ГОСТ Р № 57580.3-2022 от 01.02.2023

УПК.1 Установление и реализация программы проведения самооценки зрелости процессов планирования, реализации контроля и совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, согласно соответствующим методикам оценки соответствия (далее – самооценка ОН и ЗИ).

УПК.2 Установление и реализация программы проведения независимой профессиональной оценки* зрелости процессов планирования, реализации, контроля и совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, согласно соответствующим методикам оценки соответствия (далее – аудиты ОН и ЗИ).

УПК.3 Установление плана самооценки ОН и ЗИ для каждого проводимого аудита, определяющего:

УПК.4 Установление плана аудита ОН и ЗИ для каждого проводимого аудита, определяющего:

УПК.5 Определение во внутренних документах правил привлечения организации, предоставляющей услуги внешнего аудита, при проведении аудитов ОН и ЗИ***.

УПК.6 Фиксация результатов проведения самооценок и аудитов ОН и ЗИ в виде отчетов, содержащих мотивированное суждение об уровне зрелости процессов совершенствования систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, согласно соответствующим методикам оценки соответствия.

УПК.7 Доведение результатов самооценок и аудитов ОН и ЗИ до совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, а также должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз.

УПК.8 Организация и выполнение деятельности по хранению, предоставлению санкционированного доступа и использованию материалов (в частности, отчетов), получаемых в процессе проведения самооценок и аудитов ОН и ЗИ.

УПК.9.1 Данных, содержащихся в базе событий риска реализации информационных угроз;

УПК.9.2 Результатов самооценок ОН и ЗИ*;

УПК.9.3 Результатов аудитов ОН и ЗИ;

УПК.9.4 Результатов сценарного анализа и тестирования готовности финансовой организации противостоять реализации информационных угроз;

УПК.9.5 Результатов оценки эффективности функционирования системы управления риском реализации информационных угроз, проводимой подразделением, формирующим «третью линию защиты».

УПК.10.1 Порядка оценки подразделением, формирующим «третью линию защиты», и (или) внешним аудитором эффективности функционирования системы управления риском реализации информационных угроз, в том числе выполнения процессов управления таким риском;

УПК.10.2 Порядка привлечения для оценки эффективности функционирования системы управления риском реализации информационных угроз внешних аудиторов или экспертов.

УПК.11.1 Полноты и точности информации, отраженной в базе событий риска реализации информационных угроз, а также корректности ведения такой базы;

УПК.11.2 Соблюдения установленных финансовой организацией в политике управления риском реализации информационных значений КПУР; 

УПК.11.3 Корректности определения вида и величины потерь от реализации событий риска реализации информационных угроз (в составе операционного риска);

УПК.11.4 Корректности проведенных оценок величины потерь от реализации риска реализации информационных угроз;

УПК.11.5 Мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз.

УПК.12 Представление на рассмотрение фактических значений КПУР на регулярной основе или в случае выявления факта превышения сигнального и (или) контрольного значения одного из КПУР: - совету директоров (наблюдательному совету) финансовой организации не реже одного раза в год; - исполнительному органу финансовой организации, в том числе должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, не реже одного раза в квартал.

УПК.13 Формирование внутренней отчетности финансовой организации:

УПК.14 Включение в отчетность о выявленных событиях риска реализации информационных угроз сведений о ведении претензионной работы финансовой организации в отношении ее причастных сторон, в том числе клиентов финансовой организации.

УПК.15 Включение в отчетность о результатах мониторинга риска реализации информационных угроз информации о реализовавшихся инцидентах, содержащей в том числе:

УПК.16 Определение процедур информирования и состава отчетности для представления совету директоров (наблюдательному совету) и исполнительному органу финансовой организации в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации подразделениями финансовой организации, формирующими «три линий защиты».

УПК.17 Организация и выполнение деятельности по валидации и верификации данных, содержащихся в отчетности в рамках управления риском реализации информационных угроз, со стороны подразделений, формирующих «третью линию защиты».