Куда я попал?
ГОСТ Р № 57580.4-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7
Выписка из ГОСТ 57580.4-2022 в части требований к системе защиты информации.
Раздел 7 "Требования к системе обеспечения операционной надежности финансовой организации".
Перейти к Разделу 8 "Требования к системе организации и управления операционной надежностью"
Раздел 7 "Требования к системе обеспечения операционной надежности финансовой организации".
Перейти к Разделу 8 "Требования к системе организации и управления операционной надежностью"
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
50
%
Входящая логистика
49
%
Создание продукта
58
%
Исходящая логистика
53
%
Маркетинг, продажа
79
%
Обслуживание клиента
46
%
Инфраструктура
70
%
HR-менеджмент
46
%
Технологии
73
%
Закупки / Снабжение
54
%
Опыт клиента
Список требований
-
ИКА.1.1 Бизнес- и технологических процессов**, реализуемых непосредственно финансовой организацией;Обязательно для уровня защиты 1 2 3
-
ИКА.1.4 Технологических операций (участков) в рамках каждого бизнес- и технологического процесса;Обязательно для уровня защиты 1 2 3
-
ИКА.1.6 Субъектов доступа, задействованных при выполнении каждого бизнес- и технологического процесса;Обязательно для уровня защиты 1 2 3
-
ИКА.1.7 Взаимосвязей и взаимозависимостей между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации) в рамках выполнения бизнес- и технологических процессов, в том числе взаимосвязей и взаимозависимостей между задействованными при этом объектами информатизации;Обязательно для уровня защиты 1 2 3
-
ИКА.5 Организация и выполнение деятельности по классификации субъектов доступа по принадлежности работников к группе повышенного риска, обладающих привилегированным доступом к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов.Обязательно для уровня защиты 1 2 3
-
ИКА.8.1 Объектов информатизации;Обязательно для уровня защиты 1 2 3
-
ИКА.8.2 Субъектов доступа;Обязательно для уровня защиты 1 2 3
-
ИКА.12.1 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.1- ИКА.1.3.Обязательно для уровня защиты 1 2 3
-
ИКА.12.2 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.4 и ИКА.1.7.Обязательно для уровня защиты 1 2 3
-
ИКА.12.3 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.5 и ИКА.1.6.Обязательно для уровня защиты 1 2 3
-
ИКА.12.4 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерой ИКА.1.8.Обязательно для уровня защиты 1 2 3
-
ИКА.13 Организация и выполнение деятельности по описанию актуальной топологии вычислительных сетей финансовой организации*****.Обязательно для уровня защиты 1 2 3
-
УИ.1 Планирование, информирование вовлеченных подразделений о вносимых изменениях и контроль внесения изменений в критичную архитектуру.Обязательно для уровня защиты 1 2 3
-
УИ.2 Классификация в целях приоритизации изменений (например, плановые, срочные и критичные изменения) в критичную архитектуру.Обязательно для уровня защиты 1 2 3
-
УИ.3 Выявление, оценка и утверждение срочных и критичных изменений.Обязательно для уровня защиты 1 2 3
-
УИ.6.1 Контроля соответствия заявленным целям внесения изменений;Обязательно для уровня защиты 1 2 3
-
УИ.6.2 Контроля требований безопасности вносимых изменений;Обязательно для уровня защиты 1 2 3
-
УИ.6.4 Контроля отсутствия известных (описанных) уязвимостей объектов информатизации.Обязательно для уровня защиты 1 2 3
-
УИ.9 Фиксация и протоколирование внесенных изменений в критичную архитектуру.Обязательно для уровня защиты 1 2 3
-
УИ.11.2 Обновление инвентарных данных о критичных активах (элементах критичной архитектуры) при внесении изменений в критичную архитектуру, в том числе для фиксации фактов внедрения новых, перемещения и (или) перепрофилирования существующих, а также выявления неучтенных объектов информатизации;Обязательно для уровня защиты 1 2 3
-
УИ.11.3 Обновление данных об используемых сервисах поставщиков облачных услуг и применяемых мерах защиты информации для таких сервисов.Обязательно для уровня защиты 1 2 3
-
УИ.12 Проведение анализа на предмет необходимости переоценки риска реализации информационных угроз** перед внесением изменений в критичную архитектуру финансовой организации, включая выявление фактов***, свидетельствующих о возможном изменении уровня такого риска.Обязательно для уровня защиты 1 2 3
-
УИ.14 Идентификация и поддержание в актуальном состоянии инвентарных данных о составе и конфигурациях объектов информатизации***.Обязательно для уровня защиты 1 2 3
-
УИ.16.1 Централизованная**** установка, применение и контроль (в том числе с применением средств автоматизации) стандартов конфигурирования;Обязательно для уровня защиты 1 2 3
-
УИ.16.2 Включение в состав стандартов конфигурирования условий функционирования объекта информатизации*****;Обязательно для уровня защиты 1 2 3
-
УИ.16.4 Хранение предыдущих версий стандартов конфигурирования и обеспечение возможности возврата к ним;Обязательно для уровня защиты 1 2 3
-
УИ.16.6 Разграничение доступа и контроль несанкционированного изменения стандартов конфигурирования;Обязательно для уровня защиты 1 2 3
-
УИ.16.7 Согласование (в том числе со стороны службы ИБ) и утверждение внесения изменений в стандарты конфигурирования.Обязательно для уровня защиты 1 2 3
-
УИ.18.2 Реагирования в случаях выявления несанкционированного изменения текущих конфигураций объектов информатизации.Обязательно для уровня защиты 1 2 3
-
УИ.22.1 Реализации бизнес- и технологических процессов;Обязательно для уровня защиты 1 2 3
-
УИ.22.2 Объектам информатизации прикладного уровня;Обязательно для уровня защиты 1 2 3
-
УИ.22.3 Объектам информатизации инфраструктурного уровня.Обязательно для уровня защиты 1 2 3
-
УИ.23.1 Поддержание актуальности данных о доступных обновлениях (исправлениях) для устранения уязвимостей;Обязательно для уровня защиты 1 2 3
-
УИ.23.4 Документарное определение процедур, связанных с применением обновлений (исправлений).Обязательно для уровня защиты 1 2 3
-
УИ.24.1 Выявление вредоносного кода;Обязательно для уровня защиты 1 2 3
-
УИ.24.2 Выявление неконтролируемого использования технологии мобильного кода**;Обязательно для уровня защиты 1 2 3
-
УИ.24.3 Выявление неавторизованного логического доступа к ресурсам доступа, в том числе автоматизированным системам.Обязательно для уровня защиты 1 2 3
-
УИ.25.2 Реализации процедур предварительного анализа*** и согласования применения обновлений (исправлений);Обязательно для уровня защиты 1 2 3
-
УИ.25.3 Реализации процедур запрета применения обновлений (исправлений), которые предварительно не согласованы.Обязательно для уровня защиты 1 2 3
-
УИ.25.5 Применение отдельных сред разработки, тестирования и постоянной эксплуатации, обеспечивающих возможность быстрого тестирования.Обязательно для уровня защиты 1 2 3
-
УИ.25.6 Анализа и применения передового опыта (в том числе по использованию средств автоматизации) в целях устранения технических и организационных недостатков, а также обеспечения контроля соответствия установленным стандартам конфигурирования и политикам (режимам) защиты информации;Обязательно для уровня защиты 1 2 3
-
УИ.25.8 Контроль своевременности применения (установки) обновлений (исправлений) объектов информатизации.Обязательно для уровня защиты 1 2 3
-
УИ.31 Проведение анализа системных журналов для выявления фактов эксплуатации в прошлом уязвимостей, аналогичных вновь выявленным.Обязательно для уровня защиты 1 2 3
-
УИ.32 Тестирование «red team», то есть симуляция действий нарушителя безопасности в контролируемых условиях, в том числе для симуляции попыток реализации компьютерных атак в отношении объектов информатизации, входящих в критичную архитектуру, в соответствии с заранее определенными сценариями.Обязательно для уровня защиты 1 2 3
-
УИ.35 Ведение реестра выявленных и устраненных уязвимостей********, в том числе фиксация совершенных действий по устранению уязвимостей.Обязательно для уровня защиты 1 2 3
-
УИ.37 Организация мониторинга статуса работ по устранению уязвимостей.Обязательно для уровня защиты 1 2 3
-
ВРВ.1 Организация мониторинга и выявления событий реализации информационных угроз в рамках процессов, реализуемых в соответствии с требованиями ГОСТ Р 57580.1., в целях своевременного обнаружения:
- компьютерных атак;
- аномальной активности лиц, имеющих легальный доступ к объектам информатизации финансовой организации;
- неправомерного использования доступа поставщиками услуг или другими доверенными организациями;
- фактов утечки защищаемой информации.
Обязательно для уровня защиты 1 2 3 -
ВРВ.3 Организация сбора и фиксации технических данных (свидетельств)** о выявленных событиях реализации информационных угроз в рамках процессов защиты информации, реализуемых в соответствии с ГОСТ Р 57580.1., в целях проведения их последующего анализа, а также, в случае необходимости, проведения компьютерной экспертизы.Обязательно для уровня защиты 1 2 3
-
ВРВ.7.1 Целевых показателей реагирования на инциденты;Обязательно для уровня защиты 1 2 3
-
ВРВ.7.4 Ролей, связанных с реагированием на инциденты;Обязательно для уровня защиты 1 2 3
-
ВРВ.7.5 Правил и процедур (playbooks) реагирования на инциденты;Обязательно для уровня защиты 1 2 3
-
ВРВ.9 Определение в качестве целевых показателей реагирования на инциденты:
- ограничение распространения и предотвращение повторения инцидентов внутри финансовой организации, а также среди причастных сторон, в том числе клиентов финансовой организации;
- ограничение СТП инцидентов для финансовой организации для соблюдения контрольных и сигнальных значений КПУР, предусмотренных ГОСТ Р 57850.3, в том числе ограничение собственных финансовых потерь, а также финансовых потерь причастных сторон, в том числе клиентов финансовой организации;
- соблюдение допустимого времени простоя и (или) деградации бизнес- и технологических процессов, а также сигнальных и контрольных значений КПУР, предусмотренных ГОСТ Р 57850.3 с учетом требований нормативных актов Банка России.
Обязательно для уровня защиты 1 2 3 -
ВРВ.11.3 Информирования Банка России и федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России.Обязательно для уровня защиты 1 2 3
-
ВРВ.12.1 Роли владельца инцидента, ответственного за координацию деятельности в условиях реализации отдельного инцидента;Обязательно для уровня защиты 1 2 3
-
ВРВ.14.2 Процедур взаимодействия финансовой организации с Банком России, причастными сторонами, в том числе клиентами финансовой организации, в целях ограничения финансовых потерь от осуществления финансовых (банковских) операций, в том числе переводов денежных средств, без согласия клиента;Обязательно для уровня защиты 1 2 3
-
ВРВ.14.3 Процедур взаимодействия финансовой организации с общественностью и СМИ при реализации инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.14.4 Процедур по ограничению распространения инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.14.5 Процедур по снижению СТП инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.16.1 Оперативное устранение или ограничение воздействия источников и причин реализации инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.19 Обеспечение возможности проведения компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг в случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями.Обязательно для уровня защиты 1 2 3
-
ВРВ.21.1 Целевых показателей восстановления после реализации инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.21.2 Ролей, связанных с восстановлением после реализации инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.21.3 Правил и процедур (playbooks) восстановления после реализации инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.21.6 Определение критериев оценки завершения восстановления и условий закрытия инцидента;Обязательно для уровня защиты 1 2 3
-
ВРВ.21.7 Определение показателей оценки эффективности восстановления после реализации инцидентов.Обязательно для уровня защиты 1 2 3
-
ВРВ.23 Определение в качестве целевых показателей восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов:
- выявление и устранение причин реализации инцидентов;
- восстановление функционирования бизнес- и технологических процессов и объектов информатизации, а также восстановление данных финансовой организации в соответствии с заданными объемами (ЦТВД) и временными периодами (ЦВВ), устанавливаемыми с учетом допустимого уровня простоя и (или) деградации бизнес- и технологических процессов, а также сигнальных и контрольных значений КПУР, предусмотренных ГОСТ Р57580.3.
Обязательно для уровня защиты 1 2 3 -
ВРВ.26.4 Процедур восстановления данных** с помощью резервных копий в заданных объемах (согласно ЦТВД);Обязательно для уровня защиты 1 2 3
-
ВРВ.26.5 Процедур привлечения, в случае необходимости, компетентных специалистов соответствующих организаций – поставщиков услуг;Обязательно для уровня защиты 1 2 3
-
ВРВ.26.6 Процедур по снижению СТП инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.26.8 Процедур формирования отчетности в рамках восстановления после реализации инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.28 Регистрация (документирование) выполняемых действий (операций)**** (а также фиксация времени начала и окончания их выполнения) в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов согласно утвержденным правилам и процедурам (playbooks).Обязательно для уровня защиты 1 2 3
-
ВРВ.29.2 Обеспечение возможности перехода от эксплуатации основных каналов (способов) предоставления финансовых и (или) информационных услуг и объектов информатизации к резервным (альтернативным) в соответствии с заданными временными периодами (ЦВВ) и заданными объемами восстановления данных (ЦТВД).Обязательно для уровня защиты 1 2 3
-
ВРВ.31 Организация и выполнение деятельности по проведению оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации согласно определенным критериям перед принятием решения о закрытии соответствующего инцидента.Обязательно для уровня защиты 1 2 3
-
ВРВ.33 Обеспечение возможности проведения компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг в случае, если финансовая организация не располагает необходимыми для данной деятельности компетенциями.Обязательно для уровня защиты 1 2 3
-
ВРВ.34.1 Определение целевых показателей анализа технических данных (свидетельств);Обязательно для уровня защиты 1 2 3
-
ВРВ.34.2 Сбор и анализ технических данных (свидетельств)* в рамках выявления, реагирования на инциденты и восстановления после их реализации;Обязательно для уровня защиты 1 2 3
-
ВРВ.34.3 Определение источников и выявление причин реализации инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.34.4 Описание сценариев реализации инцидентов;Обязательно для уровня защиты 1 2 3
-
ВРВ.34.6 Привлечение, при необходимости, к такому анализу Банка России (ФинЦЕРТ)**;Обязательно для уровня защиты 1 2 3
-
ВРВ.34.8 Оценку эффективности*** выявления, реагирования на инциденты и восстановления после их реализации.Обязательно для уровня защиты 1 2 3
-
ВРВ.42 Организация и выполнение деятельности по подготовке и направлению на рассмотрение совету директоров (наблюдательному совету) или коллегиальному исполнительному органу финансовой организации отчетов (в том числе согласно требованиям нормативных актов Банка России) о реагировании на инциденты и восстановлении после их реализации не реже одного раза в год, оказавших влияние на фактические значения КПУР, предусмотренные ГОСТ Р57580.3 (с указанием информации, характеризующей влияние инцидентов на фактические значения КПУР).Обязательно для уровня защиты 1 2 3
-
ВРВ.43 Организация и выполнение деятельности по информированию должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, по каждому факту реализации инцидентов:
- о масштабах влияния реализации инцидента на осуществление видов деятельности финансовой организации, влиянии на фактические значения КПУР, предусмотренные ГОСТ Р 57580.3;
- о бизнес- и технологических процессах, на непрерывность выполнения которых было оказано влияние в результате реализации инцидента;
- о сроках и условиях, при которых будет восстановлено выполнение бизнес- и технологических процессов, в том числе восстановлено функционирование задействованных объектов информатизации;
- о предпринятых и запланированных действиях в рамках реагирования на инциденты и восстановления после их реализации, а также статусе выполнения соответствующих работ;
- о сведениях, которые могут быть раскрыты и доведены до потребителей финансовых услуг.
Обязательно для уровня защиты 1 2 3 -
ВПУ.2 Разработка и применение процедур реагирования в случае реализации информационных угроз, в том числе компьютерных атак со стороны поставщиков услуг, а также в случае идентификации риска распространения вредоносного кода на вычислительные сети финансовой организации*.Обязательно для уровня защиты 1 2 3
-
ВПУ.3.3 Оценку квалификации, опыта и репутации поставщиков услуг;Обязательно для уровня защиты 1 2 3
-
ВПУ.3.5 Выявление слабостей или недостатков цепи поставок посредством проведения независимой оценки (внешнего аудита)**;Обязательно для уровня защиты 1 2 3
-
ВПУ.5 Диверсификация риска нарушения поставок и сопровождения объектов информатизации, в том числе по государственной принадлежности*.Обязательно для уровня защиты 1 2 3
-
ВПУ.6 Включение в договор (контракт) о разработке объектов информатизации или поставке готовых объектов информатизации финансовым организациям положений по сопровождению (технической поддержке) и (или) техническому обслуживанию поставляемых изделий на планируемый срок их использования**.Обязательно для уровня защиты 1 2 3
-
ВПУ.13.1 Многофакторную аутентификацию субъектов доступа, осуществляющих удаленное техническое обслуживание и диагностику;Обязательно для уровня защиты 1 2 3
-
ВПУ.13.2 Регистрацию операций, осуществляемых в рамках удаленного технического обслуживания и диагностики объектов информатизации;Обязательно для уровня защиты 1 2 3
-
ВПУ.13.3 Завершение сессии и прерывание сетевого подключения субъектов доступа после окончания удаленного технического обслуживания;Обязательно для уровня защиты 1 2 3
-
ВПУ.13.4 Аудит (последующий контроль) и анализ операций, осуществляемых в рамках удаленного технического обслуживания и диагностики;Обязательно для уровня защиты 1 2 3
-
ВПУ.13.5 Установление в договорах (контрактах) требований к осуществлению удаленного технического обслуживания и диагностики только посредством объектов информатизации, в отношении которых реализован тот же уровень защиты (в том числе защиты информации), что и в отношении обслуживаемых объектов информатизации;Обязательно для уровня защиты 1 2 3
-
ВПУ.13.6 Использование защищенного выделенного (виртуального) канала сетевого взаимодействия при удаленном техническом обслуживании;Обязательно для уровня защиты 1 2 3
-
ТОН.1.1 Формирование сценариев реализации информационных угроз, в том числе компьютерных атак;Обязательно для уровня защиты 1 2 3
-
ТОН.1.2 Тестирование возможностей по мониторингу и выявлению фактов реализации информационных угроз;Обязательно для уровня защиты 1 2 3
-
ТОН.1.3 Тестирование порядков реагирования на инциденты и восстановления после их реализации;Обязательно для уровня защиты 1 2 3
-
ТОН.1.5 Оценку подготовленности работников финансовой организации противостоять реализации информационных угроз, в том числе компьютерных атак;Обязательно для уровня защиты 1 2 3
-
ТОН.2 Определение во внутренних документах финансовой организации методологии (за исключением случаев привлечения поставщиков услуг) и порядка проведения сценарного анализа и тестирования готовности финансовой организации противостоять реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ТОН.5 Организация и выполнение деятельности по тестированию возможностей мониторинга и выявления на предмет своевременного обнаружения фактов реализации информационных угроз (в том числе компьютерных атак), а также контроль актуальности используемых данных об индикаторах компрометации объектов информатизации.Обязательно для уровня защиты 1 2 3
-
ТОН.6.2 Тестирования возможности финансовой организации совместно с причастными сторонами обеспечить эффективное реагирование на инциденты и восстановление после их реализации в соответствии с заданными временными периодами (ЦВВ), в том числе в отношении переданных на аутсорсинг бизнес- и технологических процессов;Обязательно для уровня защиты 1 2 3
-
ТОН.9 Разработка и использование сценариев, включающих значительное влияние на деятельность финансовой организации (включая значительные финансовые потери)**, для определения потенциала такого влияния и оценки риска реализации информационных угроз (стресс-тестирование***), предусмотренной в рамках ГОСТ Р57580.3.Обязательно для уровня защиты 1 2 3
-
** Рекомендуется в рамках тестирования таких сценариев предусмотреть возможность привлечения коллегиального исполнительного органа, единоличного исполнительного органа и (или) подотчетных им коллегиальных органов.
*** Результаты стресс-тестирований должны учитываться в рамках совершенствования системы управления риском реализации информационных угроз финансовой организации, предусмотренной в рамках ГОСТ Р57580.3. -
ТОН.14 Участие финансовой организации (при наличии возможности) в тестированиях готовности противостоять реализации информационных угроз, проводимых иными организациями, в том числе в рамках соответствующих мероприятий межсекторального и трансграничного характера.Обязательно для уровня защиты 1 2 3
-
РВН.2.1 Оценки профессиональных навыков и соответствия кандидата квалификационным требованиям, предъявляемым финансовой организацией.Обязательно для уровня защиты 1 2 3
-
РВН.2.3 Проверку подлинности предоставленных кандидатом документов, заявленного уровня квалификации, точности и полноты предоставленных данных.Обязательно для уровня защиты 1 2 3
-
РВН.2.4 Рассмотрение рекомендаций предыдущих работодателей, в случае необходимости.Обязательно для уровня защиты 1 2 3
-
РВН.3.3 Проведение внеплановых проверок при выявлении фактов причастности работников к реализации инцидентов.Обязательно для уровня защиты 1 2 3
-
РВН.3.4 Приравнивание фактов невыполнения работниками финансовой организации требований к обеспечению операционной надежности и защиты информации к фактам неисполнения должностных обязанностей и применение в указанных случаях соответствующих дисциплинарных взысканий согласно Трудовому кодексу Российской Федерации.Обязательно для уровня защиты 1 2 3
-
РВН.4.2 Пересмотр потребности работника в доступе к отдельным объектам информатизации.Обязательно для уровня защиты 1 2 3
-
РВН.5 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников поставщика услуг, привлекаемого в рамках выполнения бизнес- и технологических процессов.Обязательно для уровня защиты 1 2 3
-
РВН.6.2 Установление в рамках договорных отношений требований к поставщикам услуг по уведомлению о случаях изменения должностных обязанностей или прекращения трудовых отношений с работниками, обладающими организационными полномочиями или привилегированным доступом к объектам информатизации финансовой организации.Обязательно для уровня защиты 1 2 3
-
РВН.6.3 Осуществление контроля за выполнением поставщиком требований, установленных в рамках договорных отношений.Обязательно для уровня защиты 1 2 3
-
РВН.7.1 Разработка и применение способов мотивации работников к участию в процессах управления риском реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
РВН.7.3 Разработка справочных материалов и инструкций для работников по вопросам противостояния реализации информационных угроз.Обязательно для уровня защиты 1 2 3
-
ОСО.14 Организация обучения или инструктажа" работника, получившего новую роль, с последующим проведением оценочных мероприятий по вопросам противостояния реализации информационных угроз и доведением результатов указанных мероприятий до работника, принимавшего в них участие.Обязательно для уровня защиты 1 2 3
-
ОСО.15 Организация обучения или инструктажа в части выявления и инициативного информирования о событиях риска реализации информационных угроз.Обязательно для уровня защиты 1 2 3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.