Приказ ФСТЭК России № 31 от 14.03.2014

РМ.2 Разработка плана реагирования на риск реализации информационных угроз, обеспечивающего достижение и поддержание допустимого уровня такого риска (риск-аппетита финансовой организации).

6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:

РИ.7 Определение и назначение ролей, связанных с реагированием на инциденты защиты информации
3-О 2-Н 1-Н

РИ.5 Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений
3-О 2-Т 1-Т

РИ.6 Установление и применение единых правил реагирования на инциденты защиты информации
3-О 2-О 1-О

РИ.13 Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации
3-О 2-О 1-О

PR.IP-9:  Созданы и управляются планы реагирования (реагирование на инциденты и непрерывность бизнеса) и планы восстановления (восстановление после инцидентов и аварийное  восстановление) 

DE.AE-5: Установлены пороги оповещения об инциденте 

ВРВ.21.5 Форматов и способов реализации информационного обмена о предпринятых действиях и статусе восстановления после инцидентов внутри финансовой организации, а также с причастными сторонами в рамках восстановления после реализации инцидентов;

ВРВ.21.1 Целевых показателей восстановления после реализации инцидентов;

ВРВ.43 Организация и выполнение деятельности по информированию должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, по каждому факту реализации инцидентов:

ВРВ.44 Организация и выполнение деятельности по информированию причастных сторон (за исключением клиентов финансовой организации):

ВРВ.21.6 Определение критериев оценки завершения восстановления и условий закрытия инцидента;

ВРВ.31 Организация и выполнение деятельности по проведению оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации согласно определенным критериям перед принятием решения о закрытии соответствующего инцидента.

ВРВ.7.1 Целевых показателей реагирования на инциденты;

ВРВ.21.2 Ролей, связанных с восстановлением после реализации инцидентов;

ВРВ.21.3 Правил и процедур (playbooks) восстановления после реализации инцидентов;

ВРВ.21.7 Определение показателей оценки эффективности восстановления после реализации инцидентов.

ВРВ.45 Организация и выполнение деятельности по информированию клиентов финансовой организации в рамках взаимодействия при реализации инцидентов:

ВРВ.21.4 Перечня причастных сторон (за исключением клиентов финансовой организации), с которыми финансовая организация осуществляет взаимодействие в рамках восстановления после реализации инцидентов;

ВПУ.2 Разработка и применение процедур реагирования в случае реализации информационных угроз, в том числе компьютерных атак со стороны поставщиков услуг, а также в случае идентификации риска распространения вредоносного кода на вычислительные сети финансовой организации*.

ВРВ.7.2 Методологии проведения предварительной оценки потенциала влияния (критичности) инцидента, включая его классификацию согласно типовому перечню и классификационным признакам;

12.10.1
Defined Approach Requirements: 
An incident response plan exists and is ready to be activated in the event of a suspected or confirmed security incident. The plan includes, but is not limited to:

Customized Approach Objective:
A comprehensive incident response plan that meets card brand expectations is maintained. 

Defined Approach Testing Procedures:

Purpose:
Without a comprehensive incident response plan that is properly disseminated, read, and understood by the parties responsible, confusion and lack of a unified response could create further downtime for the business, unnecessary public media exposure, as well as risk of financial and/or reputational loss and legal liabilities. 

Good Practice:
The incident response plan should be thorough and contain all the key elements for stakeholders (for example, legal, communications) to allow the entity to respond effectively in the event of a breach that could impact account data. It is important to keep the plan up to date with current contact information of all individuals designated as having a role in incident response. Other relevant parties for notifications may include customers, financial institutions (acquirers and issuers), and business partners. 
Entities should consider how to address all compromises of data within the CDE in their incident response plans, including to account data, wireless encryption keys, encryption keys used for transmission and storage or account data or cardholder data, etc. 

Examples:
Legal requirements for reporting compromises include those in most US states, the EU General Data Protection Regulation (GDPR), and the Personal Data Protection Act (Singapore). 

Further Information:
For more information, refer to the NIST SP 800- 61 Rev. 2, Computer Security Incident Handling Guide. 

A.16.1.5 Реагирование на инциденты информационной безопасности 
Мера обеспечения информационной безопасности: Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами 

12.10.1
Определенные Требования к Подходу:
План реагирования на инциденты существует и готов к активации в случае предполагаемого или подтвержденного инцидента безопасности. План включает в себя, но не ограничивается:

Цель Индивидуального подхода:
Поддерживается комплексный план реагирования на инциденты, соответствующий ожиданиям бренда card.

Определенные Процедуры Тестирования Подхода:

Цель:
Без всеобъемлющего плана реагирования на инциденты, который должным образом распространен, прочитан и понят ответственными сторонами, путаница и отсутствие единого ответа могут привести к дальнейшему простою бизнеса, ненужному освещению в средствах массовой информации, а также риску финансовых и/или репутационных потерь и юридической ответственности.

Надлежащая практика:
План реагирования на инциденты должен быть тщательным и содержать все ключевые элементы для заинтересованных сторон (например, юридические, коммуникационные), чтобы организация могла эффективно реагировать в случае нарушения, которое может повлиять на данные учетной записи. Важно поддерживать план в актуальном состоянии с учетом текущей контактной информации всех лиц, назначенных для участия в реагировании на инциденты. Другими соответствующими сторонами для уведомлений могут быть клиенты, финансовые учреждения (покупатели и эмитенты) и деловые партнеры.
Организациям следует рассмотреть вопрос о том, как устранить все нарушения данных в рамках CDE в своих планах реагирования на инциденты, включая данные учетной записи, беспроводные ключи шифрования, ключи шифрования, используемые для передачи и хранения, или данные учетной записи или данные о держателях карт и т.д.

Примеры:
Юридические требования к сообщению о компрометации включают требования большинства штатов США, Общего регламента ЕС по защите данных (GDPR) и Закона о защите персональных данных (Сингапур).

Дополнительная информация:
Для получения дополнительной информации обратитесь к Руководству по обработке инцидентов компьютерной безопасности NIST SP 800- 61 Rev. 2.

А.5.26 Реагирование на инциденты ИБ
Реагирование на инциденты ИБ должно осуществляться в соответствии с документированными процедурами.

5.1. Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).

Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:

1.6. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать в отношении выявления, регистрации событий операционного риска, связанных с нарушением операционной надежности, и реагирования на них, а также восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации указанных событий выполнение следующих требований:

Реагирование на инциденты ИБ должно осуществляться в соответствии с документально оформленными процедурами.

Реагирование на инциденты ИБ должно осуществляться назначенными контактными лицами и другими соответствующими лицами из числа самой организации или сторонних организаций (см. 16.1.1).

Реагирование должно включать в себя следующее:

После инцидента должен проводиться анализ для выявления первопричины инцидента.

Первоочередной целью реагирования на инцидент является возобновление "нормального уровня безопасности", а затем инициирование необходимого восстановления.

А.5.26 Response to information security incidents
Information security incidents shall be responded to in accordance with the documented procedures.

7.9.1. В целях обеспечения информационной безопасности: