Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № 57580.3-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.

8.3.1.2.4

Для проведения оценки соответствия по документу войдите в систему.

Список требований

8.3 Направление 2 «Реализация системы управления риском реализации информационных угроз»
8.3.1 Процесс «Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз»
8.3.1.2 Подпроцесс «Защита от информационных угроз».
Состав мер по управлению риском реализации информационных угроз при аутсорсинге.
ЗИУ10 Определение вопросов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации в рамках политики в отношении аутсорсинга, утверждаемой советом директоров (наблюдательным советом) или коллегиальным исполнительным органом финансовой организации, включая:
ЗИУ.10.1 Значимость обеспечения выполнения финансовой организацией своих обязательств перед причастными сторонами, в том числе клиентами финансовой организации, а также возможности предоставления запрашиваемой информации, связанной с функционированием бизнес- и технологических процессов, переданных на аутсорсинг, в рамках проведения контроля выполнения требований к обеспечению операционной надежности и защиты информации со стороны Банка России и исполнительных органов государственной власти в рамках выполнения надзорных (контрольных) мероприятий;

Обязательно для уровня защиты 1 2 3
ЗИУ.10.2 Важность привлечения поставщиков услуг, отвечающих требованиям финансовой организации к обеспечению операционной надежности и защиты информации, а также заключения соглашения, определяющего детальные условия и разграничение ответственности;

Обязательно для уровня защиты 1 2 3
ЗИУ.10.3 Рассмотрение бизнес- и технологических процессов, передаваемых финансовой организацией на аутсорсинг поставщику услуг, в качестве неотъемлемой части осуществления своих видов деятельности, в том числе подпадающих под регулирование в части обеспечения надежности и защиты информации со стороны Банка России и исполнительных органов государственной власти.

Обязательно для уровня защиты 1 2 3
ЗИУ.11 Отнесение к зоне компетенции коллегиального исполнительного органа (а в случае его отсутствия – единоличного исполнительного органа) или подотчетных им коллегиальных органов финансовой организации следующих вопросов, связанных с управлением риском реализации информационных угроз при аутсорсинге:
ЗИУ.11.1 Определение критериев, в том числе основанных на законодательстве о лицензировании отдельных видов деятельности, для оценки способностей, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

Обязательно для уровня защиты 1 2 3
ЗИУ.11.2 Определение требований к привлекаемым в рамках аутсорсинга бизнес- и технологических процессов, а также процессов обеспечения операционной надежности и защиты информации поставщикам услуг, в том числе поставщиков облачных услуг (в части установления требуемого уровня зрелости процессов обеспечения операционной надежности и защиты информации в рамках соглашения об аутсорсинге).

Обязательно для уровня защиты 1 2 3
ЗИУ.12 Организация и выполнение деятельности по выявлению и идентификации риска реализации информационных угроз, а также его оценке при аутсорсинге*.

Обязательно для уровня защиты 1 2 3
*При организации и выполнении деятельности по выявлению и идентификации риска реализации информационных угроз, а также его оценки при привлечении поставщика облачных услуг наряду с [26] рекомендуется использовать ГОСТ Р ИСО/МЭК 27036-4-2020.
ЗИУ.13 Рассмотрение в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных условий для реализации такого риска, обусловленных:
возникновением зависимости процессов обеспечения операционной надежности и защиты информации финансовой организации от деятельности поставщика услуг;
возникновением зависимости финансовой организации и (или) причастных сторон от возможных сбоев и отказа сторонних информационных сервисов поставщика услуг в результате реализации информационных угроз;
недостаточным уровнем зрелости процессов обеспечения операционной надежности и защиты информации, реализуемых поставщиком услуг;
неверной оценкой способностей, ресурсов и возможностей поставщика услуг, необходимых для выполнения взятых на себя обязательств по обеспечению операционной надежности и защиты информации при предоставлении услуги по аутсорсингу;
возникновением зависимости выполнения бизнес- и технологических процессов финансовой организации от эффективности деятельности поставщика услуг и добросовестности выполнения соглашений об уровне услуг (Service level agreement, SLA);
возможностью появления в соглашении об аутсорсинге положений, реализация которых приведет к возникновению ограничений при осуществлении видов деятельности финансовой организаций.
Обязательно для уровня защиты 1 2 3
ЗИУ.14 Использование в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных показателей, оказывающих влияние на оценку такого риска при аутсорсинге:
- соблюдение требований законодательства Российской Федерации в области обеспечения защиты информации и операционной надежности, в том числе требований ГОСТ Р 57580.1-2017, и обеспечения операционной надежности, в том числе ГОСТ Р 57580.1, а также требований по обеспечению возможности финансовой организации предоставить необходимую и достоверную информацию в рамках выполнения Банком России и исполнительными органами государственной власти их надзорных (контрольных) функций;
- соблюдение принятых финансовой организацией контрольных и сигнальных значений КПУР в отношении переданных на аутсорсинг бизнес- и технологических процессов;
- возможности финансовой организации, необходимые для мониторинга риска реализации информационных угроз при аутсорсинге;
- наличие и функциональность систем управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации у поставщика услуг;
- уровень зрелости процессов обеспечения операционной надежности и защиты информации, реализуемых поставщиком услуг;
- возможности финансовой организации, необходимые для обеспечения операционной надежности и защиты информации после прекращения действия соглашения с поставщиком услуг или в случае отказа поставщика услуг от выполнения своих обязательств, в том числе наличие плана действий финансовой организации для такого случая (стратегии «выхода»)
Обязательно для уровня защиты 1 2 3
ЗИУ.15 Разработка, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз при аутсорсинге, включая:
ЗИУ.15.1 Проведение финансовой организацией оценки способности, ресурсов и возможностей поставщика услуг при аутсорсинге обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

Обязательно для уровня защиты 1 2 3
ЗИУ.15.2 Определение в рамках соглашений об аутсорсинге между финансовой организацией и поставщиком услуг положений относительно управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;

Обязательно для уровня защиты 1 2 3
ЗИУ.15.3 Мониторинг риска реализации информационных угроз при аутсорсинге.

Обязательно для уровня защиты 1 2 3
ЗИУ.16 Проведение в рамках оценки способности, ресурсов и возможностей поставщика услуг, предусмотренной мерой ЗИУ.17.1 настоящей таблицы, в том числе:
ЗИУ.16.1 Оценки способности, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;

Обязательно для уровня защиты 1 2 3
ЗИУ.16.2 Оценки опыта и репутации поставщика услуг;

Обязательно для уровня защиты 1 2 3
ЗИУ.16.3 Оценки показателей деятельности поставщика услуг на основе показателей, предусмотренных мерой ЗИУ.16;

Обязательно для уровня защиты 1 2 3
ЗИУ.16.4 Оценки способности, ресурсов и возможностей поставщика услуг обеспечивать выполнение обязательств финансовой организации перед причастными сторонами, в том числе клиентами финансовой организации, а также Банком России и исполнительными органами государственной власти в рамках выполнения надзорных (контрольных) мероприятий в области обеспечения операционной надежности и защиты информации.

Обязательно для уровня защиты 1 2 3
ЗИУ.17 Определение в рамках финансовой экосистемы правил и требований к участникам финансовой экосистемы (за исключением пользователей финансовой экосистемы) в части управления риском реализации ин-информационных угроз:

Обязательно для уровня защиты 1 2 3
ЗИУ.17.1 Правил и требований к установлению и соблюдению поставщиками финансовых услуг состава КПУР, предусмотренных мерой АПР.11 таблицы 5, при предоставлении финансовых и (или) информационных услуг в рамках финансовой экосистемы.

Обязательно для уровня защиты 1 2 3
ЗИУ.17.2 Правил и требований к выявлению и идентификации риска реализации информационных угроз, а также его оценки поставщиками финансовых услуг.

Обязательно для уровня защиты 1 2 3
ЗИУ.17.3 Правил и требований к применению участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов в рамках финансовой экосистемы, включая идентификацию и аутентификацию пользователей финансовой экосистемы* (в том числе предоставляемые поставщиком облачных услуг).

Обязательно для уровня защиты 1 2 3
* В частности, идентификация устройств пользователей финансовой экосистемы (цифровой отпечаток устройства -- device fingerprint) в целях формирования и (или) применения в рамках финансовой экосистемы дополнительных контрольных параметров для авторизации пользователей при их обращении за предоставлением финансовых услуг.
ЗИУ.17.4 Правил и требований к планированию, реализации, контролю и совершенствованию участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) процессов системы управления, определяемых в рамках семейств стандартов ОН и ЗИ комплекса стандартов**.

Обязательно для уровня защиты 1 2 3
** Как минимум в отношении модулей, обеспечивающих интеграционное взаимодействие объектов информатизации участников финансовой экосистемы (за исключением пользователей финансовой экосистемы).
ЗИУ.17.5 Правил и требований к реализации мероприятий, направленных на предотвращение утечек информации***.

Обязательно для уровня защиты 1 2 3
*** Неконтролируемого участниками финансовой экосистемы распространения информации конфиденциального характера.
ЗИУ.17.6 Правил и требований к безопасности раскрытия информации конфиденциального характера, относящейся к пользователям финансовой экосистемы, внутри финансовой экосистемы****.

Обязательно для уровня защиты 1 2 3
**** В частности, применение прикладных программных интерфейсов, обеспечивающих безопасность финансовых сервисов на основе протокола OpenID.
ЗИУ.17.7 Правил и требований к выявлению событий риска реализации информационных угроз, в том числе к сбору и регистрации информации о событиях риска реализации информационных угроз и потерях в рамках финансовой экосистемы.

Обязательно для уровня защиты 1 2 3
ЗИУ.17.8 Правил и требований к реагированию на инциденты и восстановлению функционирования бизнес- и технологических процессов и объектов информатизации после их реализации, в том числе к взаимодействию между участниками финансовой экосистемы при реагировании и восстановлении после реализации таких инцидентов.

Обязательно для уровня защиты 1 2 3
ЗИУ.17.9 Правил и требований к обеспечению осведомленности об актуальных информационных угрозах, в том числе пользователей финансовой экосистемы.

Обязательно для уровня защиты 1 2 3
ЗИУ.17.10 Правил и требований к мониторингу риска реализации информационных угроз в рамках финансовой экосистемы.

Обязательно для уровня защиты 1 2 3
ЗИУ.18 Рассмотрение в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки в рамках финансовой экосистемы следующих дополнительных видов такого риска:
риска реализации информационных угроз, связанного с нарушением обеспечения операционной надежности бизнес- и технологических процессов в рамках финансовой экосистемы;
риска реализации информационных угроз, связанного с неконтролируемым участниками финансовой экосистемы распространением информации конфиденциального характера (утечками информации);
риска реализации информационных угроз, связанного с осуществлением финансовых (банковских) операций, в том числе операций по переводу денежных средств без согласия пользователей финансовой экосистемы.
Обязательно для уровня защиты 1 2 3

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.