ГОСТ Р № 57580.3-2022 от 01.02.2023

 ОРО.1 Установление во внутренних документах финансовой организации методики оценки необходимого ресурсного (кадрового и финансового) обеспечения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.

ОРО.2.1 Для реализации функций в рамках управления риском реализации информационных угроз подразделений, формирующих «три линии защиты»;

ОРО.2.2 Для обеспечения своевременного выявления, реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации.

ОРО.3 Утверждение и пересмотр на регулярной основе исполнительным органом финансовой организации состава основных ресурсов.

ОРО.4 Организация и выполнение деятельности по обеспечению состава основных ресурсов и удовлетворение потребностей:

ОРО.5.1 Установление требований на основе профессиональных стандартов к квалификации работников, в том числе профессионального стандарта для специалистов по информационной безопасности в кредитно-финансовой сфере;

ОРО.5.2 Проведение оценки соответствия кандидатов на должности согласно установленным требованиям в отношении их компетенции.

ОРО.6 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния кадровых рисков в рамках деятельности по управлению риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, учитывающих в том числе:

ОРО.7 Организация и выполнение деятельности по оценке эффективности работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации**.

ОРО.8 Организация и выполнение деятельности по повышению эффективности работников, направленной на исправление недостатков, выявленных по результатам оценки, предусмотренной мерой ОРО.7 настоящей таблицы, и осуществление последующего контроля.

ОРО.9 Определение и обеспечение необходимого численности и требуемой компетенции работников при организации ресурсного (кадрового и финансового) обеспечения службы ИБ на основании:

ОРО.10 Определение минимальной необходимой численности работников службы ИБ с учетом:

ОРО.11 Определение требований к квалификации работников службы ИБ на основании характеристик квалификации, которые содержатся в профессиональном стандарте специалистов по информационной безопасности в кредитно-финансовой сфере, с учетом особенностей выполняемых работниками трудовых функций, обусловленных применяемыми технологиями и способами организации производства и труда.

ОРО.12 Определение требований в отношении компетенции работников службы ИБ с учетом: - наличия высшего профессионального образования в области ИБ и (или) информационных технологий; - наличия подтверждения соответствия квалификационным требованиям, устанавливаемым профессиональным стандартом специалистов по информационной безопасности в кредитно-финансовой сфере; - регулярного прохождения дополнительного (специализированного) обучения, переподготовки (повышения квалификации) в области ИБ.

ОРО.13 Утверждение коллегиальным исполнительным органом финансовой организации ресурсов службы ИБ с целью выполнения задач и функций, связанных с планированием, реализацией, контролем и совершенствованием системы управления риском реализации информационных угроз, а также процессов систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, возложенных на службу ИБ.

ОРО.14 Предоставление службе ИБ собственного бюджета, достаточного для целей выполнения задач и функций, связанных с выполнением процессов планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, возложенных на службу ИБ.

ОРО.15 Определение в качестве куратора службы ИБ должностного лица, ответственного за функционирование системы управление риском реализации информационных угроз.

ОРО.16 Выделение на местах, в случае наличия у финансовой организации филиалов (региональных представительств), соответствующих подразделений ИБ (уполномоченных лиц) и организация их ресурсного (кадрового и финансового) обеспечения и обеспечение нормативной базой*.

ОРО.17 Организация целевого обучения работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в частности организация целевого обучения по вопросам противодействия реализации информационных угроз для работников, входящих в группы повышенного риска*.

ОРО.18 Включение в разрабатываемые программы целевого обучения по вопросам выявления и противодействия реализации информационных угроз: