Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Положение Банка России № 716-П... Глава 7. Пункт 1.
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Положение Банка России № 716-П от 08.04.2022

О требованиях к системе управления операционным риском в кредитной организации и банковской группе

Глава 7. Пункт 1.

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.18
ОПР.18 Установление внутренними документами финансовой организации распределения зон компетенции* совета директоров (наблюдательного совета), коллегиального исполнительного органа финансовой организации (а в случае его отсутствия – единоличного исполнительного органа) и подотчетных им коллегиальных органов в части решения вопросов, связанных с управлением риском реализации информационных угроз, обеспечением операционной надежности и защиты информации.
ОПР.5.2
ОПР.5.2 В целях управления риском реализации информационных угроз:
  • разработка и (или) пересмотр внутренних документов во взаимодействии с иными подразделениями, формирующими «вторую линию защиты» в области управления риском реализации информационных угроз, в том числе политики управления риском реализации информационных угроз и документов, определяющих методологию в рамках управления таким риском;
  • идентификация риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»);
  • сбор и регистрация информации о событиях риска реализации информационных угроз и потерях в базе событий такого риска (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»);
  • ведение базы событий риска реализации информационных угроз;
  • мониторинг риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»), включая определение и мониторинг значений КИР в целях контроля за возможным превышением сигнальных и контрольных значений КПУР;
  • планирование, реализация (в том числе установление требований) и контроль во взаимодействии с иными подразделениями, формирующими «вторую линию защиты», мероприятий, направленных на уменьшение негативного влияния от риска реализации информационных угроз****;
  • разработка предложений по совершенствованию процессов управления риском реализации информационных угроз (по результатам анализа необходимости совершенствования систем управления риском реализации информационных угроз);
  • расчет и обоснование сигнальных и контрольных значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации;
  • расчет фактических значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации;
  • осуществление мониторинга соблюдения сигнальных и контрольных значений КПУР;
  • организация процесса обеспечения осведомленности об актуальных информационных угрозах;
  • разработка предложений по ресурсному (кадровому и финансовому) обеспечению службы ИБ;
  • участие в реализации программ контроля и аудита операционной надежности и защиты информации (в части самооценки и независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации);
  • разработка предложений по совершенствованию системы управления риском реализации информационных угроз;
  • формирование отчетности в рамках управления риском реализации информационных угроз, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России;
  • информирование работников финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз;
  • осуществление других функций, связанных с управлением риском реализации информационных угроз, предусмотренных внутренними документами финансовой организации
ОСЗ.6
ОСЗ.6 Фиксация во внутренних документах финансовой организации принятых решений по совершенствованию системы управления риском реализации информационных угроз*.
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6
6. Кредитные организации должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:
  • требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
  • требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с учетом установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
  • требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий), с учетом установленных главами 7 и 8 Положения Банка России N 716-П требований к управлению риском информационной безопасности и риском информационных систем при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем, а также требований к аутсорсингу обслуживания и функционирования информационных систем;
  • требования к тестированию операционной надежности технологических процессов;
  • требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;
  • требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.
NIST Cybersecurity Framework (RU):
ID.RM-1
ID.RM-1: Процессы управления рисками установлены, управляются и согласованы заинтересованными сторонами организации 
ID.RM-2
ID.RM-2: Определен и четко выражен критерий принятия риска в организации 
ID.RM-3
ID.RM-3: Определение отношения (степени принятия риска) к риску организации основывается на ее роли в  критической инфраструктуре и анализе рисков для конкретных секторов 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
6.1.3 Обработка рисков информационной безопасности
6.1.3 Обработка рисков информационной безопасности
Организация должна определить и применять процесс обработки рисков в целях:
  • a) выбора применимых вариантов обработки рисков информационной безопасности, учитывающих результаты оценки рисков;
  • b) определения всех средств управления информационной безопасностью, необходимых для внедрения выбранного варианта (-ов) обработки рисков информационной безопасности; 
ПРИМЕЧАНИЕ 1 Организация может разработать средства управления информационной безопасностью, по мере необходимости, или определить их из иного источника.

  • c) сравнения средств управления информационной безопасностью, вышеопределенных в п.6.1.3 b) и содержащихся в Приложении А, а также подтверждения того, что ни одно необходимое средство управления информационной безопасностью не пропущено;
ПРИМЕЧЕНИЕ 2 Приложение А содержит перечень средств управления информационной безопасностью. Пользователи настоящего документа отсылаются к Приложению А для обеспечения того, что ни одно необходимое средство управления информационной безопасностью не будет пропущено.
ПРИМЕЧАНИЕ 3 Перечисленные в Приложении А средства управления информационной безопасностью не являются исчерпывающими и, по необходимости, могут быть применены потребоваться дополнительные средства управления информационной безопасностью.

  • d) выработки Положения о Применимости, которое содержит:
    • необходимые средства управления информационной безопасностью (см. п.6.1.3 b) и с));
    • обоснование их применения;
    • сведения от том, реализованы они или нет, а также
    • обоснование исключения из применения приведенных в Приложении А средств управления информационной безопасностью.
  • e) разработки плана обработки рисков; а также
  • f) получения одобрения плана обработки рисков информационной безопасности и остаточных рисков информационной безопасности со стороны владельцев рисков.
Организация должна сохранять документированную информацию о процессе обработки рисков информационной безопасности.
ПРИМЕЧАНИЕ 4 Процесс оценки и обработки рисков информационной безопасности в настоящем документе соответствует принципам и общим указаниям, изложенным в ИСО 31000.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
6.1.3
6.1.3 Обработка рисков информационной безопасности
Организация должна определить и применять процесс обработки рисков информационной безопасности:
а) для выбора подходящих вариантов обработки рисков информационной безопасности, учитывая результаты оценки рисков информационной безопасности;
b) определения всех мер и средств информационной безопасности, необходимых для реализации выбранного(ых) варианта(ов) обработки рисков информационной безопасности.
Примечание — При необходимости организация может разрабатывать меры обеспечения информационной безопасности или взять их из любого источника;
с) сравнения мер и средств информационной безопасности, определенных в соответствии с 6.1.3 Ь), с указанными в приложении А для проверки того, что никакие необходимые меры обеспечения информационной безопасности не были упущены.
Примечание 1 — Приложение А содержит базовый перечень мер и средств информационной безопасности и целей их применения. Пользователям настоящего стандарта следует обращаться к приложению А для обеспечения уверенности в том, что никакие необходимые меры обеспечения информационной безопасности не были упущены.
Примечание 2 — Цели применения мер и средств информационной безопасности неявным образом включены в выбранные меры обеспечения информационной безопасности. Приведенные в приложении А меры обеспечения информационной безопасности и цели их применения не являются исчерпывающими, и организация может рассматривать необходимость дополнительных мер и средств информационной безопасности и целей их применения;
d) подготовки ведомости применимости мер и средств информационной безопасности, которая содержит (Пункт 6.1.3 d) приведен с учетом технической правки к ISO/IEC 27001:2013.)
  •  необходимые меры обеспечения информационной безопасности [см. 6.1.3 Ь) и с)];
  •  обоснования их применения;
  •  информацию о том, реализованы или нет необходимые меры обеспечения информационной безопасности;
  •  обоснования неприменения мер и средств информационной безопасности, представленных в приложении А; 
е) разработки плана обработки рисков информационной безопасности;
f) согласования и (или) утверждения плана обработки рисков информационной безопасности и принятия остаточных рисков информационной безопасности владельцами рисков.
Организация должна хранить документированную информацию о процессе обработки рисков информационной безопасности.

Примечание — Процесс оценки и обработки рисков информационной безопасности в настоящем стандарте согласуется с принципами и общими рекомендациями, представленными в ИСО 31000. 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
6.1.3 Information security risk treatment
6.1.3 Information security risk treatment
The organization shall define and apply an information security risk treatment process to:
  • a) select appropriate information security risk treatment options, taking account of the risk assessment results;
  • b) determine all controls that are necessary to implement the information security risk treatment option(s) chosen;
NOTE 1 Organizations can design controls as required, or identify them from any source.

  • c) compare the controls determined in 6.1.3 b)  above with those in Annex A and verify that no necessary controls have been omitted;
NOTE 2 Annex A contains a list of possible information security controls. Users of this document are directed to Annex A to ensure that no necessary information security controls are overlooked.
NOTE 3 The information security controls listed in Annex A are not exhaustive and additional information security controls can be included if needed.

  • d) produce a Statement of Applicability that contains:·  the necessary controls (see 6.1.3 b) and c));· justification for their inclusion;· whether the necessary controls are implemented or not; and· the justification for excluding any of the Annex A controls.;
  • e) formulate an information security risk treatment plan; and
  • f) obtain risk owners’ approval of the information security risk treatment plan and acceptance of the residual information security risks.
The organization shall retain documented information about the information security risk treatment process.
NOTE 4 The information security risk assessment and treatment process in this document aligns with the principles and generic guidelines provided in ISO 31000.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
1.2.4.1.
Топ-менеджмент, операционные руководители, ответственные за ключевые функции организации, совместно с представителями ИТ и ИБ 
участвуют в определении недопустимых событий / ключевых рисков КБ
NIST Cybersecurity Framework (EN):
ID.RM-1 ID.RM-1: Risk management processes are established, managed, and agreed to by organizational stakeholders
ID.RM-2 ID.RM-2: Organizational risk tolerance is determined and clearly expressed
ID.RM-3 ID.RM-3: The organization’s determination of risk tolerance is informed by its role in critical infrastructure and sector specific risk analysis

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.