Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard

Requirement 12.3.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 5 п. 5.8
5.8. Наиболее правильный и эффективный способ добиться недопущения проявления в деятельности организации БС РФ неприемлемых для нее рисков нарушения ИБ - разработать политику ИБ организации БС РФ и в соответствии с ней реализовать, эксплуатировать и совершенствовать СОИБ организации БС РФ.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.1.2
ОПР.1.2 Описание структуры и подходов к интеграции процессов управления риском реализации информационных угроз в систему управления операционным риском финансовой организации; 
ОПР.11.2
ОПР.11.2 Группа КПУР, характеризующих уровень операционной надежности бизнес- и технологических процессов финансовой организации; 
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6
6. Кредитные организации должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:
  • требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
  • требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с учетом установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
  • требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий), с учетом установленных главами 7 и 8 Положения Банка России N 716-П требований к управлению риском информационной безопасности и риском информационных систем при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем, а также требований к аутсорсингу обслуживания и функционирования информационных систем;
  • требования к тестированию операционной надежности технологических процессов;
  • требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;
  • требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.
п. 3
3. Кредитные организации с учетом требований главы 5 Положения Банка России N 716-П должны определить во внутренних документах для каждого технологического процесса и соблюдать значения следующих контрольных показателей уровня операционного риска для целей обеспечения операционной надежности (далее - целевые показатели операционной надежности):

  • допустимого отношения общего количества банковских операций и иных операций, осуществляемых в рамках технологического процесса, совершенных во время нарушений технологических процессов, приводящих к неоказанию или ненадлежащему оказанию банковских услуг (далее - деградация технологического процесса (технологических процессов), в рамках события операционного риска или серии связанных событий операционного риска, вызванных информационными угрозами и (или) сбоями объектов информационной инфраструктуры, которые привели к неоказанию или ненадлежащему оказанию банковских услуг (далее - инцидент операционной надежности), к ожидаемому количеству банковских операций и иных операций, осуществляемых в рамках технологических процессов, за тот же период в случае непрерывного оказания банковских услуг, установленного кредитной организацией (далее - допустимая доля деградации технологического процесса);
  • допустимого времени простоя и (или) деградации технологических процессов кредитных организаций в рамках инцидента операционной надежности (в случае превышения допустимой доли деградации технологического процесса). Значение данного целевого показателя устанавливается кредитной организацией не выше значений, предусмотренных приложением к настоящему Положению;
  • допустимого суммарного времени простоя и (или) деградации технологического процесса кредитной организации (в случае превышения допустимой доли деградации технологического процесса) в течение очередного календарного года;
  • показателя соблюдения режима работы (функционирования) технологического процесса (времени начала, времени окончания, продолжительности и последовательности процедур в рамках технологического процесса).
Значение допустимой доли деградации технологических процессов должно рассчитываться кредитной организацией на основании статистических данных за период не менее двенадцати календарных месяцев, предшествующих дате определения значения целевого показателя операционной надежности, за исключением случая, предусмотренного абзацем седьмым настоящего пункта, и (или) иных данных, обосновывающих их определение (по выбору кредитной организации).

В случае если технологический процесс функционирует менее двенадцати календарных месяцев, кредитные организации должны определять значение допустимой доли деградации технологических процессов на основании статистических данных за период с даты начала его функционирования и (или) иных данных, обосновывающих их определение (по выбору кредитной организации).

NIST Cybersecurity Framework (RU):
ID.RM-1
ID.RM-1: Процессы управления рисками установлены, управляются и согласованы заинтересованными сторонами организации 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
8.3 Обработка рисков информационной безопасности
8.3 Обработка рисков информационной безопасности
Организация должна внедрить план обработки рисков информационной безопасности.
Организация должна сохранять документированную информацию по результатам обработки рисков информационной безопасности.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
8.3
 8.3 Обработка рисков информационной безопасности 
Организация должна реализовать план обработки рисков информационной безопасности. Организация должна хранить документированную информацию о результатах обработки рисков информационной безопасности. 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
8.3 Information security risk treatment
8.3 Information security risk treatment
The organization shall implement the information security risk treatment plan.
The organization shall retain documented information of the results of the information security risk treatment.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.3.2
12.3.2
Определенные Требования к Подходу:
Целевой анализ рисков выполняется для каждого требования PCI DSS, которому организация соответствует с помощью индивидуального подхода, чтобы включить:
  • Документированные доказательства с подробным описанием каждого элемента, указанного в Приложении D: Индивидуальный подход (включая, как минимум, матрицу контроля и анализ рисков).
  • Утверждение документально подтвержденных доказательств высшим руководством.
  • Проведение целевого анализа рисков не реже одного раза в 12 месяцев.
Цель Индивидуального подхода:
Это требование является частью индивидуального подхода и должно быть выполнено для тех, кто использует индивидуальный подход.

Примечания по применению:
Это требование применяется только к организациям, использующим Индивидуальный подход.

Определенные Процедуры Тестирования Подхода:
  • 12.3.2 Изучить документированный целевой анализ рисков для каждого требования PCI DSS, которому соответствует организация, с помощью индивидуального подхода, чтобы убедиться, что документация по каждому требованию существует и соответствует всем элементам, указанным в этом требовании.
Цель:
Анализ рисков с использованием повторяемой и надежной методологии позволяет предприятию достичь цели индивидуального подхода.

Определения:
Индивидуальный подход к выполнению требований PCI DSS позволяет организациям определять элементы управления, используемые для достижения заявленной цели индивидуального подхода к данному требованию, таким образом, чтобы это не строго соответствовало определенному требованию. Ожидается, что эти средства контроля, по крайней мере, будут соответствовать или превышать уровень безопасности, обеспечиваемый определенным требованием, и требуют обширной документации от организации, использующей индивидуальный подход.

Дополнительная информация:
См. Приложение D: Индивидуальный подход для получения инструкций о том, как документировать необходимые доказательства для индивидуального подхода.
Смотрите Примеры шаблонов в Приложении E для поддержки индивидуального подхода к шаблонам, которые организации могут использовать для документирования своих настраиваемых элементов управления. Обратите внимание, что, хотя использование шаблонов необязательно, информация, указанная в каждом шаблоне, должна быть задокументирована и предоставлена оценщику каждой организации.
NIST Cybersecurity Framework (EN):
ID.RM-1 ID.RM-1: Risk management processes are established, managed, and agreed to by organizational stakeholders

Связанные защитные меры

Ничего не найдено