Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

6.1.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":

ВИО.1

ВИО.1 Организация* и выполнение деятельности по анализу базы событий риска реализации информационных угроз.

ОПР.19.3

ОПР.19.3 Утверждение допустимого уровня риска реализации информационных угроз (риск-аппетита финансовой организации), состава КПУР, а также их сигнальных и контрольных значений;

ВИО.17.2

ВИО.17.2 Оценку СТП событий риска*;

NIST Cybersecurity Framework (RU):

ID.GV-4

ID.GV-4: Процессы руководства и управления рисками направлены на устранение рисков кибербезопасности

ID.RA-4

ID.RA-4: Определены потенциальные последствия и их вероятности для бизнеса

RS.CO-3

RS.CO-3: Информация передается в соответствии с планами реагирования

ID.RA-3

ID.RA-3: Идентифицированы и задокументированык внутренние и внешние угрозы

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":

6.1.2 Оценка рисков информационной безопасности

6.1.2 Оценка рисков информационной безопасности
Организация должна определить и применять процесс оценки рисков информационной безопасности, который

а) устанавливает и поддерживает критерии рисков информационной безопасности, которые включают в себя:
- 1) критерии приемлемости рисков; а также
- 2) критерии выполнения оценок рисков информационной безопасности;
b) обеспечивает выработку повторяющимися оценками рисков информационной безопасности цельных, достоверных и сравнимых результатов;
c) выявляет риски информационной безопасности:
- 1) применение процесса оценки рисков информационной безопасности с целью выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в пределах области действия системы менеджмента информационной безопасности; а также
- 2) выявление владельцев рисков;
d) анализирует риски информационной безопасности:
- 1) оценка возможных последствий, которые могут произойти в результате реализации рисков, выявленных в п.6.1.2 с)1);
- 2) оценка реалистичной вероятности реализации рисков, выявленных в п.6.1.2 с)1); а также
- 3) определение уровней рисков;
e) оценивает риски информационной безопасности:
- 1) сравнение результатов анализа рисков с критериями, установленными в п.6.1.2 а); а также
- 2) расставляет приоритеты обработки проанализированных рисков.

Организация должна сохранять документированную информацию о процессе оценки рисков информационной безопасности.

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":

6.1.2 Information security risk assessment

6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:

a) establishes and maintains information security risk criteria that include:
- 1) the risk acceptance criteria; and
- 2) criteria for performing information security risk assessments;
b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
c) identifies the information security risks:
- 1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
- 2) identify the risk owners;
d) analyses the information security risks:
- 1) assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize;
- 2) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and
- 3) determine the levels of risk;
e) evaluates the information security risks:
- 1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
- 2) prioritize the analysed risks for risk treatment.

The organization shall retain documented information about the information security risk assessment process.

Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":

П. 16.1

16.1. Участник СБП - банк плательщика должен осуществлять:

выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, установленным Банком России в соответствии с частью 5.1 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - признаки осуществления переводов денежных средств без согласия клиента), в рамках реализуемой им системы управления рисками при осуществлении переводов денежных средств с использованием сервиса быстрых платежей;
приостановление в соответствии с частью 5.1 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ исполнения распоряжения в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, с учетом информации об уровне риска операции без согласия клиента (далее - индикатор уровня риска операции), включенной в электронное сообщение, полученной от ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП, содержащей в том числе информацию об индикаторе уровня риска операции, сформированном участником СБП - банком получателя;
формирование индикатора уровня риска операции на основе оценки рисков операций в рамках реализуемой участником СБП - банком плательщика системы управления рисками и его направление в электронном сообщении в ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП, - в случае невыявления признаков осуществления перевода денежных средств без согласия клиента.

П. 16.2

16.2. Участник СБП - банк получателя должен осуществлять формирование индикатора уровня риска операции в рамках реализуемой им системы управления рисками, применяемой для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, и его направление в электронном сообщении в ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП.

Методика экспресс-оценки уровня кибербезопасности организации РезБез:

1.2.4.1.

Топ-менеджмент, операционные руководители, ответственные за ключевые функции организации, совместно с представителями ИТ и ИБ
участвуют в определении недопустимых событий / ключевых рисков КБ

NIST Cybersecurity Framework (EN):

ID.RA-3 ID.RA-3: Threats, both internal and external, are identified and documented

ID.RA-4 ID.RA-4: Potential business impacts and likelihoods are identified

RS.CO-3 RS.CO-3: Information is shared consistent with response plans

ID.GV-4 ID.GV-4: Governance and risk management processes address cybersecurity risks

Связанные защитные меры

	Название	Дата	Влияние
Community 48 / 170	Внедрение процесса управления рисками информационной безопасности Вручную Организационная Детективная 08.05.2022	08.05.2022	48 / 170

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.