Куда я попал?
Методика экспресс-оценки уровня кибербезопасности организации РезБез
Framework
1.1.1.2.
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
Стратегия и ключевые документы по КБ утверждены топ-менеджментомОбязательно для уровня кибербезопасности Продвинутый
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 7 п.п. 2
8.7.2. Все планы внедрения СОИБ, в частности планы реализации требований разделов 7 и 8 настоящего стандарта, планы обработки рисков нарушения ИБ и внедрения защитных мер, должны быть утверждены руководством. Указанные планы должны определять:
- последовательность выполнения мероприятий в рамках указанных планов;
- сроки начала и окончания запланированных мероприятий;
- должностных лиц (подразделения), ответственных за выполнение каждого указанного мероприятия.
Р. 8 п. 6 п.п. 7
8.6.7. В случае наличия в структурных подразделениях организации БС РФ работников, ответственных за обеспечение ИБ, в организации БС РФ должен быть утвержден руководством порядок взаимодействия (координирования работы) службы ИБ с указанными работниками.
Р. 8 п. 5 п.п. 2
8.5.2. Планы обработки рисков нарушения ИБ должны быть согласованы с руководителем службы ИБ либо лицом, отвечающим в организации БС РФ за обеспечение ИБ, и утверждены руководством.
Р. 8 п. 2 п.п. 1
8.2.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ руководству следует сформировать службу ИБ в составе не менее двух человек (назначить уполномоченных лиц), а также утвердить цели и задачи ее деятельности.
Служба ИБ должна иметь утвержденные руководством полномочия и ресурсы, необходимые для выполнения установленных целей и задач, а также назначенного из числа руководства куратора. При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора.
Рекомендуется наделить службу ИБ собственным бюджетом.
Организациям БС РФ, имеющим сеть филиалов или региональных представительств, рекомендуется выделять соответствующие подразделения ИБ (уполномоченных лиц) на местах, обеспечив их необходимыми ресурсами и нормативной базой.
Служба ИБ должна иметь утвержденные руководством полномочия и ресурсы, необходимые для выполнения установленных целей и задач, а также назначенного из числа руководства куратора. При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора.
Рекомендуется наделить службу ИБ собственным бюджетом.
Организациям БС РФ, имеющим сеть филиалов или региональных представительств, рекомендуется выделять соответствующие подразделения ИБ (уполномоченных лиц) на местах, обеспечив их необходимыми ресурсами и нормативной базой.
Р. 8 п. 6 п.п. 2
8.6.2. В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:
- политика ИБ организации БС РФ;
- частные политики ИБ организации БС РФ;
- документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ организации БС РФ.
Кроме того, должен быть определен перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ в организации БС РФ.
Политика ИБ организации БС РФ должна быть утверждена руководством
Политика ИБ организации БС РФ должна быть утверждена руководством
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.5.1.1
A.5.1.1 Политики информационной безопасности
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
5.1.1
5.1.1 Политики информационной безопасности
Мера обеспечения ИБ
Мера обеспечения ИБ
Совокупность политик ИБ должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон.
Руководство по применению
Руководство по применению
На высоком уровне организация должна определить "политику ИБ", которую утверждает руководство и в которой изложен подход организации к достижению целей ИБ.
Политики ИБ должны учитывать требования, порождаемые:
- a) бизнес-стратегией;
- b) нормативными актами, требованиями регуляторов, договорами;
- c) текущей и прогнозируемой средой угроз ИБ.
Политика ИБ должна содержать положения, касающиеся:
- a) определения ИБ, целей и принципов, которыми необходимо руководствоваться в рамках деятельности, связанной с ИБ;
- b) определения ролей по менеджменту ИБ и распределения общих и конкретных обязанностей;
- c) процессов обработки отклонений и исключений;
- d) лиц, несущих ответственность за неисполнение политик ИБ.
На более низком уровне политику ИБ необходимо поддерживать политиками, относящимися к конкретным направлениям в обеспечении ИБ, которые далее предусматривают внедрение мер обеспечения ИБ и, как правило, структурируются для удовлетворения потребностей определенных групп в организации или для охвата определенных областей.
Примерами таких областей политик могут быть:
- a) управление доступом (раздел 9);
- b) категорирование и обработка информации (см. 8.2);
- c) физическая безопасность и защита от воздействия окружающей среды (раздел 11);
- d) области, ориентированные на конечного пользователя:
- допустимое использование активов (см. 8.1.3);
- "чистый стол" и "чистый экран" (см. 11.2.9);
- передача информации (см. 13.2.1);
- мобильные устройства и дистанционная работа (см. 6.2);
- ограничения на установку и использование программного обеспечения (см. 12.6.2);
- e) резервное копирование (см. 12.3);
- f) передача информации (см. 13.2);
- g) защита от вредоносных программ (см. 12.2);
- h) управление техническими уязвимостями (см. 12.6.1);
- i) криптография (раздел 10);
- j) безопасность коммуникаций (раздел 13);
- k) конфиденциальность и защита персональных данных (см. 18.1.4);
- l) взаимоотношения с поставщиками (раздел 15).
Эти политики должны быть доведены до сведения всех работников и причастных внешних сторон в актуальной, доступной и понятной для предполагаемого читателя форме, например в контексте "программы информирования, обучения и практической подготовки (тренинги) в области информационной безопасности" (см. 7.2.2).
Дополнительная информация
Дополнительная информация
Потребность во внутренних политиках ИБ варьируется в зависимости от организации. Внутренние политики особенно полезны в крупных организациях, где лица, определяющие и утверждающие необходимый уровень мер обеспечения ИБ, отделены от лиц, реализующих эти меры; или в ситуациях, когда политика распространяется на многих людей или на многие функции в организации. Политики ИБ могут быть оформлены в виде единого документа, например "Политика информационной безопасности", или в виде набора отдельных, но связанных документов.
Если какие-либо политики ИБ распространяются за пределы организации, то следует следить за тем, чтобы никакая конфиденциальная информация не была разглашена.
Некоторые организации используют другие термины для документов-политик, например "Стандарты", "Инструкции", "Правила".
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.