Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Положение Банка России № 716-П от 08.04.2022

О требованиях к системе управления операционным риском в кредитной организации и банковской группе

Глава 7. Пункт 10.

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.5.1
ОПР.5.1 В целях обеспечения ИБ:
  • разработка и (или) пересмотр внутренних документов в области обеспечения операционной надежности и защиты информации;
  • планирование, реализация (в том числе установление требований) и контроль процессов обеспечения операционной надежности и защиты информации;
  • разработка предложений по совершенствованию процессов обеспечения операционной надежности и защиты информации (по результатам анализа необходимости совершенствования систем управления, определяемых в рамках семейств стандартов ОН и ЗИ);
  • выявление и фиксация инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации;
  • формирование отчетности по вопросам обеспечения операционной надежности и защиты информации, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России;
  • осуществление других функций, связанных с реализаций процессов обеспечения операционной надежности и защиты информации, предусмотренных внутренними документами финансовой организации
ОПР.5.2
ОПР.5.2 В целях управления риском реализации информационных угроз:
  • разработка и (или) пересмотр внутренних документов во взаимодействии с иными подразделениями, формирующими «вторую линию защиты» в области управления риском реализации информационных угроз, в том числе политики управления риском реализации информационных угроз и документов, определяющих методологию в рамках управления таким риском;
  • идентификация риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»);
  • сбор и регистрация информации о событиях риска реализации информационных угроз и потерях в базе событий такого риска (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»);
  • ведение базы событий риска реализации информационных угроз;
  • мониторинг риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»), включая определение и мониторинг значений КИР в целях контроля за возможным превышением сигнальных и контрольных значений КПУР;
  • планирование, реализация (в том числе установление требований) и контроль во взаимодействии с иными подразделениями, формирующими «вторую линию защиты», мероприятий, направленных на уменьшение негативного влияния от риска реализации информационных угроз****;
  • разработка предложений по совершенствованию процессов управления риском реализации информационных угроз (по результатам анализа необходимости совершенствования систем управления риском реализации информационных угроз);
  • расчет и обоснование сигнальных и контрольных значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации;
  • расчет фактических значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации;
  • осуществление мониторинга соблюдения сигнальных и контрольных значений КПУР;
  • организация процесса обеспечения осведомленности об актуальных информационных угрозах;
  • разработка предложений по ресурсному (кадровому и финансовому) обеспечению службы ИБ;
  • участие в реализации программ контроля и аудита операционной надежности и защиты информации (в части самооценки и независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации);
  • разработка предложений по совершенствованию системы управления риском реализации информационных угроз;
  • формирование отчетности в рамках управления риском реализации информационных угроз, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России;
  • информирование работников финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз;
  • осуществление других функций, связанных с управлением риском реализации информационных угроз, предусмотренных внутренними документами финансовой организации
NIST Cybersecurity Framework (RU):
DE.DP-1
DE.DP-1:  Для обеспечения подотчетности четко определены роли и обязанности по выявлению
NIST Cybersecurity Framework (EN):
DE.DP-1 DE.DP-1: Roles and responsibilities for detection are well defined to ensure accountability

Связанные защитные меры

Ничего не найдено