| Наблюдаемость и оцениваемость обеспечения ИБ | Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно наблюдаем (прозрачен) и мог быть оценен подразделением организации, имеющим соответствующие полномочия. |
(Стандарт Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", п.6.2) (принят и введен в действие распоряжением Банка России от 26 января 2006 г. N Р-27)
АИСС БКБ, www.orioncom.ru, tel (495) 783-5510