Куда я попал?
NIST Cybersecurity Framework (EN)
Framework
RC.CO-3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 5 п. 3
5.3 Функции, обязанности и полномочия
Высшее руководство должно обеспечивать распределение функций, ответственности и полномочий в СМНД. и обмен данной информацией внутри организации.
Высшее руководство должно возложить ответственность и полномочия:
Высшее руководство должно обеспечивать распределение функций, ответственности и полномочий в СМНД. и обмен данной информацией внутри организации.
Высшее руководство должно возложить ответственность и полномочия:
- а) за обеспечение соответствия СМНД требованиям настоящего стандарта;
- b) отчетность о работе СМНД перед высшим руководством.
Р. 7 п. 2
7.2 Компетентность
Организация должна:
Организация должна:
- а) определить необходимую компетентность лица (лиц), выполняющего работу по управлению, которая влияет на показатели в области непрерывности деятельности;
- b) обеспечить компетентность этих лиц на основе соответствующего образования, обучения или опыта;
- с) (если применимо), предпринять действия для приобретения необходимой компетенции и оценить результативность предпринятых действий;
- d) хранить соответствующую документированную информацию в качестве доказательства компетентности.
Примечание — Применимые действия могут включать, например, предоставление обучения, наставничество или переназначение работающих сотрудников, наем или заключение контракта с компетентными лицами.
NIST Cybersecurity Framework (RU):
RC.CO-3
RC.CO-3: Действия по восстановлению передаются внутренним заинтересованным сторонам, а также высшему руководству и компанде управления
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.43
ВРВ.43 Организация и выполнение деятельности по информированию должностного лица, ответственного за функционирование системы управления риском реализации информационных угроз, по каждому факту реализации инцидентов:
- о масштабах влияния реализации инцидента на осуществление видов деятельности финансовой организации, влиянии на фактические значения КПУР, предусмотренные ГОСТ Р 57580.3;
- о бизнес- и технологических процессах, на непрерывность выполнения которых было оказано влияние в результате реализации инцидента;
- о сроках и условиях, при которых будет восстановлено выполнение бизнес- и технологических процессов, в том числе восстановлено функционирование задействованных объектов информатизации;
- о предпринятых и запланированных действиях в рамках реагирования на инциденты и восстановления после их реализации, а также статусе выполнения соответствующих работ;
- о сведениях, которые могут быть раскрыты и доведены до потребителей финансовых услуг.
ВРВ.44
ВРВ.44 Организация и выполнение деятельности по информированию причастных сторон (за исключением клиентов финансовой организации):
- о влиянии реализации инцидента на непрерывность выполнения взаимосвязанных и взаимозависимых бизнес- и технологических процессов;
- о предпринятых и запланированных действиях в рамках реагирования на инциденты и восстановления после их реализации, а также статусе выполнения соответствующих работ.
ВРВ.45
ВРВ.45 Организация и выполнение деятельности по информированию клиентов финансовой организации в рамках взаимодействия при реализации инцидентов:
- о влиянии инцидента на предоставление финансовых и (или) информационных услуг, а также на конфиденциальность данных клиентов финансовой организации, в том числе их аутентификационных данных, используемых в рамках каналов дистанционного обслуживания;
- о планируемых сроках и условиях, которые необходимы для восстановления предоставления финансовой организацией финансовых и (или) информационных услуг;
- о рекомендуемых действиях, которые следует предпринять клиентам финансовой организации для снижения риска реализации информационных угроз.
ВРВ.42
ВРВ.42 Организация и выполнение деятельности по подготовке и направлению на рассмотрение совету директоров (наблюдательному совету) или коллегиальному исполнительному органу финансовой организации отчетов (в том числе согласно требованиям нормативных актов Банка России) о реагировании на инциденты и восстановлении после их реализации не реже одного раза в год, оказавших влияние на фактические значения КПУР, предусмотренные ГОСТ Р57580.3 (с указанием информации, характеризующей влияние инцидентов на фактические значения КПУР).
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
7.4 Осведомленность
7.4 Коммуникации
Организация должна определить потребность во внутренних и внешних коммуникациях, относящихся к системе менеджмента информационной безопасности, включая:
Организация должна определить потребность во внутренних и внешних коммуникациях, относящихся к системе менеджмента информационной безопасности, включая:
- a) что сообщать;
- b) когда связываться;
- c) с кем связываться;
- d) как связываться.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
7.4
7.4 Взаимодействие
В организации должна быть определена необходимость во взаимодействии внутри организации и с внешними сторонами по вопросам, имеющим отношение к системе менеджмента информационной безопасности, включая следующие:
а) предмет взаимодействия;
b) когда взаимодействовать;
с) с кем взаимодействовать;
d) кто должен взаимодействовать;
е) процедуры осуществления взаимодействия.
В организации должна быть определена необходимость во взаимодействии внутри организации и с внешними сторонами по вопросам, имеющим отношение к системе менеджмента информационной безопасности, включая следующие:
а) предмет взаимодействия;
b) когда взаимодействовать;
с) с кем взаимодействовать;
d) кто должен взаимодействовать;
е) процедуры осуществления взаимодействия.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.4 Communication
7.4 Communication
The organization shall determine the need for internal and external communications relevant to the information security management system including:
The organization shall determine the need for internal and external communications relevant to the information security management system including:
- a) on what to communicate;
- b) when to communicate;
- c) with whom to communicate;
- d) how to communicate.
Связанные защитные меры
Ничего не найдено