Куда я попал?
ГОСТ Р № 57580.3-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.
ОПР.8.4
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ОПР.8.4 Систематический и проактивный подход в части противодействия возможным информационным угрозам;Обязательно для уровня защиты 1 2 3
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 7 п.п. 2
8.7.2. Все планы внедрения СОИБ, в частности планы реализации требований разделов 7 и 8 настоящего стандарта, планы обработки рисков нарушения ИБ и внедрения защитных мер, должны быть утверждены руководством. Указанные планы должны определять:
- последовательность выполнения мероприятий в рамках указанных планов;
- сроки начала и окончания запланированных мероприятий;
- должностных лиц (подразделения), ответственных за выполнение каждого указанного мероприятия.
Р. 8 п. 13 п.п. 3
8.13.3. Должна быть установлена и реализована программа самооценок ИБ, содержащая информацию, необходимую для планирования и организации самооценок ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных самооценок ИБ в заданные сроки.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
9.3.1 Общие положения
9.3.1 Общие положения
Высшее руководство должно анализировать систему менеджмента информационной безопасности организации в запланированные интервалы времени с целью обеспечения ее (системы менеджмента информационной безопасности) непрерывной пригодности, адекватности и эффективности.
8.1 Операционное планирование и контроль
8.1 Оперативнное планирование и контроль
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований информационной безопасности, а также для реализации действий, определенных в Разделе 6, посредством:
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований информационной безопасности, а также для реализации действий, определенных в Разделе 6, посредством:
- установление критериев для процессов;
- осуществление контроля процессов в соответствии с критериями.
Документированная информация должна быть доступна в объеме, необходимом для уверенности в том, что процессы выполняются в соответствии с планом.
Организация должна контролировать запланированные изменения и анализировать последствия непреднамеренных изменений, предпринимая действия по снижению любых неблагоприятных последствий, если это необходимо.
Организация должна обеспечить контроль предоставляемых извне, относящихся к системе менеджмента информационной безопасности, процессов, продуктов или услуг.
Организация должна контролировать запланированные изменения и анализировать последствия непреднамеренных изменений, предпринимая действия по снижению любых неблагоприятных последствий, если это необходимо.
Организация должна обеспечить контроль предоставляемых извне, относящихся к системе менеджмента информационной безопасности, процессов, продуктов или услуг.
6.3 Планирование изменений
6.3 Планирование изменений
В случае, если организация определяет необходимость внесения изменений в системе менеджмента информационной безопасности, такие изменения должны вноситься в плановом порядке.
В случае, если организация определяет необходимость внесения изменений в системе менеджмента информационной безопасности, такие изменения должны вноситься в плановом порядке.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
8.1
8.1 Оперативное планирование и контроль
Организация должна планировать, реализовывать и контролировать процессы, необходимые для соответствия требованиям информационной безопасности и для осуществления действий, определенных в 6.1. Организация должна также реализовывать планы по достижению целей информационной безопасности, определенных в соответствии с 6.2.
Организация должна хранить документированную информацию в объеме, необходимом для обеспечения уверенности в том, что процессы были выполнены в соответствии с планами.
В организации необходимо управлять запланированными изменениями системы менеджмента информационной безопасности и анализировать последствия незапланированных изменений, принимая при необходимости меры по снижению любых неблагоприятных последствий.
Процессы организации, осуществляемые с использованием аутсорсинга, должны быть определены и проконтролированы.
Аутсорсинг — передача одним юридическим лицом (контрактором) другому юридическому лицу (субконтрактору) работ или услуг и принятие их к выполнению этим другим юридическим лицом (субконтрактором) на основании договора (см. Решение Совета Евразийской экономической комиссии от 21 декабря 2016 г. № 143 «О Концепции создания евразийской сети промышленной кооперации и субконтрактации»).
Организация должна планировать, реализовывать и контролировать процессы, необходимые для соответствия требованиям информационной безопасности и для осуществления действий, определенных в 6.1. Организация должна также реализовывать планы по достижению целей информационной безопасности, определенных в соответствии с 6.2.
Организация должна хранить документированную информацию в объеме, необходимом для обеспечения уверенности в том, что процессы были выполнены в соответствии с планами.
В организации необходимо управлять запланированными изменениями системы менеджмента информационной безопасности и анализировать последствия незапланированных изменений, принимая при необходимости меры по снижению любых неблагоприятных последствий.
Процессы организации, осуществляемые с использованием аутсорсинга, должны быть определены и проконтролированы.
Аутсорсинг — передача одним юридическим лицом (контрактором) другому юридическому лицу (субконтрактору) работ или услуг и принятие их к выполнению этим другим юридическим лицом (субконтрактором) на основании договора (см. Решение Совета Евразийской экономической комиссии от 21 декабря 2016 г. № 143 «О Концепции создания евразийской сети промышленной кооперации и субконтрактации»).
9.3
9.3 Проверка со стороны руководства
Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности.
Проверка со стороны руководства должна включать рассмотрение:
а) состояния выполнения решений по результатам предыдущих проверок со стороны руководства;
b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности;
с) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции:
1) в выявлении несоответствий и применении корректирующих действий;
2) результатах мониторинга и оценки защищенности;
3) результатах аудита;
4) достижении целей информационной безопасности;
d) отзывов от заинтересованных сторон;
е) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности;
f) возможностей для постоянного улучшения системы менеджмента информационной безопасности.
Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации.
Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства
Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности.
Проверка со стороны руководства должна включать рассмотрение:
а) состояния выполнения решений по результатам предыдущих проверок со стороны руководства;
b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности;
с) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции:
1) в выявлении несоответствий и применении корректирующих действий;
2) результатах мониторинга и оценки защищенности;
3) результатах аудита;
4) достижении целей информационной безопасности;
d) отзывов от заинтересованных сторон;
е) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности;
f) возможностей для постоянного улучшения системы менеджмента информационной безопасности.
Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации.
Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ПЛН.0
ПЛН.0 Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.