Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № 57580.3-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.

ВИО.17.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Показывать только требования

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 8 п. 4 п.п. 3

8.4.3. Методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ организации БС РФ должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:

степени возможности реализации угроз ИБ выявленными и (или) предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз и нарушителя, в результате их воздействия на объекты среды информационных активов организации БС РФ (типов информационных активов);
степени тяжести последствий от потери свойств ИБ, в частности свойств доступности, целостности и конфиденциальности, для рассматриваемых информационных активов (типов информационных активов). Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения.

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":

6.1.2 Оценка рисков информационной безопасности

6.1.2 Оценка рисков информационной безопасности
Организация должна определить и применять процесс оценки рисков информационной безопасности, который

а) устанавливает и поддерживает критерии рисков информационной безопасности, которые включают в себя:
- 1) критерии приемлемости рисков; а также
- 2) критерии выполнения оценок рисков информационной безопасности;
b) обеспечивает выработку повторяющимися оценками рисков информационной безопасности цельных, достоверных и сравнимых результатов;
c) выявляет риски информационной безопасности:
- 1) применение процесса оценки рисков информационной безопасности с целью выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в пределах области действия системы менеджмента информационной безопасности; а также
- 2) выявление владельцев рисков;
d) анализирует риски информационной безопасности:
- 1) оценка возможных последствий, которые могут произойти в результате реализации рисков, выявленных в п.6.1.2 с)1);
- 2) оценка реалистичной вероятности реализации рисков, выявленных в п.6.1.2 с)1); а также
- 3) определение уровней рисков;
e) оценивает риски информационной безопасности:
- 1) сравнение результатов анализа рисков с критериями, установленными в п.6.1.2 а); а также
- 2) расставляет приоритеты обработки проанализированных рисков.

Организация должна сохранять документированную информацию о процессе оценки рисков информационной безопасности.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":

6.1.2

6.1.2 Оценка рисков информационной безопасности
Организация должна определить и внедрить процесс оценки рисков информационной безопасности, который позволяет:
а) устанавливать и поддерживать критерии рисков информационной безопасности, включая:
1) критерии принятия рисков информационной безопасности;
2) критерии для проведения оценки рисков информационной безопасности;
b) обеспечивать уверенность в том, что повторные оценки рисков информационной безопасности дают непротиворечивые, достоверные и сопоставимые результаты;
с) идентифицировать риски информационной безопасности, т. е.:
1) применять процесс оценки рисков информационной безопасности для идентификации рисков, связанных с нарушением конфиденциальности, целостности и доступности информации в рамках области действия системы менеджмента информационной безопасности;
2) идентифицировать владельцев рисков информационной безопасности;
d) проводить анализ рисков информационной безопасности, т. е.:
1) оценивать потенциальные последствия, которые могут произойти в результате реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);
2) оценивать реальную вероятность реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);
3) определять уровни рисков информационной безопасности;
е) оценивать риски информационной безопасности, т. е.:
1) сравнивать результаты анализа рисков информационной безопасности с критериями рисков, установленными в соответствии с 6.1.2 а);
2) определять приоритетность обработки проанализированных рисков информационной безопасности.
Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности.

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":

6.1.2 Information security risk assessment

6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:

a) establishes and maintains information security risk criteria that include:
- 1) the risk acceptance criteria; and
- 2) criteria for performing information security risk assessments;
b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
c) identifies the information security risks:
- 1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
- 2) identify the risk owners;
d) analyses the information security risks:
- 1) assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize;
- 2) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and
- 3) determine the levels of risk;
e) evaluates the information security risks:
- 1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
- 2) prioritize the analysed risks for risk treatment.

The organization shall retain documented information about the information security risk assessment process.

Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":

Р. 7 п. 3

7.3. Для оценки потенциального риска нарушения ИБ и обеспечения возможности мониторинга и контроля его уровня организации БС РФ следует определить состав и проводить оценку (в том числе периодическую) показателей (метрик), характеризующих:

степень возможности реализации риска нарушения ИБ (далее - СВР) в результате наличия факторов нового риска, приведенного в разделе 5 настоящего стандарта;
степень тяжести последствий от реализации риска нарушения ИБ (далее - СТП) для реализации бизнес-функций организации БС РФ, переданных на аутсорсинг.

Связанные защитные меры

Ничего не найдено