Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

6.1.3

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":

ОПР.1.2

ОПР.1.2 Описание структуры и подходов к интеграции процессов управления риском реализации информационных угроз в систему управления операционным риском финансовой организации;

ОПР.11.1

ОПР.11.1 Группа КПУР, характеризующих уровень совокупных потерь финансовой организации в результате событий риска реализации информационных угроз;

ОПР.12

ОПР.12 Установление политикой управления риском реализации информационных угроз допустимого уровня такого риска (риск-аппетита финансовой организации) с учетом сигнальных и контрольных значений КПУР**.

ОПР.11.2

ОПР.11.2 Группа КПУР, характеризующих уровень операционной надежности бизнес- и технологических процессов финансовой организации;

ОПР.1.1

ОПР.1.1 Определение и описание состава процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;

ОПР.11.3

ОПР.11.3 Группа КПУР, характеризующих уровень несанкционированных операций (потерь клиентов финансовой организации) в результате инцидентов.

NIST Cybersecurity Framework (RU):

ID.RM-3

ID.RM-3: Определение отношения (степени принятия риска) к риску организации основывается на ее роли в критической инфраструктуре и анализе рисков для конкретных секторов

ID.RM-1

ID.RM-1: Процессы управления рисками установлены, управляются и согласованы заинтересованными сторонами организации

ID.GV-4

ID.GV-4: Процессы руководства и управления рисками направлены на устранение рисков кибербезопасности

ID.RM-2

ID.RM-2: Определен и четко выражен критерий принятия риска в организации

ID.RA-6

ID.RA-6: Для рисков определены и расставлены по приоритетам ответные меры

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":

6.1.3 Обработка рисков информационной безопасности

6.1.3 Обработка рисков информационной безопасности
Организация должна определить и применять процесс обработки рисков в целях:

a) выбора применимых вариантов обработки рисков информационной безопасности, учитывающих результаты оценки рисков;
b) определения всех средств управления информационной безопасностью, необходимых для внедрения выбранного варианта (-ов) обработки рисков информационной безопасности;

ПРИМЕЧАНИЕ 1 Организация может разработать средства управления информационной безопасностью, по мере необходимости, или определить их из иного источника.

c) сравнения средств управления информационной безопасностью, вышеопределенных в п.6.1.3 b) и содержащихся в Приложении А, а также подтверждения того, что ни одно необходимое средство управления информационной безопасностью не пропущено;

ПРИМЕЧЕНИЕ 2 Приложение А содержит перечень средств управления информационной безопасностью. Пользователи настоящего документа отсылаются к Приложению А для обеспечения того, что ни одно необходимое средство управления информационной безопасностью не будет пропущено.
ПРИМЕЧАНИЕ 3 Перечисленные в Приложении А средства управления информационной безопасностью не являются исчерпывающими и, по необходимости, могут быть применены потребоваться дополнительные средства управления информационной безопасностью.

d) выработки Положения о Применимости, которое содержит:
- необходимые средства управления информационной безопасностью (см. п.6.1.3 b) и с));
- обоснование их применения;
- сведения от том, реализованы они или нет, а также
- обоснование исключения из применения приведенных в Приложении А средств управления информационной безопасностью.
e) разработки плана обработки рисков; а также
f) получения одобрения плана обработки рисков информационной безопасности и остаточных рисков информационной безопасности со стороны владельцев рисков.

Организация должна сохранять документированную информацию о процессе обработки рисков информационной безопасности.
ПРИМЕЧАНИЕ 4 Процесс оценки и обработки рисков информационной безопасности в настоящем документе соответствует принципам и общим указаниям, изложенным в ИСО 31000.

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":

6.1.3 Information security risk treatment

6.1.3 Information security risk treatment
The organization shall define and apply an information security risk treatment process to:

a) select appropriate information security risk treatment options, taking account of the risk assessment results;
b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;

NOTE 1 Organizations can design controls as required, or identify them from any source.

c) compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;

NOTE 2 Annex A contains a list of possible information security controls. Users of this document are directed to Annex A to ensure that no necessary information security controls are overlooked.
NOTE 3 The information security controls listed in Annex A are not exhaustive and additional information security controls can be included if needed.

d) produce a Statement of Applicability that contains:· the necessary controls (see 6.1.3 b) and c));· justification for their inclusion;· whether the necessary controls are implemented or not; and· the justification for excluding any of the Annex A controls.;
e) formulate an information security risk treatment plan; and
f) obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.

The organization shall retain documented information about the information security risk treatment process.
NOTE 4 The information security risk assessment and treatment process in this document aligns with the principles and generic guidelines provided in ISO 31000.

NIST Cybersecurity Framework (EN):

ID.RM-3 ID.RM-3: The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis

ID.RM-2 ID.RM-2: Organizational risk tolerance is determined and clearly expressed

ID.RA-6 ID.RA-6: Risk responses are identified and prioritized

ID.RM-1 ID.RM-1: Risk management processes are established, managed, and agreed to by organizational stakeholders

ID.GV-4 ID.GV-4: Governance and risk management processes address cybersecurity risks

Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":

Глава 7. Пункт 8.

7.8. В политике информационной безопасности кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет:

функции и ответственность коллегиального исполнительного органа и работников кредитной организации (головной кредитной организации банковской группы) в рамках управления риском информационной безопасности;
основные принципы функционирования системы обеспечения информационной безопасности и задачи управления риском информационной безопасности; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
сигнальные и контрольные значения контрольных показателей уровня риска информационной безопасности;
основные принципы организации контроля за функционированием системы обеспечения информационной безопасности;
требования к созданию ресурсных (кадровых и финансовых) условий системы обеспечения информационной безопасности;
требования к третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), которым могут быть переданы функции кредитной организации (головной кредитной организации банковской группы) по обеспечению информационной безопасности, а также определение порядка взаимодействия и распределения ответственности между кредитной организацией (головной кредитной организацией банковской группы) и привлеченными ею третьими лицами. (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)

Политика информационной безопасности должна утверждаться коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).

Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований политики информационной безопасности.

Глава 7. Пункт 1.

7.1. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок управления риском информационной безопасности.

Связанные защитные меры

	Название	Дата	Влияние
Community 48 / 170	Внедрение процесса управления рисками информационной безопасности Вручную Организационная Детективная 08.05.2022	08.05.2022	48 / 170

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.