Куда я попал?
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022
Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта
5.3 Организационные роли, обязанности и управленческие полномочия
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
ПОН.7
ПОН.7 Определение состава, подходов и требований к организации ресурсного обеспечения процесса обеспечения операционной надежности, в том числе технологического, технического и кадрового обеспечения*.
ПОН.5
ПОН.5 Определение ролей, полномочий и ответственности должностных лиц, задействованных при реализации процесса операционной надежности.
РОН.3
РОН.3 Назначение ответственных лиц за выполнение ролей по обеспечению операционной надежности с учетом необходимости обеспечения снижения риска возникновения конфликта интересов*.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.17
ЖЦ.17 Назначение и реализация контроля деятельности лиц, ответственных за эксплуатацию (сопровождение) системы защиты информации АС
3-О 2-О 1-О
3-О 2-О 1-О
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.4
РЗИ.4 Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение
3-О 2-О 1-О
3-О 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 2 п.п. 1
7.2.1. В организации БС РФ должны быть выделены роли ее работников.
Формирование ролей, связанных с выполнением деятельности по обеспечению ИБ, среди прочего, следует осуществлять на основании требований 7 и 8 разделов настоящего стандарта.
Формирование и назначение ролей работников организации БС РФ следует осуществлять с учетом соблюдения принципа предоставления минимальных прав и полномочий, необходимых для выполнения служебных обязанностей.
Р. 7 п. 10 п.п. 13
7.10.13. В организации БС РФ должно быть назначено лицо, ответственное за организацию обработки ПДн. Полномочия лица, ответственного за организацию обработки ПДн, а также его права и обязанности должны быть установлены руководством организации БС РФ.
Р. 8 п. 4 п.п. 7
8.4.7. В организации БС РФ должны быть определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
Р. 7 п. 3 п.п. 12
7.3.12. В организации БС РФ должны быть выделены и назначены роли, связанные с эксплуатацией и контролем эксплуатации АБС и применяемых технических защитных мер, в том числе с внесением изменений в параметры их настройки.
Для всех АБС должны быть определены и выполняться процедуры контроля ее эксплуатации со стороны службы ИБ. Проведение мероприятий по контролю эксплуатации АБС и их результаты должны регистрироваться.
Для всех АБС должны быть определены и выполняться процедуры контроля ее эксплуатации со стороны службы ИБ. Проведение мероприятий по контролю эксплуатации АБС и их результаты должны регистрироваться.
Р. 8 п. 11 п.п. 9
8.11.9. В организации БС РФ должны быть определены роли по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания и назначены ответственные за выполнение указанных ролей.
Р. 8 п. 5 п.п. 4
8.5.4. В организации БС РФ должны быть определены роли по разработке планов обработки рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
Р. 8 п. 4 п.п. 6
8.4.6. В организации БС РФ должны быть определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ/подхода к оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.19.8
ОПР.19.8 Рассмотрение вопросов планирования и достаточности ресурсного (кадрового и финансового) обеспечения для реализации политики управления риском реализации информационных угроз, а также поддержания функционирования структуры и организации систем управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;
ОПР.1.4
ОПР.1.4 Выделение ресурсного (кадрового и финансового) обеспечения для выполнения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;
ОПР.20.1
ОПР.20.1 Признание и закрепление важной роли и высокой ответственности каждого работника финансовой организации в части управления риском реализации информационных угроз, включая принятие мер, на реализации информационных угроз;
ОПР.4
ОПР.4 Установление функций и полномочий подразделений, формирующих «первую линию защиты», включающих:
- идентификацию риска реализации информационных угроз (в пределах своей компетенции) в рамках реализуемых ими бизнеси технологических процессов;
- сбор информации и информирование о внутренних событиях риска реализации информационных угроз и потерях подразделения, ответственного за регистрацию такой информации в базе событий риска реализации информационных угроз (службы ИБ);
- оценку риска реализации информационных угроз (в пределах компетенции) в рамках реализуемых ими бизнес- и технологических процессов;
- обеспечение соблюдения требований к планированию, реализации, контролю (в пределах компетенции) и совершенствованию мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз;
- мониторинг риска реализации информационных угроз (в пределах компетенции) и формирование соответствующей отчетности в рамках выполняемых ими бизнес- и технологических процессов;
- информирование службы ИБ об остаточном риске реализации информационных угроз, не уменьшенном выполняемыми мероприятиями, направленными на уменьшение негативного влияния риска реализации информационных угроз;
- информирование о необходимости пересмотра ресурсного (кадрового и финансового) обеспечения для управления риском реализации информационных угроз
ОПР.7
ОПР.7 Установление функций и полномочий подразделений, формирующих «третью линию защиты», в части управления риском реализации информационных угроз, включающих:
- проведение ежегодной оценки эффективности функционирования системы управления риском реализации информационных угроз*****;
- оценку независимости деятельности подразделений, формирующих «вторую линию защиты», в части валидации данных и применения методологии в рамках управления риском реализации информационных угроз;
- верификацию методологии и данных (последующая оценка адекватности методологии на предмет ее согласованности с внутренними политиками и требованиями финансовой организации, проверка полноты и корректности данных о риске реализации информационных угроз и событиях такого риска);
- верификацию внутренней отчетности в рамках управления риском реализации информационных угроз, представляемой на рассмотрение совету директоров (наблюдательному совету);
- содействие своевременному и адекватному реагированию подразделениями, формирующими «первую» и «вторую линии защиты», на недостатки функционирования системы управления риском реализации информационных угроз (в части их устранения)
ОПР.3
ОПР.3 Определение должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз** финансовой организации:
- имеющего прямое подчинение лицу, осуществляющему функции единоличного исполнительного органа финансовой организации;
- не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования объектов информатизации;
- обладающего достаточными знаниями, компетенцией, полномочиями и ресурсами (кадровыми и финансовыми) для принятия руководящих решений по вопросам управления риском реализации информационных угроз;
- имеющего возможность прямого информирования единоличного исполнительного органа финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз.
ОПР.19.13
ОПР.19.13 Организация и контроль за деятельностью по представлению на рассмотрение необходимой отчетности для контроля за реализацией политики управления риском реализации информационных угроз и соблюдения установленных значений КПУР;
ОПР.6
ОПР.6 Установление функций и полномочий подразделений, формирующих «вторую линию защиты» в части управления риском реализации информационных угроз, включающих:
- интеграцию системы управления риском реализации информационных угроз в систему управления операционным риском;
- координацию деятельности по управлению риском реализации информационных угроз как одним из видов операционного риска;
- валидацию данных (анализ данных о риске реализации информационных угроз или событиях такого риска на предмет их полноты и адекватности);
- валидацию применения методологии в рамках управления риском реализации информационных угроз как одним из видов операционного риска (оценка корректности и адекватности в части согласованности методологии в рамках управления риском реализации информационных угроз с методологией управления операционным риском);
- валидацию КИР;
- расчет и обоснование сигнальных и контрольных значений КПУР (за исключением сигнальных и контрольных значений КПУР, расчет и обоснование которых осуществляется службой ИБ согласно ОПР.5.2 настоящей таблицы);
- расчет фактических значений КПУР (за исключением фактических значений КПУР, расчет которых осуществляется службой ИБ согласно ОПР.5.2);
- координацию деятельности по отражению информации о событиях риска реализации информационных угроз в базе событий операционного риска;
- включение отчетности, формируемой в рамках управления риском реализации информационных угроз, в отчетность об управлении операционным риском;
- определение (во взаимодействии со службой ИБ) согласованной или единой методологии управления риском реализации информационных угроз, обеспечивающей интеграцию процессов управления риском реализации информационных угроз в рамках процессов управления операционным риском
ОПР.1.3
ОПР.1.3 Определение организационной структуры финансовой организации, задействованной в выполнении процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в том числе установление функций подразделений финансовой организации (включая принятие решений с учетом исключения конфликта интересов) и контроль за выполнением процессов в рамках порядка организации и осуществления финансовой организацией внутреннего контроля;
ОРО.15
ОРО.15 Определение в качестве куратора службы ИБ должностного лица, ответственного за функционирование системы управление риском реализации информационных угроз.
ОПР.19.16
ОПР.19.16 Управление ресурсным (кадровым и финансовым) обеспечением для целей в рамках выполнения процессов системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 5 п. 3
5.3 Функции, обязанности и полномочия
Высшее руководство должно обеспечивать распределение функций, ответственности и полномочий в СМНД. и обмен данной информацией внутри организации.
Высшее руководство должно возложить ответственность и полномочия:
Высшее руководство должно обеспечивать распределение функций, ответственности и полномочий в СМНД. и обмен данной информацией внутри организации.
Высшее руководство должно возложить ответственность и полномочия:
- а) за обеспечение соответствия СМНД требованиям настоящего стандарта;
- b) отчетность о работе СМНД перед высшим руководством.
NIST Cybersecurity Framework (RU):
ID.GV-2
ID.GV-2: Роли и обязанности в области информационной безопасности скоординорованы и согласованы с внутренними ролями и внешними партнерами
DE.DP-1
DE.DP-1: Для обеспечения подотчетности четко определены роли и обязанности по выявлению
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
УИ.5
УИ.5 Реализация механизма согласования (в том числе со стороны службы ИБ, а также подразделения, ответственного за организацию управления операционным риском*) и утверждения внесения изменений в критичную архитектуру, в том числе назначение должностных лиц, ответственных за рассмотрение и утверждение предлагаемых изменений.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
5.3
5.3 Роли, обязанности и полномочия в организации
Высшее руководство организации должно обеспечить назначение обязанностей и полномочий для ролей, имеющих отношение к обеспечению информационной безопасности, и доведение этих обязанностей и полномочий до всех заинтересованных сторон.
Высшее руководство должно назначать обязанности и полномочия:
а) для обеспечения уверенности в соответствии системы менеджмента информационной безопасности организации требованиям настоящего стандарта;
b) представления отчетности о функционировании системы менеджмента информационной безопасности высшему руководству.
Примечание — Высшее руководство также может устанавливать обязанности и полномочия для представления отчетности о функционировании системы менеджмента информационной безопасности в рамках организации.
Высшее руководство организации должно обеспечить назначение обязанностей и полномочий для ролей, имеющих отношение к обеспечению информационной безопасности, и доведение этих обязанностей и полномочий до всех заинтересованных сторон.
Высшее руководство должно назначать обязанности и полномочия:
а) для обеспечения уверенности в соответствии системы менеджмента информационной безопасности организации требованиям настоящего стандарта;
b) представления отчетности о функционировании системы менеджмента информационной безопасности высшему руководству.
Примечание — Высшее руководство также может устанавливать обязанности и полномочия для представления отчетности о функционировании системы менеджмента информационной безопасности в рамках организации.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.1.3
12.1.3
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.
Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.
Defined Approach Testing Procedures:
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.
Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.
Defined Approach Testing Procedures:
- 12.1.3.a Examine the information security policy to verify that they clearly define information security roles and responsibilities for all personnel.
- 12.1.3.b Interview personnel in various roles to verify they understand their information security responsibilities.
- 12.1.3.c Examine documented evidence to verify personnel acknowledge their information security responsibilities.
Purpose:
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
5.3 Organizational roles, responsibilities and authorities
5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
- a) ensuring that the information security management system conforms to the requirements of this document;
- b) reporting on the performance of the information security management system to top management.
NOTE Top management can also assign responsibilities and authorities for reporting performance of the information security management system within the organization.
Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":
П. 19.3
19.3. В целях направления обращений участник ССНП должен обеспечить назначение должностных лиц, уполномоченных на направление и (или) подписание обращений (далее - уполномоченное лицо), и направление в Банк России информации об уполномоченных лицах, с указанием в том числе фамилий, имен, отчеств (последних - при наличии), наименований должностей, номеров телефонов, при наличии - номеров факсимильного аппарата, адресов электронной почты.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.1.3
12.1.3
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.
Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.
Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
- 12.1.3.a Изучите политику информационной безопасности, чтобы убедиться, что в ней четко определены роли и обязанности в области информационной безопасности для всего персонала.
- 12.1.3.b Провести собеседование с персоналом, выполняющим различные функции, чтобы убедиться, что они понимают свои обязанности в области информационной безопасности.
- 12.1.3.c Изучите документально подтвержденные доказательства, чтобы убедиться, что персонал признает свои обязанности в области информационной безопасности.
Цель:
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.