Куда я попал?
ГОСТ Р № 57580.3-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.
8.3 Направление 2 Реализация
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
РМ.3.1 Применения технологических мер защиты информации, реализуемых на технологических участках бизнес- и технологических процессов;Обязательно для уровня защиты 1 2 3
-
РМ.3.2 Реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня;Обязательно для уровня защиты 1 2 3
-
РМ.7 Планирование процессов реализации функций безопасности и контроля (наличия) уязвимостей объектов информатизации прикладного уровня.Обязательно для уровня защиты 1 2 3
-
РМ.9 Планирование процессов применения организационных и технических мер, предусмотренных мерой РМ.8 настоящей таблицы, включающее:
- формирование состава (выбор) мер*, обеспечивающих соблюдение сигнальных и контрольных значений КПУР, принятых финансовой организацией;
- исключение из выбранного состава мер, не связанных с используемыми информационными технологиями;
- адаптацию (уточнение), при необходимости, выбранного состава мер с учетом результатов проведения идентификации критичной архитектуры, а также результатов моделирования информационных угроз;
- дополнение адаптированного (уточненного) состава мерами, которые необходимы для обработки информационных угроз, закрепленных в модели угроз безопасности информации финансовой организации, в том числе обеспечения выполнения требований, установленных нормативными правовыми актами.
Обязательно для уровня защиты 1 2 3 -
РМ.11 Определение ограничений по параметрам финансовых (банковских) операций, в том числе переводов денежных средств.Обязательно для уровня защиты 1 2 3
-
ЗИУ.4.1 Процессов, предусмотренных мерами ЗИУ 1, ЗИУ.2;Обязательно для уровня защиты 1 2 3
-
ЗИУ.4.2 Процессов, предусмотренных мерами ЗИУ 3.Обязательно для уровня защиты 1 2 3
-
ЗИУ.11.1 Определение критериев, в том числе основанных на законодательстве о лицензировании отдельных видов деятельности, для оценки способностей, ресурсов и возможностей поставщика услуг обеспечить соблюдение принятых финансовой организацией сигнальных и контрольных значений КПУР;Обязательно для уровня защиты 1 2 3
-
ЗИУ.14 Использование в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных показателей, оказывающих влияние на оценку такого риска при аутсорсинге:
- соблюдение требований законодательства Российской Федерации в области обеспечения защиты информации и операционной надежности, в том числе требований ГОСТ Р 57580.1-2017, и обеспечения операционной надежности, в том числе ГОСТ Р 57580.1, а также требований по обеспечению возможности финансовой организации предоставить необходимую и достоверную информацию в рамках выполнения Банком России и исполнительными органами государственной власти их надзорных (контрольных) функций;
- соблюдение принятых финансовой организацией контрольных и сигнальных значений КПУР в отношении переданных на аутсорсинг бизнес- и технологических процессов;
- возможности финансовой организации, необходимые для мониторинга риска реализации информационных угроз при аутсорсинге;
- наличие и функциональность систем управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации у поставщика услуг;
- уровень зрелости процессов обеспечения операционной надежности и защиты информации, реализуемых поставщиком услуг;
- возможности финансовой организации, необходимые для обеспечения операционной надежности и защиты информации после прекращения действия соглашения с поставщиком услуг или в случае отказа поставщика услуг от выполнения своих обязательств, в том числе наличие плана действий финансовой организации для такого случая (стратегии «выхода»)
Обязательно для уровня защиты 1 2 3 -
ЗИУ.15.3 Мониторинг риска реализации информационных угроз при аутсорсинге.Обязательно для уровня защиты 1 2 3
-
ЗИУ.16.2 Оценки опыта и репутации поставщика услуг;Обязательно для уровня защиты 1 2 3
-
ЗИУ.16.3 Оценки показателей деятельности поставщика услуг на основе показателей, предусмотренных мерой ЗИУ.16;Обязательно для уровня защиты 1 2 3
-
ЗИУ.17.4 Правил и требований к планированию, реализации, контролю и совершенствованию участниками финансовой экосистемы (за исключением пользователей финансовой экосистемы) процессов системы управления, определяемых в рамках семейств стандартов ОН и ЗИ комплекса стандартов**.Обязательно для уровня защиты 1 2 3
-
ЗИУ.17.5 Правил и требований к реализации мероприятий, направленных на предотвращение утечек информации***.Обязательно для уровня защиты 1 2 3
-
ЗИУ.17.8 Правил и требований к реагированию на инциденты и восстановлению функционирования бизнес- и технологических процессов и объектов информатизации после их реализации, в том числе к взаимодействию между участниками финансовой экосистемы при реагировании и восстановлении после реализации таких инцидентов.Обязательно для уровня защиты 1 2 3
-
ЗИУ.17.10 Правил и требований к мониторингу риска реализации информационных угроз в рамках финансовой экосистемы.Обязательно для уровня защиты 1 2 3
-
ВСР.3.1 Определение порядка ведения базы событий*;Обязательно для уровня защиты 1 2 3
-
ВСР.3.2 Определение порядка установления величины потерь от реализации события риска реализации информационных угроз, при которой осуществляется регистрация таких событий в базе событий (порог регистрации), в том числе в соответствии с требованиями нормативных актов Банка России;Обязательно для уровня защиты 1 2 3
-
ВСР.3.3 Определение перечня ролей и ответственных по ведению базы событий;Обязательно для уровня защиты 1 2 3
-
ВСР.3.4 Определение порядка контроля за своевременностью отражения потерь от реализации событий риска реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
ВСР.3.7 Обеспечение целостности и доступности данных, содержащихся в базе событий, а также сохранности данных о потерях и возмещениях***;Обязательно для уровня защиты 1 2 3
-
ВСР.3.8 Протоколирование и контроль внесения изменений в базу событий.Обязательно для уровня защиты 1 2 3
-
ВСР.4 Организация и выполнение деятельности по регистрации информации о выявленных событиях риска реализации информационных угроз и потерях**** в базе событий такого риска с учетом их классификации и порога регистрации, в том числе в соответствии с требованиями нормативных актов Банка России.Обязательно для уровня защиты 1 2 3
-
ВСР.5.1 Учет потерь, установление сроков выявления и правил отражения в бухгалтерском учете;Обязательно для уровня защиты 1 2 3
-
ВСР.5.2 Установление порядка и метода определения потерь (прямых, косвенных, качественных*****);Обязательно для уровня защиты 1 2 3
-
ВСР.5.3 Определение потерь финансовой организации, причастных сторон, в том числе клиентов финансовой организации с учетом классификации согласно приложению Г к настоящему стандарту, в том числе в соответствии с требованиями нормативных правовых актов Банка России;Обязательно для уровня защиты 1 2 3
-
ОСО.7 Организация и выполнение деятельности по оценке эффективности реализуемых программ по доведению до клиентов финансовой организации информации, способствующей уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг.Обязательно для уровня защиты 1 2 3
-
ОСО.14 Организация обучения или инструктажа** работника, получившего новую роль, с последующим проведением оценочных мероприятий, по вопросам противодействия реализации информационных угроз и доведение результатов указанных мероприятий до работника, принимавшего в них участие.Обязательно для уровня защиты 1 2 3
-
ОСО.15 Организация обучения или инструктажа в части выявления и инициативного информирования о событиях риска реализации информационных угроз.Обязательно для уровня защиты 1 2 3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.