Куда я попал?
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021
Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности
7.2.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
ID.GV-2
ID.GV-2: Роли и обязанности в области информационной безопасности скоординорованы и согласованы с внутренними ролями и внешними партнерами
PR.IP-11
PR.IP-11: Кибербезопасность включена в практику работы с персоналом (например, ограничение доступа, проверка персонала)
PR.AT-3
PR.AT-3: Внешние заинтересованные стороны (например, поставщики, клиенты, партнеры) понимают роли и ответственность
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.6.3.2
12.6.3.2
Defined Approach Requirements:
Security awareness training includes awareness about the acceptable use of end-user technologies in accordance with Requirement 12.2.1.
Customized Approach Objective:
Personnel are knowledgeable about their responsibility for the security and operation of enduser technologies and are able to access assistance and guidance when required.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Security awareness training includes awareness about the acceptable use of end-user technologies in accordance with Requirement 12.2.1.
Customized Approach Objective:
Personnel are knowledgeable about their responsibility for the security and operation of enduser technologies and are able to access assistance and guidance when required.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 12.6.3.2 Examine security awareness training content to verify it includes awareness about acceptable use of end-user technologies in accordance with Requirement 12.2.1.
Purpose:
By including the key points of the acceptable use policy in regular training and the related context, personnel will understand their responsibilities and how these impact the security of an organization’s systems.
By including the key points of the acceptable use policy in regular training and the related context, personnel will understand their responsibilities and how these impact the security of an organization’s systems.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.2.1
A.7.2.1 Обязанности руководства организации
Мера обеспечения информационной безопасности: Руководство организации должно требовать от всех работников и подрядчиков соблюдения информационной безопасности в соответствии с установленными в организации политиками и процедурами
Мера обеспечения информационной безопасности: Руководство организации должно требовать от всех работников и подрядчиков соблюдения информационной безопасности в соответствии с установленными в организации политиками и процедурами
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.6.3.2
12.6.3.2
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.
Цель Индивидуального подхода:
Персонал осведомлен о своей ответственности за безопасность и эксплуатацию технологий конечного пользователя и может получить доступ к помощи и руководству, когда это необходимо.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.
Цель Индивидуального подхода:
Персонал осведомлен о своей ответственности за безопасность и эксплуатацию технологий конечного пользователя и может получить доступ к помощи и руководству, когда это необходимо.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.6.3.2 Изучите содержание тренинга по повышению осведомленности о безопасности, чтобы убедиться, что оно включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.
Цель:
Включив ключевые пункты политики приемлемого использования в регулярное обучение и соответствующий контекст, персонал поймет свои обязанности и то, как они влияют на безопасность систем организации.
Включив ключевые пункты политики приемлемого использования в регулярное обучение и соответствующий контекст, персонал поймет свои обязанности и то, как они влияют на безопасность систем организации.
NIST Cybersecurity Framework (EN):
ID.GV-2
ID.GV-2: Cybersecurity roles and responsibilities are coordinated and aligned with internal roles and external partners
PR.IP-11
PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)
PR.AT-3
PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 6 п. 3 п.п. 3 п.п.п.п. 2
2. Роль руководителя ГРИИБ, который обеспечивает оперативное руководство реагированием на инциденты ИБ.
Руководителя ГРИИБ рекомендуется наделять административными полномочиями, позволяющими обеспечивать управление и координацию участников процесса реагирования на инциденты ИБ в соответствии с установленными регламентами.
В обязанности руководителя ГРИИБ входят:
Руководителя ГРИИБ рекомендуется наделять административными полномочиями, позволяющими обеспечивать управление и координацию участников процесса реагирования на инциденты ИБ в соответствии с установленными регламентами.
В обязанности руководителя ГРИИБ входят:
- инициализация реагирования на инцидент ИБ в ГРИИБ;
- назначение ответственного исполнителя ГРИИБ для реагирования на обнаруженный и зарегистрированный инцидент ИБ;
- координирование деятельности членов ГРИИБ при реагировании на инцидент ИБ;
- привлечение необходимой компетенции в рамках ГРИИБ для реагирования на инцидент ИБ;
- контроль соблюдения требований регламентирующих документов в ходе реагирования на инцидент ИБ;
- принятие решения о возможности закрытия инцидента ИБ;
- предоставление консультаций и рекомендаций участникам процесса реагирования на инциденты ИБ.
Кроме того, к обязанностям руководителя ГРИИБ рекомендуется относить формирование предложений по совершенствованию процессов реагирования на инциденты ИБ и пересмотру соответствующих регламентов.
Руководитель ГРИИБ является основным ответственным за исполнение процесса реагирования на инцидент ИБ, а также за результат исполнения данного процесса.
Рекомендуется назначать руководителя ГРИИБ из числа руководства службы ИБ организации БС РФ
Руководитель ГРИИБ является основным ответственным за исполнение процесса реагирования на инцидент ИБ, а также за результат исполнения данного процесса.
Рекомендуется назначать руководителя ГРИИБ из числа руководства службы ИБ организации БС РФ
Приказ ФСТЭК России № 235 от 21.12.2017 "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования":
II п.10
10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности).
Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:
Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:
- разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу);
- проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;
- обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - требования по безопасности);
- обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
- осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
- организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;
- готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов критической информационной инфраструктуры.
Структурное подразделение по безопасности, специалисты по безопасности реализуют указанные функции во взаимодействии с подразделениями (работниками), эксплуатирующими значимые объекты критической информационной инфраструктуры, и подразделениями (работниками), обеспечивающими функционирование значимых объектов критической информационной инфраструктуры.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.