Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Приказ ФСТЭК России № 239 от 2... ИПО.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Приказ ФСТЭК России № 239 от 25.12.2017

Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости

ИПО.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.6
РОН.6  Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер обеспечения операционной надежности в рамках процесса обеспечения операционной надежности.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.16
РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации
3-О 2-О 1-О
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.17
ОРО.17 Организация целевого обучения работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в частности организация целевого обучения по вопросам противодействия реализации информационных угроз для работников, входящих в группы повышенного риска*.
ОРО.8
ОРО.8 Организация и выполнение деятельности по повышению эффективности работников, направленной на исправление недостатков, выявленных по результатам оценки, предусмотренной мерой ОРО.7 настоящей таблицы, и осуществление последующего контроля.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 8 п. 4 пп. 2 ппп. 3
 8.4.2.3 В совокупности команды должны быть компетентны: 
  • а) при оценке особенностей и степени нарушения деятельности организации и его потенциального воздействия; 
  • b) оценке влияния по отношению к установленным пороговым значениям, инициации ответных действий; 
  • с) активации соответствующих ответных действий в области обеспечения непрерывности деятельности; 
  • d) планировании необходимых действий; 
  • е) установлении приоритетов (используя безопасность в качестве главного приоритета); 
  • f) мониторинге последствий нарушения деятельности организации и реагировании организации на нарушение деятельности; 
  • g) активации решения по обеспечению непрерывности деятельности; 
  • h) обмене информацией с соответствующими заинтересованными сторонами, органами власти и средствами массовой информации. 
NIST Cybersecurity Framework (RU):
PR.AT-1
PR.AT-1: Все пользователи проинформированы и обучены 
RS.CO-1
RS.CO-1: Персонал знает свои роли и порядок действий, при выполнении мероприятий по реагированию 
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ОСО.11
ОСО.11 Повышение осведомленности по вопросам противостояния реализации информационных угроз членов совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, в том числе по вопросам организации и контроля за управлением риском реализации информационных угроз, за обеспечением операционной надежности и защиты информации.
ОСО.12
ОСО.12 Организация и контроль со стороны исполнительного органа финансовой организации деятельности по обучению и повышению осведомленности работников финансовой организации в части противостояния реализации информационных угроз, включая разработку и реализацию соответствующих планов по периодическому обучению и повышению осведомленности работников финансовой организации.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
7.2 Компетенция
7.2 Компетенция
Организация должна:
  • a) определить необходимую компетенцию лиц (-а), выполняющих работы под ее (организации) контролем, влияющим на их (лиц) исполнение информационной безопасности;
  • b) обеспечить компетентность этих лиц на основе соответствующих образования, обучения или опыта;
  • c) где это применимо, предпринимать действия по овладению необходимой компетенцией и оценивать эффективность предпринятых действий; а также
  • d) сохранять соответствующую документированную информацию в качестве подтверждения компетенции.
ПРИМЕЧАНИЕ Применимыми действиями могут быть, например, предоставление обучения, наставничество или переназначения действующих сотрудников, или найм или привлечение по контракту компетентных лиц.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.2 Competence
7.2 Competence
The organization shall:
  • a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
  • b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
  • c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
  • d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 17.5 CSC 17.5 Train Workforce on Secure Authentication
Train workforce members on the importance of enabling and utilizing secure authentication.
CSC 19.6 CSC 19.6 Publish Information Regarding Reporting Computer Anomalies and Incidents
Publish information for all workforce members, regarding reporting computer anomalies and incidents, to the incident handling team. Such information should be included in routine employee awareness activities.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.1 ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы
NIST Cybersecurity Framework (EN):
RS.CO-1 RS.CO-1: Personnel know their roles and order of operations when a response is needed
PR.AT-1 PR.AT-1: All users are informed and trained

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.