Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

NIST Cybersecurity Framework

Framework

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования":
6.1.1 Общие положения Планируя систему менеджмента информационной безопасности, организация должна принять во внимание проблемы, упомянутые в разделе 4.1 и требования, установленные в разделе 4.2, а также определить риски и потенциальные возможности, которые необходимо принять во внимание, чтобы:
a) гарантировать, что система менеджмента информационной безопасности может достигать ожидаемых результатов;
b) предотвратить или уменьшить нежелательные эффекты; и
c) достичь непрерывного совершенствования. Организация должна планировать:
d) действия по обработке этих рисков и реализации возможностей; и
e) каким образом
  • 1) встраивать эти действия в процессы системы менеджмента информационной безопасности и выполнять их;
  • 2) оценивать результативность этих действий.
6.1.3 Обработка рисков информационной безопасности Организация должна определить и выполнять процесс обработки рисков информационной безопасности с целью:
a) выбрать соответствующие методы обработки рисков информационной безопасности с учетом результатов оценки рисков;
b) определить любые средства управления, которые необходимы для реализации выбранных методов обработки рисков информационной безопасности; ПРИМЕЧАНИЕ Организации могут самостоятельно разрабатывать средства управления или взять их из любого источника.
c) сравнить средства управления, определенные при выполнении требований п. 6.1.3 b), с приведенными в приложении A, и удостовериться, что никакие из необходимых средств управления не были упущены из виду; ПРИМЕЧАНИЕ 1 Приложение A содержит полный перечень задач управления и соответствующих средств для их реализации. Пользователи Настоящего Международного Стандарта обязаны использовать Приложение A с тем, чтобы гарантировать, что никакие необходимые средства управления не были пропущены. ПРИМЕЧАНИЕ 2 Задачи управления неявным образом включены в выбранные средства управления. Задачи управления и средства их реализации, перечисленные в Приложении A, не являются исчерпывающими и могут потребоваться дополнительные задачи и средства управления.
d) сформировать Заявление о применимости, которое содержит:
- необходимые средства управления (см.6.1.3 b) и c));
- обоснование их применения;
- применяются ли эти средства управления в данный момент или нет; а также
- обоснование исключения любых средств управления, приведенных в Приложении A;
e) разработать план обработки рисков информационной безопасности; и
f) получить одобрение плана от владельцев риска и подтверждение принятия остаточных рисков информационной безопасности. Организация должна сохранять данные процесса обработки рисков информационной безопасности как документированную информацию. ПРИМЕЧАНИЕ Процессы оценки и обработки рисков информационной безопасности в Настоящем Международном Стандарте согласуются с принципами и общими руководящими указаниями, приведенными в ISO 31000.
6.1.2 Оценка рисков информационной безопасности Организация должна определить и применять процесс оценки рисков информационной безопасности, который:
a) устанавливает и обеспечивает применение критериев оценки информационной безопасности, включающие в себя:
1) критерии приемлемости риска; и
2) критерии для оценки рисков информационной безопасности;
b) гарантирует, что производимые оценки рисков информационной безопасности дают непротиворечивые, обоснованные и сопоставимые результаты;
c) обеспечивает выявление рисков информационной безопасности:
1) включает в себя процесс оценки рисков информационной безопасности, направленный на идентификацию рисков, связанных с потерей конфиденциальности, целостности и возможности применения информации в рамках области действия системы менеджмента информационной безопасности; и
2) обеспечивает определение владельцев риска;
d) обеспечивает анализ рисков информационной безопасности:
1) оценку потенциальных последствий в том случае, если бы риски, идентифицированные при выполнении требований п. 6.1.2. c) 1) реализовались;
2) оценку реальной вероятности реализации рисков, идентифицированных при выполнении требований п. 6.1.2. c) 1); и
3) определение величины риска;
e) обеспечивает оценку рисков информационной безопасности:
1) сравнение результатов анализа рисков с критериями риска, установленными при выполнении требований п. 6.1.2. а); и
2) расстановку рисков по приоритетам для последующей обработки рисков. Организация должна сохранять данные процесса оценки рисков информационной безопасности как документированную информацию.
6.2 Цели в области информационной безопасности и планирование их достижения Организация должна установить цели в области информационной безопасности для соответствующих функций и уровней. Цели в области информационной безопасности должны:
a) быть согласованными с политикой информационной безопасности;
b) быть измеримыми (если возможно);
c) учитывать действующие требования к информационной безопасности, а также результаты оценки и обработки рисков;
d) быть сообщены персоналу; и
e) соответствующим образом обновляться. Организация должна сохранять данные по целям в области информационной безопасности как документированную информацию. При планировании, каким образом достигнуть своих целей в области информационной безопасности, организация должна определить:
f) что будет сделано;
g) какие ресурсы потребуются;
h) кто будет ответственным;
i) когда цели будут достигнуты;
j) как результаты будут оцениваться.

Связанные защитные меры

Название Дата Влияние
Community
6 / 1
Разработка высокоуровневой политики информационной безопасности
Разово Вручную Организационная Удерживающая
03.06.2021
03.06.2021 6 / 1
Общая и публичная политика постулирующая позицию компании по вопросам информационной безопасности.