Куда я попал?
ГОСТ Р № 57580.4-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8
СОН.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
СЗИ.2
СЗИ.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении:
- области применения процесса системы защиты информации;
- основных принципов и приоритетов в реализации процесса системы защиты информации;
- целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации
3-О 2-О 1-О
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОСЗ.1.3
ОСЗ.1.3 Изменения политики финансовой организации в отношении величины допустимого риска реализации информационных угроз (риск-аппетита), сигнальных и контрольных значений КПУР;
ЗИУ.7
ЗИУ.7 Реализация, контроль и совершенствование процессов системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов, планирование которых предусмотрено мерой РМ.8.2.
ЗИУ.13
ЗИУ.13 Рассмотрение в рамках выявления и идентификации риска реализации информационных угроз, а также его оценки при аутсорсинге дополнительных условий для реализации такого риска, обусловленных:
- возникновением зависимости процессов обеспечения операционной надежности и защиты информации финансовой организации от деятельности поставщика услуг;
- возникновением зависимости финансовой организации и (или) причастных сторон от возможных сбоев и отказа сторонних информационных сервисов поставщика услуг в результате реализации информационных угроз;
- недостаточным уровнем зрелости процессов обеспечения операционной надежности и защиты информации, реализуемых поставщиком услуг;
- неверной оценкой способностей, ресурсов и возможностей поставщика услуг, необходимых для выполнения взятых на себя обязательств по обеспечению операционной надежности и защиты информации при предоставлении услуги по аутсорсингу;
- возникновением зависимости выполнения бизнес- и технологических процессов финансовой организации от эффективности деятельности поставщика услуг и добросовестности выполнения соглашений об уровне услуг (Service level agreement, SLA);
- возможностью появления в соглашении об аутсорсинге положений, реализация которых приведет к возникновению ограничений при осуществлении видов деятельности финансовой организаций.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 10 п. 2
10.2 Постоянное улучшение
Организация должна постоянно улучшать пригодность, адекватность и результативность СМНД на основе качественных и количественных показателей. Организация должна рассмотреть результаты анализа и оценки, а также результаты анализа со стороны руководства, чтобы определить потребности или возможности, связанные с работой организации в целом или с СМНД, которые следует использовать для постоянного улучшения.
Примечание — Организация может использовать процессы СМНД. такие как лидерство руководства, плакирование и оценка результативности для достижения улучшения.
Организация должна постоянно улучшать пригодность, адекватность и результативность СМНД на основе качественных и количественных показателей. Организация должна рассмотреть результаты анализа и оценки, а также результаты анализа со стороны руководства, чтобы определить потребности или возможности, связанные с работой организации в целом или с СМНД, которые следует использовать для постоянного улучшения.
Примечание — Организация может использовать процессы СМНД. такие как лидерство руководства, плакирование и оценка результативности для достижения улучшения.
NIST Cybersecurity Framework (RU):
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
10.1 Непрерывное улучшение
10.1 Непрерывное улучшение
Организация должна непрерывно улучшать пригодность, адекватность и эффективность системы менеджмента информационной безопасности.
Организация должна непрерывно улучшать пригодность, адекватность и эффективность системы менеджмента информационной безопасности.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
10.2
10.2 Постоянное улучшение
Организация должна постоянно улучшать приемлемость, адекватность и результативность системы менеджмента информационной безопасности.
Организация должна постоянно улучшать приемлемость, адекватность и результативность системы менеджмента информационной безопасности.
9.2
9.2 Внутренний аудит Организация должна проводить внутренние аудиты через запланированных интервалы времени, чтобы получать информацию о том,
a) соответствует ли система менеджмента информационной безопасности
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и
2) требованиям Настоящего Международного Стандарта;
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна:
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов;
d) определить критерии и область аудита для каждой проверки;
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита;
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации;
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита.
a) соответствует ли система менеджмента информационной безопасности
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и
2) требованиям Настоящего Международного Стандарта;
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна:
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов;
d) определить критерии и область аудита для каждой проверки;
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита;
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации;
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.35
А.5.35 Независимые проверки ИБ
Принятый в организации подход к управлению ИБ и его реализация, включая людей, процессы и технологии, должны подвергаться независимой проверке через запланированные интервалы времени или в случае существенных изменений.
Принятый в организации подход к управлению ИБ и его реализация, включая людей, процессы и технологии, должны подвергаться независимой проверке через запланированные интервалы времени или в случае существенных изменений.
NIST Cybersecurity Framework (EN):
PR.IP-7
PR.IP-7: Protection processes are improved
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 7. Пункт 9.2
7.9.2. В целях управления риском информационной безопасности:
- соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации, сбора и регистрации информации о событиях риска информационной безопасности и потерях в базе событий, мониторинга риска информационной безопасности, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска;
- ведение базы событий риска информационной безопасности;
- участие в реализации процессов в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
- абзац утратил силу с 1 октября 2022 года - указание Банка России от 25 марта 2022 года N 6103-У - см. предыдущую редакцию;
- составление отчетов по событиям риска информационной безопасности и направление их в службу управления рисками и должностному лицу, ответственному за обеспечение информационной безопасности; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
- осуществление мониторинга сигнальных и контрольных значений контрольных показателей уровня риска информационной безопасности, определенных в соответствии с подпунктом 1.2 пункта 1 приложения 1 к настоящему Положению;
- участие в разработке внутренних документов в области управления риском информационной безопасности;
- информирование работников кредитной организации (головной кредитной организации банковской группы) по вопросам, связанным с управлением риском информационной безопасности;
- осуществление других функций, связанных с управлением риском информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.