Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021

Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

18.1.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":

СЗИ.3

СЗИ.3 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:

изменений требований к защите информации, определенных правилами платежной системы (применяется только для участников платежных систем);
изменений, внесенных в законодательство Российской Федерации, в том числе нормативные акты Банка России

3-О 2-О 1-О

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 8 п. 10 п.п. 4

8.10.4. Процедуры расследования инцидентов ИБ должны учитывать законодательство РФ, положения нормативных актов Банка России, а также внутренних документов организации БС РФ в области ИБ.

Р. 7 п. 3 п.п. 3

7.3.3. Организации, привлекаемые на договорной основе для обеспечения ИБ на стадиях ЖЦ АБС, должны иметь лицензии на деятельность по технической защите конфиденциальной информации в соответствии с законодательством РФ.

Р. 8 п. 6 п.п. 4

8.6.4. Разработка/корректировка внутренних документов, регламентирующих деятельность в области обеспечения ИБ, должна проводиться на основе:

законодательства РФ;
комплекса БР ИББС, в частности, требований разделов 7 и 8 настоящего стандарта;
нормативных актов и предписаний регулирующих и надзорных органов;
договорных требований организации БС РФ со сторонними организациями;
результатов оценки рисков, выполненной с соответствующей уровню разрабатываемого документа детализацией рассматриваемых информационных активов или типов информационных активов.

ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":

Р. 8 п. 4 пп. 2 ппп. 2

8.4.2.2 Функции и обязанности каждой команды и отношения между командами должны быть четко идентифицированы.

NIST Cybersecurity Framework (RU):

ID.GV-3

ID.GV-3: Управляются и доступны для понимания правовые и нормативные требования в отношении кибербезопасности, в том числе обязательства в отношении конфиденциальности и гражданских свобод

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.18.1.1

A.18.1.1 Идентификация применимых законодательных и договорных требований
Мера обеспечения информационной безопасности: Все значимые для организации и каждой информационной системы правовые, регулятивные и договорные требования, а также подходы организации к выполнению этих требований должны быть четко определены, документированы и поддерживаться в актуальном состоянии как в отношении каждой информационной системы, так и в отношении организации в целом

Постановление Правительства РФ № 584 от 13.06.2012 "Положение о защите информации в платежной системе":

п. 9

9. Применение шифровальных (криптографических) средств защиты информации операторами и агентами осуществляется в соответствии с законодательством Российской Федерации.

Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":

Р. 6 п. 8

6.8. Основное требование 7. Организация БС РФ должна рассматривать бизнес-функции, передаваемые на аутсорсинг поставщику услуг, в качестве неотъемлемой части своей деятельности, в том числе подпадающей под регулирование в части защиты информации со стороны уполномоченных органов исполнительной власти РФ и Банка России.

При аутсорсинге существенных функций организация БС РФ должна обеспечить выполнение своих обязательств по предоставлению возможности контроля соблюдения требований к защите информации, установленных в рамках законодательства о национальной платежной системе, персональных данных и безопасности критической информационной инфраструктуры, со стороны уполномоченных органов исполнительной власти РФ и Банка России (в пределах их полномочий, установленных законодательством РФ), в том числе обеспечить доступ к информации, связанной с деятельностью поставщика услуг.

Р. 6 п. 9

6.9. Основное требование 8. Организации БС РФ при принятии решения об аутсорсинге существенных функций, при котором предполагается трансграничная передача защищаемой информации, следует убедиться в соблюдении требований:

законодательства РФ, регулирующего вопросы трансграничной передачи персональных данных;
законодательства РФ, устанавливающего обязанность обработки и хранения персональных данных на территории РФ;
нормативных актов Банка России, устанавливающих обязанность кредитных организаций создавать и передавать Банку России резервные копии электронных баз данных, а также размещать резервные копии электронных баз данных на территории РФ;
законодательства РФ, регулирующего вопросы лицензирования отдельных видов деятельности;
законодательства РФ, регулирующего вопросы обеспечения безопасности критической информационной инфраструктуры.

В случае наличия у поставщика услуг подразделений и (или) дочерних предприятий за пределами РФ, а также при использовании самим поставщиком услуг аутсорсинга поставщик услуг должен предоставить организации БС РФ информацию о таких подразделениях, предприятиях или аутсорсинговых субподрядчиках (если они участвуют в оказании услуг аутсорсинга), выполняемых ими работах, часовых поясах и странах, в которых находятся их штаб-квартиры и из которых они ведут свою деятельность в целях выполнения соглашения об аутсорсинге для организации БС РФ. Необходимо учитывать возможность существования своих законодательных требований и ограничений, а также используемых разговорных языках и возможных культурных и религиозных особенностях в области обеспечения ИБ в юрисдикциях, в которых находятся поставщики услуг, их подразделения, дочерние предприятия и субподрядчики.

Трансграничная передача информации, составляющей банковскую тайну, допускается в обезличенной обобщенной (агрегированной) форме, за исключением случаев, установленных законодательством РФ.

Р. 9 п. 6

9.6. При оценке возможности поставщика услуг обеспечить выполнение обязательств организации БС РФ следует рассмотреть следующие показатели:

соблюдение требований к обеспечению ИБ, установленных для организации БС РФ законодательством РФ по защите информации (в том числе в соответствии с ГОСТ 57580.1-2017);
возможность получения информации, необходимой для предоставления Банку России и уполномоченным органам исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации;
возможность осуществления организацией БС РФ деятельности по мониторингу и контролю риска на‑ рушения ИБ;
возможность организации БС РФ получать информацию о результатах проведения внешних аудитов обеспечения ИБ и внешних аудитов обеспечения непрерывности деятельности.

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":

А.5.31

А.5.31 Юридические, законодательные, нормативные и контрактные требования
Должны быть идентифицированы, задокументированы и поддерживаться в актуальном состоянии относящиеся к ИБ юридические, законодательные, нормативные, договорные требования, а также подход организации к выполнению этих требований.

Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":

Глава 2 п. 11

2.11. Контроль за соблюдением банковскими платежными агентами (субагентами) требований к обеспечению защиты информации при осуществлении переводов денежных средств осуществляется операторами по переводу денежных средств в соответствии с договорами между операторами по переводу денежных средств и привлекаемыми ими банковскими платежными агентами.

Операторы по переводу денежных средств при привлечении банковских платежных агентов (субагентов) должны на основе системы управления рисками определить для них критерии необходимости и периодичности тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры, проведения оценки соответствия защиты информации, сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений.

Получение операторами по переводу денежных средств информации о соблюдении операторами услуг информационного обмена, предоставляющими услуги информационного обмена операторам по переводу денежных средств, требований к обеспечению защиты информации при осуществлении переводов денежных средств осуществляется в соответствии с договорами между операторами по переводу денежных средств и операторами услуг информационного обмена.

NIST Cybersecurity Framework (EN):

ID.GV-3 ID.GV-3: Legal and regulatory requirements regarding cybersecurity, including privacy and civil liberties obligations, are understood and managed

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.5.31

А.5.31 Legal, statutory, regulatory and contractual requirements
Legal, statutory, regulatory and contractual requirements relevant to information security and the organization’s approach to meet these requirements shall be identified, documented and kept up to date.

Приказ ФСТЭК России № 235 от 21.12.2017 "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования":

III п.18

18. Для обеспечения безопасности значимых объектов критической информационной инфраструктуры должны применяться сертифицированные на соответствие требованиям по безопасности средства защиты информации или средства, прошедшие оценку соответствия в форме испытаний или приемки в соответствии с Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании".
Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

В иных случаях применяются средства защиты информации, прошедшие оценку соответствия в форме испытаний или приемки, которые проводятся субъектами критической информационной инфраструктуры самостоятельно или с привлечением организаций, имеющих в соответствии с законодательством Российской Федерации лицензии на деятельность в области защиты информации.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.