Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям NIST Cybersecurity Framework (... RS.CO-5
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

NIST Cybersecurity Framework (EN)

Framework

RS.CO-5

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 7
6.7. Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению осведомленности об информационных угрозах:
  • организация взаимодействия кредитной организации и иных участников технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
  • использование информации об актуальных сценариях реализации информационных угроз в целях обеспечения непрерывного оказания банковских услуг.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 5 п. 2 пп. 2
 5.2.2 Обмен информацией о политике в области обеспечения непрерывности деятельности 
Политика в области обеспечения непрерывности деятельности должна: 
  • а) быть доступна в качестве документированной информации; 
  • b) включена в процесс обмен информацией внутри организации; 
  • с) доступна для соответствующих заинтересованных сторон. 
Р. 8 п. 4 пп. 3 ппп. 2
 8.4.3.2 Если применимо, должно быть учтено и применено следующее: 
  • а) аварийное оповещение заинтересованных сторон, которые могут быть затронуты фактическим или надвигающимся нарушением деятельности организации; 
  • b) обеспечение надлежащей координации и обмена информацией между несколькими ответственными организациями. 
 Процедуры предупреждения и обмена информацией должны быть выполнены в соответствии с программой учений организации (см. 8.5.) 
Р. 7 п. 2
 7.2 Компетентность 
Организация должна: 
  • а) определить необходимую компетентность лица (лиц), выполняющего работу по управлению, которая влияет на показатели в области непрерывности деятельности; 
  • b) обеспечить компетентность этих лиц на основе соответствующего образования, обучения или опыта; 
  • с) (если применимо), предпринять действия для приобретения необходимой компетенции и оценить результативность предпринятых действий; 
  • d) хранить соответствующую документированную информацию в качестве доказательства компетентности. 
Примечание — Применимые действия могут включать, например, предоставление обучения, наставничество или переназначение работающих сотрудников, наем или заключение контракта с компетентными лицами. 
Р. 8 п. 4 пп. 3 ппп. 1
 8.4.3.1 Организация должна документировать и поддерживать процедуры: 
  • а) обмена информацией с внутренними и внешними соответствующими заинтересованными сторонами, в том числе о вопросах, сроках и участниках обмена информацией;
 Примечание — Организация может документировать и поддерживать процедуры о способах и условиях обмена информацией с сотрудниками по аварийным контактам. 

  • b) получения, документирования и ответа при обмене информацией с заинтересованными сторонами. включая все государственные или региональные системы консультирования по риску или аналогичные структуры; 
  • с) обеспечения доступности средств связи при нарушении деятельности организации; 
  • d) облегчения структурированного обмена информацией с аварийными службами; 
  • е) предоставления подробной информации об ответных действиях организации в СМИ после инцидента. включая стратегию обмена информацией; 
  • f) записи деталей нарушения деятельности организации, предпринятых действий и принятых решений. 
Р. 7 п. 4
 7.4 Обмен информацией 
Организация должна определить внутренние и внешние способы обмена информацией, которые относятся к СМНД. включая: 
  • а) предмет обмена информацией; 
  • b) сроки и периодичность обмена информацией; 
  • с) участников обмена информацией; 
  • d) способы обмена информацией; 
  • е) организаторов обмена информацией. 
NIST Cybersecurity Framework (RU):
RS.CO-5
RS.CO-5: Для достижения более широкой осведомленности о кибербезопасности происходит добровольный обмен информацией с внешними заинтересованными сторонами 
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.5
ВРВ.5 Организация и выполнение деятельности по получению сведений об актуальных индикаторах компрометации объектов информатизации от:
  • Банка России, осуществляющего направление таких сведений в соответствии с требованиями законодательства Российской Федерации;
  • доверенных причастных сторон, осуществляющих направление таких сведений.
ОСО.3
ОСО.3 Организация и выполнение деятельности по получению информации о возможных сценариях реализации информационных угроз от доверенных внешних организаций, в том числе в рамках участия в соответствующих сообществах.
ОСО.2
ОСО.2 Организация и выполнение деятельности по получению от Банка России и по направлению информации о возможных сценариях реализации информационных угроз с использованием технической инфраструктуры Банка России.
ОСО.1
ОСО.1 Организация и выполнение деятельности по получению от причастных сторон (за исключением клиентов финансовой организации) и по направлению информации о возможных сценариях реализации информационных угроз.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.6.2
12.6.2
Defined Approach Requirements: 
The security awareness program is: 
  • Reviewed at least once every 12 months, and
  • Updated as needed to address any new threats and vulnerabilities that may impact the security of the entity’s CDE, or the information provided to personnel about their role in protecting cardholder data. 
Customized Approach Objective:
The content of security awareness material is reviewed and updated periodically. 

Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 12.6.2 Examine security awareness program content, evidence of reviews, and interview personnel to verify that the security awareness program is in accordance with all elements specified in this requirement. 
Purpose:
The threat environment and an entity’s defenses are not static. As such, the security awareness program materials must be updated as frequently as needed to ensure that the education received by personnel is up to date and represents the current threat environment. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.6.1.4
A.6.1.4  Взаимодействие с заинтересованными профессиональными группами 
Мера обеспечения информационной безопасности: Следует поддерживать соответствующее взаимодействие с заинтересованными профессиональными группами и ассоциациями или форумами, проводимыми специалистами по безопасности 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.6.2
12.6.2
Определенные Требования к Подходу:
Программа повышения осведомленности о безопасности - это:
  • Пересматривается не реже одного раза в 12 месяцев, и
  • Обновляется по мере необходимости для устранения любых новых угроз и уязвимостей, которые могут повлиять на безопасность CDE организации, или информации, предоставляемой персоналу об их роли в защите данных о держателях карт.
Цель Индивидуального подхода:
Содержание информационных материалов по вопросам безопасности периодически пересматривается и обновляется.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 12.6.2 Изучите содержание программы повышения осведомленности о безопасности, доказательства проверок и опросите персонал, чтобы убедиться, что программа повышения осведомленности о безопасности соответствует всем элементам, указанным в этом требовании.
Цель:
Среда угроз и средства защиты объекта не являются статичными. Таким образом, материалы программы повышения осведомленности о безопасности должны обновляться так часто, как это необходимо, чтобы гарантировать, что обучение, полученное персоналом, является актуальным и отражает текущую среду угроз.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.6
А.5.6 Контакты со специализированными группами
Организация должна установить и поддерживать контакты со специализированными группами или форумами специалистов по безопасности и профессиональными ассоциациями.
Положение Банка России № 808-П от 17.10.2022 "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций":
Глава 2 Пункт 9
2.9. Бюро кредитных историй должны осуществлять информирование Банка России:
  • о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный бюро кредитных историй или Банком России инцидент защиты информации;
  • о принадлежащих бюро кредитных историй и (или) об администрируемых в их интересах сайтах в сети "Интернет", которые используются бюро кредитных историй для осуществления своей деятельности;
  • о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия. Бюро кредитных историй должны предоставлять в Банк России сведения, указанные в абзацах втором - четвертом настоящего пункта, с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности взаимодействия бюро кредитных историй с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России бюро кредитных историй должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети "Интернет".
Глава 2 Пункт 2
2.2. Бюро кредитных историй должны формировать для субъектов взаимодействия рекомендации по защите информации от воздействия вредоносных кодов в целях противодействия неправомерному разглашению и незаконному использованию защищаемой информации.

Бюро кредитных историй должны доводить до субъектов взаимодействия следующую информацию:
  • о возможных рисках получения несанкционированного доступа к защищаемой информации лицами, не обладающими правом ее обработки, хранения и передачи;
  • о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) субъектом взаимодействия устройства, с использованием которого им совершались действия в целях обработки, хранения и передачи защищаемой информации, по контролю конфигурации устройства, с использованием которого субъектом взаимодействия совершаются действия в целях обработки, хранения и передачи защищаемой информации, и своевременному обнаружению воздействия вредоносных кодов.
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.10.
1.10. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать выполнение следующих требований в отношении обеспечения своей осведомленности об актуальных информационных угрозах:
  • организацию взаимодействия с иными участниками технологического процесса при обмене информацией об актуальных сценариях реализации информационных угроз;
  • использование информации об актуальных сценариях реализации информационных угроз для цели обеспечения непрерывного оказания финансовых услуг.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
6.1.4
6.1.4 Взаимодействие с профессиональными сообществами

Мера обеспечения ИБ
Должно поддерживаться соответствующее взаимодействие с заинтересованными профессиональными сообществами и ассоциациями или форумами, проводимыми специалистами по безопасности.

Руководство по применению
Членство в специализированных группах или сообществах следует рассматривать как средство для:
  • a) получения актуальной информации о происходящем в сфере ИБ и расширения знаний о лучших практиках;
  • b) обеспечения актуальности и полноты понимания среды ИБ;
  • c) получения заблаговременных оповещений об опасностях, рекомендациях и исправлениях, касающихся атак и уязвимостей;
  • d) получения консультаций у специалистов по ИБ;
  • e) всестороннего обмена информацией о новых технологиях, продуктах, угрозах и уязвимостях;
  • f) обеспечения подходящих точек взаимодействия при обработке инцидентов ИБ (раздел 16).

Дополнительная информация
Для улучшения сотрудничества и координации в вопросах безопасности могут быть заключены соглашения об обмене информацией. Такие соглашения должны определять требования к защите конфиденциальной информации.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.6
А.5.6 Contact with special interest groups
The organization shall establish and maintain contact with special interest groups or other specialist security forums and professional associations.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.