Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Guideline for a healthy information system v.2.0 (EN)

Framework

38 STANDARD

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
СЗИ.1
СЗИ.1 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях: 
  • обнаружения инцидентов защиты информации; 
  • обнаружения недостатков в рамках контроля системы защиты информации
3-О 2-О 1-О
СЗИ.3
СЗИ.3 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях: 
  • изменений требований к защите информации, определенных правилами платежной системы (применяется только для участников платежных систем); 
  • изменений, внесенных в законодательство Российской Федерации, в том числе нормативные акты Банка России
3-О 2-О 1-О
СЗИ.2
СЗИ.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении: 
  • области применения процесса системы защиты информации; 
  • основных принципов и приоритетов в реализации процесса системы защиты информации; 
  • целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации
3-О 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 1 п.п. 4
8.1.4. Целью выполнения деятельности в рамках группы процессов “проверка” является обеспечение достаточной уверенности в том, что СОИБ, включая защитные меры, функционирует надлежащим образом и адекватна существующим угрозам ИБ, а также внутренним и (или) внешним условиям функционирования организации БС РФ, связанным с ИБ. Кроме того, необходимо рассмотреть любые изменения в допущениях или в области оценки рисков. Указанная деятельность может проводиться в любое время и с любой частотой, в зависимости от того, что является подходящим для конкретной ситуации. На этапе “проверка” необходимо осуществлять мониторинг ИБ и контроль используемых защитных мер, периодически выполнять деятельность по самооценке ИБ организации БС РФ требованиям настоящего стандарта и проводить аудит ИБ, анализировать функционирование СОИБ в целом, в том числе со стороны руководства. 
Организация БС РФ должна своевременно обнаруживать проблемы, прямо или косвенно относящиеся к ИБ, потенциально способные повлиять на ее бизнес-цели. Рекомендуется выявлять причинно-следственную связь возможных проблем и строить на этой основе прогноз их развития. 
Результат выполнения деятельности на этапе “проверка” является основой для выполнения деятельности по совершенствованию СОИБ. 
Р. 7 п. 3 п.п. 9
7.3.9. На стадии эксплуатации АБС должны быть определены, выполняться и регистрироваться процедуры:
  • контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер, в том числе контроль реализации организационных защитных мер, контроль состава и параметров настройки применяемых технических защитных мер;
  • контроля отсутствия уязвимостей в оборудовании и программном обеспечении АБС;
  • контроля внесения изменений в параметры настройки АБС и применяемых технических защитных мер;
  • контроля необходимого обновления программного обеспечения АБС, включая программное обеспечение технических защитных мер.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
9.2.2 Программа внутреннего аудита
9.2.2 Программа внутреннего аудита
Организация должна планировать, разрабатывать, внедрять и поддерживать программу (-ы) аудита, включающую частоту, методы, ответственности, требования по планированию и отчету.
При разработке программы (-мм) внутреннего аудита организация должна учитывать важность соответствующих процессов и результаты предыдущих аудитов.
Организация должна:
  • a) определять критерии аудита и область действия каждого аудита;
  • b) выбирать аудиторов и проводить аудиты, которые обеспечивают объективность и беспристрастность процесса аудита;
  • c) обеспечивать отчет по результатам аудитов перед релевантными руководством; а также
Должна быть доступна документированная информация, подтверждающая выполнение программы (-мм) аудита и достижения результатов аудита.
9.3.1 Общие положения
9.3.1 Общие положения
Высшее руководство должно анализировать систему менеджмента информационной безопасности организации в запланированные интервалы времени с целью обеспечения ее (системы менеджмента информационной безопасности) непрерывной пригодности, адекватности и эффективности.
9.2.1 Общие положения
9.2.1 Общие положения
Организация должна проводить внутренний аудит в запланированные интервалы времени с целью предоставления информации от том, что система менеджмента информационной безопасности:
a) соответствует
  1. собственным требованиям организации к ее системе менеджмента информационной безопасности; а также
  2. требованиям настоящего документа;
b) эффективно применяется и поддерживается.
9.3.2 Входная информация анализа со стороны руководства
9.3.2 Входная информация анализа со стороны руководства
Анализ со стороны руководства должен включать в себя рассмотрение следующего:
  • a) статус действий после предыдущего анализа со стороны руководства;
  • b) изменения внешних и внутренних параметров, которые относятся к системе менеджмента информационной безопасности;
  • с) изменения потребностей и ожиданий заинтересованных сторон, имеющих отношение к системе менеджмента информационной безопасности;
  • f) обратную связь в отношении исполнения информационной безопасности, включая тенденции в:
    • 1) несоответствиях и корректирующих действиях;
    • 2) результатах мониторинга и оценки защищенности;
    • 3) результатах аудита;
    • 4) достижении целей информационной безопасности;
  • d) обратную связи от заинтересованных сторон;
  • e) результаты оценки рисков и статус плана обработки рисков;
  • f) возможности для непрерывного улучшения
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
9.3
 9.3 Проверка со стороны руководства 
Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности. 
Проверка со стороны руководства должна включать рассмотрение: 
а) состояния выполнения решений по результатам предыдущих проверок со стороны руководства; 
b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности; 
с) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции: 
1) в выявлении несоответствий и применении корректирующих действий; 
2) результатах мониторинга и оценки защищенности; 
3) результатах аудита; 
4) достижении целей информационной безопасности; 
d) отзывов от заинтересованных сторон; 
е) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности; 
f) возможностей для постоянного улучшения системы менеджмента информационной безопасности. 
Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации. 
Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства 
9.2
9.2 Внутренний аудит Организация должна проводить внутренние аудиты через запланированных интервалы времени, чтобы получать информацию о том, 
a) соответствует ли система менеджмента информационной безопасности 
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и 
2) требованиям Настоящего Международного Стандарта; 
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна: 
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов; 
d) определить критерии и область аудита для каждой проверки; 
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита; 
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и 
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации; 
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.17.1.3
A.17.1.3 Проверка, анализ и оценивание непрерывности информационной безопасности 
Мера обеспечения информационной безопасности: Организация должна регулярно проверять установленные и реализованные меры обеспечения непрерывности информационной безопасности, чтобы обеспечить уверенность в их актуальности и эффективности при возникновении неблагоприятных ситуаций 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
9.2.1 General
9.2.1 General
The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
a) conforms to
  1. the organization’s own requirements for its information security management system; and
  2. the requirements of this document;
b) is effectively implemented and maintained. 
9.3.1 General
9.3.1 General
Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
9.3.2 Management review inputs
9.3.2 Management review inputs
The management review shall include consideration of:
  • a) the status of actions from previous management reviews;
  • b) changes in external and internal issues that are relevant to the information security management system;
  • c) changes in needs and expectations of interested parties that are relevant to the information security management system;
  • d) feedback on the information security performance, including trends in:
    • 1) nonconformities and corrective actions;
    • 2) monitoring and measurement results;
    • 3) audit results;
    • 4) fulfilment of information security objectives;
  • e) feedback from interested parties;
  • f) results of risk assessment and status of risk treatment plan;.
  • g) opportunities for continual improvement
9.2.2 Internal audit programme
9.2.2 Internal audit programme
The organization shall plan, establish, implement and maintain an audit programme (s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme (s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
  • a) define the audit criteria and scope for each audit;
  • b) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
  • c) ensure that the results of the audits are reported to relevant management; and
Documented information shall be available as evidence of the implementation of the audit programme (s) and the audit results.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.34
А.8.34 Защита информационных систем при аудиторском тестировании
Аудиторские тесты и иные действия по обеспечению уверенности, связанные с оценкой операционных систем, должны планироваться и согласовываться между тестировщиком и соответствующим руководством.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АУД.0 АУД.0 Разработка политики аудита безопасности
АУД.11 АУД.11 Проведение внешних аудитов
АУД.10 АУД.10 Проведение внутренних аудитов
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.5.3.
1.5.3. Оценка соответствия уровня защиты информации некредитными финансовыми организациями, реализующими усиленный уровень защиты информации, должна осуществляться не реже одного раза в год, некредитными финансовыми организациями, реализующими стандартный уровень защиты информации, - не реже одного раза в три года.
1.4.1.
1.4.1. Определение уровня защиты информации должно осуществляться некредитной финансовой организацией ежегодно не позднее десятого рабочего дня календарного года определения уровня защиты информации (далее - дата определения уровня защиты информации).
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.11 АУД.11 Проведение внешних аудитов
АУД.10 АУД.10 Проведение внутренних аудитов
АУД.0 АУД.0 Регламентация правил и процедур аудита безопасности
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.34
А.8.34 Protection of information systems during audit testing
Audit tests and other assurance activities involving assessment of operational systems shall be planned and agreed between the tester and appropriate management. 

Связанные защитные меры

Ничего не найдено