Соответствие требованиям

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022

А.5.29

Для проведения оценки соответствия по документу войдите в систему.

А.5.29 ИБ в периоды сбоев
Организация должна планировать, как поддерживать соответствующий уровень ИБ в период сбоя.

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 8 п. 11 п.п. 2

8.11.2. В организации БС РФ должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи.

Р. 7 п. 7 п.п. 10

7.7.10. Порядок применения СКЗИ определяется руководством организации БС РФ на основании указанных выше в данном разделе документов и должен включать:

порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС;
порядок эксплуатации;
порядок восстановления работоспособности в аварийных случаях;
порядок внесения изменений;
порядок снятия с эксплуатации;
порядок управления ключевой системой;
порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей.

Р. 8 п. 11 п.п. 4

8.11.4. Разработка планов обеспечения непрерывности бизнеса и его восстановления после прерывания должна основываться на результатах оценки рисков нарушения ИБ организации БС РФ применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания.

Р. 8 п. 11 п.п. 9

8.11.9. В организации БС РФ должны быть определены роли по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания и назначены ответственные за выполнение указанных ролей.

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":

п. 6

6. Кредитные организации должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:

требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с учетом установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий), с учетом установленных главами 7 и 8 Положения Банка России N 716-П требований к управлению риском информационной безопасности и риском информационных систем при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем, а также требований к аутсорсингу обслуживания и функционирования информационных систем;
требования к тестированию операционной надежности технологических процессов;
требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;
требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.

NIST Cybersecurity Framework (RU):

ID.BE-5

ID.BE-5: Установлены требования к устойчивости для поддержки предоставления критически важных услуг для всех состояний функционирования (например, при атаке, во время восстановления, во время нормального функционирования)

PR.IP-9

PR.IP-9: Созданы и управляются планы реагирования (реагирование на инциденты и непрерывность бизнеса) и планы восстановления (восстановление после инцидентов и аварийное восстановление)

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.17.1.1

A.17.1.1 Планирование непрерывности информационной безопасности
Мера обеспечения информационной безопасности: Организация должна определить свои требования к информационной безопасности и менеджменту непрерывности информационной безопасности при неблагоприятных ситуациях, например во время кризиса или бедствия

Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":

Р. 6 п. 3

6.3. Основное требование 2. Организация БС РФ должна разработать, применять и обеспечить контроль программы аутсорсинга, предусматривающей вопросы управления риском нарушения ИБ (далее - программа аутсорсинга).

Программа аутсорсинга должна определять:

состав и содержание мероприятий по управлению риском нарушения ИБ при аутсорсинге существенных функций;
состав и содержание мероприятий по мониторингу и контролю деятельности поставщика услуг по обеспечению ИБ при аутсорсинге существенных функций;
возможность привлечения поставщиком услуг субподрядчиков при оказании услуг аутсорсинга, а также требования к таким субподрядчикам.

В части мероприятий по управлению риском нарушения ИБ и контролю над ним программа аутсорсинга должна определять:

задачи и зоны ответственности исполнительного органа организации БС РФ для цели реализации управления риском нарушения ИБ и контроля над ним при аутсорсинге;
требования к составу и содержанию мероприятий по оценке организацией БС РФ риска нарушения ИБ при принятии решения о передаче бизнес-функций на аутсорсинг;
требования к составу и содержанию мероприятий по оценке организацией БС РФ возможности поставщика услуг обеспечить должный уровень ИБ при аутсорсинге существенных функций и по обеспечению наличия внутренней компетенции организации БС РФ для проведения такого рода оценки;
требования к содержанию соглашений, связанных с передачей выполнения бизнес-функций на аутсорсинг.

В части состава и содержания мероприятий по мониторингу и контролю деятельности поставщика услуг программа аутсорсинга должна определять:

требования к составу и содержанию мероприятий по контролю обеспечения непрерывности деятельности поставщиков услуг при реализации бизнес-функций организации БС РФ в части обеспечения ИБ;
требования к составу и содержанию мероприятий по постоянному мониторингу и контролю риска нарушения ИБ при аутсорсинге.

Организация БС РФ должна реализовать контроль выполнения программы аутсорсинга, в том числе со стороны службы ИБ и службы внутреннего контроля, а также контроль со стороны исполнительного органа организации БС РФ.

Р. 11 п. 5

11.5. Важной частью мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является прохождение поставщиком услуг регулярного аудита.
Организация БС РФ должна обеспечить анализ результатов проведения периодического аудита с целью:

обновления (уточнения) перечня существенных функций, связанных с обработкой защищаемой инфор‑ мации или обеспечением ИБ, передаваемых на аутсорсинг поставщику услуг;
контроля надлежащего и своевременного предоставления поставщиком услуг отчетности в части аутсорсинга существенных функций;
оценки показателей качества деятельности поставщика услуг, определенных на основе показателей (метрик) управления риском нарушения ИБ;
соблюдения поставщиком услуг установленных соглашением параметров уровня и качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требований к SLA).

Поставщик услуг должен проходить периодический аудит с целью подтверждения качества предостав‑ ления услуг в части:

защиты информации в соответствии с требованием законодательства РФ;
создания условий непрерывности предоставления финансовых услуг организации БС РФ.

NIST Cybersecurity Framework (EN):

ID.BE-5 ID.BE-5: Resilience requirements to support delivery of critical services are established for all operating states (e.g. under duress/attack, during recovery, normal operations)

PR.IP-9 PR.IP-9: Response plans (Incident Response and Business Continuity) and recovery plans (Incident Recovery and Disaster Recovery) are in place and managed

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.5.29

А.5.29 Information security during disruption
The organization shall plan how to maintain information security at an appropriate level during disruption.

Связанные защитные меры

Ничего не найдено