Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № 57580.3-2022 от 01.02... ЗИУ.11.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № 57580.3-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.

ЗИУ.11.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 9 п. 3
9.3. При оценке ресурсов, потенциала и возможностей поставщика услуг организации БС РФ необходимо учитывать следующие показатели:
  •  финансовое состояние поставщика услуг, наличие финансовых ресурсов, необходимых и достаточных для обеспечения ИБ при предоставлении организации БС РФ услуг аутсорсинга на протяжении всего срока действия соглашения. Для оценки финансового состояния поставщика услуг организацией БС РФ могут использоваться методы, аналогичные применяемым при оценке финансового состояния и потенциала кредиторов и иных контрагентов в организации БС РФ, результаты анализа или аудита финансового состояния (отчетности);
  •  наличие в штате поставщика услуг персонала в необходимом количестве и с достаточной квалификацией, реализация поставщиком услуг программ повышения квалификации персонала и реализации проведения аттестации персонала в соответствии с применимыми отечественными и международными системами аттестации (см. Приложение 1);
  • наличие у поставщика услуг системы обеспечения ИБ;
  • реализация политики обеспечения доверия к персоналу, которая должна соответствовать политике обеспечения доверия к персоналу, применяемой в организации БС РФ. В составе реализации такой политики необходимо рассматривать:
    • определение, выполнение и регистрацию процедуры контроля деятельности работников, обладающих совокупностью полномочий, определяемых их ролями, позволяющими получить доступ к защищаемой информации организации БС РФ;
    • определение, выполнение и регистрацию процедуры приема на работу, реализующие принцип “знать своего работника”, включающие проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов, а также проверку в части профессиональных навыков и оценку профессиональной пригодности;
    •  получение письменного обязательства работников поставщика услуг о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов; 
    • включение обязанности персонала поставщика услуг по выполнению требований к обеспечению ИБ, обработке ПДн, обеспечению сохранности защищаемой информации в трудовые контракты (соглашения, договоры) и (или) должностные инструкции;
  • наличие у поставщика услуг необходимых лицензий, предусмотренных законодательством о лицензировании отдельных видов деятельности;
  • показатели, характеризующие политику аутсорсинга поставщика услуг в части обеспечения ИБ. 
Для оценки политики поставщика услуг может быть рекомендован перечень вопросов, представленный в Приложении 2
Р. 6 п. 6
6.6. Основное требование 5. Организации БС РФ следует привлекать поставщиков услуг для аутсорсинга существенных функций только после принятия поставщиком услуг всех необходимых мер по обеспечению ИБ и заключения соглашения, определяющего детальные условия и разграничение ответственности по обеспечению ИБ.
Детализация условий по обеспечению ИБ в соглашении должна обеспечивать возможность проведения оперативных мероприятий по мониторингу и контролю со стороны организации БС РФ деятельности поставщика услуг в части обеспечения ИБ.
Детальные требования к содержанию соглашения об аутсорсинге существенных функций установлены в разделе 9 настоящего стандарта, а примерный перечень вопросов, которые могут использоваться для оценки поставщика услуг в части обеспечения ИБ, приведен в Приложении 2.
При заключении соглашения с поставщиками услуг на осуществление аутсорсинга существенных функций организации БС РФ следует обеспечить наличие следующих условий по обеспечению ИБ:
  • обязанность поставщика услуг обеспечить соблюдение требований к защите информации, установленных для организации БС РФ, в том числе требований, установленных в рамках законодательства о национальной платежной системе, а также в области защиты персональных данных;
  • составление перечня защищаемой информации, передаваемой на обработку и (или) хранение поставщику услуг;
  • разграничение ответственности между организацией БС РФ и поставщиком услуг в части обеспечения ИБ;
  • наличие у поставщика услуг лицензий по оказываемым видам деятельности в соответствии с законодательством о лицензировании отдельных видов деятельности;
  • наличие у поставщика услуг, связанных с обработкой данных платежных карт, свидетельства о соответствии требованиям стандарта PCI DSS;
  • сохранение права организации БС РФ на контроль выполнения организацией БС РФ самостоятельно или с привлечением внешнего аудитора, определяемого организацией БС РФ, условий соглашения в части выполнения обязанностей по обеспечению ИБ, соблюдение порядка и (или) процедуры выполнения указанного контроля;
  • обязанность поставщиков услуг уведомлять организации БС РФ об инцидентах, связанных с обеспечением ИБ, соблюдение порядка и (или) процедуры выполнения указанного уведомления.
Р. 6 п. 5
6.5. Основное требование 4. Исполнительный орган организации БС РФ должен определить критерии, в том числе основанные на законодательстве РФ о лицензировании отдельных видов деятельности, которые должны использоваться для оценки способности и потенциала поставщика услуг эффективно и качественно обеспечить ИБ при предоставлении услуги по аутсорсингу существенных функций, в том числе обеспечить защиту информации в соответствии с требованиями законодательства РФ.
В случае несоответствия поставщика услуг соответствующим критериям ему не могут передаваться на выполнение существенные функции.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.