Куда я попал?
NIST Cybersecurity Framework (EN)
Framework
RS.CO-3
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 7 п. 5 пп. 3 ппп. 2
7.5.3.2 Для управления документированной информацией организация должка рассмотреть следующие виды действий с документацией:
- а) распространение, доступ, поиск и использование;
- b) хранение и сохранение, в том числе сохранение разборчивости;
- с) управление изменениями (например, управление версиями);
- d) хранение и распоряжение (в том числе утилизация).
Документированная информация внешнего происхождения, необходимая организации для планирования и эксплуатации СМНД должна быть идентифицирована, и при необходимости должна контролироваться.
Примечание — Доступ может подразумевать решение относительно разрешения только на просмотр документированной информации или на просмотр и изменение документированной информации.
Примечание — Доступ может подразумевать решение относительно разрешения только на просмотр документированной информации или на просмотр и изменение документированной информации.
Р. 8 п. 4 пп. 4 ппп. 1
8.4.4.1 Организация должна документировать и поддерживать планы и процедуры обеспечения непрерывности деятельности. Эти планы должны обеспечивать руководство и информацию, чтобы помочь командам реагировать на нарушение деятельности организации и помочь организации в реагировании на нарушение деятельности и восстановлении последних.
Р. 7 п. 4
7.4 Обмен информацией
Организация должна определить внутренние и внешние способы обмена информацией, которые относятся к СМНД. включая:
Организация должна определить внутренние и внешние способы обмена информацией, которые относятся к СМНД. включая:
- а) предмет обмена информацией;
- b) сроки и периодичность обмена информацией;
- с) участников обмена информацией;
- d) способы обмена информацией;
- е) организаторов обмена информацией.
NIST Cybersecurity Framework (RU):
RS.CO-3
RS.CO-3: Информация передается в соответствии с планами реагирования
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
6.1.2 Оценка рисков информационной безопасности
6.1.2 Оценка рисков информационной безопасности
Организация должна определить и применять процесс оценки рисков информационной безопасности, который
Организация должна определить и применять процесс оценки рисков информационной безопасности, который
- а) устанавливает и поддерживает критерии рисков информационной безопасности, которые включают в себя:
- 1) критерии приемлемости рисков; а также
- 2) критерии выполнения оценок рисков информационной безопасности;
- b) обеспечивает выработку повторяющимися оценками рисков информационной безопасности цельных, достоверных и сравнимых результатов;
- c) выявляет риски информационной безопасности:
- 1) применение процесса оценки рисков информационной безопасности с целью выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в пределах области действия системы менеджмента информационной безопасности; а также
- 2) выявление владельцев рисков;
- d) анализирует риски информационной безопасности:
- 1) оценка возможных последствий, которые могут произойти в результате реализации рисков, выявленных в п.6.1.2 с)1);
- 2) оценка реалистичной вероятности реализации рисков, выявленных в п.6.1.2 с)1); а также
- 3) определение уровней рисков;
- e) оценивает риски информационной безопасности:
- 1) сравнение результатов анализа рисков с критериями, установленными в п.6.1.2 а); а также
- 2) расставляет приоритеты обработки проанализированных рисков.
Организация должна сохранять документированную информацию о процессе оценки рисков информационной безопасности.
7.4 Осведомленность
7.4 Коммуникации
Организация должна определить потребность во внутренних и внешних коммуникациях, относящихся к системе менеджмента информационной безопасности, включая:
Организация должна определить потребность во внутренних и внешних коммуникациях, относящихся к системе менеджмента информационной безопасности, включая:
- a) что сообщать;
- b) когда связываться;
- c) с кем связываться;
- d) как связываться.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
7.4
7.4 Взаимодействие
В организации должна быть определена необходимость во взаимодействии внутри организации и с внешними сторонами по вопросам, имеющим отношение к системе менеджмента информационной безопасности, включая следующие:
а) предмет взаимодействия;
b) когда взаимодействовать;
с) с кем взаимодействовать;
d) кто должен взаимодействовать;
е) процедуры осуществления взаимодействия.
В организации должна быть определена необходимость во взаимодействии внутри организации и с внешними сторонами по вопросам, имеющим отношение к системе менеджмента информационной безопасности, включая следующие:
а) предмет взаимодействия;
b) когда взаимодействовать;
с) с кем взаимодействовать;
d) кто должен взаимодействовать;
е) процедуры осуществления взаимодействия.
6.1.2
6.1.2 Оценка рисков информационной безопасности
Организация должна определить и внедрить процесс оценки рисков информационной безопасности, который позволяет:
а) устанавливать и поддерживать критерии рисков информационной безопасности, включая:
1) критерии принятия рисков информационной безопасности;
2) критерии для проведения оценки рисков информационной безопасности;
b) обеспечивать уверенность в том, что повторные оценки рисков информационной безопасности дают непротиворечивые, достоверные и сопоставимые результаты;
с) идентифицировать риски информационной безопасности, т. е.:
1) применять процесс оценки рисков информационной безопасности для идентификации рисков, связанных с нарушением конфиденциальности, целостности и доступности информации в рамках области действия системы менеджмента информационной безопасности;
2) идентифицировать владельцев рисков информационной безопасности;
d) проводить анализ рисков информационной безопасности, т. е.:
1) оценивать потенциальные последствия, которые могут произойти в результате реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);
2) оценивать реальную вероятность реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);
3) определять уровни рисков информационной безопасности;
е) оценивать риски информационной безопасности, т. е.:
1) сравнивать результаты анализа рисков информационной безопасности с критериями рисков, установленными в соответствии с 6.1.2 а);
2) определять приоритетность обработки проанализированных рисков информационной безопасности.
Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности.
Организация должна определить и внедрить процесс оценки рисков информационной безопасности, который позволяет:
а) устанавливать и поддерживать критерии рисков информационной безопасности, включая:
1) критерии принятия рисков информационной безопасности;
2) критерии для проведения оценки рисков информационной безопасности;
b) обеспечивать уверенность в том, что повторные оценки рисков информационной безопасности дают непротиворечивые, достоверные и сопоставимые результаты;
с) идентифицировать риски информационной безопасности, т. е.:
1) применять процесс оценки рисков информационной безопасности для идентификации рисков, связанных с нарушением конфиденциальности, целостности и доступности информации в рамках области действия системы менеджмента информационной безопасности;
2) идентифицировать владельцев рисков информационной безопасности;
d) проводить анализ рисков информационной безопасности, т. е.:
1) оценивать потенциальные последствия, которые могут произойти в результате реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);
2) оценивать реальную вероятность реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1);
3) определять уровни рисков информационной безопасности;
е) оценивать риски информационной безопасности, т. е.:
1) сравнивать результаты анализа рисков информационной безопасности с критериями рисков, установленными в соответствии с 6.1.2 а);
2) определять приоритетность обработки проанализированных рисков информационной безопасности.
Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.2
A.16.1.2 Сообщения о событиях информационной безопасности
Мера обеспечения информационной безопасности: Требуется как можно скорее сообщать о событиях информационной безопасности по соответствующим каналам управления
Мера обеспечения информационной безопасности: Требуется как можно скорее сообщать о событиях информационной безопасности по соответствующим каналам управления
A.16.1.3
A.16.1.3 Сообщения о недостатках информационной безопасности
Мера обеспечения информационной безопасности: Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки информационной безопасности в системах или сервисах и сообщать о них
Мера обеспечения информационной безопасности: Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки информационной безопасности в системах или сервисах и сообщать о них
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
6.1.2 Information security risk assessment
6.1.2 Information security risk assessment
The organization shall define and apply an information security risk assessment process that:
The organization shall define and apply an information security risk assessment process that:
- a) establishes and maintains information security risk criteria that include:
- 1) the risk acceptance criteria; and
- 2) criteria for performing information security risk assessments;
- b) ensures that repeated information security risk assessments produce consistent, valid and comparable results;
- c) identifies the information security risks:
- 1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and
- 2) identify the risk owners;
- d) analyses the information security risks:
- e) evaluates the information security risks:
- 1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and
- 2) prioritize the analysed risks for risk treatment.
The organization shall retain documented information about the information security risk assessment process.
7.4 Communication
7.4 Communication
The organization shall determine the need for internal and external communications relevant to the information security management system including:
The organization shall determine the need for internal and external communications relevant to the information security management system including:
- a) on what to communicate;
- b) when to communicate;
- c) with whom to communicate;
- d) how to communicate.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.8
А.6.8 Сообщения о событиях ИБ
Организация должна предоставить персоналу механизм для своевременного сообщения о наблюдаемых или предполагаемых событиях ИБ по соответствующим каналам.
Организация должна предоставить персоналу механизм для своевременного сообщения о наблюдаемых или предполагаемых событиях ИБ по соответствующим каналам.
Положение Банка России № 808-П от 17.10.2022 "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций":
Глава 2 Пункт 9
2.9. Бюро кредитных историй должны осуществлять информирование Банка России:
- о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный бюро кредитных историй или Банком России инцидент защиты информации;
- о принадлежащих бюро кредитных историй и (или) об администрируемых в их интересах сайтах в сети "Интернет", которые используются бюро кредитных историй для осуществления своей деятельности;
- о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия. Бюро кредитных историй должны предоставлять в Банк России сведения, указанные в абзацах втором - четвертом настоящего пункта, с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности взаимодействия бюро кредитных историй с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России бюро кредитных историй должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети "Интернет".
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.2
ИНЦ.2 Информирование о компьютерных инцидентах
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИНЦ.2
ИНЦ.2 Информирование о компьютерных инцидентах
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.8
А.6.8 Information security event reporting
The organization shall provide a mechanism for personnel to report observed or suspected information security events through appropriate channels in a timely manner.
The organization shall provide a mechanism for personnel to report observed or suspected information security events through appropriate channels in a timely manner.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.