Куда я попал?
ГОСТ Р № 22301 от 01.01.2022
Надежность в технике. Системы менеджмента непрерывности деятельности. Требования
Р. 7 п. 2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
КОН.6
КОН.6 Проведение проверок знаний работников финансовой организации в части применения мер обеспечения операционной надежности.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.18
ОРО.18 Включение в разрабатываемые программы целевого обучения по вопросам выявления и противодействия реализации информационных угроз:
- практических занятий, в рамках которых отрабатываются вопросы выявления индикаторов раннего обнаружения реализации информационных угроз (индикаторов (фактов) компрометации объектов информатизации) и реагирования на них;
- практических занятий, в рамках которых отрабатываются вопросы противодействия реализации информационных угроз на основе возможных сценариев реализации информационных угроз;
- практических занятий, в рамках которых отрабатываются вопросы восстановления после реализации инцидентов, связанных с реализацией информационных угроз, в том числе сбора и анализа технических данных (свидетельств).
ОРО.9
ОРО.9 Определение и обеспечение необходимого численности и требуемой компетенции работников при организации ресурсного (кадрового и финансового) обеспечения службы ИБ на основании:
- анализа задач и функций, связанных с выполнением планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также процессов систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, возложенных на службу ИБ;
- уровня автоматизации процессов обеспечения операционной надежности и защиты информации;
- прогноза возможного расширения состава задач и функций, возложенных на службу ИБ, в результате развития бизнес- и технологических процессов в соответствии с общей стратегией развития финансовой организации.
ОРО.11
ОРО.11 Определение требований к квалификации работников службы ИБ на основании характеристик квалификации, которые содержатся в профессиональном стандарте специалистов по информационной безопасности в кредитно-финансовой сфере, с учетом особенностей выполняемых работниками трудовых функций, обусловленных применяемыми технологиями и способами организации производства и труда.
ОРО.12
ОРО.12 Определение требований в отношении компетенции работников службы ИБ с учетом: - наличия высшего профессионального образования в области ИБ и (или) информационных технологий; - наличия подтверждения соответствия квалификационным требованиям, устанавливаемым профессиональным стандартом специалистов по информационной безопасности в кредитно-финансовой сфере; - регулярного прохождения дополнительного (специализированного) обучения, переподготовки (повышения квалификации) в области ИБ.
ОРО.5.1
ОРО.5.1 Установление требований на основе профессиональных стандартов к квалификации работников, в том числе профессионального стандарта для специалистов по информационной безопасности в кредитно-финансовой сфере;
NIST Cybersecurity Framework (RU):
RS.CO-1
RS.CO-1: Персонал знает свои роли и порядок действий, при выполнении мероприятий по реагированию
RS.CO-5
RS.CO-5: Для достижения более широкой осведомленности о кибербезопасности происходит добровольный обмен информацией с внешними заинтересованными сторонами
RC.CO-3
RC.CO-3: Действия по восстановлению передаются внутренним заинтересованным сторонам, а также высшему руководству и компанде управления
PR.IP-4
PR.IP-4: Резервные копии данных создаются, хранятся и периодически проверяются
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.2.1
РВН.2.1 Оценки профессиональных навыков и соответствия кандидата квалификационным требованиям, предъявляемым финансовой организацией.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
7.2 Компетенция
7.2 Компетенция
Организация должна:
Организация должна:
- a) определить необходимую компетенцию лиц (-а), выполняющих работы под ее (организации) контролем, влияющим на их (лиц) исполнение информационной безопасности;
- b) обеспечить компетентность этих лиц на основе соответствующих образования, обучения или опыта;
- c) где это применимо, предпринимать действия по овладению необходимой компетенцией и оценивать эффективность предпринятых действий; а также
- d) сохранять соответствующую документированную информацию в качестве подтверждения компетенции.
ПРИМЕЧАНИЕ Применимыми действиями могут быть, например, предоставление обучения, наставничество или переназначения действующих сотрудников, или найм или привлечение по контракту компетентных лиц.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
7.2
7.2 Квалификация
Организация должна:
а) определить необходимую квалификацию для лиц(а), выполняющих(его) работу под ее контролем, которая влияет на обеспечение ее информационной безопасности;
b) убедиться, что квалификация этих лиц базируется на их приемлемом образовании, профессиональной подготовке (стажировке) или опыте работы;
с) при необходимости принимать меры по получению необходимой квалификации и проводить оценивание результативности принятых мер;
d) сохранять соответствующую документированную информацию в качестве свидетельств наличия необходимой квалификации.
Примечание — Применяемые меры могут включать, например, проведение тренинга, наставничество или перераспределение обязанностей среди имеющихся работников, а также наем или привлечение к работам по контракту лиц, имеющих необходимую квалификацию.
Организация должна:
а) определить необходимую квалификацию для лиц(а), выполняющих(его) работу под ее контролем, которая влияет на обеспечение ее информационной безопасности;
b) убедиться, что квалификация этих лиц базируется на их приемлемом образовании, профессиональной подготовке (стажировке) или опыте работы;
с) при необходимости принимать меры по получению необходимой квалификации и проводить оценивание результативности принятых мер;
d) сохранять соответствующую документированную информацию в качестве свидетельств наличия необходимой квалификации.
Примечание — Применяемые меры могут включать, например, проведение тренинга, наставничество или перераспределение обязанностей среди имеющихся работников, а также наем или привлечение к работам по контракту лиц, имеющих необходимую квалификацию.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.1.1
A.7.1.1 Проверка
Мера обеспечения информационной безопасности: Проверку всех кандидатов при приеме на работу следует осуществлять согласно соответствующим законам, правилам и этическим нормам. Проверка должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам информационной безопасности
Мера обеспечения информационной безопасности: Проверку всех кандидатов при приеме на работу следует осуществлять согласно соответствующим законам, правилам и этическим нормам. Проверка должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам информационной безопасности
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.2 Competence
7.2 Competence
The organization shall:
The organization shall:
- a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
- b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
- c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
- d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.
NIST Cybersecurity Framework (EN):
RS.CO-1
RS.CO-1: Personnel know their roles and order of operations when a response is needed
RS.CO-5
RS.CO-5: Voluntary information sharing occurs with external stakeholders to achieve broader cybersecurity situational awareness
RC.CO-3
RC.CO-3: Recovery activities are communicated to internal and external stakeholders as well as executive and management teams
PR.IP-4
PR.IP-4: Backups of information are conducted, maintained, and tested
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
7.1.1
7.1.1 Проверка
Мера обеспечения ИБ
Проверка всех кандидатов при приеме на работу должна осуществляться согласно соответствующим законам, правилам и этическим нормам и должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам ИБ.
Руководство по применению
Проверку следует проводить принимая во внимание обеспечение конфиденциальности, защиту персональных данных и законодательство о трудоустройстве, и там, где это разрешено, она должна включать в себя следующее:
- a) наличие удовлетворительных характеристик, например одной от организации и одной от физического лица;
- b) проверку (на полноту и точность) биографии заявителя;
- c) подтверждение заявленного образования и профессиональной квалификации;
- d) независимую проверку личности (паспорт или иной подобный документ);
- e) более детальную проверку, такую как обзор кредитной истории или проверку судимостей.
Когда работника принимают на работу для выполнения определенной роли ИБ, необходимо удостовериться, что кандидат:
- a) обладает необходимыми компетенциями для этой роли;
- b) имеет высокий уровень доверия, особенно если роль имеет важное значение для организации.
В случаях, когда работнику после приема на работу или при продвижении по службе предоставляется обязательный доступ к конфиденциальной информации, и, в частности, обрабатывающим конфиденциальную информацию, например финансовую или секретную, организации следует проводить дальнейшие, более детальные, проверки.
Процедуры должны определять критерии и ограничения для процесса перепроверки работников, например, кто, как, когда и с какой целью проводит эту перепроверку.
Процесс проверки также следует обеспечивать в отношении подрядчиков. В этих случаях в соглашении между сторонами должны быть четко указаны обязанности по проведению проверки и процедуры уведомлений, которые необходимо соблюдать, если проверка не была завершена или если результаты дают основания для сомнений или опасений.
Информацию обо всех рассматриваемых кандидатах, претендующих на занятие должностей в организации, следует собирать и обрабатывать согласно действующему в соответствующей юрисдикции законодательству. В зависимости от применимого законодательства может понадобиться предварительное информирование кандидата о проверке.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.