Куда я попал?
ГОСТ Р № 57580.3-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.
8.2 Направление 1 Планирование
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ОПР.2 Реализация механизмов взаимодействия и координации деятельности* вовлеченных подразделений, формирующих «три линии защиты», а также причастных сторон (за исключением клиентов финансовой организации) в целях подготовки и реализации политики управления риском реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ОПР.8.1 Направленность на обеспечение операционной надежности финансовой организации;Обязательно для уровня защиты 1 2 3
-
ОПР.8.2 Интеграция системы управления риском реализации информационных угроз в систему управления операционным риском финансовой организации;Обязательно для уровня защиты 1 2 3
-
ОПР.8.4 Систематический и проактивный подход в части противодействия возможным информационным угрозам;Обязательно для уровня защиты 1 2 3
-
ОПР.9.1 Обеспечение возможности покрытия потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации в результате инцидентов, в том числе за счет формирования финансового резерва и (или) страхования риска реализации информационных угроз*;Обязательно для уровня защиты 1 2 3
-
ОПР.9.3 Защиты интересов клиентов финансовой организации в случае их потерь в результате инцидентов;Обязательно для уровня защиты 1 2 3
-
ОПР.9.4 Соблюдения требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона «О Центральном банке Российской Федерации (Банке России)», части 3 статьи 27 Федерального закона «О национальной платежной системе», а также устанавливаемых статьей 19 Федерального закона «О персональных данных» , статьей 16 Федерального закона «Об информации, информационных технологиях и о защите информации» и Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации».Обязательно для уровня защиты 1 2 3
-
ОПР.11.2 Группа КПУР, характеризующих уровень операционной надежности бизнес- и технологических процессов финансовой организации;Обязательно для уровня защиты 1 2 3
-
ОПР.11.3 Группа КПУР, характеризующих уровень несанкционированных операций (потерь клиентов финансовой организации) в результате инцидентов.Обязательно для уровня защиты 1 2 3
-
ОПР.13.2 Организацию внутренней отчетности в рамках управления риском реализации информационных угроз, включая внутреннюю отчетность об уровне зрелости процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;Обязательно для уровня защиты 1 2 3
-
ОПР.13.4 Адекватное и своевременное реагирование на неудовлетворительные результаты валидации и верификации.Обязательно для уровня защиты 1 2 3
-
ОПР.14 Установление политикой управления риском реализации информационных угроз требований к созданию ресурсных (кадровых и финансовых) условий для обеспечения необходимого уровня зрелости процессов управления таким риском, обеспечения операционной надежности и защиты информации.Обязательно для уровня защиты 1 2 3
-
ОПР.17 Установление политикой управления риском реализации информационных угроз области применения системы управления таким риском.Обязательно для уровня защиты 1 2 3
-
ОПР.19.1 Утверждение политики управления риском реализации информационных угроз***;Обязательно для уровня защиты 1 2 3
-
ОПР.19.5 Обеспечение как минимум ежегодного контроля за деятельностью в части планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов;Обязательно для уровня защиты 1 2 3
-
ОПР.19.6 Рассмотрение отчета об управлении риском реализации информационных угроз (в составе отчета об управлении операционным риском) за год;Обязательно для уровня защиты 1 2 3
-
ОПР.19.9 Обеспечение реагирования финансовой организации в случае превышения сигнальных и контрольных значений КПУР.Обязательно для уровня защиты 1 2 3
-
ОПР.19.10 Ответственность за соблюдение требований политики управления риском реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
ОПР.19.11 Организация деятельности в целях реализации политики управления риском реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
ОПР.19.14 Периодический контроль за фактическими значениями КПУР;Обязательно для уровня защиты 1 2 3
-
ОПР.19.15 Контроль за осуществлением мониторинга риска реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
ОПР.19.16 Управление ресурсным (кадровым и финансовым) обеспечением для целей в рамках выполнения процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов.Обязательно для уровня защиты 1 2 3
-
ОПР.20.2 Организация определения способов мотивации работников финансовой организации по участию в управлении риском реализации информационных угроз, а также осведомленности об актуальных информационных угроз в целях противодействия реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ВИО.1 Организация* и выполнение деятельности по анализу базы событий риска реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ВИО.3 Организация и выполнение деятельности по интервьюированию исполнительного органа финансовой организации и работников финансовой организации, в том числе с целью оценки внутренних и внешних условий и факторов, создающих условия для возникновения риска реализации информационных угроз**.Обязательно для уровня защиты 1 2 3
-
ВИО.4 Организация и выполнение деятельности по анализу актов проверок, судебных актов (решений, определений, постановлений) и (или) актов исполнительных органов государственной власти, Банка России в части фактов, относящихся к реализации риска реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ВИО.9.1 Выявления возможных источников информационных угроз;Обязательно для уровня защиты 1 2 3
-
ВИО.9.2 Оценки возможностей нарушителя безопасности информации;Обязательно для уровня защиты 1 2 3
-
ВИО.9.3 Выявления возможных уязвимостей критичной архитектуры;Обязательно для уровня защиты 1 2 3
-
ВИО.9.4 Определения возможных сценариев реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ВИО.10.1 Бизнес- и технологических процессов;Обязательно для уровня защиты 1 2 3
-
ВИО.10.2 Объектов информатизации;Обязательно для уровня защиты 1 2 3
-
ВИО.10.3 Субъектов доступа;Необязательное требование
-
ВИО.10.4 Информационных потоков защищаемой информации*, обрабатываемой и передаваемой в рамках бизнес- и технологических процессов.Обязательно для уровня защиты 1 2 3
-
ВИО.11.1 Бизнес- и технологических процессов, переданных на аутсорсинг и (или) выполняемых с применением сторонних информационных сервисов;Обязательно для уровня защиты 1 2 3
-
ВИО.11.2 Взаимосвязей и взаимозависимостей между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации) в рамках выполнения бизнеси технологических процессов, в том числе взаимосвязей и взаимозависимостей объектов информатизации;Обязательно для уровня защиты 1 2 3
-
ВИО.11.3 Сторонних информационных сервисов поставщиков услуг.Обязательно для уровня защиты 1 2 3
-
ВИО.15 Разработка модели информационных угроз на основе результатов, полученных при реализации мер ВИО.8 – ВИО.14 настоящей таблицы.Обязательно для уровня защиты 1 2 3
-
ВИО.17.1 Оценку СВР событий риска*;Обязательно для уровня защиты 1 2 3
-
ВИО.17.2 Оценку СТП событий риска*;Обязательно для уровня защиты 1 2 3
-
ВИО.18.1 Результатов выявления и моделирования информационных угроз;Обязательно для уровня защиты 1 2 3
-
ВИО.18.3 Оценки зрелости процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня;Обязательно для уровня защиты 1 2 3
-
ВИО.19.1 Уровня критичности (определяемого финансовой организацией самостоятельно, если иное не установлено нормативными актами Банка России) соответствующего бизнес- и технологического процесса в рамках осуществления финансовой организацией вида деятельности, связанного с предоставлением финансовых и (или) информационных услуг;Обязательно для уровня защиты 1 2 3
-
ВИО.19.3 Оценки зрелости процессов планирования, реализации, контроля и совершенствования системы управления, определенной в рамках семейства стандартов ОН Комплекса стандартов, в части выявления, регистрации, реагирования на инциденты и восстановления после их реализации;Обязательно для уровня защиты 1 2 3
-
ВИО.19.4 Прогнозных оценок запланированных и незапланированных потерь от реализации инцидентов:
- на основе данных внутренней отчетности о фактических потерях за определенный временной период (запланированные потери);
- o на основе сценариев в маловероятных, но возможных стрессовых ситуациях (незапланированные потери);
Обязательно для уровня защиты 1 2 3 -
ВИО.19.5 Оценки способности финансовой организации обеспечить соблюдение требований законодательства Российской Федерации в области защиты информации, устанавливаемых на основании статей 57.4 и 76.4-1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» , части 3 статьи 27 Федерального закона «О национальной платежной системе», а также устанавливаемых статьей 19 Федерального закона «О персональных данных», статьей 16 Федерального закона «Об информации, информационных технологиях и о защите информации» и Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации».Обязательно для уровня защиты 1 2 3
-
ВИО.20 Определение способов проведения оценки уровня риска реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ВИО.22 Организация и выполнение деятельности по переоценке риска реализации информационных угроз на основе:
- результатов пересмотра модели информационных угроз;
- информации о новом идентифицированном риске реализации информационных угроз;
- выявленных событий риска реализации информационных угроз.
Обязательно для уровня защиты 1 2 3 -
ОРО.2.1 Для реализации функций в рамках управления риском реализации информационных угроз подразделений, формирующих «три линии защиты»;Обязательно для уровня защиты 1 2 3
-
ОРО.3 Утверждение и пересмотр на регулярной основе исполнительным органом финансовой организации состава основных ресурсов.Обязательно для уровня защиты 1 2 3
-
ОРО.5.2 Проведение оценки соответствия кандидатов на должности согласно установленным требованиям в отношении их компетенции.Обязательно для уровня защиты 1 2 3
-
ОРО.16 Выделение на местах, в случае наличия у финансовой организации филиалов (региональных представительств), соответствующих подразделений ИБ (уполномоченных лиц) и организация их ресурсного (кадрового и финансового) обеспечения и обеспечение нормативной базой*.Обязательно для уровня защиты 1 2 3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.