Куда я попал?
ГОСТ Р № 57580.4-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7
ВРВ.36
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6
6. Кредитные организации должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:
- требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
- требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
- требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
- требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с учетом установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
- требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий), с учетом установленных главами 7 и 8 Положения Банка России N 716-П требований к управлению риском информационной безопасности и риском информационных систем при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем, а также требований к аутсорсингу обслуживания и функционирования информационных систем;
- требования к тестированию операционной надежности технологических процессов;
- требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;
- требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.
п. 10
10. Кредитные организации в рамках обеспечения операционной надежности должны:
- моделировать информационные угрозы в отношении критичной архитектуры с учетом требований к проведению качественной оценки уровня операционного риска, предусмотренных подпунктом 2.1.5 пункта 2.1 Положения Банка России N 716-П;
- планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности, с учетом результатов идентификации риска информационной безопасности, а также его оценки, проводимой в составе процедур управления операционным риском в соответствии с требованиями глав 2 и 7 Положения Банка России N 716-П;
- обеспечивать реализацию требований к операционной надежности на стадиях создания, ввода в эксплуатацию, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, вывода из эксплуатации объектов информационной инфраструктуры;
- обеспечивать контроль соблюдения требований к операционной надежности.
Кредитные организации должны включать в порядок ведения базы событий, предусмотренный пунктом 6.2 Положения Банка России N 716-П, особенности регистрации событий операционного риска, являющихся инцидентами операционной надежности.
Кредитная организация должна регистрировать инциденты операционной надежности с учетом требований к ведению базы событий, предусмотренных главой 6 Положения Банка России N 716-П.
Кредитные организации при определении в соответствии с пунктом 3.7 Положения Банка России N 716-П дополнительных типов событий операционного риска должны предусматривать во внутренних документах классификацию типов инцидентов операционной надежности с использованием перечня типов инцидентов операционной надежности, размещаемого Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), и обеспечивать их регулярную актуализацию.
По каждому инциденту операционной надежности в дополнение к информации, указанной в пункте 6.6 Положения Банка России N 716-П, кредитные организации должны обеспечить регистрацию следующей информации:
- данных, используемых для фиксации превышения установленных значений целевых показателей операционной надежности;
- данных, позволяющих выявить причину превышения установленных значений целевых показателей операционной надежности;
- результата реагирования на инцидент операционной надежности (о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитной организацией или Банком России инцидент операционной надежности).
Кредитные организации должны устанавливать во внутренних документах критерии шкалы качественных оценок и методику определения оценок качественных потерь от реализации инцидентов операционной надежности в соответствии с подпунктом 3.13.2 пункта 3.13 Положения Банка России N 716-П, в случае если они не определяются в денежном выражении.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 10 п. 2
10.2 Постоянное улучшение
Организация должна постоянно улучшать пригодность, адекватность и результативность СМНД на основе качественных и количественных показателей. Организация должна рассмотреть результаты анализа и оценки, а также результаты анализа со стороны руководства, чтобы определить потребности или возможности, связанные с работой организации в целом или с СМНД, которые следует использовать для постоянного улучшения.
Примечание — Организация может использовать процессы СМНД. такие как лидерство руководства, плакирование и оценка результативности для достижения улучшения.
Организация должна постоянно улучшать пригодность, адекватность и результативность СМНД на основе качественных и количественных показателей. Организация должна рассмотреть результаты анализа и оценки, а также результаты анализа со стороны руководства, чтобы определить потребности или возможности, связанные с работой организации в целом или с СМНД, которые следует использовать для постоянного улучшения.
Примечание — Организация может использовать процессы СМНД. такие как лидерство руководства, плакирование и оценка результативности для достижения улучшения.
NIST Cybersecurity Framework (RU):
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
10.1 Непрерывное улучшение
10.1 Непрерывное улучшение
Организация должна непрерывно улучшать пригодность, адекватность и эффективность системы менеджмента информационной безопасности.
Организация должна непрерывно улучшать пригодность, адекватность и эффективность системы менеджмента информационной безопасности.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
10.2
10.2 Постоянное улучшение
Организация должна постоянно улучшать приемлемость, адекватность и результативность системы менеджмента информационной безопасности.
Организация должна постоянно улучшать приемлемость, адекватность и результативность системы менеджмента информационной безопасности.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
1.2.3.2.
Мероприятия по снижению рисков КБ учитываются при формировании стратегических инициатив
1.2.4.3.
Мероприятия по предотвращению недопустимых событий / ключевых рисков КБ учитываются при формировании стратегических инициатив
NIST Cybersecurity Framework (EN):
PR.IP-7
PR.IP-7: Protection processes are improved
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.