Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.18.2.1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
СЗИ.2
СЗИ.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении: 
  • области применения процесса системы защиты информации; 
  • основных принципов и приоритетов в реализации процесса системы защиты информации; 
  • целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации
3-О 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 7 п.п. 3
8.7.3. Должен быть определен порядок разработки, пересмотра и контроля исполнения планов по обеспечению ИБ организации БС РФ. 
Р. 8 п. 6 п.п. 10
8.6.10. Должен быть определен порядок разработки, поддержки, пересмотра и контроля исполнения внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации БС РФ. 
Р. 8 п. 12 п.п. 4
8.12.4. Процедуры мониторинга ИБ и контроля защитных мер должны подвергаться регулярным, регистрируемым пересмотрам в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также на основе данных об инцидентах ИБ. 
Р. 6 п. 6.12
6.12. В организации БС РФ рекомендуется устанавливать процедуры регулярного анализа необходимости пересмотра модели угроз и нарушителей ИБ.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.19.4
ОПР.19.4 Обеспечение как минимум ежегодного контроля за реализацией политики управления риском реализации информационных угроз и соблюдения установленных значений КПУР;
NIST Cybersecurity Framework (RU):
RS.IM-2
RS.IM-2: Обновляются стратегии реагирования 
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются 
DE.DP-3
DE.DP-3: Тестируются процессы обнаружения 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.35
А.5.35 Независимые проверки ИБ
Принятый в организации подход к управлению ИБ и его реализация, включая людей, процессы и технологии, должны подвергаться независимой проверке через запланированные интервалы времени или в случае существенных изменений.
NIST Cybersecurity Framework (EN):
DE.DP-3 DE.DP-3: Detection processes are tested
PR.IP-7 PR.IP-7: Protection processes are improved
RS.IM-2 RS.IM-2: Response strategies are updated
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 6 п. 1 п.п. 2 п.п.п. 1
1. Цель и задачи менеджмента инцидентов ИБ. Основные цели менеджмента инцидентов ИБ, устанавливаемые политикой менеджмента инцидентов ИБ организации БС РФ, должны определять:
  • создание условий для осуществления своевременного обнаружения и оперативного реагирования на инциденты ИБ, в том числе их закрытия;
  • предотвращение и (или) снижение негативного влияния инцидентов ИБ на выполнение банковских технологических процессов организации БС РФ и (или) ее клиентов;
  • оперативное совершенствование СОИБ организации БС РФ. 
Основные задачи, устанавливаемые политикой менеджмента инцидентов ИБ организации БС РФ и решаемые в рамках менеджмента инцидентов ИБ, должны обеспечивать достижение установленных целей менеджмента инцидентов ИБ путем:
  • своевременного обнаружения инцидентов ИБ;
  • оперативного реагирования на инциденты ИБ в соответствии с требованиями законодательства РФ, нормативных актов Банка России и регламентами, установленными внутренними документами организации БС РФ;
  • координации деятельности работников структурных подразделений организации БС РФ в рамках процессов реагирования на инциденты ИБ, в том числе их закрытия; 
  • ведения базы данных зарегистрированных событий ИБ и обнаруженных инцидентов ИБ;
  • накопления и повторного использования знаний по обнаружению инцидентов ИБ и реагированию на них; 
  • анализа, оценки эффективности и совершенствования процессов менеджмента инцидентов ИБ организации БС РФ; 
  • предоставления руководству организации БС РФ информации и отчетов по результатам выполнения процессов менеджмента инцидентов ИБ, в том числе информации о фактах обнаружения инцидентов ИБ и результатах реагирования на них. 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.35
А.5.35 Independent review of information security
The organization’s approach to managing information security and its implementation including people, processes and technologies shall be reviewed independently at planned intervals, or when significant changes occur.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 7.8
8.7.8. Подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем, не реже одного раза в год проводит (проводят) анализ необходимости пересмотра требований к информационным системам с учетом текущих и стратегических планов развития, их влияния на процессы, оценки уровня операционного риска, отраженной в отчетах по операционному риску, и мероприятий, направленных на повышение качества системы операционным риском и уменьшение негативного влияния операционного риска, а также с учетом отчетов службы информационной безопасности и подразделения, ответственного за обеспечение информационной безопасности, и направляет результаты анализа коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о пересмотре требований к информационным системам.
Глава 8. Пункт 4.
8.4. Должностное лицо, ответственное за информационные системы, проводит не реже одного раза в год анализ необходимости пересмотра требований политики информационных систем в зависимости от осуществляемых операций и (или) действующих процессов, изменяющихся внешних факторов и стратегических планов развития кредитной организации (головной кредитной организации банковской группы), результатов процедур управления операционным риском, результатов оценки эффективности функционирования системы управления операционным риском, проведенной уполномоченным подразделением, и направляет результаты анализа на рассмотрение коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о необходимости внесения изменений в политику информационных систем и внутренние документы.

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок и правила проведения анализа и пересмотра политики информационных систем.

Связанные защитные меры

Ничего не найдено