Куда я попал?
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022
Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А
А.5.27
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 3
6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
- выявление и регистрация инцидентов операционной надежности;
- реагирование на инциденты операционной надежности в отношении критичной архитектуры;
- восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
- проведение анализа причин и последствий реализации инцидентов операционной надежности;
- организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РИ.12
РИ.12 Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:
- анализ инцидента;
- определение источников и причин возникновения инцидента;
- оценку последствий инцидента на предоставление финансовых услуг, реализацию бизнес-процессов или технологических процессов финансовой организации;
- принятие мер по устранению последствий инцидента;
- планирование и принятие мер по предотвращению повторного возникновения инцидента
3-О 2-О 1-О
NIST Cybersecurity Framework (RU):
RS.IM-2
RS.IM-2: Обновляются стратегии реагирования
RC.IM-1
RC.IM-1: Планы восстановления включают извлеченные уроки
RS.AN-2
RS.AN-2: Понимается влияние инцидента
RC.IM-2
RC.IM-2: Обновляются стратегии восстановления
RS.IM-1
RS.IM-1: Планы реагирования включают извлеченные уроки
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИНЦ.5
ИНЦ.5 Принятие мер по устранению последствий инцидентов
ИНЦ.6
ИНЦ.6 Планирование и принятие мер по предотвращению повторного возникновения инцидентов
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.10.6
12.10.6
Defined Approach Requirements:
The security incident response plan is modified and evolved according to lessons learned and to incorporate industry developments.
Customized Approach Objective:
The effectiveness and accuracy of the incident response plan is reviewed and updated after each invocation.
Defined Approach Testing Procedures:
Defined Approach Requirements:
The security incident response plan is modified and evolved according to lessons learned and to incorporate industry developments.
Customized Approach Objective:
The effectiveness and accuracy of the incident response plan is reviewed and updated after each invocation.
Defined Approach Testing Procedures:
- 12.10.6.a Examine policies and procedures to verify that processes are defined to modify and evolve the security incident response plan according to lessons learned and to incorporate industry developments.
- 12.10.6.b Examine the security incident response plan and interview responsible personnel to verify that the incident response plan is modified and evolved according to lessons learned and to incorporate industry developments.
Purpose:
Incorporating lessons learned into the incident response plan after an incident occurs and in-step with industry developments, helps keep the plan current and able to react to emerging threats and security trends.
Good Practice:
The lessons-learned exercise should include all levels of personnel. Although it is often included as part of the review of the entire incident, it should focus on how the entity’s response to the incident could be improved.
It is important to not just consider elements of the response that did not have the planned outcomes but also to understand what worked well and whether lessons from those elements that worked well can be applied areas of the plan that didn’t.
Another way to optimize an entity’s incident response plan is to understand the attacks made against other organizations and use that information to fine-tune the entity’s detection, containment, mitigation, or recovery procedures.
Incorporating lessons learned into the incident response plan after an incident occurs and in-step with industry developments, helps keep the plan current and able to react to emerging threats and security trends.
Good Practice:
The lessons-learned exercise should include all levels of personnel. Although it is often included as part of the review of the entire incident, it should focus on how the entity’s response to the incident could be improved.
It is important to not just consider elements of the response that did not have the planned outcomes but also to understand what worked well and whether lessons from those elements that worked well can be applied areas of the plan that didn’t.
Another way to optimize an entity’s incident response plan is to understand the attacks made against other organizations and use that information to fine-tune the entity’s detection, containment, mitigation, or recovery procedures.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.6
A.16.1.6 Анализ инцидентов информационной безопасности
Мера обеспечения информационной безопасности: Знания, приобретенные в результате анализа и урегулирования инцидентов информационной безопасности, должны использоваться для уменьшения вероятности или влияния будущих инцидентов
Мера обеспечения информационной безопасности: Знания, приобретенные в результате анализа и урегулирования инцидентов информационной безопасности, должны использоваться для уменьшения вероятности или влияния будущих инцидентов
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 19.6
CSC 19.6 Publish Information Regarding Reporting Computer Anomalies and Incidents
Publish information for all workforce members, regarding reporting computer anomalies and incidents, to the incident handling team. Such information should be included in routine employee awareness activities.
Publish information for all workforce members, regarding reporting computer anomalies and incidents, to the incident handling team. Such information should be included in routine employee awareness activities.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.10.6
12.10.6
Определенные Требования к Подходу:
План реагирования на инциденты безопасности модифицируется и развивается в соответствии с извлеченными уроками и с учетом отраслевых разработок.
Цель Индивидуального подхода:
Эффективность и точность плана реагирования на инциденты пересматриваются и обновляются после каждого вызова.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
План реагирования на инциденты безопасности модифицируется и развивается в соответствии с извлеченными уроками и с учетом отраслевых разработок.
Цель Индивидуального подхода:
Эффективность и точность плана реагирования на инциденты пересматриваются и обновляются после каждого вызова.
Определенные Процедуры Тестирования Подхода:
- 12.10.6.a Изучить политики и процедуры для проверки того, что определены процессы для изменения и совершенствования плана реагирования на инциденты безопасности в соответствии с извлеченными уроками и с учетом отраслевых разработок.
- 12.10.6.b Изучите план реагирования на инциденты безопасности и опросите ответственный персонал, чтобы убедиться, что план реагирования на инциденты изменен и доработан в соответствии с извлеченными уроками и с учетом отраслевых разработок.
Цель:
Включение извлеченных уроков в план реагирования на инциденты после инцидента и в соответствии с развитием отрасли помогает поддерживать план в актуальном состоянии и реагировать на возникающие угрозы и тенденции в области безопасности.
Надлежащая практика:
Работа по извлечению уроков должна охватывать персонал всех уровней. Хотя он часто включается как часть анализа всего инцидента, он должен быть сосредоточен на том, как можно улучшить реакцию организации на инцидент.
Важно не просто рассмотреть элементы реагирования, которые не привели к запланированным результатам, но и понять, что сработало хорошо, и могут ли уроки из тех элементов, которые сработали хорошо, быть применены в тех областях плана, которые не сработали.
Другим способом оптимизации плана реагирования на инциденты организации является понимание атак, совершенных против других организаций, и использование этой информации для точной настройки процедур обнаружения, локализации, смягчения последствий или восстановления организации.
Включение извлеченных уроков в план реагирования на инциденты после инцидента и в соответствии с развитием отрасли помогает поддерживать план в актуальном состоянии и реагировать на возникающие угрозы и тенденции в области безопасности.
Надлежащая практика:
Работа по извлечению уроков должна охватывать персонал всех уровней. Хотя он часто включается как часть анализа всего инцидента, он должен быть сосредоточен на том, как можно улучшить реакцию организации на инцидент.
Важно не просто рассмотреть элементы реагирования, которые не привели к запланированным результатам, но и понять, что сработало хорошо, и могут ли уроки из тех элементов, которые сработали хорошо, быть применены в тех областях плана, которые не сработали.
Другим способом оптимизации плана реагирования на инциденты организации является понимание атак, совершенных против других организаций, и использование этой информации для точной настройки процедур обнаружения, локализации, смягчения последствий или восстановления организации.
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 5 п. 2
5.2. Оператор платежной системы в целях снижения риска информационной безопасности в платежной системе должен реализовывать механизмы совершенствования требований, указанных в пункте 5.4 настоящего Положения, предусматривающие в том числе накопление и учет опыта реагирования на инциденты защиты информации и восстановления функционирования платежной системы после их реализации.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.5
ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.6.
1.6. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать в отношении выявления, регистрации событий операционного риска, связанных с нарушением операционной надежности, и реагирования на них, а также восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации указанных событий выполнение следующих требований:
- выявление и регистрацию событий операционного риска, связанных с нарушением операционной надежности;
- реагирование на события операционного риска, связанные с нарушением операционной надежности, в отношении критичной архитектуры;
- восстановление выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности;
- проведение анализа причин и последствий реализации событий операционного риска, связанных с нарушением операционной надежности;
- организацию взаимодействия между подразделениями (работниками) некредитной финансовой организации, ответственными за разработку технологических процессов, указанных в приложении к настоящему Положению, поддержание их выполнения, их реализацию, между собой и Банком России, иными участниками технологического процесса в рамках реагирования на события операционного риска, связанные с нарушением операционной надежности, и восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, а также функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности.
NIST Cybersecurity Framework (EN):
RS.IM-2
RS.IM-2: Response strategies are updated
RC.IM-1
RC.IM-1: Recovery plans incorporate lessons learned
RS.AN-2
RS.AN-2: The impact of the incident is understood
RC.IM-2
RC.IM-2: Recovery strategies are updated
RS.IM-1
RS.IM-1: Response plans incorporate lessons learned
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 8 п. 5
8.5. Результаты анализа обнаружения инцидентов ИБ и реагирования на инциденты ИБ целесообразно использовать в качестве основы для инициирования и реализации процесса проведения тактических и стратегических улучшений СОИБ организации БС РФ, требования к выполнению которого установлены СТО БР ИИБС-1.0.
Р. 8 п. 6
8.6. Для определения направлений и способов улучшения процессов менеджмента инцидентов ИБ рекомендуется на основе анализа документов и отчетов по инцидентам ИБ провести анализ эффективности применяемых процедур обнаружения инцидентов ИБ и реагирования на инциденты ИБ, в частности:
- оценить адекватность применяемого состава регистрируемых событий ИБ и потребность в его корректировке;
- оценить адекватность используемого классификатора инцидентов ИБ и потребность в его корректировке;
- оценить эффективность используемых процедур мониторинга ИБ;
- оценить адекватность регламентов реагирования на инциденты ИБ.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИНЦ.5
ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.27
А.5.27 Learning from information security incidents
Knowledge gained from information security incidents shall be used to strengthen and improve the information security controls.
Knowledge gained from information security incidents shall be used to strengthen and improve the information security controls.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.