Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № 57580.3-2022 от 01.02... ОПР.10
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № 57580.3-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.

ОПР.10

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 6 п.п. 6
8.6.6. Документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, должны детализировать положения политики (частных политик) ИБ и не противоречить им. 
Р. 8 п. 6 п.п. 3
8.6.3. В политике (в частных политиках) ИБ должны определяться/корректироваться: 
  • цели и задачи обеспечения ИБ;
  • основные области обеспечения ИБ;
  • типы основных защищаемых информационных активов;
  • модели угроз и нарушителей;
  • совокупность правил, требований и руководящих принципов в области ИБ;
  • основные требования по обеспечению ИБ;
  • принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;
  • основные принципы повышения уровня осознания и осведомленности в области ИБ;
  • принципы реализации и контроля выполнения требований политики ИБ. 
NIST Cybersecurity Framework (RU):
ID.GV-1
ID.GV-1:  Установлена политика информационной безопасности организации 
ID.GV-2
ID.GV-2: Роли и обязанности в области информационной безопасности скоординорованы и согласованы с внутренними ролями и внешними партнерами 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
5.2 Политика
5.2 Политика
Высшее руководство должно установить политику информационной безопасности, которая:
  • а) соответствует цели организации;
  • b) содержит цели информационной безопасности (см. п.6.2) или предоставляет структуру для формирования целей информационной безопасности;
  • c) содержит приверженность удовлетворению применимых требований, относящихся к информационной безопасности;
  • d) содержит приверженность непрерывному улучшению системы менеджмента информационной безопасности.
Политика информационной безопасности должна:
  • e) быть доступной к качестве документированной информации;
  • f) быть распространенной в пределах организации; а также
  • g) быть доступной заинтересованным сторонам, если это необходимо.
6.2 Цели ИБ и планирование их достижения
6.2 Цели информационной безопасности и планирование их достижения
Организация должна установить цели информационной безопасности на соответствующих видах деятельности и уровнях. 
Цели информационной безопасности должны:
  • а) согласовываться с политикой информационной безопасности; 
  • b) быть измеряемыми (если это осуществимо);
  • c) учитывать применимые требования информационной безопасности, результаты оценки и обработки рисков;
  • d) мониториться:
  • е) быть доведенными до всех заинтересованных сторон;
  • f) обновляться по мере необходимости:
  • g) быть задокументированными.
Организация должна сохранять документированную информацию в отношении целей информационной безопасности.
При планировании методов достижения целей информационной безопасности организация должна определить:
  • h) что должно быть сделано;
  • i) какие ресурсы потребуются;
  • j) кто за это будет ответственным;
  • k) когда это должно быть закончено; а также
  • l) каким образом результаты будут оцениваться.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
5.2
5.2 Политика
Высшее руководство организации должно установить политику информационной безопасности, которая: 
а) соответствует целям деятельности организации; 
b) содержит цели информационной безопасности (см. 6.2) или обеспечивает основу для их установления; 
с) содержит обязательство соответствовать применимым требованиям, относящимся к информационной безопасности; 
d) содержит обязательство постоянно улучшать систему менеджмента информационной безопасности.
 Политика информационной безопасности должна быть: 
е) доступна в виде документированной информации; 
f) доведена до сведения работников организации;
g) доступна заинтересованным сторонам. 
6.2
6.2 Цели информационной безопасности и планы по их достижению
В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией. 
 Цели информационной безопасности должны: 
а) быть согласованы с политикой информационной безопасности; 
b) быть измеримыми (если это практически возможно); 
с) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности; 
d) быть доведены до сведения всех заинтересованных сторон; 
е) обновляться по мере необходимости. 
Организация должна хранить документированную информацию о целях информационной безопасности. 
При планировании способов достижения своих целей информационной безопасности организация должна определить: 
f) что должно быть сделано; 
д) какие ресурсы потребуются; 
h) кто будет нести ответственность; 
i) когда планируемое мероприятие будет завершено; 
j) как будут оцениваться результаты. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.5.1.1
A.5.1.1 Политики информационной безопасности 
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон 
NIST Cybersecurity Framework (EN):
ID.GV-2 ID.GV-2: Cybersecurity roles and responsibilities are coordinated and aligned with internal roles and external partners
ID.GV-1 ID.GV-1: Organizational cybersecurity policy is established and communicated
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
5.1.1
5.1.1 Политики информационной безопасности

Мера обеспечения ИБ
Совокупность политик ИБ должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон.

Руководство по применению
На высоком уровне организация должна определить "политику ИБ", которую утверждает руководство и в которой изложен подход организации к достижению целей ИБ.

Политики ИБ должны учитывать требования, порождаемые:
  • a) бизнес-стратегией;
  • b) нормативными актами, требованиями регуляторов, договорами;
  • c) текущей и прогнозируемой средой угроз ИБ.
Политика ИБ должна содержать положения, касающиеся:
  • a) определения ИБ, целей и принципов, которыми необходимо руководствоваться в рамках деятельности, связанной с ИБ;
  • b) определения ролей по менеджменту ИБ и распределения общих и конкретных обязанностей;
  • c) процессов обработки отклонений и исключений;
  • d) лиц, несущих ответственность за неисполнение политик ИБ.

На более низком уровне политику ИБ необходимо поддерживать политиками, относящимися к конкретным направлениям в обеспечении ИБ, которые далее предусматривают внедрение мер обеспечения ИБ и, как правило, структурируются для удовлетворения потребностей определенных групп в организации или для охвата определенных областей.
Примерами таких областей политик могут быть:
  • a) управление доступом (раздел 9);
  • b) категорирование и обработка информации (см. 8.2);
  • c) физическая безопасность и защита от воздействия окружающей среды (раздел 11);
  • d) области, ориентированные на конечного пользователя:
    • допустимое использование активов (см. 8.1.3);
    • "чистый стол" и "чистый экран" (см. 11.2.9);
    • передача информации (см. 13.2.1);
    • мобильные устройства и дистанционная работа (см. 6.2);
    • ограничения на установку и использование программного обеспечения (см. 12.6.2);
  • e) резервное копирование (см. 12.3);
  • f) передача информации (см. 13.2);
  • g) защита от вредоносных программ (см. 12.2);
  • h) управление техническими уязвимостями (см. 12.6.1);
  • i) криптография (раздел 10);
  • j) безопасность коммуникаций (раздел 13);
  • k) конфиденциальность и защита персональных данных (см. 18.1.4);
  • l) взаимоотношения с поставщиками (раздел 15).

Эти политики должны быть доведены до сведения всех работников и причастных внешних сторон в актуальной, доступной и понятной для предполагаемого читателя форме, например в контексте "программы информирования, обучения и практической подготовки (тренинги) в области информационной безопасности" (см. 7.2.2).

Дополнительная информация
Потребность во внутренних политиках ИБ варьируется в зависимости от организации. Внутренние политики особенно полезны в крупных организациях, где лица, определяющие и утверждающие необходимый уровень мер обеспечения ИБ, отделены от лиц, реализующих эти меры; или в ситуациях, когда политика распространяется на многих людей или на многие функции в организации. Политики ИБ могут быть оформлены в виде единого документа, например "Политика информационной безопасности", или в виде набора отдельных, но связанных документов.
Если какие-либо политики ИБ распространяются за пределы организации, то следует следить за тем, чтобы никакая конфиденциальная информация не была разглашена.
Некоторые организации используют другие термины для документов-политик, например "Стандарты", "Инструкции", "Правила".
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 3.
8.3. В политике информационных систем кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационных систем определяет:
  • функции и полномочия подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем и их компонентов (далее - подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем), по исполнению политики информационных систем и требований настоящей главы;
  • должностное лицо (лицо, его замещающее), ответственное за обеспечение функционирования информационных систем кредитной организации (головной кредитной организации банковской группы) и координацию деятельности подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем (далее - должностное лицо, ответственное за информационные системы), не участвующее в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования системы обеспечения информационной безопасности, с прямым подчинением лицу, осуществляющему функции единоличного исполнительного органа кредитной организации (головной кредитной организации банковской группы); (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
  • абзац утратил силу с 1 октября 2022 года - указание Банка России от 25 марта 2022 года N 6103-У - см. предыдущую редакцию;
  • требования к информационным системам, в том числе требования по обеспечению непрерывности и качества функционирования информационных систем;
  • порядок информационного взаимодействия в рамках реализации политики информационных систем;
  • порядок и периодичность формирования отчетов должностного лица, ответственного за информационные системы, и подразделения (подразделений), ответственного (ответственных) за обеспечение функционирования информационных систем, направляемых на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы).
Политика информационных систем утверждается коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).

Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований политики информационных систем.
Глава 8. Пункт 8.9
8.8.9. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет подразделение (подразделения), ответственное (ответственные) за обеспечение непрерывности функционирования информационных систем, включая:
  • определение полномочий подразделения и его работников;
  • целевые показатели и критерии эффективности работы подразделения с занесением их в положение о подразделении и должностные инструкции работников;
  • контрольные процедуры и целевые показатели подразделения, в том числе порядок их актуализации.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.