Куда я попал?
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А
A.7.2.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
PR.AT-3
PR.AT-3: Внешние заинтересованные стороны (например, поставщики, клиенты, партнеры) понимают роли и ответственность
PR.IP-11
PR.IP-11: Кибербезопасность включена в практику работы с персоналом (например, ограничение доступа, проверка персонала)
ID.GV-2
ID.GV-2: Роли и обязанности в области информационной безопасности скоординорованы и согласованы с внутренними ролями и внешними партнерами
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.6.3.2
12.6.3.2
Defined Approach Requirements:
Security awareness training includes awareness about the acceptable use of end-user technologies in accordance with Requirement 12.2.1.
Customized Approach Objective:
Personnel are knowledgeable about their responsibility for the security and operation of enduser technologies and are able to access assistance and guidance when required.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Security awareness training includes awareness about the acceptable use of end-user technologies in accordance with Requirement 12.2.1.
Customized Approach Objective:
Personnel are knowledgeable about their responsibility for the security and operation of enduser technologies and are able to access assistance and guidance when required.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 12.6.3.2 Examine security awareness training content to verify it includes awareness about acceptable use of end-user technologies in accordance with Requirement 12.2.1.
Purpose:
By including the key points of the acceptable use policy in regular training and the related context, personnel will understand their responsibilities and how these impact the security of an organization’s systems.
By including the key points of the acceptable use policy in regular training and the related context, personnel will understand their responsibilities and how these impact the security of an organization’s systems.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.6.3.2
12.6.3.2
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.
Цель Индивидуального подхода:
Персонал осведомлен о своей ответственности за безопасность и эксплуатацию технологий конечного пользователя и может получить доступ к помощи и руководству, когда это необходимо.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.
Цель Индивидуального подхода:
Персонал осведомлен о своей ответственности за безопасность и эксплуатацию технологий конечного пользователя и может получить доступ к помощи и руководству, когда это необходимо.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.6.3.2 Изучите содержание тренинга по повышению осведомленности о безопасности, чтобы убедиться, что оно включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.
Цель:
Включив ключевые пункты политики приемлемого использования в регулярное обучение и соответствующий контекст, персонал поймет свои обязанности и то, как они влияют на безопасность систем организации.
Включив ключевые пункты политики приемлемого использования в регулярное обучение и соответствующий контекст, персонал поймет свои обязанности и то, как они влияют на безопасность систем организации.
NIST Cybersecurity Framework (EN):
PR.AT-3
PR.AT-3: Third-party stakeholders (e.g., suppliers, customers, partners) understand their roles and responsibilities
ID.GV-2
ID.GV-2: Cybersecurity roles and responsibilities are coordinated and aligned with internal roles and external partners
PR.IP-11
PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 6 п. 3 п.п. 3 п.п.п.п. 2
2. Роль руководителя ГРИИБ, который обеспечивает оперативное руководство реагированием на инциденты ИБ.
Руководителя ГРИИБ рекомендуется наделять административными полномочиями, позволяющими обеспечивать управление и координацию участников процесса реагирования на инциденты ИБ в соответствии с установленными регламентами.
В обязанности руководителя ГРИИБ входят:
Руководителя ГРИИБ рекомендуется наделять административными полномочиями, позволяющими обеспечивать управление и координацию участников процесса реагирования на инциденты ИБ в соответствии с установленными регламентами.
В обязанности руководителя ГРИИБ входят:
- инициализация реагирования на инцидент ИБ в ГРИИБ;
- назначение ответственного исполнителя ГРИИБ для реагирования на обнаруженный и зарегистрированный инцидент ИБ;
- координирование деятельности членов ГРИИБ при реагировании на инцидент ИБ;
- привлечение необходимой компетенции в рамках ГРИИБ для реагирования на инцидент ИБ;
- контроль соблюдения требований регламентирующих документов в ходе реагирования на инцидент ИБ;
- принятие решения о возможности закрытия инцидента ИБ;
- предоставление консультаций и рекомендаций участникам процесса реагирования на инциденты ИБ.
Кроме того, к обязанностям руководителя ГРИИБ рекомендуется относить формирование предложений по совершенствованию процессов реагирования на инциденты ИБ и пересмотру соответствующих регламентов.
Руководитель ГРИИБ является основным ответственным за исполнение процесса реагирования на инцидент ИБ, а также за результат исполнения данного процесса.
Рекомендуется назначать руководителя ГРИИБ из числа руководства службы ИБ организации БС РФ
Руководитель ГРИИБ является основным ответственным за исполнение процесса реагирования на инцидент ИБ, а также за результат исполнения данного процесса.
Рекомендуется назначать руководителя ГРИИБ из числа руководства службы ИБ организации БС РФ
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
7.2.1
7.2.1 Обязанности руководства организации
Мера обеспечения ИБ
Руководство организации должно требовать от всех работников и подрядчиков соблюдения ИБ в соответствии с установленными в организации политиками и процедурами.
Руководство по применению
В обязанности руководства входит обеспечение того, чтобы работники и подрядчики:
- a) были надлежащим образом проинформированы об их ролях и обязанностях в области ИБ до предоставления доступа к конфиденциальной информации или информационным системам;
- b) были обеспечены рекомендациями, которые устанавливают ожидания по ИБ для их роли в организации;
- c) были мотивированы выполнять политики ИБ организации;
- d) были осведомлены об ИБ настолько, насколько это предполагают их роли и обязанности в организации (см. 7.2.2);
- e) соблюдали правила и условия работы, в том числе политику ИБ организации и соответствующие методы работы;
- f) поддерживали соответствующий уровень навыков и квалификацию, а также регулярно проходили обучение;
- g) имели канал для анонимного сообщения о нарушениях политик или процедур ИБ ("информирование о нарушениях").
Руководство должно демонстрировать поддержку политик, процедур и мер обеспечения ИБ и выступать в качестве образца для подражания.
Дополнительная информация
Если работники и подрядчики не осведомлены о своих обязанностях в области ИБ, то они могут нанести значительный ущерб организации. Гораздо надежнее иметь мотивированный персонал, который, вероятно, будет вызывать меньше инцидентов ИБ.
Недостаточное управление может привести к тому, что персонал будет чувствовать себя недооцененным, что может привести к негативному влиянию на ИБ в организации. Например, плохое управление может привести к игнорированию требований ИБ или возможному неприемлемому использованию активов организации.
Приказ ФСТЭК России № 235 от 21.12.2017 "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования":
II п.10
10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности).
Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:
Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:
- разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу);
- проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;
- обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - требования по безопасности);
- обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
- осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
- организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;
- готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов критической информационной инфраструктуры.
Структурное подразделение по безопасности, специалисты по безопасности реализуют указанные функции во взаимодействии с подразделениями (работниками), эксплуатирующими значимые объекты критической информационной инфраструктуры, и подразделениями (работниками), обеспечивающими функционирование значимых объектов критической информационной инфраструктуры.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.