Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № 57580.4-2022 от 01.02... РВН.6.3
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № 57580.4-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7

РВН.6.3

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

NIST Cybersecurity Framework (RU):
ID.SC-4
ID.SC-4: Производиться контроль поставщиков и партнеров, чтобы подтвердить, что они выполнили свои обязательства в соответствии с требованиями. Проводятся обзоры аудитов, сводки результатов тестов или другие эквивалентные оценки поставщиков 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.15.2.1
A.15.2.1 Мониторинг и анализ услуг поставщика 
Мера обеспечения информационной безопасности: Организация должна регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услу 
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 9 п. 2
9.2. Основными целями оценки поставщика услуг являются:
  • оценка ресурсов, потенциала и возможностей поставщика услуг обеспечить необходимый уровень ИБ при выполнении своих обязательств в рамках заключенного соглашения;
  • оценка опыта и репутации поставщика услуг;
  • оценка показателей деятельности поставщика услуг на основе метрик СВР, принятых организацией БС РФ для контроля и мониторинга риска нарушения ИБ при аутсорсинге существенных функций;
  • оценка возможностей поставщика услуг обеспечивать выполнение обязательств организации БС РФ перед клиентами и контрагентами, а также Банком России и уполномоченными органами исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации, как если бы бизнес-функции, переданные на аутсорсинг, выполнялись самостоятельно организацией БС РФ. 
Р. 10 п. 3
10.3. Содержание соглашения об аутсорсинге должно однозначно среди прочего определять:
  • перечень существенных функций, связанных с обработкой защищаемой информации или обеспечением ИБ (реализацией процессов обеспечения ИБ), передаваемых на аутсорсинг поставщику услуг;
  • обязанности и разделение зоны ответственности поставщика услуг и организации БС РФ в обеспечении ИБ при аутсорсинге существенных функций;
  • требования к показателям качества деятельности поставщика услуг, определяемым на основе метрик управления риском нарушения ИБ организацией БС РФ в рамках процедур управления риском;
  • требования к уровню и качеству предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требования к SLA) и к инструментам по мониторингу этого уровня;
  • требования к гарантиям поставщика услуг (в том числе финансовым) в случае наступления риска нарушения ИБ;
  • требования к инфраструктуре оказания услуг, включая инфраструктуру обеспечения ИБ и обеспечения непрерывности выполнения бизнес-функций и их восстановления после инцидентов ИБ;
  • обязанность поставщика услуг обеспечить возможность проведения организацией БС РФ или привлекаемой организацией БС РФ консалтинговой или аудиторской организацией контрольных мероприятий в рамках мониторинга риска нарушения ИБ;
  • обязанность по обеспечению сторонами конфиденциальности информации;
  • обязанность поставщика услуг проходить периодический аудит с целью подтверждения качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг;
  • обязанность поставщика услуг информировать организацию БС РФ об инцидентах ИБ, включая НСД к защищаемой информации, в течение 3‑х часов после выявления инцидента ИБ, а также о мерах, предпринятых для управления наступившими инцидентами;
  • порядок разбора конфликтов в случае нарушения поставщиком услуг условий оказания услуг, а также в случае несогласия поставщика услуг признавать факт реализации риска нарушения ИБ или инцидента ИБ;
  • обязанность поставщика услуг информировать организацию БС РФ обо всех факторах, связанных с возникновением риска нарушения ИБ при аутсорсинге существенных функций, включая тип событий и обстоятельства их реализации;
  • обязанность поставщика услуг передавать всю необходимую информацию организации БС РФ для выполнения своих обязательств перед Банком России и уполномоченными органами исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации;
  • возможность пересмотра и изменения условий соглашения по инициативе организации БС РФ в следующих случаях:
    • наличие у организации БС РФ необходимости сохранить надлежащий уровень контроля и управления в отношении риска нарушения ИБ при аутсорсинге существенных функций; 
    • наличие у организации БС РФ необходимости принять соответствующие меры для выполнения своих обязательств перед клиентами и контрагентами, а также перед Банком России и уполномоченными органами исполнительной власти;
    •  возможность проведения регулярных (не реже одного раза в квартал) встреч представителей организации БС РФ и поставщика услуг для обсуждения статуса выполнения соглашения об аутсорсинге в части вопросов обеспечения ИБ;
  • рекомендуемые основания для отказа организаций БС РФ от исполнения соглашения с поставщиком услуг в одностороннем внесудебном порядке в случае:
    • смены владельцев (участников) поставщика услуг;
    • изменения финансового состояния поставщика услуг, его потенциала, ресурсов и возможностей в отношении выполнения услуг аутсорсинга существенных функций;
    • нарушения поставщиком услуг требований к уровню и качеству предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требования к SLA);
    • препятствия (отказа) со стороны поставщика услуг реализации мониторинга и контроля риска нарушения ИБ со стороны организации БС РФ или со стороны независимой аудиторской организации;
    • возникновения риска нарушения ИБ, превышающего уровень, определенный организацией БС РФ в качестве приемлемого; 
    • возникновения инцидентов нарушения ИБ; 
  • минимальный срок выполнения условий расторжения соглашения об аутсорсинге существенных функций, необходимый организации БС РФ для возобновления выполнения бизнес-функций собственными ресурсами или с привлечением иного поставщика услуг в случаях расторжения действующего соглашения; 
  • условия привлечения поставщиком услуг субподрядчиков, предусматривающие:
    • право организации БС РФ сохранить способность мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций в случаях привлечения поставщиком услуг субподрядчиков;
    • ограничения на передачу субподрядчику обработки защищаемой информации;
    • ответственность поставщика услуг за все действия субподрядчика в части вопросов обеспечения ИБ, в том числе ответственность за соблюдение законодательства РФ;
    • обязанность поставщика услуг обеспечить уведомление и получать предварительное согласование организации БС РФ при привлечении субподрядчиков для выполнения существенных функций орга‑ низации БС РФ;
    • обязанность поставщика услуг предоставить организации БС РФ документы (в том числе политики, стандарты), разработанные поставщиком услуг для обеспечения ИБ
  • обязанность поставщика услуг обеспечить соблюдение требований к защите информации, установленных для организации БС РФ, в том числе:
    • в рамках законодательства о национальной платежной системе;
    • в области защиты информации ограниченного доступа, включая защиту ПДн;
    • в области безопасности критической информационной инфраструктуры; 
    • в области лицензирования отдельных видов деятельности;
    • нормативных актов Банка России, устанавливающих обязанность кредитных организаций по созданию и передаче Банку России резервных копий электронных баз данных, а также размещению их на территории РФ;
  • политику предоставления поставщику услуг доступа к защищаемой информации и инфраструктуре организации БС РФ;
  • описание контактных данных лица, ответственного за реализацию соглашения об аутсорсинге со стороны поставщика услуг, а также процедур эскалации возможных конфликтов при оказании услуг аутсорсинга;
  • требования к работникам поставщика услуг, задействованным в обеспечении ИБ. 
Р. 6 п. 3
6.3. Основное требование 2. Организация БС РФ должна разработать, применять и обеспечить контроль программы аутсорсинга, предусматривающей вопросы управления риском нарушения ИБ (далее - программа аутсорсинга).
Программа аутсорсинга должна определять:
  • состав и содержание мероприятий по управлению риском нарушения ИБ при аутсорсинге существенных функций;
  • состав и содержание мероприятий по мониторингу и контролю деятельности поставщика услуг по обеспечению ИБ при аутсорсинге существенных функций;
  • возможность привлечения поставщиком услуг субподрядчиков при оказании услуг аутсорсинга, а также требования к таким субподрядчикам.
В части мероприятий по управлению риском нарушения ИБ и контролю над ним программа аутсорсинга должна определять:
  • задачи и зоны ответственности исполнительного органа организации БС РФ для цели реализации управления риском нарушения ИБ и контроля над ним при аутсорсинге;
  • требования к составу и содержанию мероприятий по оценке организацией БС РФ риска нарушения ИБ при принятии решения о передаче бизнес-функций на аутсорсинг;
  • требования к составу и содержанию мероприятий по оценке организацией БС РФ возможности поставщика услуг обеспечить должный уровень ИБ при аутсорсинге существенных функций и по обеспечению наличия внутренней компетенции организации БС РФ для проведения такого рода оценки;
  • требования к содержанию соглашений, связанных с передачей выполнения бизнес-функций на аутсорсинг.
В части состава и содержания мероприятий по мониторингу и контролю деятельности поставщика услуг программа аутсорсинга должна определять:
  • требования к составу и содержанию мероприятий по контролю обеспечения непрерывности деятельности поставщиков услуг при реализации бизнес-функций организации БС РФ в части обеспечения ИБ;
  • требования к составу и содержанию мероприятий по постоянному мониторингу и контролю риска нарушения ИБ при аутсорсинге.
Организация БС РФ должна реализовать контроль выполнения программы аутсорсинга, в том числе со стороны службы ИБ и службы внутреннего контроля, а также контроль со стороны исполнительного органа организации БС РФ.
Р. 9 п. 11
9.11. Оценка поставщика услуг должна носить периодический характер и входить в состав мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций, установленный разделом 11 настоящего стандарта. Оценку поставщика услуг рекомендуется проводить не реже одного раза в два года. Конкретные интервалы проведения оценки организация БС РФ определяет самостоятельно. 
Р. 12 п. 6
12.6. Организации БС РФ следует применять соглашения об уровне предоставления сервиса ИБ (SLA) для контроля качества услуг аутсорсинга ИБ. SLA – это дополнение к соглашению об аутсорсинге между организацией БС РФ и поставщиком услуг, определяющее предоставление сервиса с заданным уровнем качества. 
Общий состав SLA должен среди прочего определять:
  • описание состава предоставляемых поставщиком услуг сервисов ИБ;
  • согласованный уровень качества сервиса ИБ (перечень ключевых параметров качества), содержащий:
    • описание расчета ключевых параметров качества сервиса и периодичность предоставления поставщиком услуг отчетов о параметрах качества;
    • методы и средства контроля ключевых параметров качества;
    • описание методов контроля исполнения SLA; 
    • установление обязанности и описание процедуры предоставления поставщиком услуг информации о нарушениях SLA и условиях эскалации инцидентов, связанных с нарушением SLA (далее – инцидент SLA); 
  • описание процедур восстановления работы в случаях прерывания предоставляемых сервисов ИБ, или отказа в обслуживании, или нарушения SLA;
  • описание процедуры внесения изменений в SLA. 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.22
А.5.22 Мониторинг, проверка и управление изменениями предоставляемых сервисов
Организация должна мониторить, регулярно, анализировать, проверять и управлять изменениями в практиках ИБ в отношении  поставщиков и предоставлении ими сервисов.
SWIFT Customer Security Controls Framework v2022:
2 - 2.8A Critical Activity Outsourcing
2.8A Critical Activity Outsourcing
NIST Cybersecurity Framework (EN):
ID.SC-4 ID.SC-4: Suppliers and third-party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
15.2.1
15.2.1 Мониторинг и анализ услуг поставщика

Мера обеспечения ИБ
Организации должны регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услуг.

Руководство по применению
Мониторинг и анализ услуг, предоставляемых поставщиком, должны обеспечивать уверенность в том, что положения и условия, касающиеся ИБ, отраженные в соглашениях, выполняются и что инциденты и проблемы в области ИБ решаются должным образом.
Это должно реализовываться при управлении услугами через процесс взаимодействия между организацией и поставщиком, чтобы:
  • a) осуществлять мониторинг уровней предоставления услуг с целью проверки соблюдения условий соглашений;
  • b) анализировать отчеты об услугах, подготовленные поставщиком, и организовывать регулярные рабочие встречи, как это определено соглашениями;
  • c) проводить аудиты поставщиков вместе с анализом отчетов независимых аудиторов, если они есть, и осуществлять последующие действия по выявленным проблемам;
  • d) предоставлять информацию об инцидентах ИБ и анализировать эту информацию в соответствии с требованиями соглашений и любых вспомогательных методических рекомендаций и процедур;
  • e) анализировать контрольные записи поставщиков и записи о событиях безопасности, эксплуатационных проблемах, сбоях, обнаруженных ошибках и нарушениях, связанных с поставляемой услугой;
  • f) решать любые выявленные проблемы и управлять ими;
  • g) анализировать в разрезе аспектов ИБ отношения поставщика с его подрядчиками;
  • h) гарантировать, что поставщик сохраняет достаточную способность обслуживания согласно работоспособным планам, разработанным для обеспечения согласованных уровней непрерывности обслуживания при значительных сбоях и аварийных ситуациях (раздел 17).
Ответственность за управление отношениями с поставщиками следует возлагать на специально назначенное лицо или группу по управлению услугами. Кроме того, организация должна обеспечить, чтобы поставщики установили обязанности по анализу соответствия и обеспечению выполнения требований соглашения. Должны быть выделены достаточные ресурсы с необходимыми техническими навыками для мониторинга того, что требования соглашения, в частности требования ИБ, выполняются. Необходимо предпринимать соответствующие действия при обнаружении недостатков в оказании услуг.
Организация должна поддерживать достаточный общий контроль и прозрачность всех аспектов безопасности в отношении информации ограниченного доступа или устройств обработки информации, к которым поставщик имеет доступ, использует их или управляет ими. Организация должна поддерживать прозрачность действий, связанных с безопасностью, таких как управление изменениями, выявление уязвимостей, а также составление отчетов об инцидентах ИБ и реагирование на них с помощью установленного процесса оповещения.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.22
А.5.22 Monitoring, review and change management of supplier services
The organization shall regularly monitor, review, evaluate and manage change in supplier information security practices and service delivery.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.