Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № 57580.3-2022 от 01.02... ОПР.5.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № 57580.3-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.

ОПР.5.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 10 п.п. 2
8.10.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры хранения и распространения информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ. 
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6
6. Кредитные организации должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:
  • требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
  • требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с учетом установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
  • требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий), с учетом установленных главами 7 и 8 Положения Банка России N 716-П требований к управлению риском информационной безопасности и риском информационных систем при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем, а также требований к аутсорсингу обслуживания и функционирования информационных систем;
  • требования к тестированию операционной надежности технологических процессов;
  • требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;
  • требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.
п. 6. п.п. 3
6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
  • выявление и регистрация инцидентов операционной надежности;
  • реагирование на инциденты операционной надежности в отношении критичной архитектуры;
  • восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
  • проведение анализа причин и последствий реализации инцидентов операционной надежности;
  • организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
п. 2
2. Кредитные организации в рамках обеспечения операционной надежности должны обеспечить непревышение значения порогового уровня допустимого времени простоя и (или) нарушения технологических процессов, обеспечивающих выполнение критически важных процессов и указанных в приложении к настоящему Положению (далее - технологические процессы), приводящих к неоказанию или ненадлежащему оказанию банковских услуг (далее - пороговый уровень допустимого времени простоя и (или) деградации технологических процессов кредитных организаций), предусмотренного приложением к настоящему Положению.
п. 6. п.п. 2
6.2. Кредитные организации должны обеспечивать выполнение следующих требований к управлению изменениями критичной архитектуры:
  • управление уязвимостями в критичной архитектуре, из-за которых могут реализоваться информационные угрозы и которые могут повлечь превышение значений целевых показателей операционной надежности;
  • планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение недопустимости неоказания или ненадлежащего оказания банковских услуг;
  • управление конфигурациями (настраиваемыми параметрами) объектов информационной инфраструктуры;
  • управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РИ.6
РИ.6 Установление и применение единых правил реагирования на инциденты защиты информации
3-О 2-О 1-О
NIST Cybersecurity Framework (RU):
RS.MI-1
RS.MI-1: Инциденты локализируются 
RS.AN-2
RS.AN-2: Понимается влияние инцидента
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИНЦ.2 ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
8.1 Операционное планирование и контроль
8.1 Оперативнное планирование и контроль
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований информационной безопасности, а также для реализации действий, определенных в Разделе 6, посредством:
  • установление критериев для процессов;
  • осуществление контроля процессов в соответствии с критериями.
Документированная информация должна быть доступна в объеме, необходимом для уверенности в том, что процессы выполняются в соответствии с планом.
Организация должна контролировать запланированные изменения и анализировать последствия непреднамеренных изменений, предпринимая действия по снижению любых неблагоприятных последствий, если это необходимо.
Организация должна обеспечить контроль предоставляемых извне, относящихся к системе менеджмента информационной безопасности, процессов, продуктов или услуг.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.17.1.1
A.17.1.1 Планирование непрерывности информационной безопасности
Мера обеспечения информационной безопасности: Организация должна определить свои требования к информационной безопасности и менеджменту непрерывности информационной безопасности при неблагоприятных ситуациях, например во время кризиса или бедствия 
A.16.1.5
A.16.1.5 Реагирование на инциденты информационной безопасности 
Мера обеспечения информационной безопасности: Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
8.1 Operational planning and control
8.1 Operational planning and control
The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in Clause 6, by:
  • establishing criteria for the processes;
  • implementing control of the processes in accordance with the criteria.
Documented information shall be available to the extent necessary to have confidence that the processes have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that externally provided processes, products or services that are relevant to the information security management system are controlled.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 19.1 CSC 19.1 Document Incident Response Procedures
Ensure that there are written incident response plans that define roles of personnel as well as phases of incident handling/management.
Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":
П. 7 п.п. 1
7.1. Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны разработать и утвердить внутренние документы, регламентирующие выполнение следующих процессов (направлений) защиты информации в рамках процессов (направлений) защиты информации, предусмотренных подпунктом 7.1.1 пункта 7.1 раздела 7 ГОСТ Р 57580.1-2017:
  • обеспечение защиты информации при управлении доступом;
  • обеспечение защиты вычислительных сетей;
  • контроль целостности и защищенности информационной инфраструктуры;
  • защита от вредоносного кода;
  • предотвращение утечек информации;
  • управление инцидентами защиты информации;
  • защита среды виртуализации;
  • защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.25
А.5.25 Оценка и принятие решений в отношении событий ИБ
Организация должна оценивать события ИБ и решать, следует ли их относить к инцидентам ИБ.
А.8.16
А.8.16 Деятельность по мониторингу
Сети, системы и приложения должны быть объектом мониторинга на предмет выявления аномального поведения и выполнения соответствующих действий по оценке возможных инцидентов ИБ.
SWIFT Customer Security Controls Framework v2022:
7 - 7.1 Cyber Incident Response Planning
7.1 Cyber Incident Response Planning
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.2 ИНЦ.2 Информирование о компьютерных инцидентах
NIST Cybersecurity Framework (EN):
RS.MI-1 RS.MI-1: Incidents are contained
RS.AN-2 RS.AN-2: The impact of the incident is understood
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 6 п. 1 п.п. 2 п.п.п. 1
1. Цель и задачи менеджмента инцидентов ИБ. Основные цели менеджмента инцидентов ИБ, устанавливаемые политикой менеджмента инцидентов ИБ организации БС РФ, должны определять:
  • создание условий для осуществления своевременного обнаружения и оперативного реагирования на инциденты ИБ, в том числе их закрытия;
  • предотвращение и (или) снижение негативного влияния инцидентов ИБ на выполнение банковских технологических процессов организации БС РФ и (или) ее клиентов;
  • оперативное совершенствование СОИБ организации БС РФ. 
Основные задачи, устанавливаемые политикой менеджмента инцидентов ИБ организации БС РФ и решаемые в рамках менеджмента инцидентов ИБ, должны обеспечивать достижение установленных целей менеджмента инцидентов ИБ путем:
  • своевременного обнаружения инцидентов ИБ;
  • оперативного реагирования на инциденты ИБ в соответствии с требованиями законодательства РФ, нормативных актов Банка России и регламентами, установленными внутренними документами организации БС РФ;
  • координации деятельности работников структурных подразделений организации БС РФ в рамках процессов реагирования на инциденты ИБ, в том числе их закрытия; 
  • ведения базы данных зарегистрированных событий ИБ и обнаруженных инцидентов ИБ;
  • накопления и повторного использования знаний по обнаружению инцидентов ИБ и реагированию на них; 
  • анализа, оценки эффективности и совершенствования процессов менеджмента инцидентов ИБ организации БС РФ; 
  • предоставления руководству организации БС РФ информации и отчетов по результатам выполнения процессов менеджмента инцидентов ИБ, в том числе информации о фактах обнаружения инцидентов ИБ и результатах реагирования на них. 
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИНЦ.2 ИНЦ.2 Информирование о компьютерных инцидентах
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
17.1.1
17.1.1 Планирование непрерывности информационной безопасности

Мера обеспечения ИБ
Организация должна определить свои требования к ИБ и менеджменту непрерывности ИБ при неблагоприятных ситуациях, например во время кризиса или бедствия.

Руководство по применению
Организация должна определить, обеспечивается ли непрерывность ИБ в рамках процесса менеджмента непрерывностью бизнеса или в рамках процесса менеджмента восстановления после чрезвычайных ситуаций. Требования ИБ должны быть определены при планировании непрерывности бизнеса и восстановления после чрезвычайных ситуаций. При отсутствии формально утвержденных планов непрерывности бизнеса и восстановления после чрезвычайных ситуаций управление ИБ должно исходить из того, что требования ИБ в неблагоприятных ситуациях те же, что и при обычных условиях. В качестве альтернативы организация может провести анализ влияния на бизнес в разрезе аспектов ИБ, чтобы определить требования ИБ, которые применимы в неблагоприятных ситуациях.

Дополнительная информация
Чтобы сократить время и затраты на дополнительный анализ влияния на бизнес, рекомендуется учитывать аспекты ИБ в рамках обычного анализа влияния на менеджмент непрерывности бизнеса или восстановления после чрезвычайных ситуаций. Это предполагает, что требования к непрерывности ИБ четко сформулированы в процессах менеджмента непрерывности бизнеса или восстановления после чрезвычайных ситуаций. Информацию о менеджменте непрерывности бизнеса можно найти в ИСО 27031 [14], ИСО 22313 [9] и ИСО 22301 [8].
16.1.5
16.1.5 Реагирование на инциденты информационной безопасности

Мера обеспечения ИБ
Реагирование на инциденты ИБ должно осуществляться в соответствии с документально оформленными процедурами.

Руководство по применению
Реагирование на инциденты ИБ должно осуществляться назначенными контактными лицами и другими соответствующими лицами из числа самой организации или сторонних организаций (см. 16.1.1).
Реагирование должно включать в себя следующее:
  • a) как можно более быстрый сбор свидетельств произошедшего;
  • b) проведение криминалистического анализа ИБ по мере необходимости (см. 16.1.7);
  • c) эскалация, если требуется;
  • d) обеспечение того, что все выполняемые действия по реагированию соответствующим образом зарегистрированы для дальнейшего анализа;
  • e) информирование о факте инцидента ИБ или любых существенных деталях о нем других лиц из числа самой организации или сторонних организаций в соответствии с принципом "необходимого знания";
  • f) устранение недостатка(ов) ИБ, которые могут стать причиной или способствовать возникновению инцидента;
  • g) после того, как инцидент успешно отработан, необходимо формально закрыть и записать его.
После инцидента должен проводиться анализ для выявления первопричины инцидента.

Дополнительная информация
Первоочередной целью реагирования на инцидент является возобновление "нормального уровня безопасности", а затем инициирование необходимого восстановления.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.25
А.5.25 Assessment and decision on information security events
The organization shall assess information security events and decide if they are to be categorized as information security incidents.
А.8.16
А.8.16 Monitoring activities
Networks, systems and applications shall be monitored for anomalous behaviour and appropriate actions taken to evaluate potential information security incidents.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 7. Пункт 9.2
7.9.2. В целях управления риском информационной безопасности:
  • соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации, сбора и регистрации информации о событиях риска информационной безопасности и потерях в базе событий, мониторинга риска информационной безопасности, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска;
  • ведение базы событий риска информационной безопасности;
  • участие в реализации процессов в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
  • абзац утратил силу с 1 октября 2022 года - указание Банка России от 25 марта 2022 года N 6103-У - см. предыдущую редакцию;
  • составление отчетов по событиям риска информационной безопасности и направление их в службу управления рисками и должностному лицу, ответственному за обеспечение информационной безопасности; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
  • осуществление мониторинга сигнальных и контрольных значений контрольных показателей уровня риска информационной безопасности, определенных в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению;
  • участие в разработке внутренних документов в области управления риском информационной безопасности;
  • информирование работников кредитной организации (головной кредитной организации банковской группы) по вопросам, связанным с управлением риском информационной безопасности;
  • осуществление других функций, связанных с управлением риском информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).
Глава 7. Пункт 9.1
7.9.1. В целях обеспечения информационной безопасности:
  • разработка политики информационной безопасности;
  • контроль осуществления работниками кредитной организации (головной кредитной организации банковской группы) мероприятий в области обеспечения информационной безопасности и защиты информации и выполнения других задач, возложенных на них внутренними документами кредитной организации (головной кредитной организации банковской группы);
  • осуществление планирования и контроля процессов обеспечения информационной безопасности в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
  • разработка предложений по совершенствованию процессов обеспечения информационной безопасности, в том числе в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
  • составление отчетов по обеспечению информационной безопасности и направление их должностному лицу, ответственному за обеспечение информационной безопасности;
  • осуществление других функций, связанных с обеспечением информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).
Глава 7. Пункт 10.
7.10. Служба информационной безопасности формирует сводные отчеты по рискам информационной безопасности, направляемые на рассмотрение должностному лицу, ответственному за обеспечение информационной безопасности, и коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы), в дополнение к отчетам, формируемым подразделением, ответственным за организацию управления операционным риском в соответствии с пунктом 4.2 настоящего Положения.

Кредитная организация (головная кредитная организация банковской группы) устанавливает во внутренних документах порядок и сроки представления данных отчетов.
(Пункт в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.