Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A
А.5.5
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
17.2
17.2 Establish and Maintain Contact Information for Reporting Security Incidents
Establish and maintain contact information for parties that need to be informed of security incidents. Contacts may include internal staff, third-party vendors, law enforcement, cyber insurance providers, relevant government agencies, Information Sharing and Analy
Establish and maintain contact information for parties that need to be informed of security incidents. Contacts may include internal staff, third-party vendors, law enforcement, cyber insurance providers, relevant government agencies, Information Sharing and Analy
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 7
6.7. Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению осведомленности об информационных угрозах:
- организация взаимодействия кредитной организации и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
- использование информации об актуальных сценариях реализации информационных угроз в целях обеспечения непрерывного оказания банковских услуг.
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ОСО.3
ОСО.3 Организация и выполнение деятельности по получению информации о возможных сценариях реализации информационных угроз от доверенных внешних организаций, в том числе в рамках участия в соответствующих сообществах.
ОСО.2
ОСО.2 Организация и выполнение деятельности по получению от Банка России и по направлению информации о возможных сценариях реализации информационных угроз с использованием технической инфраструктуры Банка России.
ОСО.1
ОСО.1 Организация и выполнение деятельности по получению от причастных сторон (за исключением клиентов финансовой организации) и по направлению информации о возможных сценариях реализации информационных угроз.
Федеральный Закон № 187-ФЗ от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации":
Статья 9 п.2 п.п. 2)
2) оказывать содействие должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
Статья 9 п.3 п.п. 4)
4) обеспечивать беспрепятственный доступ должностным лицам федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, к значимым объектам критической информационной инфраструктуры при реализации этими лицами полномочий, предусмотренных статьей 13 настоящего Федерального закона.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
17.2
17.2 Определена и актуализируется контактная информация для сообщения об инцидентах безопасности
Составлен список заинтересованных лиц, которые должны получить уведомление об инциденте.
Список пересматривается раз в год или чаще.
Составлен список заинтересованных лиц, которые должны получить уведомление об инциденте.
Список пересматривается раз в год или чаще.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.6.1.3
A.6.1.3 Контакты с полномочными органами
Средства реализации: Должны поддерживаться соответствующие контакты с полномочными органами.
Средства реализации: Должны поддерживаться соответствующие контакты с полномочными органами.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 19.5
CSC 19.5 Maintain Contact Information For Reporting Security Incidents
Assemble and maintain information on third-party contact information to be used to report a security incident, such as Law Enforcement, relevant government departments, vendors, and Information Sharing and Analysis Center (ISAC) partners.
Assemble and maintain information on third-party contact information to be used to report a security incident, such as Law Enforcement, relevant government departments, vendors, and Information Sharing and Analysis Center (ISAC) partners.
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 9 п. 10
9.10. Организации БС РФ, выполняющей функции оператора по переводу денежных средств, признанной Банком России значимой на рынке платежных услуг, рекомендуется заранее уведомлять ФинЦЕРТ Банка России (info_fincert@cbr.ru) о планируемой передаче выполнения существенных функций на аутсорсинг.
Р. 6 п. 7
6.7. Основное требование 6. В программе аутсорсинга исполнительный орган организации БС РФ должен определить требования к проведению мероприятий, связанных с обеспечением непрерывности деятельности поставщиков услуг при аутсорсинге бизнес-функций организаций БС РФ в части обеспечения ИБ.
Организации БС РФ следует учитывать, что наличие и использование ограниченного числа поставщиков услуг, предоставляющих услуги аутсорсинга многим организациям БС РФ, реализует концентрацию операционного риска, что является системной угрозой для БС РФ в целом. С целью своевременного выявления концентрации операционного риска, связанного с передачей многими организациями БС РФ выполнения существенных бизнес-функций ограниченной группе поставщиков услуг, Банк России рекомендует организациям БС РФ уведомлять ФинЦЕРТ Банка России (info_fincert@cbr.ru) о планируемой передаче выполнения бизнес-функций. Информирование осуществляется в форме электронных сообщений.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.5
А.5.5 Контакты с государственными органами и регуляторами
Организация должна установить и поддерживать контакты с соответствующими государственными органами и регуляторами.
Организация должна установить и поддерживать контакты с соответствующими государственными органами и регуляторами.
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.10.
1.10. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать выполнение следующих требований в отношении обеспечения своей осведомленности об актуальных информационных угрозах:
- организацию взаимодействия с иными участниками технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
- использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения непрерывного оказания финансовых услуг.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
6.1.3
6.1.3 Взаимодействие с органами власти
Мера обеспечения ИБ
Должны поддерживаться соответствующие контакты с уполномоченными органами власти.
Руководство по применению
В организациях должны действовать процедуры, определяющие, в каких случаях и кому следует связываться с органами власти (например, с правоохранительными, регулирующими или надзорными органами), и каким образом информация о выявленных инцидентах ИБ должна своевременно передаваться (например, если есть подозрения на возможное нарушение закона).
Дополнительная информация
Организации, подвергающиеся атакам из сети Интернет, вероятнее всего будут нуждаться в обращении к органам власти для принятия мер обеспечения ИБ против источника атаки.
Поддержание таких контактов может являться требованием, обеспечивающим менеджмент инцидентов ИБ (раздел 16) или процесс непрерывности бизнеса и действий в чрезвычайных ситуациях (раздел 17). Взаимодействие с регулирующими органами также полезно для прогнозирования и подготовки к предстоящим изменениям в законах и нормативных актах, применимых к организации. Стоит поддерживать контакты и с другими органами, такими как коммунальные и аварийные службы, поставщики электроэнергии, службы спасения, например пожарные (в связи с обеспечением непрерывности бизнеса), провайдеры телекоммуникационных услуг (в связи с обеспечением доступности линий связи и маршрутизацией), службы водоснабжения (для обеспечения своевременного охлаждения оборудования).
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.