Куда я попал?
ГОСТ Р № 57580.3-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.
ВИО.15
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ВИО.15 Разработка модели информационных угроз на основе результатов, полученных при реализации мер ВИО.8 – ВИО.14 настоящей таблицы.Обязательно для уровня защиты 1 2 3
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 5 п. 5.7
5.7. Один из главных инструментов собственника в обеспечении ИБ - основанный на опыте прогноз (составление модели угроз и модели нарушителя)*.
Чем обоснованнее и точнее сделан прогноз в отношении актуальных для организации БС РФ рисков нарушения ИБ, тем адекватнее и эффективнее будут планируемые и предпринимаемые усилия по обеспечению требуемого уровня ИБ. При этом следует учитывать, что со временем угрозы, их источники и риски могут изменяться. Поэтому модели следует периодически пересматривать.
(*) Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используется имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.
Чем обоснованнее и точнее сделан прогноз в отношении актуальных для организации БС РФ рисков нарушения ИБ, тем адекватнее и эффективнее будут планируемые и предпринимаемые усилия по обеспечению требуемого уровня ИБ. При этом следует учитывать, что со временем угрозы, их источники и риски могут изменяться. Поэтому модели следует периодически пересматривать.
(*) Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используется имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.
Р. 6 п. 6.12
6.12. В организации БС РФ рекомендуется устанавливать процедуры регулярного анализа необходимости пересмотра модели угроз и нарушителей ИБ.
Р. 6 п. 6.11
6.11. Хорошей практикой в организациях БС РФ является разработка моделей угроз и нарушителей ИБ для организации в целом, а также при необходимости для ее отдельных банковских процессов.
Степень детализации параметров моделей угроз и нарушителей ИБ может быть различной и определяется реальными потребностями для каждой организации в отдельности.
Степень детализации параметров моделей угроз и нарушителей ИБ может быть различной и определяется реальными потребностями для каждой организации в отдельности.
Р. 8 п. 6 п.п. 3
8.6.3. В политике (в частных политиках) ИБ должны определяться/корректироваться:
- цели и задачи обеспечения ИБ;
- основные области обеспечения ИБ;
- типы основных защищаемых информационных активов;
- модели угроз и нарушителей;
- совокупность правил, требований и руководящих принципов в области ИБ;
- основные требования по обеспечению ИБ;
- принципы противодействия угрозам ИБ по отношению к типам основных защищаемых информационных активов;
- основные принципы повышения уровня осознания и осведомленности в области ИБ;
- принципы реализации и контроля выполнения требований политики ИБ.
Р. 6 п. 6.1
6.1. Модели угроз и нарушителей должны быть основным инструментом организации БС РФ при развертывании, поддержании и совершенствовании СОИБ.
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 10
10. Кредитные организации в рамках обеспечения операционной надежности должны:
- моделировать информационные угрозы в отношении критичной архитектуры с учетом требований к проведению качественной оценки уровня операционного риска, предусмотренных подпунктом 2.1.5 пункта 2.1 Положения Банка России N 716-П;
- планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности, с учетом результатов идентификации риска информационной безопасности, а также его оценки, проводимой в составе процедур управления операционным риском в соответствии с требованиями глав 2 и 7 Положения Банка России N 716-П;
- обеспечивать реализацию требований к операционной надежности на стадиях создания, ввода в эксплуатацию, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, вывода из эксплуатации объектов информационной инфраструктуры;
- обеспечивать контроль соблюдения требований к операционной надежности.
Кредитные организации должны включать в порядок ведения базы событий, предусмотренный пунктом 6.2 Положения Банка России N 716-П, особенности регистрации событий операционного риска, являющихся инцидентами операционной надежности.
Кредитная организация должна регистрировать инциденты операционной надежности с учетом требований к ведению базы событий, предусмотренных главой 6 Положения Банка России N 716-П.
Кредитные организации при определении в соответствии с пунктом 3.7 Положения Банка России N 716-П дополнительных типов событий операционного риска должны предусматривать во внутренних документах классификацию типов инцидентов операционной надежности с использованием перечня типов инцидентов операционной надежности, размещаемого Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), и обеспечивать их регулярную актуализацию.
По каждому инциденту операционной надежности в дополнение к информации, указанной в пункте 6.6 Положения Банка России N 716-П, кредитные организации должны обеспечить регистрацию следующей информации:
- данных, используемых для фиксации превышения установленных значений целевых показателей операционной надежности;
- данных, позволяющих выявить причину превышения установленных значений целевых показателей операционной надежности;
- результата реагирования на инцидент операционной надежности (о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитной организацией или Банком России инцидент операционной надежности).
Кредитные организации должны устанавливать во внутренних документах критерии шкалы качественных оценок и методику определения оценок качественных потерь от реализации инцидентов операционной надежности в соответствии с подпунктом 3.13.2 пункта 3.13 Положения Банка России N 716-П, в случае если они не определяются в денежном выражении.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.