ГОСТ Р № 57580.3-2022 от 01.02.2023

ОСЗ.1.1 Выявления фактов или возможности превышения сигнальных и контрольных значений КПУР;

ОСЗ.1.2 Изменения политики финансовой организации в отношении принципов и приоритетов в реализации системы управления риском реализации информационных угроз;

ОСЗ.1.3 Изменения политики финансовой организации в отношении величины допустимого риска реализации информационных угроз (риск-аппетита), сигнальных и контрольных значений КПУР;

ОСЗ.1.4 Изменения политики финансовой организации в отношении аутсорсинга, в том числе в части взаимодействия с причастными сторонами – поставщиками услуг, включая поставщиков облачных услуг;

ОСЗ.1.5 Внедрения финансовой организацией новых технологий предоставления финансовых и (или) информационных услуг, существенное изменение критичной архитектуры (в частности, бизнес- и технологических процессов);

ОСЗ.1.6 Изменения условий взаимодействия финансовой организации с причастными сторонами – поставщиками услуг, включая поставщиков облачных услуг;

ОСЗ.1.7Изменения законодательства Российской Федерации, в том числе нормативных актов Банка России.

ОСЗ.2 Определение источников информации для проведения анализа необходимости совершенствования, включающих:

ОСЗ.3 Фиксация и доведение до коллегиального исполнительного органа (а в случае его отсутствия – единоличного исполнительного органа) или подотчетных им коллегиальных органов финансовой организации и должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, результатов (свидетельств) анализа эффективности такой системы в целях принятия решения о необходимости ее совершенствования.

ОСЗ.4 Принятие коллегиальным исполнительным органом финансовой организации и должностным лицом, ответственным за функционирование системы управления риском реализации информационных угроз, решений по совершенствованию системы управления риском реализации информационных угроз на основе результатов проведения анализа необходимости совершенствования такой системы:

ОСЗ.5  Рассмотрение и принятие решений о необходимости реализации стратегических улучшений системы управления риском реализации информационных угроз советом директоров (наблюдательным советом) финансовой организации.

ОСЗ.6 Фиксация во внутренних документах финансовой организации принятых решений по совершенствованию системы управления риском реализации информационных угроз*.

ОСЗ.7 Обеспечение со стороны должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз (с привлечением службы ИБ), контроля за реализацией тактических улучшений системы управления риском реализации информационных угроз.

ОСЗ.8 Обеспечение со стороны коллегиального исполнительного органа финансовой организации и должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз (с привлечением службы ИБ), контроля за реализацией стратегических улучшений системы управления риском реализации информационных угроз.

ОСЗ.9.1 Внедрение новых мер, пересмотр и исправление недостатков в применяемом составе организационных и технических мер по обеспечению операционной надежности и защиты информации;

ОСЗ.9.2 Пересмотр и адаптация способов выявления событий риска реализации информационных угроз в зависимости от модели информационных угроз.

ОСЗ.10.1 Пересмотр политики управления риском реализации информационных угроз в части уточнения установленных в ней целей, состава и значений КПУР, а также пересмотр плана реагирования на риск реализации информационных угроз;

ОСЗ.10.2 Пересмотр политики в отношении аутсорсинга, в том числе пересмотр соглашений об уровне оказания услуг (SLA); 

ОСЗ.10.3 Пересмотр области применения системы управления риском реализации информационных угроз (критичной архитектуры);

ОСЗ.10.4 Пересмотр и доработка методологии оценки риска реализации информационных угроз; 

ОСЗ.10.5  Пересмотр объемов ресурсного обеспечения в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации.