Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.17.1.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 8 п. 11 п.п. 2

8.11.2. В организации БС РФ должны быть установлены требования по обеспечению ИБ, регламентирующие вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания, в том числе требования к мероприятиям по восстановлению необходимой информации, программного обеспечения, технических средств, а также каналов связи.

Р. 7 п. 7 п.п. 10

7.7.10. Порядок применения СКЗИ определяется руководством организации БС РФ на основании указанных выше в данном разделе документов и должен включать:

порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС;
порядок эксплуатации;
порядок восстановления работоспособности в аварийных случаях;
порядок внесения изменений;
порядок снятия с эксплуатации;
порядок управления ключевой системой;
порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей.

Р. 8 п. 11 п.п. 4

8.11.4. Разработка планов обеспечения непрерывности бизнеса и его восстановления после прерывания должна основываться на результатах оценки рисков нарушения ИБ организации БС РФ применительно к информационным активам, существенным для обеспечения непрерывности бизнеса и его восстановления после прерывания.

Р. 8 п. 11 п.п. 9

8.11.9. В организации БС РФ должны быть определены роли по разработке плана обеспечения непрерывности бизнеса и его восстановления после прерывания и назначены ответственные за выполнение указанных ролей.

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":

ОПР.8.1

ОПР.8.1 Направленность на обеспечение операционной надежности финансовой организации;

ОПР.5.1

ОПР.5.1 В целях обеспечения ИБ:

разработка и (или) пересмотр внутренних документов в области обеспечения операционной надежности и защиты информации;
планирование, реализация (в том числе установление требований) и контроль процессов обеспечения операционной надежности и защиты информации;
разработка предложений по совершенствованию процессов обеспечения операционной надежности и защиты информации (по результатам анализа необходимости совершенствования систем управления, определяемых в рамках семейств стандартов ОН и ЗИ);
выявление и фиксация инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации;
формирование отчетности по вопросам обеспечения операционной надежности и защиты информации, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России;
осуществление других функций, связанных с реализаций процессов обеспечения операционной надежности и защиты информации, предусмотренных внутренними документами финансовой организации

ОПР.9.2

ОПР.9.2 Обеспечение возможности поддержания непрерывного предоставления финансовых и (или) информационных услуг в условиях возможной реализации информационных угроз;

ОПР.1.5

ОПР.1.5 Порядок утверждения и условия пересмотра структуры и организации систем управления риском реализации информационных угроз, операционной надежности и защиты информации.

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":

п. 6

6. Кредитные организации должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:

требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с учетом установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий), с учетом установленных главами 7 и 8 Положения Банка России N 716-П требований к управлению риском информационной безопасности и риском информационных систем при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем, а также требований к аутсорсингу обслуживания и функционирования информационных систем;
требования к тестированию операционной надежности технологических процессов;
требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;
требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.

NIST Cybersecurity Framework (RU):

ID.BE-5

ID.BE-5: Установлены требования к устойчивости для поддержки предоставления критически важных услуг для всех состояний функционирования (например, при атаке, во время восстановления, во время нормального функционирования)

PR.IP-9

PR.IP-9: Созданы и управляются планы реагирования (реагирование на инциденты и непрерывность бизнеса) и планы восстановления (восстановление после инцидентов и аварийное восстановление)

Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":

Р. 6 п. 3

6.3. Основное требование 2. Организация БС РФ должна разработать, применять и обеспечить контроль программы аутсорсинга, предусматривающей вопросы управления риском нарушения ИБ (далее - программа аутсорсинга).

Программа аутсорсинга должна определять:

состав и содержание мероприятий по управлению риском нарушения ИБ при аутсорсинге существенных функций;
состав и содержание мероприятий по мониторингу и контролю деятельности поставщика услуг по обеспечению ИБ при аутсорсинге существенных функций;
возможность привлечения поставщиком услуг субподрядчиков при оказании услуг аутсорсинга, а также требования к таким субподрядчикам.

В части мероприятий по управлению риском нарушения ИБ и контролю над ним программа аутсорсинга должна определять:

задачи и зоны ответственности исполнительного органа организации БС РФ для цели реализации управления риском нарушения ИБ и контроля над ним при аутсорсинге;
требования к составу и содержанию мероприятий по оценке организацией БС РФ риска нарушения ИБ при принятии решения о передаче бизнес-функций на аутсорсинг;
требования к составу и содержанию мероприятий по оценке организацией БС РФ возможности поставщика услуг обеспечить должный уровень ИБ при аутсорсинге существенных функций и по обеспечению наличия внутренней компетенции организации БС РФ для проведения такого рода оценки;
требования к содержанию соглашений, связанных с передачей выполнения бизнес-функций на аутсорсинг.

В части состава и содержания мероприятий по мониторингу и контролю деятельности поставщика услуг программа аутсорсинга должна определять:

требования к составу и содержанию мероприятий по контролю обеспечения непрерывности деятельности поставщиков услуг при реализации бизнес-функций организации БС РФ в части обеспечения ИБ;
требования к составу и содержанию мероприятий по постоянному мониторингу и контролю риска нарушения ИБ при аутсорсинге.

Организация БС РФ должна реализовать контроль выполнения программы аутсорсинга, в том числе со стороны службы ИБ и службы внутреннего контроля, а также контроль со стороны исполнительного органа организации БС РФ.

Р. 11 п. 5

11.5. Важной частью мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является прохождение поставщиком услуг регулярного аудита.
Организация БС РФ должна обеспечить анализ результатов проведения периодического аудита с целью:

обновления (уточнения) перечня существенных функций, связанных с обработкой защищаемой инфор‑ мации или обеспечением ИБ, передаваемых на аутсорсинг поставщику услуг;
контроля надлежащего и своевременного предоставления поставщиком услуг отчетности в части аутсорсинга существенных функций;
оценки показателей качества деятельности поставщика услуг, определенных на основе показателей (метрик) управления риском нарушения ИБ;
соблюдения поставщиком услуг установленных соглашением параметров уровня и качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требований к SLA).

Поставщик услуг должен проходить периодический аудит с целью подтверждения качества предостав‑ ления услуг в части:

защиты информации в соответствии с требованием законодательства РФ;
создания условий непрерывности предоставления финансовых услуг организации БС РФ.

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":

А.5.29

А.5.29 ИБ в периоды сбоев
Организация должна планировать, как поддерживать соответствующий уровень ИБ в период сбоя.

NIST Cybersecurity Framework (EN):

ID.BE-5 ID.BE-5: Resilience requirements to support delivery of critical services are established for all operating states (e.g. under duress/attack, during recovery, normal operations)

PR.IP-9 PR.IP-9: Response plans (Incident Response and Business Continuity) and recovery plans (Incident Recovery and Disaster Recovery) are in place and managed

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.5.29

А.5.29 Information security during disruption
The organization shall plan how to maintain information security at an appropriate level during disruption.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.