Куда я попал?
NIST Cybersecurity Framework (EN)
Framework
ID.GV-4
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.1.2
ОПР.1.2 Описание структуры и подходов к интеграции процессов управления риском реализации информационных угроз в систему управления операционным риском финансовой организации;
ОПР.1.1
ОПР.1.1 Определение и описание состава процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;
ОРО.13
ОРО.13 Утверждение коллегиальным исполнительным органом финансовой организации ресурсов службы ИБ с целью выполнения задач и функций, связанных с планированием, реализацией, контролем и совершенствованием системы управления риском реализации информационных угроз, а также процессов систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, возложенных на службу ИБ.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 6 п. 1 пп. 2
6.1.2 Снижение риска и использование возможностей
Организация должна планировать:
- а) действия по снижению или устранению выявленного риска и использованию выявленных возможностей;
- b) способы:
- 1) интегрирования и внедрения действий в процессы СМНД организации (см. 8.1);
- 2) оценку результативности этих действий (см. 9.1).
Примечание — Риск и возможности связаны с результативностью системы менеджмента. Риск, связанный с нарушением деятельности, рассмотрен в 6.2.
NIST Cybersecurity Framework (RU):
ID.GV-4
ID.GV-4: Процессы руководства и управления рисками направлены на устранение рисков кибербезопасности
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
6.1.2 Оценка рисков информационной безопасности
6.1.2 Оценка рисков информационной безопасности
Организация должна определить и применять процесс оценки рисков информационной безопасности, который
Организация должна определить и применять процесс оценки рисков информационной безопасности, который
- а) устанавливает и поддерживает критерии рисков информационной безопасности, которые включают в себя:
- 1) критерии приемлемости рисков; а также
- 2) критерии выполнения оценок рисков информационной безопасности;
- b) обеспечивает выработку повторяющимися оценками рисков информационной безопасности цельных, достоверных и сравнимых результатов;
- c) выявляет риски информационной безопасности:
- 1) применение процесса оценки рисков информационной безопасности с целью выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в пределах области действия системы менеджмента информационной безопасности; а также
- 2) выявление владельцев рисков;
- d) анализирует риски информационной безопасности:
- 1) оценка возможных последствий, которые могут произойти в результате реализации рисков, выявленных в п.6.1.2 с)1);
- 2) оценка реалистичной вероятности реализации рисков, выявленных в п.6.1.2 с)1); а также
- 3) определение уровней рисков;
- e) оценивает риски информационной безопасности:
- 1) сравнение результатов анализа рисков с критериями, установленными в п.6.1.2 а); а также
- 2) расставляет приоритеты обработки проанализированных рисков.
Организация должна сохранять документированную информацию о процессе оценки рисков информационной безопасности.
8.1 Операционное планирование и контроль
8.1 Оперативнное планирование и контроль
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований информационной безопасности, а также для реализации действий, определенных в Разделе 6, посредством:
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований информационной безопасности, а также для реализации действий, определенных в Разделе 6, посредством:
- установление критериев для процессов;
- осуществление контроля процессов в соответствии с критериями.
Документированная информация должна быть доступна в объеме, необходимом для уверенности в том, что процессы выполняются в соответствии с планом.
Организация должна контролировать запланированные изменения и анализировать последствия непреднамеренных изменений, предпринимая действия по снижению любых неблагоприятных последствий, если это необходимо.
Организация должна обеспечить контроль предоставляемых извне, относящихся к системе менеджмента информационной безопасности, процессов, продуктов или услуг.
Организация должна контролировать запланированные изменения и анализировать последствия непреднамеренных изменений, предпринимая действия по снижению любых неблагоприятных последствий, если это необходимо.
Организация должна обеспечить контроль предоставляемых извне, относящихся к системе менеджмента информационной безопасности, процессов, продуктов или услуг.
6.1.1 Общие положения
6.1.1 Общие положения
При планировании системы менеджмента информационной безопасности организация должна рассмотреть параметры, относящиеся к п. 4.1, требования из п.4.2, а также определить риски и возможности, которые требуются в отношении вопросов:
При планировании системы менеджмента информационной безопасности организация должна рассмотреть параметры, относящиеся к п. 4.1, требования из п.4.2, а также определить риски и возможности, которые требуются в отношении вопросов:
- а) обеспечения достижения системой менеджмента информационной безопасности ее ожидаемых результатов;
- b) предотвращения или снижения нежелательных последствий, а также
- c) достижения непрерывного улучшения
Организация должна планировать:
- d) действия в отношении этих рисков и возможностей; а также
- e) каким образом
- 1) интегрировать и внедрить действия в процессы ее системы менеджмента информационной безопасности; а также
- 2) оценивать эффективность этих действий.
6.2 Цели ИБ и планирование их достижения
6.2 Цели информационной безопасности и планирование их достижения
Организация должна установить цели информационной безопасности на соответствующих видах деятельности и уровнях.
Цели информационной безопасности должны:
Организация должна установить цели информационной безопасности на соответствующих видах деятельности и уровнях.
Цели информационной безопасности должны:
- а) согласовываться с политикой информационной безопасности;
- b) быть измеряемыми (если это осуществимо);
- c) учитывать применимые требования информационной безопасности, результаты оценки и обработки рисков;
- d) мониториться:
- е) быть доведенными до всех заинтересованных сторон;
- f) обновляться по мере необходимости:
- g) быть задокументированными.
Организация должна сохранять документированную информацию в отношении целей информационной безопасности.
При планировании методов достижения целей информационной безопасности организация должна определить:
При планировании методов достижения целей информационной безопасности организация должна определить:
- h) что должно быть сделано;
- i) какие ресурсы потребуются;
- j) кто за это будет ответственным;
- k) когда это должно быть закончено; а также
- l) каким образом результаты будут оцениваться.
6.1.3 Обработка рисков информационной безопасности
6.1.3 Обработка рисков информационной безопасности
Организация должна определить и применять процесс обработки рисков в целях:
Организация должна определить и применять процесс обработки рисков в целях:
- a) выбора применимых вариантов обработки рисков информационной безопасности, учитывающих результаты оценки рисков;
- b) определения всех средств управления информационной безопасностью, необходимых для внедрения выбранного варианта (-ов) обработки рисков информационной безопасности;
ПРИМЕЧАНИЕ 1 Организация может разработать средства управления информационной безопасностью, по мере необходимости, или определить их из иного источника.
- c) сравнения средств управления информационной безопасностью, вышеопределенных в п.6.1.3 b) и содержащихся в Приложении А, а также подтверждения того, что ни одно необходимое средство управления информационной безопасностью не пропущено;
ПРИМЕЧЕНИЕ 2 Приложение А содержит перечень средств управления информационной безопасностью. Пользователи настоящего документа отсылаются к Приложению А для обеспечения того, что ни одно необходимое средство управления информационной безопасностью не будет пропущено.
ПРИМЕЧАНИЕ 3 Перечисленные в Приложении А средства управления информационной безопасностью не являются исчерпывающими и, по необходимости, могут быть применены потребоваться дополнительные средства управления информационной безопасностью.
ПРИМЕЧАНИЕ 3 Перечисленные в Приложении А средства управления информационной безопасностью не являются исчерпывающими и, по необходимости, могут быть применены потребоваться дополнительные средства управления информационной безопасностью.
- d) выработки Положения о Применимости, которое содержит:
- необходимые средства управления информационной безопасностью (см. п.6.1.3 b) и с));
- обоснование их применения;
- сведения от том, реализованы они или нет, а также
- обоснование исключения из применения приведенных в Приложении А средств управления информационной безопасностью.
- e) разработки плана обработки рисков; а также
- f) получения одобрения плана обработки рисков информационной безопасности и остаточных рисков информационной безопасности со стороны владельцев рисков.
Организация должна сохранять документированную информацию о процессе обработки рисков информационной безопасности.
ПРИМЕЧАНИЕ 4 Процесс оценки и обработки рисков информационной безопасности в настоящем документе соответствует принципам и общим указаниям, изложенным в ИСО 31000.
ПРИМЕЧАНИЕ 4 Процесс оценки и обработки рисков информационной безопасности в настоящем документе соответствует принципам и общим указаниям, изложенным в ИСО 31000.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
6.1.1
6.1.1 Общие положения
При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для:
а) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов;
b) предотвращения или уменьшения нежелательных последствий (Например, реализации рисков информационной безопасности);
с) обеспечения постоянного улучшения (Например, уровня информационной безопасности).
Организация должна планировать:
d) действия по рассмотрению данных рисков и возможностей;
е) каким образом:
1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности;
2) оценивать результативность этих действий.
При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для:
а) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов;
b) предотвращения или уменьшения нежелательных последствий (Например, реализации рисков информационной безопасности);
с) обеспечения постоянного улучшения (Например, уровня информационной безопасности).
Организация должна планировать:
d) действия по рассмотрению данных рисков и возможностей;
е) каким образом:
1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности;
2) оценивать результативность этих действий.
6.1.3
6.1.3 Обработка рисков информационной безопасности
Организация должна определить и применять процесс обработки рисков информационной безопасности:
а) для выбора подходящих вариантов обработки рисков информационной безопасности, учитывая результаты оценки рисков информационной безопасности;
b) определения всех мер и средств информационной безопасности, необходимых для реализации выбранного(ых) варианта(ов) обработки рисков информационной безопасности.
Примечание — При необходимости организация может разрабатывать меры обеспечения информационной безопасности или взять их из любого источника;
с) сравнения мер и средств информационной безопасности, определенных в соответствии с 6.1.3 Ь), с указанными в приложении А для проверки того, что никакие необходимые меры обеспечения информационной безопасности не были упущены.
Примечание 1 — Приложение А содержит базовый перечень мер и средств информационной безопасности и целей их применения. Пользователям настоящего стандарта следует обращаться к приложению А для обеспечения уверенности в том, что никакие необходимые меры обеспечения информационной безопасности не были упущены.
Примечание 2 — Цели применения мер и средств информационной безопасности неявным образом включены в выбранные меры обеспечения информационной безопасности. Приведенные в приложении А меры обеспечения информационной безопасности и цели их применения не являются исчерпывающими, и организация может рассматривать необходимость дополнительных мер и средств информационной безопасности и целей их применения;
d) подготовки ведомости применимости мер и средств информационной безопасности, которая содержит (Пункт 6.1.3 d) приведен с учетом технической правки к ISO/IEC 27001:2013.)
Организация должна определить и применять процесс обработки рисков информационной безопасности:
а) для выбора подходящих вариантов обработки рисков информационной безопасности, учитывая результаты оценки рисков информационной безопасности;
b) определения всех мер и средств информационной безопасности, необходимых для реализации выбранного(ых) варианта(ов) обработки рисков информационной безопасности.
Примечание — При необходимости организация может разрабатывать меры обеспечения информационной безопасности или взять их из любого источника;
с) сравнения мер и средств информационной безопасности, определенных в соответствии с 6.1.3 Ь), с указанными в приложении А для проверки того, что никакие необходимые меры обеспечения информационной безопасности не были упущены.
Примечание 1 — Приложение А содержит базовый перечень мер и средств информационной безопасности и целей их применения. Пользователям настоящего стандарта следует обращаться к приложению А для обеспечения уверенности в том, что никакие необходимые меры обеспечения информационной безопасности не были упущены.
Примечание 2 — Цели применения мер и средств информационной безопасности неявным образом включены в выбранные меры обеспечения информационной безопасности. Приведенные в приложении А меры обеспечения информационной безопасности и цели их применения не являются исчерпывающими, и организация может рассматривать необходимость дополнительных мер и средств информационной безопасности и целей их применения;
d) подготовки ведомости применимости мер и средств информационной безопасности, которая содержит (Пункт 6.1.3 d) приведен с учетом технической правки к ISO/IEC 27001:2013.)
- необходимые меры обеспечения информационной безопасности [см. 6.1.3 Ь) и с)];
- обоснования их применения;
- информацию о том, реализованы или нет необходимые меры обеспечения информационной безопасности;
- обоснования неприменения мер и средств информационной безопасности, представленных в приложении А;
е) разработки плана обработки рисков информационной безопасности;
f) согласования и (или) утверждения плана обработки рисков информационной безопасности и принятия остаточных рисков информационной безопасности владельцами рисков.
Организация должна хранить документированную информацию о процессе обработки рисков информационной безопасности.
Примечание — Процесс оценки и обработки рисков информационной безопасности в настоящем стандарте согласуется с принципами и общими рекомендациями, представленными в ИСО 31000.
f) согласования и (или) утверждения плана обработки рисков информационной безопасности и принятия остаточных рисков информационной безопасности владельцами рисков.
Организация должна хранить документированную информацию о процессе обработки рисков информационной безопасности.
Примечание — Процесс оценки и обработки рисков информационной безопасности в настоящем стандарте согласуется с принципами и общими рекомендациями, представленными в ИСО 31000.
6.1.2
6.1.2 Оценка рисков информационной безопасности
Организация должна определить и внедрить процесс оценки рисков информационной безопасности, который позволяет:
а) устанавливать и поддерживать критерии рисков информационной безопасности, включая:
1) критерии принятия рисков информационной безопасности;
2) критерии для проведения оценки рисков информационной безопасности;
b) обеспечивать уверенность в том, что повторные оценки рисков информационной безопасности дают непротиворечивые, достоверные и сопоставимые результаты;
с) идентифицировать риски информационной безопасности, т. е.:
1) применять процесс оценки рисков информационной безопасности для идентификации рисков, связанных с нарушением конфиденциальности, целостности и доступности информации в рамках области действия системы менеджмента информационной безопасности;
2) идентифицировать владельцев рисков информационной безопасности;
d) проводить анализ рисков информационной безопасности, т. е.:
1) оценивать потенциальные последствия, которые могут произойти в результате реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);
2) оценивать реальную вероятность реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);
3) определять уровни рисков информационной безопасности;
е) оценивать риски информационной безопасности, т. е.:
1) сравнивать результаты анализа рисков информационной безопасности с критериями рисков, установленными в соответствии с 6.1.2 а);
2) определять приоритетность обработки проанализированных рисков информационной безопасности.
Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности.
Организация должна определить и внедрить процесс оценки рисков информационной безопасности, который позволяет:
а) устанавливать и поддерживать критерии рисков информационной безопасности, включая:
1) критерии принятия рисков информационной безопасности;
2) критерии для проведения оценки рисков информационной безопасности;
b) обеспечивать уверенность в том, что повторные оценки рисков информационной безопасности дают непротиворечивые, достоверные и сопоставимые результаты;
с) идентифицировать риски информационной безопасности, т. е.:
1) применять процесс оценки рисков информационной безопасности для идентификации рисков, связанных с нарушением конфиденциальности, целостности и доступности информации в рамках области действия системы менеджмента информационной безопасности;
2) идентифицировать владельцев рисков информационной безопасности;
d) проводить анализ рисков информационной безопасности, т. е.:
1) оценивать потенциальные последствия, которые могут произойти в результате реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);
2) оценивать реальную вероятность реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);
3) определять уровни рисков информационной безопасности;
е) оценивать риски информационной безопасности, т. е.:
1) сравнивать результаты анализа рисков информационной безопасности с критериями рисков, установленными в соответствии с 6.1.2 а);
2) определять приоритетность обработки проанализированных рисков информационной безопасности.
Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности.
6.2
6.2 Цели информационной безопасности и планы по их достижению
В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией.
Цели информационной безопасности должны:
а) быть согласованы с политикой информационной безопасности;
b) быть измеримыми (если это практически возможно);
с) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности;
d) быть доведены до сведения всех заинтересованных сторон;
е) обновляться по мере необходимости.
Организация должна хранить документированную информацию о целях информационной безопасности.
При планировании способов достижения своих целей информационной безопасности организация должна определить:
f) что должно быть сделано;
д) какие ресурсы потребуются;
h) кто будет нести ответственность;
i) когда планируемое мероприятие будет завершено;
j) как будут оцениваться результаты.
В организации должны быть установлены цели обеспечения информационной безопасности применительно к соответствующим функциям и уровням управления организацией.
Цели информационной безопасности должны:
а) быть согласованы с политикой информационной безопасности;
b) быть измеримыми (если это практически возможно);
с) учитывать применимые требования информационной безопасности и результаты оценки и обработки рисков информационной безопасности;
d) быть доведены до сведения всех заинтересованных сторон;
е) обновляться по мере необходимости.
Организация должна хранить документированную информацию о целях информационной безопасности.
При планировании способов достижения своих целей информационной безопасности организация должна определить:
f) что должно быть сделано;
д) какие ресурсы потребуются;
h) кто будет нести ответственность;
i) когда планируемое мероприятие будет завершено;
j) как будут оцениваться результаты.
Guideline for a healthy information system v.2.0 (EN):
41 STANDARD
/STANDARD
Each organization develops within a complex computing environment specific to itself. As such, any position taken or action plan involving the information system security must be considered in light of the risks foreseen by the management. Whether it is organisational or technical measures, their implementation represents a cost for the organization, which needs to ensure that they are able to reduce an identified risk to an acceptable level.
In the most sensitive cases, the risk analysis may call into question certain previous choices. This may be the case if the probability of an event appearing and its potential consequences prove critical for the organization and there is no preventive action to control it.
The recommended approach consists, in broad terms, of defining the context, assessing the risks and dealing with them. The risk assessment generally works by considering two areas: the likelihood and the impacts. This is then followed by the creation of a risk treatment plan to be validated by a designated authority at a higher level.
Three kinds of approach can be considered to control the risks associated with the information system:
In the most sensitive cases, the risk analysis may call into question certain previous choices. This may be the case if the probability of an event appearing and its potential consequences prove critical for the organization and there is no preventive action to control it.
The recommended approach consists, in broad terms, of defining the context, assessing the risks and dealing with them. The risk assessment generally works by considering two areas: the likelihood and the impacts. This is then followed by the creation of a risk treatment plan to be validated by a designated authority at a higher level.
Three kinds of approach can be considered to control the risks associated with the information system:
- the recourse to best IT security practices;
- a systematic risk analysis based on feedback from users;
- a structured risk management formalised by a dedicated methodology.
In this last case, the EBIOS method referenced by ANSSI is recommended. It is able to write down security needs, identify the security objectives and determine the security demands
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
6.1.1 General
6.1.1 General
When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:
When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:
- a) ensure the information security management system can achieve its intended outcome(s);
- b) prevent, or reduce, undesired effects; and
- c) achieve continual improvement.
The organization shall plan:
- d) actions to address these risks and opportunities; and
- e) how to
- 1) integrate and implement the actions into its information security management system processes; and
- 2) evaluate the effectiveness of these actions.
6.1.2 Information security risk assessment
6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:
The organization shall define and apply an information security risk assessment process that:
- a) establishes and maintains information security risk criteria that include:
- 1) the risk acceptance criteria; and
- 2) criteria for performing information security risk assessments;
- b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
- c) identifies the information security risks:
- 1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
- 2) identify the risk owners;
- d) analyses the information security risks:
- e) evaluates the information security risks:
- 1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
- 2) prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.
6.2 Information security objectives and planning to achieve them
6.2 Information security objectives and planning to achieve them
The organization shall establish information security objectives at relevant functions and levels. The information security objectives shall:
The organization shall establish information security objectives at relevant functions and levels. The information security objectives shall:
- a) be consistent with the information security policy;
- b) be measurable (if practicable);
- c) take into account applicable information security requirements, and results from risk assessment and risk treatment;
- d) be monitored;
- e) be communicated;
- f) be updated as appropriate:
- g) be available as documented information.
The organization shall retain documented information on the information security objectives.
When planning how to achieve its information security objectives, the organization shall determine:
When planning how to achieve its information security objectives, the organization shall determine:
- h) what will be done;
- i) what resources will be required;
- j) who will be responsible;
- k) when it will be completed; and
- l) how the results will be evaluated.
6.1.3 Information security risk treatment
6.1.3 Information security risk treatment
The organization shall define and apply an information security risk treatment process to:
The organization shall define and apply an information security risk treatment process to:
- a) select appropriate information security risk treatment options, taking account of the risk assessment results;
- b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
NOTE 1 Organizations can design controls as required, or identify them from any source.
- c) compare the controls determined in 6.1.3 b) above with those in Annex A and verify that no necessary controls have been omitted;
NOTE 2 Annex A contains a list of possible information security controls. Users of this document are directed to Annex A to ensure that no necessary information security controls are overlooked.
NOTE 3 The information security controls listed in Annex A are not exhaustive and additional information security controls can be included if needed.
NOTE 3 The information security controls listed in Annex A are not exhaustive and additional information security controls can be included if needed.
- d) produce a Statement of Applicability that contains:· the necessary controls (see 6.1.3 b) and c));· justification for their inclusion;· whether the necessary controls are implemented or not; and· the justification for excluding any of the Annex A controls.;
- e) formulate an information security risk treatment plan; and
- f) obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE 4 The information security risk assessment and treatment process in this document aligns with the principles and generic guidelines provided in ISO 31000.
NOTE 4 The information security risk assessment and treatment process in this document aligns with the principles and generic guidelines provided in ISO 31000.
8.1 Operational planning and control
8.1 Operational planning and control
The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in Clause 6, by:
The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in Clause 6, by:
- establishing criteria for the processes;
- implementing control of the processes in accordance with the criteria.
Documented information shall be available to the extent necessary to have confidence that the processes have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that externally provided processes, products or services that are relevant to the information security management system are controlled.
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that externally provided processes, products or services that are relevant to the information security management system are controlled.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
1.2.4.1.
Топ-менеджмент, операционные руководители, ответственные за ключевые функции организации, совместно с представителями ИТ и ИБ
участвуют в определении недопустимых событий / ключевых рисков КБ
участвуют в определении недопустимых событий / ключевых рисков КБ
1.2.4.2.
На регулярной основе осуществляется пересмотр перечня НС / ключевых рисков КБ
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 7. Пункт 8.
7.8. В политике информационной безопасности кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет:
- функции и ответственность коллегиального исполнительного органа и работников кредитной организации (головной кредитной организации банковской группы) в рамках управления риском информационной безопасности;
- основные принципы функционирования системы обеспечения информационной безопасности и задачи управления риском информационной безопасности; (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
- сигнальные и контрольные значения контрольных показателей уровня риска информационной безопасности;
- основные принципы организации контроля за функционированием системы обеспечения информационной безопасности;
- требования к созданию ресурсных (кадровых и финансовых) условий системы обеспечения информационной безопасности;
- требования к третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы), которым могут быть переданы функции кредитной организации (головной кредитной организации банковской группы) по обеспечению информационной безопасности, а также определение порядка взаимодействия и распределения ответственности между кредитной организацией (головной кредитной организацией банковской группы) и привлеченными ею третьими лицами. (Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
Политика информационной безопасности должна утверждаться коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).
Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований политики информационной безопасности.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
48 / 170
|
Внедрение процесса управления рисками информационной безопасности
Вручную
Организационная
Детективная
08.05.2022
|
08.05.2022 | 48 / 170 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.