Куда я попал?
Методика экспресс-оценки уровня кибербезопасности организации РезБез
Framework
1.2.3.1.
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
Осуществляется периодический пересмотр рисков КБОбязательно для уровня кибербезопасности Высокий
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
КЗИ.4
КЗИ.4 Периодический контроль (тестирование) полноты реализации технических мер защиты информации
3-О 2-Т 1-Т
3-О 2-Т 1-Т
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ВИО.2
ВИО.2 Организация и выполнение деятельности по проведению периодической (как минимум ежегодной) самооценки риска реализации информационных угроз.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.10.2
12.10.2
Определенные Требования к Подходу:
Не реже одного раза в 12 месяцев план реагирования на инциденты безопасности:
Определенные Требования к Подходу:
Не реже одного раза в 12 месяцев план реагирования на инциденты безопасности:
- Проверяется, и содержание обновляется по мере необходимости.
- Испытан, включая все элементы, перечисленные в требовании 12.10.1.
Цель Индивидуального подхода:
План реагирования на инциденты поддерживается в актуальном состоянии и периодически проверяется.
Определенные Процедуры Тестирования Подхода:
План реагирования на инциденты поддерживается в актуальном состоянии и периодически проверяется.
Определенные Процедуры Тестирования Подхода:
- 12.10.2 Опрашивайте персонал и просматривайте документацию, чтобы убедиться, что по крайней мере раз в 12 месяцев план реагирования на инциденты безопасности:
- Пересматривается и обновляется по мере необходимости.
- Испытано, включая все элементы, перечисленные в требовании 12.10.1.
Цель:
Надлежащее тестирование плана реагирования на инциденты безопасности может выявить нарушенные бизнес-процессы и гарантировать, что ключевые шаги не будут пропущены, что может привести к увеличению риска во время инцидента. Периодическое тестирование плана гарантирует, что процессы остаются жизнеспособными, а также гарантирует, что весь соответствующий персонал в организации знаком с планом.
Надлежащая практика:
Проверка плана реагирования на инциденты может включать имитацию инцидентов и соответствующие меры реагирования в форме “настольных упражнений”, которые включают участие соответствующего персонала. Анализ инцидента и качества реагирования может дать организациям уверенность в том, что все необходимые элементы включены в план.
Надлежащее тестирование плана реагирования на инциденты безопасности может выявить нарушенные бизнес-процессы и гарантировать, что ключевые шаги не будут пропущены, что может привести к увеличению риска во время инцидента. Периодическое тестирование плана гарантирует, что процессы остаются жизнеспособными, а также гарантирует, что весь соответствующий персонал в организации знаком с планом.
Надлежащая практика:
Проверка плана реагирования на инциденты может включать имитацию инцидентов и соответствующие меры реагирования в форме “настольных упражнений”, которые включают участие соответствующего персонала. Анализ инцидента и качества реагирования может дать организациям уверенность в том, что все необходимые элементы включены в план.
Requirement 5.2.3.1
5.2.3.1
Определенные Требования к Подходу:
Частота периодических оценок компонентов системы, идентифицированных как не подверженные риску вредоносного ПО, определяется в целевом анализе рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.
Цель Индивидуального подхода:
Системы, о которых не известно, что они подвержены риску заражения вредоносными программами, пересматриваются с частотой, учитывающей риск организации.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Частота периодических оценок компонентов системы, идентифицированных как не подверженные риску вредоносного ПО, определяется в целевом анализе рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.
Цель Индивидуального подхода:
Системы, о которых не известно, что они подвержены риску заражения вредоносными программами, пересматриваются с частотой, учитывающей риск организации.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 5.2.3.1.a Изучите целевой анализ рисков организации на предмет частоты периодических оценок компонентов системы, идентифицированных как не подверженные риску вредоносного ПО, чтобы убедиться, что анализ рисков был выполнен в соответствии со всеми элементами, указанными в Требовании 12.3.1.
- 5.2.3.1.b Изучите документированные результаты периодических оценок компонентов системы, определенных как не подверженные риску заражения вредоносными программами, и опросите персонал, чтобы убедиться, что оценки выполняются с частотой, определенной в целевом анализе рисков организации, выполненном для этого требования.
Цель:
Организации определяют оптимальный период для проведения оценки на основе таких критериев, как сложность среды каждой организации и количество типов систем, которые необходимо оценить.
Организации определяют оптимальный период для проведения оценки на основе таких критериев, как сложность среды каждой организации и количество типов систем, которые необходимо оценить.
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 7 п. 3
7.3. Для оценки потенциального риска нарушения ИБ и обеспечения возможности мониторинга и контроля его уровня организации БС РФ следует определить состав и проводить оценку (в том числе периодическую) показателей (метрик), характеризующих:
- степень возможности реализации риска нарушения ИБ (далее - СВР) в результате наличия факторов нового риска, приведенного в разделе 5 настоящего стандарта;
- степень тяжести последствий от реализации риска нарушения ИБ (далее - СТП) для реализации бизнес-функций организации БС РФ, переданных на аутсорсинг.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.