Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Положение Банка России № 716-П... Глава 7. Пункт 9.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Положение Банка России № 716-П от 08.04.2022

О требованиях к системе управления операционным риском в кредитной организации и банковской группе

Глава 7. Пункт 9.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.16
ЖЦ.16 Реализация контроля применения мер системы защиты информации АС
3-О 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 5 п. 5.8
5.8. Наиболее правильный и эффективный способ добиться недопущения проявления в деятельности организации БС РФ неприемлемых для нее рисков нарушения ИБ - разработать политику ИБ организации БС РФ и в соответствии с ней реализовать, эксплуатировать и совершенствовать СОИБ организации БС РФ.
Р. 7 п. 3 п.п. 12
7.3.12. В организации БС РФ должны быть выделены и назначены роли, связанные с эксплуатацией и контролем эксплуатации АБС и применяемых технических защитных мер, в том числе с внесением изменений в параметры их настройки.
Для всех АБС должны быть определены и выполняться процедуры контроля ее эксплуатации со стороны службы ИБ. Проведение мероприятий по контролю эксплуатации АБС и их результаты должны регистрироваться.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ЗИУ.3
ЗИУ.3 Реализация, контроль и совершенствование процессов системы защиты информации, определяемой в рамках семейства стандартов ЗИ Комплекса стандартов, планирование которых предусмотрено мерой РМ.8.1.
ОПР.5.1
ОПР.5.1 В целях обеспечения ИБ:
  • разработка и (или) пересмотр внутренних документов в области обеспечения операционной надежности и защиты информации;
  • планирование, реализация (в том числе установление требований) и контроль процессов обеспечения операционной надежности и защиты информации;
  • разработка предложений по совершенствованию процессов обеспечения операционной надежности и защиты информации (по результатам анализа необходимости совершенствования систем управления, определяемых в рамках семейств стандартов ОН и ЗИ);
  • выявление и фиксация инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации;
  • формирование отчетности по вопросам обеспечения операционной надежности и защиты информации, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России;
  • осуществление других функций, связанных с реализаций процессов обеспечения операционной надежности и защиты информации, предусмотренных внутренними документами финансовой организации
ЗИУ.7
ЗИУ.7 Реализация, контроль и совершенствование процессов системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов, планирование которых предусмотрено мерой РМ.8.2.
УПК.13
УПК.13 Формирование внутренней отчетности финансовой организации:
  • о результатах выявления и идентификации риска реализации информационных угроз, а также его оценки, а также о выбранном способе реагирования на такой риск (включая  информацию о выполнении мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз);
  • о выявленных событиях риска реализации информационных угроз;
  • о результатах реагирования на инциденты и восстановления после их реализации, в том числе анализа причин и последствий реализации таких инцидентов;
  • о результатах реализации планов по обучению и повышению осведомленности работников финансовой организации в части противостояния реализации информационных угроз;
  • о результатах оценок необходимого ресурсного (кадрового и финансового) обеспечения;
  • о результатах реализации программ контроля и аудита, в том числе фактических значениях КПУР, а также мониторинга риска реализации информационных угроз (включая фактические значения КИР и результаты оценки потенциала превышения сигнальных и контрольных значений КПУР);
  • о результатах анализа необходимости совершенствования системы управления риском реализации информационных угроз, принятых решениях по совершенствованию системы управления риском реализации информационных угроз (включая предпринятые тактические или стратегические улучшения системы управления риском реализации информационных угроз).
УПК.14
УПК.14 Включение в отчетность о выявленных событиях риска реализации информационных угроз сведений о ведении претензионной работы финансовой организации в отношении ее причастных сторон, в том числе клиентов финансовой организации.
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 10
10. Кредитные организации в рамках обеспечения операционной надежности должны:
  • моделировать информационные угрозы в отношении критичной архитектуры с учетом требований к проведению качественной оценки уровня операционного риска, предусмотренных подпунктом 2.1.5 пункта 2.1 Положения Банка России N 716-П;
  • планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности, с учетом результатов идентификации риска информационной безопасности, а также его оценки, проводимой в составе процедур управления операционным риском в соответствии с требованиями глав 2 и 7 Положения Банка России N 716-П;
  • обеспечивать реализацию требований к операционной надежности на стадиях создания, ввода в эксплуатацию, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, вывода из эксплуатации объектов информационной инфраструктуры;
  • обеспечивать контроль соблюдения требований к операционной надежности.
Кредитные организации должны включать в порядок ведения базы событий, предусмотренный пунктом 6.2 Положения Банка России N 716-П, особенности регистрации событий операционного риска, являющихся инцидентами операционной надежности.

Кредитная организация должна регистрировать инциденты операционной надежности с учетом требований к ведению базы событий, предусмотренных главой 6 Положения Банка России N 716-П.

Кредитные организации при определении в соответствии с пунктом 3.7 Положения Банка России N 716-П дополнительных типов событий операционного риска должны предусматривать во внутренних документах классификацию типов инцидентов операционной надежности с использованием перечня типов инцидентов операционной надежности, размещаемого Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), и обеспечивать их регулярную актуализацию.

По каждому инциденту операционной надежности в дополнение к информации, указанной в пункте 6.6 Положения Банка России N 716-П, кредитные организации должны обеспечить регистрацию следующей информации:
  • данных, используемых для фиксации превышения установленных значений целевых показателей операционной надежности;
  • данных, позволяющих выявить причину превышения установленных значений целевых показателей операционной надежности;
  • результата реагирования на инцидент операционной надежности (о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитной организацией или Банком России инцидент операционной надежности).
Кредитные организации должны устанавливать во внутренних документах критерии шкалы качественных оценок и методику определения оценок качественных потерь от реализации инцидентов операционной надежности в соответствии с подпунктом 3.13.2 пункта 3.13 Положения Банка России N 716-П, в случае если они не определяются в денежном выражении.
NIST Cybersecurity Framework (RU):
DE.DP-1
DE.DP-1:  Для обеспечения подотчетности четко определены роли и обязанности по выявлению
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.5
РВН.5 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников поставщика услуг, привлекаемого в рамках выполнения бизнес- и технологических процессов.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
5.1 Лидерство и приверженность
5.1 Лидерство и приверженность
Высшее руководство должно демонстрировать свое лидерство и приверженность в отношении системы менеджмента информационной безопасности посредством:
  • а) обеспечения разработки и совместимости политики и целей информационной безопасности со стратегическим курсом организации;
  • b) обеспечение интеграции требований системы менеджмента информационной безопасности в процессы организации;
  • c) обеспечение доступности ресурсов, необходимых для системы менеджмента информационной безопасности;
  • d) донесения важности эффективного управления информационной безопасностью и выполнения требований системы менеджмента информационной безопасности;
  • e) обеспечения достижения системы менеджмента информационной безопасности своих ожидаемых результатов;
  • f) направления и поддержки людей с целью содействия повышению эффективности системы менеджмента информационной безопасности;
  • g) содействия непрерывному улучшению; а также
  • h) поддержки иных значимых менеджеров с целью демонстрации их лидерства при осуществлении деятельности в областях их ответственности
ПРИМЕЧАНИЕ. Ссылка на понятие «бизнес» в настоящем документе может интерпретироваться широко для обозначения тех видов деятельности, которые являются ключевыми для целей существования организации.
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 10 п. 2
 0.2. Содержание соглашения об аутсорсинге должно создать правовые условия для возможности обеспечения организацией БС РФ:
  • контроля и мониторинга уровня риска нарушения ИБ;
  • выполнения своих обязательств перед клиентами и контрагентами, а также перед Банком России и уполномоченными органами исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации. 
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОПС.0 ОПС.0 Разработка политики ограничения программной среды
АВЗ.0 АВЗ.0 Разработка политики антивирусной защиты
ОДТ.0 ОДТ.0 Разработка политики обеспечения доступности
ИНЦ.0 ИНЦ.0 Разработка политики реагирования на компьютерные инциденты
АУД.0 АУД.0 Разработка политики аудита безопасности
УПД.0 УПД.0 Разработка политики управления доступом
ЗИС.0 ЗИС.0 Разработка политики защиты информационной (автоматизированной) системы и ее компонентов
ПЛН.0 ПЛН.0 Разработка политики планирования мероприятий по обеспечению защиты информации
ИАФ.0 ИАФ.0 Разработка политики идентификации и аутентификации
ОПО.0 ОПО.0 Разработка политики управления обновлениями программного обеспечения
ИПО.0 ИПО.0 Разработка политики информирования и обучения персонала
ДНС.0 ДНС.0 Разработка политики обеспечения действий в нештатных ситуациях
ЗТС.0 ЗТС.0 Разработка политики защиты технических средств и систем
ЗНИ.0 ЗНИ.0 Разработка политики защиты машинных носителей информации
УКФ.0 УКФ.0 Разработка политики управления конфигурацией информационной (автоматизированной) системы
ОЦЛ.0 ОЦЛ.0 Разработка политики обеспечения целостности
ПЛН.2 ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информации
NIST Cybersecurity Framework (EN):
DE.DP-1 DE.DP-1: Roles and responsibilities for detection are well defined to ensure accountability
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ПЛН.2 ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информации

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.