Куда я попал?
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
6.1.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ВИО.1
ВИО.1 Организация* и выполнение деятельности по анализу базы событий риска реализации информационных угроз.
ОПР.19.3
ОПР.19.3 Утверждение допустимого уровня риска реализации информационных угроз (риск-аппетита финансовой организации), состава КПУР, а также их сигнальных и контрольных значений;
ВИО.17.2
ВИО.17.2 Оценку СТП событий риска*;
NIST Cybersecurity Framework (RU):
ID.GV-4
ID.GV-4: Процессы руководства и управления рисками направлены на устранение рисков кибербезопасности
ID.RA-4
ID.RA-4: Определены потенциальные последствия и их вероятности для бизнеса
RS.CO-3
RS.CO-3: Информация передается в соответствии с планами реагирования
ID.RA-3
ID.RA-3: Идентифицированы и задокументированык внутренние и внешние угрозы
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
6.1.2 Оценка рисков информационной безопасности
6.1.2 Оценка рисков информационной безопасности
Организация должна определить и применять процесс оценки рисков информационной безопасности, который
Организация должна определить и применять процесс оценки рисков информационной безопасности, который
- а) устанавливает и поддерживает критерии рисков информационной безопасности, которые включают в себя:
- 1) критерии приемлемости рисков; а также
- 2) критерии выполнения оценок рисков информационной безопасности;
- b) обеспечивает выработку повторяющимися оценками рисков информационной безопасности цельных, достоверных и сравнимых результатов;
- c) выявляет риски информационной безопасности:
- 1) применение процесса оценки рисков информационной безопасности с целью выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в пределах области действия системы менеджмента информационной безопасности; а также
- 2) выявление владельцев рисков;
- d) анализирует риски информационной безопасности:
- 1) оценка возможных последствий, которые могут произойти в результате реализации рисков, выявленных в п.6.1.2 с)1);
- 2) оценка реалистичной вероятности реализации рисков, выявленных в п.6.1.2 с)1); а также
- 3) определение уровней рисков;
- e) оценивает риски информационной безопасности:
- 1) сравнение результатов анализа рисков с критериями, установленными в п.6.1.2 а); а также
- 2) расставляет приоритеты обработки проанализированных рисков.
Организация должна сохранять документированную информацию о процессе оценки рисков информационной безопасности.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
6.1.2 Information security risk assessment
6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:
The organization shall define and apply an information security risk assessment process that:
- a) establishes and maintains information security risk criteria that include:
- 1) the risk acceptance criteria; and
- 2) criteria for performing information security risk assessments;
- b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
- c) identifies the information security risks:
- 1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
- 2) identify the risk owners;
- d) analyses the information security risks:
- e) evaluates the information security risks:
- 1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
- 2) prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.
Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":
П. 16.1
16.1. Участник СБП - банк плательщика должен осуществлять:
- выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, установленным Банком России в соответствии с частью 5.1 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - признаки осуществления переводов денежных средств без согласия клиента), в рамках реализуемой им системы управления рисками при осуществлении переводов денежных средств с использованием сервиса быстрых платежей;
- приостановление в соответствии с частью 5.1 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ исполнения распоряжения в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, с учетом информации об уровне риска операции без согласия клиента (далее - индикатор уровня риска операции), включенной в электронное сообщение, полученной от ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП, содержащей в том числе информацию об индикаторе уровня риска операции, сформированном участником СБП - банком получателя;
- формирование индикатора уровня риска операции на основе оценки рисков операций в рамках реализуемой участником СБП - банком плательщика системы управления рисками и его направление в электронном сообщении в ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП, - в случае невыявления признаков осуществления перевода денежных средств без согласия клиента.
П. 16.2
16.2. Участник СБП - банк получателя должен осуществлять формирование индикатора уровня риска операции в рамках реализуемой им системы управления рисками, применяемой для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, и его направление в электронном сообщении в ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
1.2.4.1.
Топ-менеджмент, операционные руководители, ответственные за ключевые функции организации, совместно с представителями ИТ и ИБ
участвуют в определении недопустимых событий / ключевых рисков КБ
участвуют в определении недопустимых событий / ключевых рисков КБ
NIST Cybersecurity Framework (EN):
ID.RA-3
ID.RA-3: Threats, both internal and external, are identified and documented
ID.RA-4
ID.RA-4: Potential business impacts and likelihoods are identified
RS.CO-3
RS.CO-3: Information is shared consistent with response plans
ID.GV-4
ID.GV-4: Governance and risk management processes address cybersecurity risks
Связанные защитные меры
Название | Дата | Влияние | ||
---|---|---|---|---|
Community
48 / 170
|
Внедрение процесса управления рисками информационной безопасности
Вручную
Организационная
Детективная
08.05.2022
|
08.05.2022 | 48 / 170 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.