Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CIS Critical Security Controls v7.1 (SANS Top 20)

Framework

CSC 19.2

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
17.5
17.5 Assign Key Roles and Responsibilities
Assign key roles and responsibilities for incident response, including staff from legal, IT, information security, facilities, public relations, human resources, incident responders, and analysts, as applicable. Review annually, or when significant enterprise changes occur that could impact this Safeguard. 
17.1
17.1 Designate Personnel to Manage Incident Handling
Designate one key person, and at least one backup, who will manage the enterprise’s incident handling process. Management personnel are responsible for the coordination and documentation of incident response and recovery efforts and can consist of employees internal to the enterprise, third-party vendors, or a hybrid approach. If using a third-party vendor, designate at least one person internal to the enterprise to oversee any third-party work. Review annually, or when significant enterprise changes occur that could impact this Safeguard. 
NIST Cybersecurity Framework (RU):
DE.DP-1
DE.DP-1:  Для обеспечения подотчетности четко определены роли и обязанности по выявлению
RS.CO-1
RS.CO-1: Персонал знает свои роли и порядок действий, при выполнении мероприятий по реагированию 
ID.GV-2
ID.GV-2: Роли и обязанности в области информационной безопасности скоординорованы и согласованы с внутренними ролями и внешними партнерами 
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
17.5
17.5 Утверждены ключевые роли и их обязанности
План регулирования инцидентов включает сценарии с привлечением юристов, специалистов по ИТ и ИБ, служб PR, HR и аналитиков, если необходимо.
17.1
17.1 Назначен работник, ответственный за обработку инцидентов
Назначены минимум 1 ответственный и 1 замещающий среди сотрудников или от сторонней компании-аутсорсера. 

В случае передачи инцидентов безопасности на аутсорсинг от организации назначен ответственный за коммуникацию с аутсорсером.
Передана ответственность за координацию процесса работы с инцидентами и документирование результатов в процессе решения инцидента.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.1.3
12.1.3
Defined Approach Requirements: 
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities. 

Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data. 

Defined Approach Testing Procedures:
  • 12.1.3.a Examine the information security policy to verify that they clearly define information security roles and responsibilities for all personnel. 
  • 12.1.3.b Interview personnel in various roles to verify they understand their information security responsibilities. 
  • 12.1.3.c Examine documented evidence to verify personnel acknowledge their information security responsibilities. 
Purpose:
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies. 
Guideline for a healthy information system v.2.0 (EN):
39 STANDARD
/STANDARD
All organizations must have a point of contact in information system security who will be supported by the management or an executive committee, depending on the maturity level of the organisation. 

This point of contact must be known to all the users and will be the first person to call for all questions relating to information system security: 
  • defining the rules to apply according to the context; 
  • verifying the application of rules; 
  • raising users’ awareness and defining a training plan for IT stakeholders; 
  • centralising and dealing with security incidents noticed or raised by users. 
This point of contact must be trained in information system security and crisis management. 

In larger organizations, this correspondent can be designated to become the CISO representative. He or she may, for example, raise users’ grievances and identify the themes to deal with in the context of awareness raising, therefore allowing the security level of the information system to be raised within the organization. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.1
A.16.1.1 Обязанности и процедуры 
Мера обеспечения информационной безопасности: Должны быть установлены обязанности и процедуры менеджмента для обеспечения уверенности в быстром, эффективном и надлежащем реагировании на инциденты информационной безопасности 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.1.3
12.1.3
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.

Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.

Определенные Процедуры Тестирования Подхода:
  • 12.1.3.a Изучите политику информационной безопасности, чтобы убедиться, что в ней четко определены роли и обязанности в области информационной безопасности для всего персонала.
  • 12.1.3.b Провести собеседование с персоналом, выполняющим различные функции, чтобы убедиться, что они понимают свои обязанности в области информационной безопасности.
  • 12.1.3.c Изучите документально подтвержденные доказательства, чтобы убедиться, что персонал признает свои обязанности в области информационной безопасности.
Цель:
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.24
А.5.24 Планирование и подготовка в отношении инцидентов ИБ
Организация должна организовать процесс управления инцидентами ИБ путем определения, установления и коммуникации процессов управления инцидентами ИБ, ролей и обязанностей.
NIST Cybersecurity Framework (EN):
RS.CO-1 RS.CO-1: Personnel know their roles and order of operations when a response is needed
ID.GV-2 ID.GV-2: Cybersecurity roles and responsibilities are coordinated and aligned with internal roles and external partners
DE.DP-1 DE.DP-1: Roles and responsibilities for detection are well defined to ensure accountability
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.24
А.5.24 Information security incident management planning and preparation
The organization shall plan and prepare for managing information security incidents by defining, establishing and communicating information security incident management processes, roles and responsibilities.

Связанные защитные меры

Ничего не найдено