Куда я попал?
NIST Cybersecurity Framework (EN)
Framework
ID.GV-2
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.3
РОН.3 Назначение ответственных лиц за выполнение ролей по обеспечению операционной надежности с учетом необходимости обеспечения снижения риска возникновения конфликта интересов*.
CIS Critical Security Controls v8 (The 18 CIS CSC):
17.5
17.5 Assign Key Roles and Responsibilities
Assign key roles and responsibilities for incident response, including staff from legal, IT, information security, facilities, public relations, human resources, incident responders, and analysts, as applicable. Review annually, or when significant enterprise changes occur that could impact this Safeguard.
Assign key roles and responsibilities for incident response, including staff from legal, IT, information security, facilities, public relations, human resources, incident responders, and analysts, as applicable. Review annually, or when significant enterprise changes occur that could impact this Safeguard.
17.1
17.1 Designate Personnel to Manage Incident Handling
Designate one key person, and at least one backup, who will manage the enterprise’s incident handling process. Management personnel are responsible for the coordination and documentation of incident response and recovery efforts and can consist of employees internal to the enterprise, third-party vendors, or a hybrid approach. If using a third-party vendor, designate at least one person internal to the enterprise to oversee any third-party work. Review annually, or when significant enterprise changes occur that could impact this Safeguard.
Designate one key person, and at least one backup, who will manage the enterprise’s incident handling process. Management personnel are responsible for the coordination and documentation of incident response and recovery efforts and can consist of employees internal to the enterprise, third-party vendors, or a hybrid approach. If using a third-party vendor, designate at least one person internal to the enterprise to oversee any third-party work. Review annually, or when significant enterprise changes occur that could impact this Safeguard.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.4
ОПР.4 Установление функций и полномочий подразделений, формирующих «первую линию защиты», включающих:
- идентификацию риска реализации информационных угроз (в пределах своей компетенции) в рамках реализуемых ими бизнеси технологических процессов;
- сбор информации и информирование о внутренних событиях риска реализации информационных угроз и потерях подразделения, ответственного за регистрацию такой информации в базе событий риска реализации информационных угроз (службы ИБ);
- оценку риска реализации информационных угроз (в пределах компетенции) в рамках реализуемых ими бизнес- и технологических процессов;
- обеспечение соблюдения требований к планированию, реализации, контролю (в пределах компетенции) и совершенствованию мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз;
- мониторинг риска реализации информационных угроз (в пределах компетенции) и формирование соответствующей отчетности в рамках выполняемых ими бизнес- и технологических процессов;
- информирование службы ИБ об остаточном риске реализации информационных угроз, не уменьшенном выполняемыми мероприятиями, направленными на уменьшение негативного влияния риска реализации информационных угроз;
- информирование о необходимости пересмотра ресурсного (кадрового и финансового) обеспечения для управления риском реализации информационных угроз
ОПР.10
ОПР.10 Установление целей и требований политики управления риском реализации информационных угроз с участием и по согласованию с вовлеченными подразделениями, формирующими «три линии защиты».
ОПР.7
ОПР.7 Установление функций и полномочий подразделений, формирующих «третью линию защиты», в части управления риском реализации информационных угроз, включающих:
- проведение ежегодной оценки эффективности функционирования системы управления риском реализации информационных угроз*****;
- оценку независимости деятельности подразделений, формирующих «вторую линию защиты», в части валидации данных и применения методологии в рамках управления риском реализации информационных угроз;
- верификацию методологии и данных (последующая оценка адекватности методологии на предмет ее согласованности с внутренними политиками и требованиями финансовой организации, проверка полноты и корректности данных о риске реализации информационных угроз и событиях такого риска);
- верификацию внутренней отчетности в рамках управления риском реализации информационных угроз, представляемой на рассмотрение совету директоров (наблюдательному совету);
- содействие своевременному и адекватному реагированию подразделениями, формирующими «первую» и «вторую линии защиты», на недостатки функционирования системы управления риском реализации информационных угроз (в части их устранения)
ОПР.3
ОПР.3 Определение должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз** финансовой организации:
- имеющего прямое подчинение лицу, осуществляющему функции единоличного исполнительного органа финансовой организации;
- не участвующего в совершении операций, сделок, организации бухгалтерского и управленческого учета, обеспечении функционирования объектов информатизации;
- обладающего достаточными знаниями, компетенцией, полномочиями и ресурсами (кадровыми и финансовыми) для принятия руководящих решений по вопросам управления риском реализации информационных угроз;
- имеющего возможность прямого информирования единоличного исполнительного органа финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз.
ОПР.19.13
ОПР.19.13 Организация и контроль за деятельностью по представлению на рассмотрение необходимой отчетности для контроля за реализацией политики управления риском реализации информационных угроз и соблюдения установленных значений КПУР;
ОПР.6
ОПР.6 Установление функций и полномочий подразделений, формирующих «вторую линию защиты» в части управления риском реализации информационных угроз, включающих:
- интеграцию системы управления риском реализации информационных угроз в систему управления операционным риском;
- координацию деятельности по управлению риском реализации информационных угроз как одним из видов операционного риска;
- валидацию данных (анализ данных о риске реализации информационных угроз или событиях такого риска на предмет их полноты и адекватности);
- валидацию применения методологии в рамках управления риском реализации информационных угроз как одним из видов операционного риска (оценка корректности и адекватности в части согласованности методологии в рамках управления риском реализации информационных угроз с методологией управления операционным риском);
- валидацию КИР;
- расчет и обоснование сигнальных и контрольных значений КПУР (за исключением сигнальных и контрольных значений КПУР, расчет и обоснование которых осуществляется службой ИБ согласно ОПР.5.2 настоящей таблицы);
- расчет фактических значений КПУР (за исключением фактических значений КПУР, расчет которых осуществляется службой ИБ согласно ОПР.5.2);
- координацию деятельности по отражению информации о событиях риска реализации информационных угроз в базе событий операционного риска;
- включение отчетности, формируемой в рамках управления риском реализации информационных угроз, в отчетность об управлении операционным риском;
- определение (во взаимодействии со службой ИБ) согласованной или единой методологии управления риском реализации информационных угроз, обеспечивающей интеграцию процессов управления риском реализации информационных угроз в рамках процессов управления операционным риском
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 5 п. 1
5.1 Лидерство и приверженность
Высшее руководство организации должно продемонстрировать лидерство и приверженность СМНД:
Высшее руководство организации должно продемонстрировать лидерство и приверженность СМНД:
- а) путем обеспечения установления политики и цепей в области обеспечения непрерывности деятельности, совместимых со стратегическим направлением деятельности организации;
- b) обеспечения интеграции требований СМНД в бизнес-процессы организации;
- с) обеспечения доступности ресурсов, необходимых для СМНД;
- d) обмена информацией о важности результативного обеспечения непрерывности деятельности и соответствия требованиям СМНД;
- е) обеспечения достижения СМНД запланированных результатов;
- f) руководства и поддержки лиц. способствующих повышению эффективности СМНД;
- g) содействия постоянному улучшению;
- h) поддержки других соответствующих функций менеджмента с целью демонстрации лидерства и приверженности высшего руководства СМНД. в рамках установленных ответственности и полномочий.
Примечание — Термин «деятельность» в настоящем стандарте может быть истолкован в широком смысле как означающий те виды деятельности, которые являются ключевыми для цепей существования организации.
Р. 8 п. 4 пп. 4 ппп. 2
8.4.4.2 В совокупности планы обеспечения непрерывности деятельности должны содержать:
- а) подробное описание действий, которые команды должны предпринимать:
- 1) для продолжения или восстановления приоритетных видов деятельности в течение заранее установленного периода времени;
- 2) проведения мониторинга воздействия на нарушение деятельности организации и реагирования организации на них;
- b) ссылки на предварительно установленные пороговые значения и процесс инициирования ответных действий;
- с) процедуры, позволяющие доставлять товары и оказывать услуги в согласованном объеме;
- d) детали управления непосредственными последствиями нарушения деятельности организации с учетом:
- 1) благосостояния физических лиц;
- 2) предупреждения дальнейших потерь или недоступности приоритетных видов деятельности;
- 3) воздействия на окружающую среду.
Р. 5 п. 3
5.3 Функции, обязанности и полномочия
Высшее руководство должно обеспечивать распределение функций, ответственности и полномочий в СМНД. и обмен данной информацией внутри организации.
Высшее руководство должно возложить ответственность и полномочия:
Высшее руководство должно обеспечивать распределение функций, ответственности и полномочий в СМНД. и обмен данной информацией внутри организации.
Высшее руководство должно возложить ответственность и полномочия:
- а) за обеспечение соответствия СМНД требованиям настоящего стандарта;
- b) отчетность о работе СМНД перед высшим руководством.
NIST Cybersecurity Framework (RU):
ID.GV-2
ID.GV-2: Роли и обязанности в области информационной безопасности скоординорованы и согласованы с внутренними ролями и внешними партнерами
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
17.5
17.5 Утверждены ключевые роли и их обязанности
План регулирования инцидентов включает сценарии с привлечением юристов, специалистов по ИТ и ИБ, служб PR, HR и аналитиков, если необходимо.
План регулирования инцидентов включает сценарии с привлечением юристов, специалистов по ИТ и ИБ, служб PR, HR и аналитиков, если необходимо.
17.1
17.1 Назначен работник, ответственный за обработку инцидентов
Назначены минимум 1 ответственный и 1 замещающий среди сотрудников или от сторонней компании-аутсорсера.
В случае передачи инцидентов безопасности на аутсорсинг от организации назначен ответственный за коммуникацию с аутсорсером.
Передана ответственность за координацию процесса работы с инцидентами и документирование результатов в процессе решения инцидента.
Назначены минимум 1 ответственный и 1 замещающий среди сотрудников или от сторонней компании-аутсорсера.
В случае передачи инцидентов безопасности на аутсорсинг от организации назначен ответственный за коммуникацию с аутсорсером.
Передана ответственность за координацию процесса работы с инцидентами и документирование результатов в процессе решения инцидента.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
4.2 Понимание потребностей и ожиданий заинтересованных сторон
4.2 Понимание потребностей и ожиданий заинтересованных сторон
Организация должна определить:
Организация должна определить:
- а) заинтересованные стороны, относящиеся к системе менеджмента информационной безопасности;
- b) требования данных заинтересованных сторон, относящиеся к информационной безопасности, а также
- c) какие из этих требований будут выполняться посредством системы управления информационной безопасностью.
ПРИМЕЧАНИЕ Требования заинтересованных сторон могут содержать требования законодательства, нормативных документов или контрактных обязательств.
5.3 Организационные роли, обязанности и управленческие полномочия
5.3 Организационные роли, обязанности и управленческие полномочия
Высшее руководство должно обеспечить определение и распространение в пределах организации обязанностей и управленческих полномочий для ролей, относящихся к информационной безопасности.
Высшее руководство должно определить обязанности и управленческие полномочия для:
Высшее руководство должно обеспечить определение и распространение в пределах организации обязанностей и управленческих полномочий для ролей, относящихся к информационной безопасности.
Высшее руководство должно определить обязанности и управленческие полномочия для:
- a) обеспечения соответствия системы менеджмента информационной безопасности требованиям настоящего документа;
- b) отчета высшему руководству о функционировании системы менеджмента информационной безопасности.
ПРИМЕЧАНИЕ Высшее руководство может также определить обязанности и управленческие полномочия по отчету о функционировании системы менеджмента информационной безопасности в пределах организации.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 4.1.2
4.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 4 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 4 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 4 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 4 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 4.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 4 are documented and assigned.
- 4.1.2.b Interview personnel with responsibility for performing activities in Requirement 4 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 11.1.2
11.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 11 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 11 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 11 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 11 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 11.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 11 are documented and assigned.
- 11.1.2.b Interview personnel with responsibility for performing activities in Requirement 11 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 8.1.2
8.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 8 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 8 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 8 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 8 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 8.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 8 are documented and assigned.
- 8.1.2.b Interview personnel with responsibility for performing activities in Requirement 8 to verify that roles and responsibilities are assigned as documented and are understood
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 7.1.2
7.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 7 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 7 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 7 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 7 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 7.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 7 are documented and assigned.
- 7.1.2.b Interview personnel with responsibility for performing activities in Requirement 7 to verify that roles and responsibilities are assigned as and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 1.1.2
1.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 1 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 1 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 1 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 1 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 1.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 1 are documented and assigned.
- 1.1.2.b Interview personnel responsible for performing activities in Requirement 1 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Definitions:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Definitions:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 3.1.2
3.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 3 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 3 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 3 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 3 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 3.1.2.a Examine documentation to verify that descriptions of roles and responsibilities performing activities in Requirement 3 are documented and assigned.
- 3.1.2.b Interview personnel with responsibility for performing activities in Requirement 3 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 6.1.2
6.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 6 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 6 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 6 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 6 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 6.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 6 are documented and assigned.
- 6.1.2.b Interview personnel responsible for performing activities in Requirement 6 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, systems will not be securely maintained, and their security level will be reduced.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, systems will not be securely maintained, and their security level will be reduced.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 10.1.2
10.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 10 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 10 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 10 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 10 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 10.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 10 are documented and assigned.
- 10.1.2.b Interview personnel with responsibility for performing activities in Requirement 10 to verify that roles and responsibilities are assigned as defined and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 2.1.2
2.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 2 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 2 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 2 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 2 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 2.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 2 are documented and assigned.
- 2.1.2.b Interview personnel with responsibility for performing activities in Requirement 2 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 5.1.2
5.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 5 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 5 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 5 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 5 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 5.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 5 are documented and assigned.
- 5.1.2.b Interview personnel with responsibility for performing activities in Requirement 5 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, networks and systems may not be properly protected from malware.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, networks and systems may not be properly protected from malware.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 12.1.3
12.1.3
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.
Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.
Defined Approach Testing Procedures:
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.
Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.
Defined Approach Testing Procedures:
- 12.1.3.a Examine the information security policy to verify that they clearly define information security roles and responsibilities for all personnel.
- 12.1.3.b Interview personnel in various roles to verify they understand their information security responsibilities.
- 12.1.3.c Examine documented evidence to verify personnel acknowledge their information security responsibilities.
Purpose:
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.
Requirement 9.1.2
9.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 9 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 9 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 9 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 9 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 9.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 9 are documented and assigned.
- 9.1.2.b Interview personnel with responsibility for performing activities in Requirement 9 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix)
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix)
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.2.1
A.7.2.1 Обязанности руководства организации
Мера обеспечения информационной безопасности: Руководство организации должно требовать от всех работников и подрядчиков соблюдения информационной безопасности в соответствии с установленными в организации политиками и процедурами
Мера обеспечения информационной безопасности: Руководство организации должно требовать от всех работников и подрядчиков соблюдения информационной безопасности в соответствии с установленными в организации политиками и процедурами
A.15.1.1
A.15.1.1 Политика информационной безопасности во взаимоотношениях с поставщиками
Мера обеспечения информационной безопасности: Требования информационной безопасности, направленные на снижение рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиком и документированы
Мера обеспечения информационной безопасности: Требования информационной безопасности, направленные на снижение рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиком и документированы
A.6.1.1
A.6.1.1 Должностные функции и обязанности, связанные с информационной безопасностью
Мера обеспечения информационной безопасности: Средства реализации: Должны быть определены и назначены все обязанности, связанные с информационной безопасностью
Мера обеспечения информационной безопасности: Средства реализации: Должны быть определены и назначены все обязанности, связанные с информационной безопасностью
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
5.3 Organizational roles, responsibilities and authorities
5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
- a) ensuring that the information security management system conforms to the requirements of this document;
- b) reporting on the performance of the information security management system to top management.
NOTE Top management can also assign responsibilities and authorities for reporting performance of the information security management system within the organization.
4.2 Understanding the needs and expectations of interested parties
4.2 Understanding the needs and expectations of interested parties
The organization shall determine:
The organization shall determine:
- a) interested parties that are relevant to the information security management system;
- b) the requirements of these interested parties relevant to information security; and
- c) which of these requirements will be addressed through the information security management system.
NOTE The requirements of interested parties can include legal and regulatory requirements and contractual obligations.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 19.2
CSC 19.2 Assign Job Titles and Duties for Incident Response
Assign job titles and duties for handling computer and network incidents to specific individuals, and ensure tracking and documentation throughout the incident through resolution.
Assign job titles and duties for handling computer and network incidents to specific individuals, and ensure tracking and documentation throughout the incident through resolution.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.1.2
8.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 8, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 8. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 8, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 8. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 8.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 8 задокументированы и распределены.
- 8.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 8, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 9.1.2
9.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 9, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 9. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 9, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 9. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 9.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 9 задокументированы и распределены.
- 9.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 9, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 11.1.2
11.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 11, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 11. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 11, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 11. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 11.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 11 задокументированы и распределены.
- 11.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 11, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 12.1.3
12.1.3
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.
Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.
Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
- 12.1.3.a Изучите политику информационной безопасности, чтобы убедиться, что в ней четко определены роли и обязанности в области информационной безопасности для всего персонала.
- 12.1.3.b Провести собеседование с персоналом, выполняющим различные функции, чтобы убедиться, что они понимают свои обязанности в области информационной безопасности.
- 12.1.3.c Изучите документально подтвержденные доказательства, чтобы убедиться, что персонал признает свои обязанности в области информационной безопасности.
Цель:
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Requirement 4.1.2
4.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 4, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 4. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 4, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 4. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 4.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 4 задокументированы и распределены.
- 4.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 4, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 1.1.2
1.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 1, задокументированы, распределены и поняты.
Цель Индивидуального Подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 1. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 1, задокументированы, распределены и поняты.
Цель Индивидуального Подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 1. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 1.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 1 задокументированы и распределены.
- 1.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 1, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Определения:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Определения:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 2.1.2
2.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 2, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 2. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 2, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 2. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 2.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 2 задокументированы и распределены.
- 2.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 2, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей (также называемая матрицей RACI).
Requirement 3.1.2
3.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 3, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 3. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 3, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 3. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 3.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей, выполняющих действия в Требовании 3, задокументированы и распределены.
- 3.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 3, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 10.1.2
10.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 10, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в требовании 10. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 10, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в требовании 10. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 10.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 10 задокументированы и распределены.
- 10.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 10, чтобы убедиться, что роли и обязанности распределены в соответствии с определением и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 7.1.2
7.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 7, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 7. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 7, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 7. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 7.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 7 задокументированы и распределены.
- 7.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 7, чтобы убедиться, что роли и обязанности распределены правильно и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 5.1.2
5.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 5, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 5. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 5, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 5. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 5.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 5 задокументированы и распределены.
- 5.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 5, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, сети и системы могут не быть должным образом защищены от вредоносных программ.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, сети и системы могут не быть должным образом защищены от вредоносных программ.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 6.1.2
6.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 6, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 6. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 6, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 6. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 6.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 6 задокументированы и распределены.
- 6.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 6, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, системы не будут надежно обслуживаться, и уровень их безопасности будет снижен.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, системы не будут надежно обслуживаться, и уровень их безопасности будет снижен.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.19
А.5.19 Информационная безопасность в отношениях с поставщиками
В целях управления рисками ИБ, связанными с использованием поставляемыми продуктами или услугами, должны быть определены и внедрены соответствующие процессы и процедуры.
В целях управления рисками ИБ, связанными с использованием поставляемыми продуктами или услугами, должны быть определены и внедрены соответствующие процессы и процедуры.
А.5.2
А.5.2 Роли и ответственность в области ИБ
В соответствии с потребностями организации должны быть определены и распределены роли и ответственность в области ИБ.
В соответствии с потребностями организации должны быть определены и распределены роли и ответственность в области ИБ.
SWIFT Customer Security Controls Framework v2022:
2 - 2.8A Critical Activity Outsourcing
2.8A Critical Activity Outsourcing
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.2
А.5.2 Information security roles and responsibilities
Information security roles and responsibilities shall be defined and allocated according to the organization needs.
Information security roles and responsibilities shall be defined and allocated according to the organization needs.
А.5.19
А.5.19 Information security in supplier relationships
Processes and procedures shall be defined and implemented to manage the information security risks associated with the use of supplier’s products or services.
Processes and procedures shall be defined and implemented to manage the information security risks associated with the use of supplier’s products or services.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 8.10
8.8.10. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации (головной кредитной организации банковской группы), включая его полномочия и требования к его квалификации.
Глава 8. Пункт 8.9
8.8.9. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет подразделение (подразделения), ответственное (ответственные) за обеспечение непрерывности функционирования информационных систем, включая:
- определение полномочий подразделения и его работников;
- целевые показатели и критерии эффективности работы подразделения с занесением их в положение о подразделении и должностные инструкции работников;
- контрольные процедуры и целевые показатели подразделения, в том числе порядок их актуализации.
Связанные защитные меры
Ничего не найдено