Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № 57580.3-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.

8.2.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

8.2 Направление 1 «Планирование системы управления риском реализации информационных угроз»
8.2.2 Процесс «Выявление и идентификация риска реализации информационных угроз, а также его оценка».
Состав мер по идентификации риска реализации информационных угроз.
ВИО.1 Организация* и выполнение деятельности по анализу базы событий риска реализации информационных угроз.

Обязательно для уровня защиты 1 2 3
* Под «организацией деятельности» понимается отражение во внутренних документах финансовой организации ведения соответствующей деятельности и распределение ролей по ее выполнению.
ВИО.2 Организация и выполнение деятельности по проведению периодической (как минимум ежегодной) самооценки риска реализации информационных угроз.

Обязательно для уровня защиты 1 2 3
ВИО.3 Организация и выполнение деятельности по интервьюированию исполнительного органа финансовой организации и работников финансовой организации, в том числе с целью оценки внутренних и внешних условий и факторов, создающих условия для возникновения риска реализации информационных угроз**.

Обязательно для уровня защиты 1 2 3
** В случае наличия (выявления) такой необходимости.
ВИО.4 Организация и выполнение деятельности по анализу актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части фактов, относящихся к реализации риска реализации информационных угроз.

Обязательно для уровня защиты 1 2 3
ВИО.5 Организация и выполнение деятельности по анализу информации, полученной от подразделений, формирующих «третью линию защиты», и (или) в рамках внешнего аудита.

Обязательно для уровня защиты 1 2 3
ВИО.6 Организация и выполнение деятельности по анализу информации, полученной в рамках инициативного информирования работниками финансовой организации подразделений, формирующих «вторую линию защиты» и «третью линию защиты».

Обязательно для уровня защиты 1 2 3
ВИО.7 Организация и выполнение деятельности по анализу иных внешних и внутренних источников информации, способствующей выявлению риска реализации информационных угроз***.

Обязательно для уровня защиты 1 2 3
*** Например, мониторинг внешних информационных ресурсов, участие в мероприятиях по обмену опытом, в том числе сотрудничество с Банком России и соответствующими исполнительными органами государственной власти на предмет обмена опытом об эффективных практиках в части управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.
Состав мер по выявлению и моделированию информационных угроз.
ВИО.8 Организация и выполнение на регулярной основе деятельности по определению и анализу возможных информационных угроз: - присущих осуществлению видов деятельности финансовой организации; - присущих взаимодействию финансовой организации с причастными сторонами.

Обязательно для уровня защиты 1 2 3
ВИО.9 Организация и выполнение на регулярной основе деятельности по определению и анализу возможных информационных угроз путем:
ВИО.9.1 Выявления возможных источников информационных угроз;

Обязательно для уровня защиты 1 2 3
ВИО.9.2 Оценки возможностей нарушителя безопасности информации;

Обязательно для уровня защиты 1 2 3
ВИО.9.3 Выявления возможных уязвимостей критичной архитектуры;

Обязательно для уровня защиты 1 2 3
ВИО.9.4 Определения возможных сценариев реализации информационных угроз.

Обязательно для уровня защиты 1 2 3
ВИО.10 Организация и выполнение деятельности по выявлению возможных источников информационных угроз, присущих осуществлению видов деятельности финансовой организации, в отношении элементов идентифицированной критичной архитектуры:
ВИО.10.1 Бизнес- и технологических процессов;

Обязательно для уровня защиты 1 2 3
ВИО.10.2 Объектов информатизации;

Обязательно для уровня защиты 1 2 3
ВИО.10.3 Субъектов доступа;

Необязательное требование
ВИО.10.4 Информационных потоков защищаемой информации*, обрабатываемой и передаваемой в рамках бизнес- и технологических процессов.

Обязательно для уровня защиты 1 2 3
* К защищаемой информации относится информация, перечень которой определен в [8 – 10].
ВИО.11 Организация и выполнение деятельности по выявлению возможных источников информационных угроз, присущих взаимодействию финансовой организации с причастными сторонами, в отношении элементов идентифицированной критичной архитектуры:
ВИО.11.1 Бизнес- и технологических процессов, переданных на аутсорсинг и (или) выполняемых с применением сторонних информационных сервисов;

Обязательно для уровня защиты 1 2 3
ВИО.11.2 Взаимосвязей и взаимозависимостей между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации) в рамках выполнения бизнеси технологических процессов, в том числе взаимосвязей и взаимозависимостей объектов информатизации;

Обязательно для уровня защиты 1 2 3
ВИО.11.3 Сторонних информационных сервисов поставщиков услуг.

Обязательно для уровня защиты 1 2 3
ВИО.12 Организация и выполнение деятельности по оценке возможностей нарушителя безопасности информации в отношении:
внутреннего нарушителя безопасности информации;
внешнего нарушителя безопасности информации.
Обязательно для уровня защиты 1 2 3
ВИО.13 Организация и выполнение деятельности по выявлению возможных уязвимостей критичной архитектуры путем выполнения мер, приведенных в таблице 4 ГОСТ Р 57580.4-2022.

Обязательно для уровня защиты 1 2 3
ВИО.14 Организация и выполнение деятельности по определению возможных сценариев реализации информационных угроз путем анализа существующих техник, тактик и процедур реализации информационных угроз на основе:
накопленного финансовой организацией опыта, в том числе в рамках реагирования на инциденты и восстановления после их реализации;
результатов проведения сценарного анализа и тестирования готовности финансовой организации противостоять реализации информационных угроз;
сценариев, разрабатываемых и распространяемых доверенными причастными сторонами;
сценариев, разрабатываемых и распространяемых Банком России.
Обязательно для уровня защиты 1 2 3
ВИО.15 Разработка модели информационных угроз на основе результатов, полученных при реализации мер ВИО.8 – ВИО.14 настоящей таблицы.

Обязательно для уровня защиты 1 2 3
ВИО.16 Организация и выполнение деятельности по пересмотру модели информационных угроз на регулярной основе или в случаях:
выявления информации, свидетельствующей о появлении новых информационных угроз, присущих осуществлению видов деятельности финансовой организации и (или) взаимодействию финансовой организации с причастными сторонами;
выявления событий риска реализации информационных угроз, в результате реализации новых информационных угроз.
Обязательно для уровня защиты 1 2 3
Состав мер по оценке риска реализации информационных угроз.
ВИО.17 Определение и применение методологии оценки риска реализации информационных угроз, включающей:
ВИО.17.1 Оценку СВР событий риска*;

Обязательно для уровня защиты 1 2 3
* Финансовым организациям рекомендуется применять количественный способ при реализации данной меры.
ВИО.17.2 Оценку СТП событий риска*;

Обязательно для уровня защиты 1 2 3
* Финансовым организациям рекомендуется применять количественный способ при реализации данной меры.
ВИО.17.3 Агрегированную оценку уровня риска реализации информационных угроз** в разрезе элементов классификации такого риска (приведенных в рамках Приложений А, Б, В, Г), в том числе в соответствии с требованиями нормативных актов Банка России;

Обязательно для уровня защиты 1 2 3
** В случае, если требования нормативных актов Банка России не устанавливают обязанность финансовой организации проведения количественной оценки риска соответствующим способом, финансовым организациям рекомендуется применять количественный способ при реализации данной меры.
ВИО.17.4 Оценку объема капитала, выделяемого финансовой организацией на покрытие запланированных и незапланированных потерь от реализации риска реализации информационных угроз**, в том числе в соответствии с требованиями нормативных актов Банка России.

Обязательно для уровня защиты 1 2 3
ВИО.18 Оценка СВР инцидентов для каждого бизнес- и технологического процесса с учетом:
ВИО.18.1 Результатов выявления и моделирования информационных угроз;

Обязательно для уровня защиты 1 2 3
ВИО.18.2 Оценки зрелости процессов применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов;

Обязательно для уровня защиты 1 2 3
ВИО.18.3 Оценки зрелости процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня;

Обязательно для уровня защиты 1 2 3
ВИО.18.4 Оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ЗИ Комплекса стандартов;

Обязательно для уровня защиты 1 2 3
ВИО.18.5 Оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ОН Комплекса стандартов.

Обязательно для уровня защиты 1 2 3
ВИО.19 Оценка СТП инцидентов для каждого бизнес- и технологического процесса с учетом:
ВИО.19.1 Уровня критичности (определяемого финансовой организацией самостоятельно, если иное не установлено нормативными актами Банка России) соответствующего бизнес- и технологического процесса в рамках осуществления финансовой организацией вида деятельности, связанного с предоставлением финансовых и (или) информационных услуг;

Обязательно для уровня защиты 1 2 3
ВИО.19.2 Оценки соблюдения в случае реализации инцидентов значений КПУР, установленных политикой управления риском информационных угроз, в части:
способности финансовой организации обеспечить покрытие финансовых потерь в результате инцидентов;
способности финансовой организации обеспечить выполнение обязательств по защите интересов клиентов;
способности финансовой организации осуществлять финансовые (банковские) операции, в том числе операции по переводу денежных средств в рамках срока исполнения обязательств, а также обеспечивать завершенность расчетов по таким операциям;
способности финансовой организации возобновить предоставление финансовых и (или) информационных услуг в течение установленного времени после нарушения в работе;
Обязательно для уровня защиты 1 2 3
ВИО.19.3 Оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ОН Комплекса стандартов, в части выявления, регистрации, реагирования на инциденты и восстановления после их реализации;

Обязательно для уровня защиты 1 2 3
ВИО.19.4 Прогнозных оценок запланированных и незапланированных потерь от реализации инцидентов:
на основе данных внутренней отчетности о фактических потерях за определенный временной период (запланированные потери);
o на основе сценариев в маловероятных, но возможных стрессовых ситуациях (незапланированные потери);
Обязательно для уровня защиты 1 2 3
ВИО.19.5 Оценки способности финансовой организации обеспечить соблюдение требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» , части 3 статьи 27 Федерального закона «О национальной платежной системе», а также устанавливаемых статьей 19 Федерального закона «О персональных данных», статьей 16 Федерального закона «Об информации, информационных технологиях и о защите информации» и Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации».

Обязательно для уровня защиты 1 2 3
ВИО.20 Определение способов проведения оценки уровня риска реализации информационных угроз.

Обязательно для уровня защиты 1 2 3
ВИО.21 Оценка риска реализации информационных угроз, которому финансовая организация подвергает или подвергается со стороны причастных сторон (за исключением клиентов финансовой организации), с учетом степени взаимосвязи и взаимозависимости между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации), в том числе степени взаимосвязи и взаимозависимости между их объектами информатизации.

Обязательно для уровня защиты 1 2 3
ВИО.22 Организация и выполнение деятельности по переоценке риска реализации информационных угроз на основе:
результатов пересмотра модели информационных угроз;
информации о новом идентифицированном риске реализации информационных угроз;
выявленных событий риска реализации информационных угроз.
Обязательно для уровня защиты 1 2 3

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.