6. Проверка и оценка информационной безопасности организации бс рф
Самооценка |
|
Аудит |
|
Цель / Способы проведения аудита / Аудиторский отчет |
|
Внутренний |
Внешний |
Мониторинг |
Хорошей практикой подготовки к аудиту ИБ и проверки уровня ИБ организации БС РФ является проведение самооценки ИБ.
-
Самооценка ИБ проводится собственными силами и по инициативе руководства организации.
-
При проведении самооценки ИБ должны использоваться журналы регистрации инцидентов ИБ, ведущиеся службами безопасности организации и формируемые на основе данных мониторинга ИБ, проверяться эффективность реализованных защитных мер путем тестовых проверок (могут быть проверки на проникновение).
Аудит информационной безопасности организации банковской системы Российской Федерации - периодический, независимый от объекта аудита и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в организациях БС РФ установленных требований по обеспечению информационной безопасности.
Мониторинг ИБ должен проводиться персоналом организации, ответственным за ИБ, с целью обнаружения и регистрации отклонений функционирования защитных мер от требований ИБ и оценки полноты реализации положений политики ИБ, инструкций и руководств обеспечения ИБ в организации.