Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 3.1.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 6 п.п. 6
8.6.6. Документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ, должны детализировать положения политики (частных политик) ИБ и не противоречить им.
Р. 8 п. 6 п.п. 2
8.6.2. В организации БС РФ должны разрабатываться/корректироваться следующие внутренние документы:
- политика ИБ организации БС РФ;
- частные политики ИБ организации БС РФ;
- документы, регламентирующие процедуры выполнения отдельных видов деятельности, связанных с обеспечением ИБ организации БС РФ.
Кроме того, должен быть определен перечень и формы документов, являющихся свидетельством выполнения деятельности по обеспечению ИБ в организации БС РФ.
Политика ИБ организации БС РФ должна быть утверждена руководством
Политика ИБ организации БС РФ должна быть утверждена руководством
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.19.10
ОПР.19.10 Ответственность за соблюдение требований политики управления риском реализации информационных угроз;
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.1.1
3.1.1
Defined Approach Requirements:
All security policies and operational procedures that are identified in Requirement 3 are:
Defined Approach Requirements:
All security policies and operational procedures that are identified in Requirement 3 are:
- Documented.
- Kept up to date.
- In use.
- Known to all affected parties
Customized Approach Objective:
Expectations, controls, and oversight for meeting activities within Requirement 3 are defined and adhered to by affected personnel. All supporting activities are repeatable, consistently applied, and conform to management’s intent.
Defined Approach Testing Procedures:
Expectations, controls, and oversight for meeting activities within Requirement 3 are defined and adhered to by affected personnel. All supporting activities are repeatable, consistently applied, and conform to management’s intent.
Defined Approach Testing Procedures:
- 3.1.1 Examine documentation and interview personnel to verify that security policies and operational procedures identified in Requirement 3 are managed in accordance with all elements specified in this requirement.
Purpose:
Requirement 3.1.1 is about effectively managing and maintaining the various policies and procedures specified throughout Requirement 3. While it is important to define the specific policies or procedures called out in Requirement 3, it is equally important to ensure they are properly documented, maintained, and disseminated.
Good Practice:
It is important to update policies and procedures as needed to address changes in processes, technologies, and business objectives. For this reason, consider updating these documents as soon as possible after a change occurs and not only on a periodic cycle.
Examples:
Security policies define the entity’s security objectives and principles. Operational procedures describe how to perform activities, and define the controls, methods, and processes that are followed to achieve the desired result in a consistent manner and in accordance with policy objectives.
Requirement 3.1.1 is about effectively managing and maintaining the various policies and procedures specified throughout Requirement 3. While it is important to define the specific policies or procedures called out in Requirement 3, it is equally important to ensure they are properly documented, maintained, and disseminated.
Good Practice:
It is important to update policies and procedures as needed to address changes in processes, technologies, and business objectives. For this reason, consider updating these documents as soon as possible after a change occurs and not only on a periodic cycle.
Examples:
Security policies define the entity’s security objectives and principles. Operational procedures describe how to perform activities, and define the controls, methods, and processes that are followed to achieve the desired result in a consistent manner and in accordance with policy objectives.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.5.1.1
A.5.1.1 Политики информационной безопасности
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон
A.5.1.2
A.5.1.2. Пересмотр политик информационной безопасности
Мера обеспечения информационной безопасности: Политики информационной безопасности должны пересматриваться через запланированные интервалы времени или в случае происходящих существенных изменений для обеспечения уверенности в сохранении их приемлемости, адекватности и результативности
Мера обеспечения информационной безопасности: Политики информационной безопасности должны пересматриваться через запланированные интервалы времени или в случае происходящих существенных изменений для обеспечения уверенности в сохранении их приемлемости, адекватности и результативности
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.1
А.5.1 Политики в области ИБ
Политика ИБ, а также специфические тематические политики должны быть определены, утверждены руководством, опубликованы, доведены до сведения соответствующего персонала и заинтересованных сторон, признаны ими; также эти политики должны пересматриваться через запланированные интервалы времени и в случае возникновения существенных изменений.
Политика ИБ, а также специфические тематические политики должны быть определены, утверждены руководством, опубликованы, доведены до сведения соответствующего персонала и заинтересованных сторон, признаны ими; также эти политики должны пересматриваться через запланированные интервалы времени и в случае возникновения существенных изменений.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
5.1.2
5.1.2 Пересмотр политик информационной безопасности
Мера обеспечения ИБ
Мера обеспечения ИБ
Политики ИБ должны пересматриваться через запланированные интервалы времени или в случае происходящих существенных изменений для обеспечения уверенности в сохранении их приемлемости, адекватности и результативности.
Руководство по применению
Каждой политике должен быть назначен владелец, за которым утверждена ответственность по разработке, пересмотру и оценке. Пересмотр должен включать в себя оценку возможностей для улучшения политик организации и подхода к менеджменту ИБ в ответ на изменения в среде организации, обстоятельств бизнеса, применимых нормативных и правовых актах или технической среде.
При пересмотре политик ИБ следует учитывать результаты проверок со стороны высшего руководства.
Высшее руководство должно утвердить пересмотренную политику.
5.1.1
5.1.1 Политики информационной безопасности
Мера обеспечения ИБ
Мера обеспечения ИБ
Совокупность политик ИБ должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон.
Руководство по применению
Руководство по применению
На высоком уровне организация должна определить "политику ИБ", которую утверждает руководство и в которой изложен подход организации к достижению целей ИБ.
Политики ИБ должны учитывать требования, порождаемые:
- a) бизнес-стратегией;
- b) нормативными актами, требованиями регуляторов, договорами;
- c) текущей и прогнозируемой средой угроз ИБ.
Политика ИБ должна содержать положения, касающиеся:
- a) определения ИБ, целей и принципов, которыми необходимо руководствоваться в рамках деятельности, связанной с ИБ;
- b) определения ролей по менеджменту ИБ и распределения общих и конкретных обязанностей;
- c) процессов обработки отклонений и исключений;
- d) лиц, несущих ответственность за неисполнение политик ИБ.
На более низком уровне политику ИБ необходимо поддерживать политиками, относящимися к конкретным направлениям в обеспечении ИБ, которые далее предусматривают внедрение мер обеспечения ИБ и, как правило, структурируются для удовлетворения потребностей определенных групп в организации или для охвата определенных областей.
Примерами таких областей политик могут быть:
- a) управление доступом (раздел 9);
- b) категорирование и обработка информации (см. 8.2);
- c) физическая безопасность и защита от воздействия окружающей среды (раздел 11);
- d) области, ориентированные на конечного пользователя:
- допустимое использование активов (см. 8.1.3);
- "чистый стол" и "чистый экран" (см. 11.2.9);
- передача информации (см. 13.2.1);
- мобильные устройства и дистанционная работа (см. 6.2);
- ограничения на установку и использование программного обеспечения (см. 12.6.2);
- e) резервное копирование (см. 12.3);
- f) передача информации (см. 13.2);
- g) защита от вредоносных программ (см. 12.2);
- h) управление техническими уязвимостями (см. 12.6.1);
- i) криптография (раздел 10);
- j) безопасность коммуникаций (раздел 13);
- k) конфиденциальность и защита персональных данных (см. 18.1.4);
- l) взаимоотношения с поставщиками (раздел 15).
Эти политики должны быть доведены до сведения всех работников и причастных внешних сторон в актуальной, доступной и понятной для предполагаемого читателя форме, например в контексте "программы информирования, обучения и практической подготовки (тренинги) в области информационной безопасности" (см. 7.2.2).
Дополнительная информация
Дополнительная информация
Потребность во внутренних политиках ИБ варьируется в зависимости от организации. Внутренние политики особенно полезны в крупных организациях, где лица, определяющие и утверждающие необходимый уровень мер обеспечения ИБ, отделены от лиц, реализующих эти меры; или в ситуациях, когда политика распространяется на многих людей или на многие функции в организации. Политики ИБ могут быть оформлены в виде единого документа, например "Политика информационной безопасности", или в виде набора отдельных, но связанных документов.
Если какие-либо политики ИБ распространяются за пределы организации, то следует следить за тем, чтобы никакая конфиденциальная информация не была разглашена.
Некоторые организации используют другие термины для документов-политик, например "Стандарты", "Инструкции", "Правила".
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.1
А.5.1 Policies for information security
Information security policy and topic-specific policies shall be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur.
Information security policy and topic-specific policies shall be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.