Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Методика оценки уровня зрелости кибербезопасности Сбербанка

Framework

Риск-ориентированный подход

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Направление: Риск-ориентированный подход
Уровень 1
Определены актуальные угрозы КБ для компании, как минимум в виде рабочих документов.

Обязательно для уровня зрелости 1 2 3 4 5
Определены работники КБ, ответственные за выявление актуальных угроз и рисков КБ.

Обязательно для уровня зрелости 1 2 3 4 5
Уровень 2
Разработана и утверждена общая модель угроз и нарушителя КБ.

Обязательно для уровня зрелости 2 3 4 5
Проводится регулярная (не реже 1 раза в год) оценка рисков КБ для компании (возможно, используется экспертная оценка), методика экспертной оценки рисков КБ разработана и утверждена.

Обязательно для уровня зрелости 2 3 4 5
Выявленные риски КБ регистрируются в едином реестре рисков, описываются митигирующие меры, условия пересмотра и владелец риска. Руководитель компании информируется о выявленных рисках.

Обязательно для уровня зрелости 2 3 4 5
Для выявленных рисков КБ (как минимум для наиболее критичных) назначаются владельцы. Определены функции и обязанности владельцев рисков, возможно, неформально.

Обязательно для уровня зрелости 2 3 4 5
Уровень 3
Процесс управления рисками КБ полностью регламентирован. Определены функции и обязанности владельцев рисков КБ.

Обязательно для уровня зрелости 3 4 5
Разработаны частные модели угроз для критичных АС и сервисов.

Обязательно для уровня зрелости 3 4 5
Разработана и используется методика качественной/количественной оценки рисков КБ, учитывающая определение вероятности реализации риска КБ и возможное влияние от реализации события.

Обязательно для уровня зрелости 3 4 5
Обработка рисков КБ производится в соответствии с параметрами, зафиксированными в реестре рисков. Отклонения фиксируются, по ним принимаются и документально оформляются решения.

Обязательно для уровня зрелости 3 4 5
Уровень 4
Управление рисками КБ интегрировано в корпоративную систему управления рисками.

Обязательно для уровня зрелости 4 5
Создан коллегиальный орган для рассмотрения вопросов и принятия решений по управлению рисками КБ, обеспечивающий баланс между развитием бизнеса и достаточным уровнем КБ.

Обязательно для уровня зрелости 4 5
Установлен аппетит к рискам КБ.

Обязательно для уровня зрелости 4 5
Уровень 5
Разработана и внедрена методика проведения сценарного анализа риска КБ для оценки возможных последствий от реализации потенциальных событий риска КБ, методика разработки и мониторинга ключевых индикаторов риска КБ.

Обязательно для уровня зрелости 5
Внедрена и используется система GRC, интегрированная с решением для управления ИТ-активами. Выявленные риски КБ регистрируются с учётом взаимосвязи с конкретными ИТ-активами, уязвимостями в ИТ-активах. Риск КБ отслеживается в режиме реального времени с учётом изменений в ИТ-активах.

Обязательно для уровня зрелости 5

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.