Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № 57580.3-2022 от 01.02... ОРО.5.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № 57580.3-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.

ОРО.5.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 7 п. 2
 7.2 Компетентность 
Организация должна: 
  • а) определить необходимую компетентность лица (лиц), выполняющего работу по управлению, которая влияет на показатели в области непрерывности деятельности; 
  • b) обеспечить компетентность этих лиц на основе соответствующего образования, обучения или опыта; 
  • с) (если применимо), предпринять действия для приобретения необходимой компетенции и оценить результативность предпринятых действий; 
  • d) хранить соответствующую документированную информацию в качестве доказательства компетентности. 
Примечание — Применимые действия могут включать, например, предоставление обучения, наставничество или переназначение работающих сотрудников, наем или заключение контракта с компетентными лицами. 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
7.2 Компетенция
7.2 Компетенция
Организация должна:
  • a) определить необходимую компетенцию лиц (-а), выполняющих работы под ее (организации) контролем, влияющим на их (лиц) исполнение информационной безопасности;
  • b) обеспечить компетентность этих лиц на основе соответствующих образования, обучения или опыта;
  • c) где это применимо, предпринимать действия по овладению необходимой компетенцией и оценивать эффективность предпринятых действий; а также
  • d) сохранять соответствующую документированную информацию в качестве подтверждения компетенции.
ПРИМЕЧАНИЕ Применимыми действиями могут быть, например, предоставление обучения, наставничество или переназначения действующих сотрудников, или найм или привлечение по контракту компетентных лиц.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
7.2
7.2 Квалификация
Организация должна:
а) определить необходимую квалификацию для лиц(а), выполняющих(его) работу под ее контролем, которая влияет на обеспечение ее информационной безопасности;
b) убедиться, что квалификация этих лиц базируется на их приемлемом образовании, профессиональной подготовке (стажировке) или опыте работы;
с) при необходимости принимать меры по получению необходимой квалификации и проводить оценивание результативности принятых мер;
d) сохранять соответствующую документированную информацию в качестве свидетельств наличия необходимой квалификации.

Примечание — Применяемые меры могут включать, например, проведение тренинга, наставничество или перераспределение обязанностей среди имеющихся работников, а также наем или привлечение к работам по контракту лиц, имеющих необходимую квалификацию. 
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 11 п. 3
11.3. Организации БС РФ как минимум следует обеспечить наличие должной компетенции работников и (или) привлеченных специалистов для выполнения деятельности по обеспечению наличия, хранения и сбора технических данных. В случае существенных инцидентов ИБ и отсутствия должной компетенции работников организации БС РФ к проведению необходимого выделения и анализа содержательной (семантической) информации организации БС РФ может быть рекомендовано обращение в FinCert Банка России. Соответствующий запрос с описанием инцидента ИБ – профиля инцидента ИБ, сформированного в соответствии с пунктом 6.1 настоящего стандарта, следует направить на электронный адрес fincert@cbr.ru. 
Р. 11 п. 2
11.2. Организации БС РФ рекомендуется обеспечить наличие следующих знаний и компетенции аналитиков, выполняющих поиск (выделение) и анализ содержательной (семантической) информации:
  • глубокое знание и понимание способов организации хранения технических данных в файловых системах для разных типов носителей информации (разделение на логические тома, логическое форматирование файловых систем, способов организации хранения файлов и директорий), которые потенциально могут быть источниками значимой (семантической) информации. К таким носителям информации могут быть отнесены:
    • накопители на жестких магнитных дисках;
    • накопители на гибких магнитных дисках (флоппи-диски);
    • носители информации портативных компьютеров (планшетов), мобильных телефонов;
    • CD-диски, DVD-диски;
    • флеш-карты;
    • оптические накопители;
    • карты памяти (в том числе SD, PC Card, CF, MMC, Memory Stick). 
Для получения дополнительной информации о составе возможных носителей информации и соответствующих файловых системах возможно использование рекомендаций, определенных в разделах 4.1.1 “File Storage Media” и 4.1.2 “FileSystems” NIST 800-86 Guide to Integrating Forensic Techniques into Incident Response; 
  • глубокое знание и понимание способов организации хранения как минимум в следующих файловых системах:
    • операционные системы Windows и их файловые системы: FAT16, FAT32, NTFS;
    • операционные системы Unix, Linux и их файловые системы: Unix File System (UFS), Second Extended Filesystem (ext2fs), Third Extended Filesystem (ext3fs), ReiserFS;
    • операционная система MacOs и ее файловая система: Hierarchical File System (HFS), HFS Plus;
    • CD-диски: Compact Disc File System (CDFS), ISO 9660, Joliet;
    • DVD-диски: Universal Disc Format (UDF);
  • глубокое понимание сетевых протоколов передачи данных TCP/IP и принципов их инкапсуляции:
    • протоколов прикладного уровня, в том числе протоколов DNS, FTP, HТТР, SMTP, POP3, IMAP, SNMP;
    • протоколов транспортного уровня, в том числе протоколов ТСР, UDP, ICMP;
    • протоколов сетевого уровня, в том числе протоколов IPv4, IPv6, IPSec;
    • протоколов маршрутизации, в том числе протоколов RIP, OSPF, BGP;
    • протоколов канального и физического уровня, в том числе протокола Ethernet и семейства протоколов 802.11;
    • знание и понимание угроз ИБ, связанных с использованием вычислительных сетей, способов и техник реализации сетевых атак;
  • знание и понимание организации вычислительных сетей (сетевой топологии) организации БС РФ, в том числе знание и понимание: • сетевой архитектуры организации БС РФ;
    • используемого организацией БС РФ сетевого и телекоммуникационного оборудования;
    • IP-адресов ключевых (критических) программных сервисов, в первую очередь используемых для осуществления переводов денежных средств;
    • номера используемых сетевых портов (ports) ключевых (критических) программных сервисов, в первую очередь используемых для осуществления переводов денежных средств;
  • глубокое знание и понимание возможного содержания данных операционных систем, эксплуатируемых в пределах информационной инфраструктуры организации БС РФ:
    • порядка загрузки операционных систем Windows, Linux и мобильных операционных систем;
    • состава и возможного содержания конфигурационных файлов данных операционных систем;
    • состава и возможного содержания протоколов (журналов) регистрации операционных систем;
    • структуры и информации реестра операционной системы Windows;
    • состава и возможного содержания информации, содержащейся в неиспользуемых областях в пределах логических страниц или блоков выделения пространства оперативной памяти (memory slack space); 
    • состав и возможное содержание информации, расположенной в неиспользуемом пространстве оперативной памяти (memory free space, garbage);
    •  • состав и возможное содержание информации о сетевых конфигурациях, сетевых соединениях, запущенных программных процессах, открытых сессиях доступа;
  • знание и понимание организации и правил эксплуатации информационной инфраструктуры организации БС РФ:
    • состава СВТ и серверного оборудования;
    • состава, правил размещения, возможного содержания протоколов (журналов) регистрации операционных систем, системного программного обеспечения, СУБД, почтовых серверов, web-серверов;
    • состава, правил размещения, возможного содержания протоколов (журналов) регистрации средств защиты информации;
    • состава, правил размещения, возможного содержания протоколов (журналов) регистрации программного обеспечения целевых систем. 
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.0 ИПО.0 Разработка политики информирования и обучения персонала

Связанные защитные меры

Ничего не найдено