Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации
РЗИ.4
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
ПОН.7
ПОН.7 Определение состава, подходов и требований к организации ресурсного обеспечения процесса обеспечения операционной надежности, в том числе технологического, технического и кадрового обеспечения*.
РОН.3
РОН.3 Назначение ответственных лиц за выполнение ролей по обеспечению операционной надежности с учетом необходимости обеспечения снижения риска возникновения конфликта интересов*.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.1.4
ОПР.1.4 Выделение ресурсного (кадрового и финансового) обеспечения для выполнения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;
ОПР.20.1
ОПР.20.1 Признание и закрепление важной роли и высокой ответственности каждого работника финансовой организации в части управления риском реализации информационных угроз, включая принятие мер, на реализации информационных угроз;
ОПР.4
ОПР.4 Установление функций и полномочий подразделений, формирующих «первую линию защиты», включающих:
- идентификацию риска реализации информационных угроз (в пределах своей компетенции) в рамках реализуемых ими бизнеси технологических процессов;
- сбор информации и информирование о внутренних событиях риска реализации информационных угроз и потерях подразделения, ответственного за регистрацию такой информации в базе событий риска реализации информационных угроз (службы ИБ);
- оценку риска реализации информационных угроз (в пределах компетенции) в рамках реализуемых ими бизнес- и технологических процессов;
- обеспечение соблюдения требований к планированию, реализации, контролю (в пределах компетенции) и совершенствованию мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз;
- мониторинг риска реализации информационных угроз (в пределах компетенции) и формирование соответствующей отчетности в рамках выполняемых ими бизнес- и технологических процессов;
- информирование службы ИБ об остаточном риске реализации информационных угроз, не уменьшенном выполняемыми мероприятиями, направленными на уменьшение негативного влияния риска реализации информационных угроз;
- информирование о необходимости пересмотра ресурсного (кадрового и финансового) обеспечения для управления риском реализации информационных угроз
ОПР.7
ОПР.7 Установление функций и полномочий подразделений, формирующих «третью линию защиты», в части управления риском реализации информационных угроз, включающих:
- проведение ежегодной оценки эффективности функционирования системы управления риском реализации информационных угроз*****;
- оценку независимости деятельности подразделений, формирующих «вторую линию защиты», в части валидации данных и применения методологии в рамках управления риском реализации информационных угроз;
- верификацию методологии и данных (последующая оценка адекватности методологии на предмет ее согласованности с внутренними политиками и требованиями финансовой организации, проверка полноты и корректности данных о риске реализации информационных угроз и событиях такого риска);
- верификацию внутренней отчетности в рамках управления риском реализации информационных угроз, представляемой на рассмотрение совету директоров (наблюдательному совету);
- содействие своевременному и адекватному реагированию подразделениями, формирующими «первую» и «вторую линии защиты», на недостатки функционирования системы управления риском реализации информационных угроз (в части их устранения)
ОПР.3
ОПР.3 Определение должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз** финансовой организации:
- имеющего прямое подчинение лицу, осуществляющему функции единоличного исполнительного органа финансовой организации;
- не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования объектов информатизации;
- обладающего достаточными знаниями, компетенцией, полномочиями и ресурсами (кадровыми и финансовыми) для принятия руководящих решений по вопросам управления риском реализации информационных угроз;
- имеющего возможность прямого информирования единоличного исполнительного органа финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз.
ОПР.6
ОПР.6 Установление функций и полномочий подразделений, формирующих «вторую линию защиты» в части управления риском реализации информационных угроз, включающих:
- интеграцию системы управления риском реализации информационных угроз в систему управления операционным риском;
- координацию деятельности по управлению риском реализации информационных угроз как одним из видов операционного риска;
- валидацию данных (анализ данных о риске реализации информационных угроз или событиях такого риска на предмет их полноты и адекватности);
- валидацию применения методологии в рамках управления риском реализации информационных угроз как одним из видов операционного риска (оценка корректности и адекватности в части согласованности методологии в рамках управления риском реализации информационных угроз с методологией управления операционным риском);
- валидацию КИР;
- расчет и обоснование сигнальных и контрольных значений КПУР (за исключением сигнальных и контрольных значений КПУР, расчет и обоснование которых осуществляется службой ИБ согласно ОПР.5.2 настоящей таблицы);
- расчет фактических значений КПУР (за исключением фактических значений КПУР, расчет которых осуществляется службой ИБ согласно ОПР.5.2);
- координацию деятельности по отражению информации о событиях риска реализации информационных угроз в базе событий операционного риска;
- включение отчетности, формируемой в рамках управления риском реализации информационных угроз, в отчетность об управлении операционным риском;
- определение (во взаимодействии со службой ИБ) согласованной или единой методологии управления риском реализации информационных угроз, обеспечивающей интеграцию процессов управления риском реализации информационных угроз в рамках процессов управления операционным риском
Приказ ФАПСИ № 152 от 13.06.2001 "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну":
Глава II п. 18
18. Сотрудники органа криптографической защиты должны иметь разработанные в соответствии с настоящей Инструкцией и утвержденные лицензиатом ФАПСИ функциональные обязанности. Объем и порядок ознакомления сотрудников органов криптографической защиты с конфиденциальной информацией определяется обладателем конфиденциальной информации.
Обязанности между сотрудниками органа криптографической защиты должны быть распределены с учетом персональной ответственности за сохранность СКЗИ, ключевой документации и документов, а также за порученные участки работы.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
5.3 Организационные роли, обязанности и управленческие полномочия
5.3 Организационные роли, обязанности и управленческие полномочия
Высшее руководство должно обеспечить определение и распространение в пределах организации обязанностей и управленческих полномочий для ролей, относящихся к информационной безопасности.
Высшее руководство должно определить обязанности и управленческие полномочия для:
Высшее руководство должно обеспечить определение и распространение в пределах организации обязанностей и управленческих полномочий для ролей, относящихся к информационной безопасности.
Высшее руководство должно определить обязанности и управленческие полномочия для:
- a) обеспечения соответствия системы менеджмента информационной безопасности требованиям настоящего документа;
- b) отчета высшему руководству о функционировании системы менеджмента информационной безопасности.
ПРИМЕЧАНИЕ Высшее руководство может также определить обязанности и управленческие полномочия по отчету о функционировании системы менеджмента информационной безопасности в пределах организации.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 4.1.2
4.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 4 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 4 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 4 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 4 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 4.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 4 are documented and assigned.
- 4.1.2.b Interview personnel with responsibility for performing activities in Requirement 4 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 3.7.8
3.7.8
Defined Approach Requirements:
Key management policies and procedures are implemented to include that cryptographic key custodians formally acknowledge (in writing or electronically) that they understand and accept their key-custodian responsibilities.
Customized Approach Objective:
Key custodians are knowledgeable about their responsibilities in relation to cryptographic operations and can access assistance and guidance when required.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Key management policies and procedures are implemented to include that cryptographic key custodians formally acknowledge (in writing or electronically) that they understand and accept their key-custodian responsibilities.
Customized Approach Objective:
Key custodians are knowledgeable about their responsibilities in relation to cryptographic operations and can access assistance and guidance when required.
Defined Approach Testing Procedures:
- 3.7.8.a Examine the documented key-management policies and procedures for keys used for protection of stored account data and verify that they define acknowledgments for key custodians in accordance with all elements specified in this requirement.
- 3.7.8.b Examine documentation or other evidence showing that key custodians have provided acknowledgments in accordance with all elements specified in this requirement.
Purpose:
This process will help ensure individuals that act as key custodians commit to the key-custodian role and understand and accept the responsibilities. An annual reaffirmation can help remind key custodians of their responsibilities.
Further Information:
Industry guidance for key custodians and their roles and responsibilities includes:
This process will help ensure individuals that act as key custodians commit to the key-custodian role and understand and accept the responsibilities. An annual reaffirmation can help remind key custodians of their responsibilities.
Further Information:
Industry guidance for key custodians and their roles and responsibilities includes:
- NIST SP 800-130 A Framework for Designing Cryptographic Key Management Systems [5. Roles and Responsibilities (especially) for Key Custodians]
- ISO 11568-1 Banking -- Key management (retail) -- Part 1: Principles [5 Principles of key management (especially b)]
Requirement 12.1.4
12.1.4
Defined Approach Requirements:
Responsibility for information security is formally assigned to a Chief Information Security Officer or other information security knowledgeable member of executive management.
Customized Approach Objective:
A designated member of executive management is responsible for information security.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Responsibility for information security is formally assigned to a Chief Information Security Officer or other information security knowledgeable member of executive management.
Customized Approach Objective:
A designated member of executive management is responsible for information security.
Defined Approach Testing Procedures:
- 12.1.4 Examine the information security policy to verify that information security is formally assigned to a Chief Information Security Officer or other information security-knowledgeable member of executive management.
Purpose:
To ensure someone with sufficient authority and responsibility is actively managing and championing the organization’s information security program, accountability and responsibility for information security needs to be assigned at the executive level within an organization.
Common executive management titles for this role include Chief Information Security Officer (CISO) and Chief Security Officer (CSO – to meet this requirement, the CSO role must be responsible for information security). These positions are often at the most senior level of management and are part of the chief executive level or C-level, typically reporting to the Chief Executive Officer or the Board of Directors.
Good Practice:
Entities should also consider transition and/or succession plans for these key personnel to avoid potential gaps in critical security activities.
To ensure someone with sufficient authority and responsibility is actively managing and championing the organization’s information security program, accountability and responsibility for information security needs to be assigned at the executive level within an organization.
Common executive management titles for this role include Chief Information Security Officer (CISO) and Chief Security Officer (CSO – to meet this requirement, the CSO role must be responsible for information security). These positions are often at the most senior level of management and are part of the chief executive level or C-level, typically reporting to the Chief Executive Officer or the Board of Directors.
Good Practice:
Entities should also consider transition and/or succession plans for these key personnel to avoid potential gaps in critical security activities.
Requirement 11.1.2
11.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 11 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 11 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 11 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 11 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 11.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 11 are documented and assigned.
- 11.1.2.b Interview personnel with responsibility for performing activities in Requirement 11 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 8.1.2
8.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 8 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 8 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 8 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 8 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 8.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 8 are documented and assigned.
- 8.1.2.b Interview personnel with responsibility for performing activities in Requirement 8 to verify that roles and responsibilities are assigned as documented and are understood
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 7.1.2
7.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 7 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 7 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 7 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 7 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 7.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 7 are documented and assigned.
- 7.1.2.b Interview personnel with responsibility for performing activities in Requirement 7 to verify that roles and responsibilities are assigned as and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 1.1.2
1.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 1 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 1 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 1 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 1 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 1.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 1 are documented and assigned.
- 1.1.2.b Interview personnel responsible for performing activities in Requirement 1 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Definitions:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Definitions:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 3.1.2
3.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 3 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 3 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 3 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 3 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 3.1.2.a Examine documentation to verify that descriptions of roles and responsibilities performing activities in Requirement 3 are documented and assigned.
- 3.1.2.b Interview personnel with responsibility for performing activities in Requirement 3 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 6.1.2
6.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 6 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 6 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 6 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 6 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 6.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 6 are documented and assigned.
- 6.1.2.b Interview personnel responsible for performing activities in Requirement 6 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, systems will not be securely maintained, and their security level will be reduced.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, systems will not be securely maintained, and their security level will be reduced.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 10.1.2
10.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 10 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 10 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 10 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 10 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 10.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 10 are documented and assigned.
- 10.1.2.b Interview personnel with responsibility for performing activities in Requirement 10 to verify that roles and responsibilities are assigned as defined and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 2.1.2
2.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 2 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 2 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 2 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 2 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 2.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 2 are documented and assigned.
- 2.1.2.b Interview personnel with responsibility for performing activities in Requirement 2 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 5.1.2
5.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 5 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 5 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 5 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 5 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 5.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 5 are documented and assigned.
- 5.1.2.b Interview personnel with responsibility for performing activities in Requirement 5 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, networks and systems may not be properly protected from malware.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, networks and systems may not be properly protected from malware.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 12.1.3
12.1.3
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.
Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.
Defined Approach Testing Procedures:
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.
Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.
Defined Approach Testing Procedures:
- 12.1.3.a Examine the information security policy to verify that they clearly define information security roles and responsibilities for all personnel.
- 12.1.3.b Interview personnel in various roles to verify they understand their information security responsibilities.
- 12.1.3.c Examine documented evidence to verify personnel acknowledge their information security responsibilities.
Purpose:
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.
Requirement 9.1.2
9.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 9 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 9 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 9 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 9 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 9.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 9 are documented and assigned.
- 9.1.2.b Interview personnel with responsibility for performing activities in Requirement 9 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix)
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix)
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
5.3 Organizational roles, responsibilities and authorities
5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
- a) ensuring that the information security management system conforms to the requirements of this document;
- b) reporting on the performance of the information security management system to top management.
NOTE Top management can also assign responsibilities and authorities for reporting performance of the information security management system within the organization.
Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":
П. 19.3
19.3. В целях направления обращений участник ССНП должен обеспечить назначение должностных лиц, уполномоченных на направление и (или) подписание обращений (далее - уполномоченное лицо), и направление в Банк России информации об уполномоченных лицах, с указанием в том числе фамилий, имен, отчеств (последних - при наличии), наименований должностей, номеров телефонов, при наличии - номеров факсимильного аппарата, адресов электронной почты.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.1.2
8.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 8, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 8. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 8, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 8. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 8.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 8 задокументированы и распределены.
- 8.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 8, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 9.1.2
9.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 9, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 9. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 9, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 9. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 9.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 9 задокументированы и распределены.
- 9.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 9, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 11.1.2
11.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 11, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 11. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 11, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 11. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 11.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 11 задокументированы и распределены.
- 11.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 11, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 12.1.3
12.1.3
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.
Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.
Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
- 12.1.3.a Изучите политику информационной безопасности, чтобы убедиться, что в ней четко определены роли и обязанности в области информационной безопасности для всего персонала.
- 12.1.3.b Провести собеседование с персоналом, выполняющим различные функции, чтобы убедиться, что они понимают свои обязанности в области информационной безопасности.
- 12.1.3.c Изучите документально подтвержденные доказательства, чтобы убедиться, что персонал признает свои обязанности в области информационной безопасности.
Цель:
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Requirement 4.1.2
4.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 4, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 4. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 4, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 4. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 4.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 4 задокументированы и распределены.
- 4.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 4, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 1.1.2
1.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 1, задокументированы, распределены и поняты.
Цель Индивидуального Подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 1. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 1, задокументированы, распределены и поняты.
Цель Индивидуального Подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 1. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 1.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 1 задокументированы и распределены.
- 1.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 1, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Определения:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Определения:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 2.1.2
2.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 2, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 2. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 2, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 2. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 2.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 2 задокументированы и распределены.
- 2.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 2, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей (также называемая матрицей RACI).
Requirement 3.7.8
3.7.8
Определенные Требования к Подходу:
Политики и процедуры управления ключами внедрены таким образом, чтобы ответственные за хранение криптографических ключей официально подтверждали (в письменной или электронной форме), что они понимают и принимают свои обязанности по хранению ключей.
Цель Индивидуального подхода:
Хранители ключей осведомлены о своих обязанностях в отношении криптографических операций и при необходимости могут получить помощь и рекомендации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политики и процедуры управления ключами внедрены таким образом, чтобы ответственные за хранение криптографических ключей официально подтверждали (в письменной или электронной форме), что они понимают и принимают свои обязанности по хранению ключей.
Цель Индивидуального подхода:
Хранители ключей осведомлены о своих обязанностях в отношении криптографических операций и при необходимости могут получить помощь и рекомендации.
Определенные Процедуры Тестирования Подхода:
- 3.7.8.a Изучите документированные политики и процедуры управления ключами для ключей, используемых для защиты хранимых данных учетной записи, и убедитесь, что они определяют подтверждения для хранителей ключей в соответствии со всеми элементами, указанными в этом требовании.
- 3.7.8.b Изучите документацию или другие доказательства, свидетельствующие о том, что хранители ключей предоставили подтверждения в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Этот процесс поможет гарантировать, что лица, выполняющие функции ключевых хранителей, будут выполнять роль ключевых хранителей, а также понимать и принимать ответственность. Ежегодное подтверждение может помочь напомнить ключевым хранителям об их обязанностях.
Дополнительная информация:
Отраслевые рекомендации для ключевых хранителей, а также их роли и обязанности включают:
Этот процесс поможет гарантировать, что лица, выполняющие функции ключевых хранителей, будут выполнять роль ключевых хранителей, а также понимать и принимать ответственность. Ежегодное подтверждение может помочь напомнить ключевым хранителям об их обязанностях.
Дополнительная информация:
Отраслевые рекомендации для ключевых хранителей, а также их роли и обязанности включают:
- NIST SP 800-130 Фреймворк для проектирования систем управления криптографическими ключами [5. Роли и обязанности (особенно) Ключевых хранителей]
- ISO 11568-1 Банковское дело - Управление ключами (розничная торговля) - Часть 1: Принципы [5 Принципов управления ключами (особенно b)]
Requirement 3.1.2
3.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 3, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 3. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 3, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 3. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 3.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей, выполняющих действия в Требовании 3, задокументированы и распределены.
- 3.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 3, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 10.1.2
10.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 10, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в требовании 10. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 10, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в требовании 10. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 10.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 10 задокументированы и распределены.
- 10.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 10, чтобы убедиться, что роли и обязанности распределены в соответствии с определением и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 7.1.2
7.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 7, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 7. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 7, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 7. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 7.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 7 задокументированы и распределены.
- 7.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 7, чтобы убедиться, что роли и обязанности распределены правильно и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 5.1.2
5.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 5, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 5. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 5, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 5. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 5.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 5 задокументированы и распределены.
- 5.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 5, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, сети и системы могут не быть должным образом защищены от вредоносных программ.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, сети и системы могут не быть должным образом защищены от вредоносных программ.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 12.1.4
12.1.4
Определенные Требования к Подходу:
Ответственность за информационную безопасность официально возлагается на главного сотрудника по информационной безопасности или другого члена исполнительного руководства, обладающего знаниями в области информационной безопасности.
Цель Индивидуального подхода:
Назначенный член исполнительного руководства отвечает за информационную безопасность.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Ответственность за информационную безопасность официально возлагается на главного сотрудника по информационной безопасности или другого члена исполнительного руководства, обладающего знаниями в области информационной безопасности.
Цель Индивидуального подхода:
Назначенный член исполнительного руководства отвечает за информационную безопасность.
Определенные Процедуры Тестирования Подхода:
- 12.1.4 Изучите политику информационной безопасности, чтобы убедиться, что информационная безопасность официально возложена на Главного сотрудника по информационной безопасности или другого члена исполнительного руководства, хорошо осведомленного в области информационной безопасности.
Цель:
Чтобы гарантировать, что кто-то, обладающий достаточными полномочиями и ответственностью, активно управляет и поддерживает программу информационной безопасности организации, подотчетность и ответственность за информационную безопасность должны быть распределены на исполнительном уровне внутри организации.
Общие должности исполнительного руководства для этой роли включают Главного сотрудника по информационной безопасности (CISO) и Главного сотрудника по безопасности (CSO – для выполнения этого требования роль CSO должна отвечать за информационную безопасность). Эти должности часто находятся на самом высоком уровне руководства и являются частью уровня главного исполнительного директора или уровня C, обычно подчиняясь Главному исполнительному директору или Совету директоров.
Надлежащая практика:
Организациям следует также рассмотреть планы перехода и/или преемственности для этих ключевых сотрудников, чтобы избежать потенциальных пробелов в критически важных мероприятиях по обеспечению безопасности.
Чтобы гарантировать, что кто-то, обладающий достаточными полномочиями и ответственностью, активно управляет и поддерживает программу информационной безопасности организации, подотчетность и ответственность за информационную безопасность должны быть распределены на исполнительном уровне внутри организации.
Общие должности исполнительного руководства для этой роли включают Главного сотрудника по информационной безопасности (CISO) и Главного сотрудника по безопасности (CSO – для выполнения этого требования роль CSO должна отвечать за информационную безопасность). Эти должности часто находятся на самом высоком уровне руководства и являются частью уровня главного исполнительного директора или уровня C, обычно подчиняясь Главному исполнительному директору или Совету директоров.
Надлежащая практика:
Организациям следует также рассмотреть планы перехода и/или преемственности для этих ключевых сотрудников, чтобы избежать потенциальных пробелов в критически важных мероприятиях по обеспечению безопасности.
Requirement 6.1.2
6.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 6, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 6. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 6, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 6. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 6.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 6 задокументированы и распределены.
- 6.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 6, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, системы не будут надежно обслуживаться, и уровень их безопасности будет снижен.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, системы не будут надежно обслуживаться, и уровень их безопасности будет снижен.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава III п. 16
16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.