Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

NIST Cybersecurity Framework (EN)

Framework

PR.IP-7

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
СОН.4
СОН.4 Организация и выполнение деятельности по совершенствованию* применяемых организационных и технических мер, в том числе на основе информации, полученной: 
  • по результатам анализа причин и последствий реализации инцидентов; 
  • в рамках консультаций с экспертами внутри финансовой организации**. 
СОН.3
СОН.3  Фиксация решений о проведении совершенствования процесса системы обеспечения операционной надежности в виде корректирующих или превентивных действий, например:  
  • пересмотр области применения процесса системы обеспечения операционной надежности;
  • пересмотр состава и содержания организационных мер обеспечения операционной надежности, применяемых в рамках процесса системы обеспечения операционной надежности; 
  • пересмотр состава технических мер обеспечения операционной надежности, применяемых в рамках процесса системы обеспечения операционной надежности.
СОН.2
СОН.2  Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы обеспечения операционной надежности в случаях изменения политики финансовой организации в отношении: 
  • области применения процесса обеспечения операционной надежности; 
  • основных принципов и приоритетов в реализации процесса системы обеспечения операционной надежности; 
  • принятого допустимого уровня риска реализации информационных угроз (риск-аппетита)*, сигнальных и контрольных значений КПУР (а также целевых показателей операционный надежности), предусмотренных ГОСТ Р 57580.3 и приложением Б с учетом требований нормативных актов Банка России [6]-[8]. 
СОН.1
СОН.1 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы обеспечения операционной надежности в случаях обнаружения:
  • инцидентов, связанных с реализацией информационных угроз (отнесенных финансовой организацией к событиям риска реализации информационных угроз, приведенных в ГОСТ 57580.3); 
  • недостатков в рамках контроля системы обеспечения операционной надежности. 
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ВИО.6
ВИО.6 Организация и выполнение деятельности по анализу информации, полученной в рамках инициативного информирования работниками финансовой организации подразделений, формирующих «вторую линию защиты» и «третью линию защиты».
ОПР.19.5
ОПР.19.5 Обеспечение как минимум ежегодного контроля за деятельностью в части планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов;
ВИО.2
ВИО.2 Организация и выполнение деятельности по проведению периодической (как минимум ежегодной) самооценки риска реализации информационных угроз.
ВИО.5
ВИО.5 Организация и выполнение деятельности по анализу информации, полученной от подразделений, формирующих «третью линию защиты», и (или) в рамках внешнего аудита.
ВИО.1
ВИО.1 Организация* и выполнение деятельности по анализу базы событий риска реализации информационных угроз.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 10 п. 1 пп. 1
 10.1.1 Организация должна определить возможности улучшения СМНД и осуществить необходимые действия для достижения ожидаемых результатов. 
Р. 4 п. 4
 4.4 Система менеджмента непрерывности деятельности 
Организация должна создать, внедрить, поддерживать и постоянно улучшать СМНД. включая необходимые процессы и их взаимодействие, в соответствии с требованиями настоящего стандарта. 
Р. 6 п. 2 пп. 1
 6.2.1 Установление целей в области обеспечения непрерывности деятельности 
Организация должна установить цели в области обеспечения непрерывности деятельности для соответствующих уровней и подразделений. 
Цели в области обеспечения непрерывности деятельности должны: 
  • а) соответствовать политике в области обеспечения непрерывности деятельности;
  • b) быть измеримыми (если применимо); 
  • с) учитывать применимые требования (см. 4.1 и 4.2); 
  • d) быть объектом постоянного мониторинга; 
  • е) быть объектом обмена информацией с заинтересованными сторонами; 
  • f) актуализироваться по мере необходимости. 
Организация должна хранить документированную информацию о целях в области обеспечения непрерывности деятельности. 
Р. 10 п. 2
 10.2 Постоянное улучшение
Организация должна постоянно улучшать пригодность, адекватность и результативность СМНД на основе качественных и количественных показателей. Организация должна рассмотреть результаты анализа и оценки, а также результаты анализа со стороны руководства, чтобы определить потребности или возможности, связанные с работой организации в целом или с СМНД, которые следует использовать для постоянного улучшения.

Примечание — Организация может использовать процессы СМНД. такие как лидерство руководства, плакирование и оценка результативности для достижения улучшения. 
NIST Cybersecurity Framework (RU):
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются 
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.36
ВРВ.36 Определение в качестве целевых показателей анализа технических данных (свидетельств), собранных в рамках выявления, реагирования на инциденты и восстановления после их реализации:
  • определение (в том числе выявление новых) сценариев реализации инцидентов;
  • предотвращение повторной реализации инцидентов;
  • проведение идентификации субъектов, реализующих инциденты;
  • своевременное выявление маркеров «скрытого» несанкционированного управления объектами информатизации.
ТОН.12
ТОН.12 Использование результатов мониторинга и анализа показателей оценки эффективности программ тестирования готовности финансовой организации противостоять реализации информационных угроз для последующей доработки (совершенствования) таких программ.
ТОН.11
ТОН.11 Определение и анализ показателей оценки эффективности программ тестирования готовности финансовой организации противостоять реализации информационных угроз.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
9.2.2 Программа внутреннего аудита
9.2.2 Программа внутреннего аудита
Организация должна планировать, разрабатывать, внедрять и поддерживать программу (-ы) аудита, включающую частоту, методы, ответственности, требования по планированию и отчету.
При разработке программы (-мм) внутреннего аудита организация должна учитывать важность соответствующих процессов и результаты предыдущих аудитов.
Организация должна:
  • a) определять критерии аудита и область действия каждого аудита;
  • b) выбирать аудиторов и проводить аудиты, которые обеспечивают объективность и беспристрастность процесса аудита;
  • c) обеспечивать отчет по результатам аудитов перед релевантными руководством; а также
Должна быть доступна документированная информация, подтверждающая выполнение программы (-мм) аудита и достижения результатов аудита.
10.2 Несоответствия и корректирующие действия
10.2 Несоответствия и корректирующие действия
При возникновении несоответствия организация должна
  • a) реагировать на несоответствие, и по обстоятельствам:
    • 1) предпринимать действия по его контролю и корректировке;
    • 2) бороться с последствиями
  • b) оценивать потребность в действиях по устранению причин несоответствия с целью недопущения его повторения или появления где-либо в ином месте посредством:
    • 1) анализа несоответствия;
    • 2) определения причины несоответствия; а также
    • 3) определения, существуют ли или могут ли потенциально появиться подобные несоответствия;
  • c) внедрять любые необходимые меры;
  • d) анализировать эффективность любых предпринятых корректирующих действий; а также 
  • e) вносить, если необходимо, изменения в систему менеджмента информационной безопасности. 
Корректирующие действия должны быть соразмерными выявленным несоответствиям. Организация должна сохранять документированную информацию в качестве подтверждения:
Документированная информация должна быть доступна в качестве свидетельств в отношении:
  • f) природы несоответствий и любых предпринятых последующих действий, а также
  • g) результатов любых корректирующих действий.
9.3.1 Общие положения
9.3.1 Общие положения
Высшее руководство должно анализировать систему менеджмента информационной безопасности организации в запланированные интервалы времени с целью обеспечения ее (системы менеджмента информационной безопасности) непрерывной пригодности, адекватности и эффективности.
10.1 Непрерывное улучшение
10.1 Непрерывное улучшение
Организация должна непрерывно улучшать пригодность, адекватность и эффективность системы менеджмента информационной безопасности.
9.2.1 Общие положения
9.2.1 Общие положения
Организация должна проводить внутренний аудит в запланированные интервалы времени с целью предоставления информации от том, что система менеджмента информационной безопасности:
a) соответствует
  1. собственным требованиям организации к ее системе менеджмента информационной безопасности; а также
  2. требованиям настоящего документа;
b) эффективно применяется и поддерживается.
9.1 Мониторинг, измерение, анализ и оценивание
9.1 Мониторинг, оценка защищенности, анализ и оценивание
Организация должна определить:
  • a) что требуется мониторить  и измерять, включая процессы и средства управления информационной безопасностью
  • b) методы мониторинга, измерения, анализа и оценивания, если применимо, для обеспечения достоверных результатов. Выбранные методы должны давать сопоставимые и воспроизводимые результаты, чтобы их можно было считать действительными;
  • c) когда должны выполняться мониторинг и измерения;
  • d) кто должен выполнять мониторинг и измерения;
  • e) когда результаты мониторинга и измерения должны анализироваться и оцениваться; а также
  • f) кто должен анализировать и оценивать эти результаты.
Документированная информация должна быть доступна в качестве свидетельств достижения результатов.
Организация должна оценивать исполнение информационной безопасности и эффективность системы менеджмента информационной безопасности.
8.1 Операционное планирование и контроль
8.1 Оперативнное планирование и контроль
Организация должна планировать, внедрять и контролировать процессы, необходимые для выполнения требований информационной безопасности, а также для реализации действий, определенных в Разделе 6, посредством:
  • установление критериев для процессов;
  • осуществление контроля процессов в соответствии с критериями.
Документированная информация должна быть доступна в объеме, необходимом для уверенности в том, что процессы выполняются в соответствии с планом.
Организация должна контролировать запланированные изменения и анализировать последствия непреднамеренных изменений, предпринимая действия по снижению любых неблагоприятных последствий, если это необходимо.
Организация должна обеспечить контроль предоставляемых извне, относящихся к системе менеджмента информационной безопасности, процессов, продуктов или услуг.
9.3.2 Входная информация анализа со стороны руководства
9.3.2 Входная информация анализа со стороны руководства
Анализ со стороны руководства должен включать в себя рассмотрение следующего:
  • a) статус действий после предыдущего анализа со стороны руководства;
  • b) изменения внешних и внутренних параметров, которые относятся к системе менеджмента информационной безопасности;
  • с) изменения потребностей и ожиданий заинтересованных сторон, имеющих отношение к системе менеджмента информационной безопасности;
  • f) обратную связь в отношении исполнения информационной безопасности, включая тенденции в:
    • 1) несоответствиях и корректирующих действиях;
    • 2) результатах мониторинга и оценки защищенности;
    • 3) результатах аудита;
    • 4) достижении целей информационной безопасности;
  • d) обратную связи от заинтересованных сторон;
  • e) результаты оценки рисков и статус плана обработки рисков;
  • f) возможности для непрерывного улучшения
9.3.3 Результаты анализа со стороны руководства
9.3.3 Результаты анализа со стороны руководства
В результаты анализа со стороны руководства должны входить решения в отношении возможностей для непрерывного улучшения и любые потребности в изменениях системы менеджмента информационной безопасности.
Документированная информация должна быть доступна в качестве свидетельств достижения результатов анализа со стороны руководства.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
10.2
 10.2 Постоянное улучшение 
Организация должна постоянно улучшать приемлемость, адекватность и результативность системы менеджмента информационной безопасности. 
9.1
 9.1 Мониторинг, оценка защищенности, анализ и оценивание
Организация должна оценивать деятельность по обеспечению информационной безопасности, а также результативность системы менеджмента информационной безопасности.
Организация должна определить:
а) объекты мониторинга и оценки защищенности, включая процессы, меры обеспечения информационной безопасности;
b) методы проведения мониторинга, оценки защищенности, анализа и оценивания, обеспечивающие уверенность в достоверности результатов.
Примечание — Допустимыми признаются методы, дающие сопоставимые и воспроизводимые результаты;
с) когда проводить мониторинг и оценку защищенности; 
d) кто должен осуществлять мониторинг и оценку защищенности; 
е) когда анализировать результаты мониторинга и оценки защищенности; 
f) кто должен осуществлять анализ и оценивание этих результатов. 
Организация должна хранить соответствующую документированную информацию в качестве свидетельства результатов мониторинга и оценки защищенности. 
9.3
 9.3 Проверка со стороны руководства 
Высшее руководство должно проводить проверку системы менеджмента информационной безопасности через запланированные интервалы времени в целях обеспечения уверенности в сохраняющейся ее приемлемости, адекватности и результативности. 
Проверка со стороны руководства должна включать рассмотрение: 
а) состояния выполнения решений по результатам предыдущих проверок со стороны руководства; 
b) изменений внешних и внутренних факторов, касающихся системы менеджмента информационной безопасности; 
с) отзывов о результатах деятельности по обеспечению информационной безопасности, включая тенденции: 
1) в выявлении несоответствий и применении корректирующих действий; 
2) результатах мониторинга и оценки защищенности; 
3) результатах аудита; 
4) достижении целей информационной безопасности; 
d) отзывов от заинтересованных сторон; 
е) результатов оценки рисков информационной безопасности и статуса выполнения плана обработки рисков информационной безопасности; 
f) возможностей для постоянного улучшения системы менеджмента информационной безопасности. 
Результаты проверки со стороны руководства должны включать решения, относящиеся к возможностям постоянного улучшения и к необходимости внесения любых изменений в систему менеджмента информационной безопасности организации. 
Организация должна хранить документированную информацию в качестве свидетельства результатов проверок со стороны руководства 
10.1
 10.1 Несоответствие и корректирующие действия 
При появлении несоответствия организация должна: 
а) реагировать на несоответствие и, если применимо: 
1) предпринять необходимые действия, чтобы контролировать и устранить его; 
2) устранять последствия несоответствия; 
b) оценивать необходимость корректирующих действий по устранению причин несоответствия, чтобы избежать его повторения или появления в другом месте посредством: 
1) анализа несоответствия; 
2) определения причин появления несоответствия; 
3) определения наличия подобных несоответствий или потенциальных(ой) возможностей(и) их возникновения; с) выполнять необходимые корректирующие действия; 
d) анализировать результативность предпринятых корректирующих действий; 
е) вносить при необходимости изменения в систему менеджмента информационной безопасности. 
Корректирующие действия должны быть адекватны последствиям выявленных несоответствий. 
Организация должна хранить документированную информацию в качестве свидетельства: 
f) о характере несоответствий и любых последующих предпринимаемых действиях; 
g) результатах любых корректирующих действий. 
9.2
9.2 Внутренний аудит Организация должна проводить внутренние аудиты через запланированных интервалы времени, чтобы получать информацию о том, 
a) соответствует ли система менеджмента информационной безопасности 
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и 
2) требованиям Настоящего Международного Стандарта; 
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна: 
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов; 
d) определить критерии и область аудита для каждой проверки; 
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита; 
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и 
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации; 
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.18.2.1
A.18.2.1 Независимая проверка информационной безопасности 
Мера обеспечения информационной безопасности: Подход организации к менеджменту информационной безопасностью и ее реализация (т. е. цели, меры и средства, политики, процессы и процедуры информационной безопасности) следует проверять независимо друг от друга через запланированные интервалы времени или в случае значительных изменений 
A.16.1.6
A.16.1.6 Анализ инцидентов информационной безопасности 
Мера обеспечения информационной безопасности: Знания, приобретенные в результате анализа и урегулирования инцидентов информационной безопасности, должны использоваться для уменьшения вероятности или влияния будущих инцидентов 
A.18.2.2
A.18.2.2 Соответствие политикам и стандартам безопасности 
Мера обеспечения информационной безопасности: Руководители, в пределах своей зоны ответственности, должны регулярно проверять соответствие процессов и процедур обработки информации соответствующим политикам безопасности, стандартам и другим требованиям безопасности 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
9.2.1 General
9.2.1 General
The organization shall conduct internal audits at planned intervals to provide information on whether the information security management system:
a) conforms to
  1. the organization’s own requirements for its information security management system; and
  2. the requirements of this document;
b) is effectively implemented and maintained. 
9.1 Monitoring, measurement, analysis and evaluation
9.1 Monitoring, measurement, analysis and evaluation
The organization shall determine:
  • a) what needs to be monitored and measured, including information security processes and controls;
  • b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results. The methods selected should produce comparable and reproducible results to be considered valid;
  • c) when the monitoring and measuring shall be performed;
  • d) who shall monitor and measure;
  • e) when the results from monitoring and measurement shall be analysed and evaluated; and
  • f) who shall analyse and evaluate these results
Documented information shall be available as evidence of the results.
The organization shall evaluate the information security performance and the effectiveness of the information security management system.
10.2 Nonconformity and corrective action
10.2 Nonconformity and corrective action
When a nonconformity occurs, the organization shall:
  • a) react to the nonconformity, and as applicable:
    • 1) take action to control and correct it;
    • 2) deal with the consequences;
  • b) evaluate the need for action to eliminate the causes of nonconformity, in order that it does not recur or occur elsewhere, by:
    • 1) reviewing the nonconformity;
    • 2) determining the causes of the nonconformity; and
    • 3) determining if similar nonconformities exist, or could potentially occur;
  • c) implement any action needed;
  • d) review the effectiveness of any corrective action taken; and
  • e) make changes to the information security management system, if necessary. 
Corrective actions shall be appropriate to the effects of the nonconformities encountered.
Documented information shall be available as evidence of:
  • f) the nature of the nonconformities and any subsequent actions taken, and
  • g) the results of any corrective action.
9.3.1 General
9.3.1 General
Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
9.3.2 Management review inputs
9.3.2 Management review inputs
The management review shall include consideration of:
  • a) the status of actions from previous management reviews;
  • b) changes in external and internal issues that are relevant to the information security management system;
  • c) changes in needs and expectations of interested parties that are relevant to the information security management system;
  • d) feedback on the information security performance, including trends in:
    • 1) nonconformities and corrective actions;
    • 2) monitoring and measurement results;
    • 3) audit results;
    • 4) fulfilment of information security objectives;
  • e) feedback from interested parties;
  • f) results of risk assessment and status of risk treatment plan;.
  • g) opportunities for continual improvement
9.2.2 Internal audit programme
9.2.2 Internal audit programme
The organization shall plan, establish, implement and maintain an audit programme (s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme (s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
  • a) define the audit criteria and scope for each audit;
  • b) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
  • c) ensure that the results of the audits are reported to relevant management; and
Documented information shall be available as evidence of the implementation of the audit programme (s) and the audit results.
8.1 Operational planning and control
8.1 Operational planning and control
The organization shall plan, implement and control the processes needed to meet information security requirements, and to implement the actions determined in Clause 6, by:
  • establishing criteria for the processes;
  • implementing control of the processes in accordance with the criteria.
Documented information shall be available to the extent necessary to have confidence that the processes have been carried out as planned.
The organization shall control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects, as necessary.
The organization shall ensure that externally provided processes, products or services that are relevant to the information security management system are controlled.
10.1 Continual improvement
10.1 Continual improvement
The organization shall continually improve the suitability, adequacy and effectiveness of the information security management system.
9.3.3 Management review results
9.3.3 Management review results
The results of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.
Documented information shall be available as evidence of the results of management reviews.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.36
А.5.36 Соответствие политикам, правилам и стандартам по ИБ
Должно регулярно проверяться соответствие принятым в организации Политике ИБ, специфическим тематическим политикам, правилам и стандартам в области ИБ.
А.5.35
А.5.35 Независимые проверки ИБ
Принятый в организации подход к управлению ИБ и его реализация, включая людей, процессы и технологии, должны подвергаться независимой проверке через запланированные интервалы времени или в случае существенных изменений.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.35
А.5.35 Independent review of information security
The organization’s approach to managing information security and its implementation including people, processes and technologies shall be reviewed independently at planned intervals, or when significant changes occur.
А.5.36
А.5.36 Compliance with policies, rules and standards for information security
Compliance with the organization’s information security policy, topic-specific policies, rules and standards shall be regularly reviewed.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 7.8
8.7.8. Подразделение (подразделения), ответственное (ответственные) за обеспечение функционирования информационных систем, не реже одного раза в год проводит (проводят) анализ необходимости пересмотра требований к информационным системам с учетом текущих и стратегических планов развития, их влияния на процессы, оценки уровня операционного риска, отраженной в отчетах по операционному риску, и мероприятий, направленных на повышение качества системы операционным риском и уменьшение негативного влияния операционного риска, а также с учетом отчетов службы информационной безопасности и подразделения, ответственного за обеспечение информационной безопасности, и направляет результаты анализа коллегиальному исполнительному органу кредитной организации (головной кредитной организации банковской группы) для принятия решения о пересмотре требований к информационным системам.

Связанные защитные меры

Ничего не найдено