Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

ГОСТ Р № 57580.1-2017 от 01.01.2018

ЖЦ.17

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования":
5.3 Организационные роли, обязанности и управленческие полномочия
5.3 Организационные роли, обязанности и управленческие полномочия
Высшее руководство должно обеспечить определение и распространение в пределах организации обязанностей и управленческих полномочий для ролей, относящихся к информационной безопасности.
Высшее руководство должно определить обязанности и управленческие полномочия для:
  • a) обеспечения соответствия системы менеджмента информационной безопасности требованиям настоящего документа;
  • b) отчета высшему руководству о функционировании системы менеджмента информационной безопасности.
ПРИМЕЧАНИЕ Высшее руководство может также определить обязанности и управленческие полномочия по отчету о функционировании системы менеджмента информационной безопасности в пределах организации.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.1.4
12.1.4
Defined Approach Requirements: 
Responsibility for information security is formally assigned to a Chief Information Security Officer or other information security knowledgeable member of executive management. 

Customized Approach Objective:
A designated member of executive management is responsible for information security. 

Defined Approach Testing Procedures:
  • 12.1.4 Examine the information security policy to verify that information security is formally assigned to a Chief Information Security Officer or other information security-knowledgeable member of executive management. 
Purpose:
To ensure someone with sufficient authority and responsibility is actively managing and championing the organization’s information security program, accountability and responsibility for information security needs to be assigned at the executive level within an organization. 
Common executive management titles for this role include Chief Information Security Officer (CISO) and Chief Security Officer (CSO – to meet this requirement, the CSO role must be responsible for information security). These positions are often at the most senior level of management and are part of the chief executive level or C-level, typically reporting to the Chief Executive Officer or the Board of Directors. 

Good Practice:
Entities should also consider transition and/or succession plans for these key personnel to avoid potential gaps in critical security activities. 
Requirement 12.1.3
12.1.3
Defined Approach Requirements: 
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities. 

Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data. 

Defined Approach Testing Procedures:
  • 12.1.3.a Examine the information security policy to verify that they clearly define information security roles and responsibilities for all personnel. 
  • 12.1.3.b Interview personnel in various roles to verify they understand their information security responsibilities. 
  • 12.1.3.c Examine documented evidence to verify personnel acknowledge their information security responsibilities. 
Purpose:
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies. 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements":
5.3 Organizational roles, responsibilities and authorities
5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
  • a) ensuring that the information security management system conforms to the requirements of this document; 
  • b) reporting on the performance of the information security management system to top management.
NOTE Top management can also assign responsibilities and authorities for reporting performance of the information security management system within the organization.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.1.3
12.1.3
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.

Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.

Определенные Процедуры Тестирования Подхода:
  • 12.1.3.a Изучите политику информационной безопасности, чтобы убедиться, что в ней четко определены роли и обязанности в области информационной безопасности для всего персонала.
  • 12.1.3.b Провести собеседование с персоналом, выполняющим различные функции, чтобы убедиться, что они понимают свои обязанности в области информационной безопасности.
  • 12.1.3.c Изучите документально подтвержденные доказательства, чтобы убедиться, что персонал признает свои обязанности в области информационной безопасности.
Цель:
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Requirement 12.1.4
12.1.4
Определенные Требования к Подходу:
Ответственность за информационную безопасность официально возлагается на главного сотрудника по информационной безопасности или другого члена исполнительного руководства, обладающего знаниями в области информационной безопасности.

Цель Индивидуального подхода:
Назначенный член исполнительного руководства отвечает за информационную безопасность.

Определенные Процедуры Тестирования Подхода:
  • 12.1.4 Изучите политику информационной безопасности, чтобы убедиться, что информационная безопасность официально возложена на Главного сотрудника по информационной безопасности или другого члена исполнительного руководства, хорошо осведомленного в области информационной безопасности.
Цель:
Чтобы гарантировать, что кто-то, обладающий достаточными полномочиями и ответственностью, активно управляет и поддерживает программу информационной безопасности организации, подотчетность и ответственность за информационную безопасность должны быть распределены на исполнительном уровне внутри организации.
Общие должности исполнительного руководства для этой роли включают Главного сотрудника по информационной безопасности (CISO) и Главного сотрудника по безопасности (CSO – для выполнения этого требования роль CSO должна отвечать за информационную безопасность). Эти должности часто находятся на самом высоком уровне руководства и являются частью уровня главного исполнительного директора или уровня C, обычно подчиняясь Главному исполнительному директору или Совету директоров.

Надлежащая практика:
Организациям следует также рассмотреть планы перехода и/или преемственности для этих ключевых сотрудников, чтобы избежать потенциальных пробелов в критически важных мероприятиях по обеспечению безопасности.
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава III п. 16
16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

Связанные защитные меры

Ничего не найдено