Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Положение Банка России № 716-П от 08.04.2022

О требованиях к системе управления операционным риском в кредитной организации и банковской группе

Глава 7. Пункт 9.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
СОН.2
СОН.2  Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы обеспечения операционной надежности в случаях изменения политики финансовой организации в отношении: 
  • области применения процесса обеспечения операционной надежности; 
  • основных принципов и приоритетов в реализации процесса системы обеспечения операционной надежности; 
  • принятого допустимого уровня риска реализации информационных угроз (риск-аппетита)*, сигнальных и контрольных значений КПУР (а также целевых показателей операционный надежности), предусмотренных ГОСТ Р 57580.3 и приложением Б с учетом требований нормативных актов Банка России [6]-[8]. 
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОПР.19.14
ОПР.19.14 Периодический контроль за фактическими значениями КПУР;
ОПР.19.15
ОПР.19.15 Контроль за осуществлением мониторинга риска реализации информационных угроз;
ОПР.5.1
ОПР.5.1 В целях обеспечения ИБ:
  • разработка и (или) пересмотр внутренних документов в области обеспечения операционной надежности и защиты информации;
  • планирование, реализация (в том числе установление требований) и контроль процессов обеспечения операционной надежности и защиты информации;
  • разработка предложений по совершенствованию процессов обеспечения операционной надежности и защиты информации (по результатам анализа необходимости совершенствования систем управления, определяемых в рамках семейств стандартов ОН и ЗИ);
  • выявление и фиксация инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации;
  • формирование отчетности по вопросам обеспечения операционной надежности и защиты информации, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России;
  • осуществление других функций, связанных с реализаций процессов обеспечения операционной надежности и защиты информации, предусмотренных внутренними документами финансовой организации
УПК.9.1
УПК.9.1 Данных, содержащихся в базе событий риска реализации информационных угроз;
ВСР.4
ВСР.4 Организация и выполнение деятельности по регистрации информации о выявленных событиях риска реализации информационных угроз и потерях**** в базе событий такого риска с учетом их классификации и порога регистрации, в том числе в соответствии с требованиями нормативных актов Банка России.
ВСР.3.6
ВСР.3.6 Хранение в базе событий информации о выявленных событиях риска реализации информационных угроз, в том числе сведений о проведении их анализа не менее пяти лет**;
ВСР.3.5
ВСР.3.5 Хранение в базе событий информации о выявленных событиях риска реализации информационных угроз, в том числе сведений о проведении их анализа не менее трех лет**.
ВИО.1
ВИО.1 Организация* и выполнение деятельности по анализу базы событий риска реализации информационных угроз.
ОСЗ.1.1
ОСЗ.1.1 Выявления фактов или возможности превышения сигнальных и контрольных значений КПУР;
УПК.11.2
УПК.11.2 Соблюдения установленных финансовой организацией в политике управления риском реализации информационных значений КПУР; 
ОПР.5.2
ОПР.5.2 В целях управления риском реализации информационных угроз:
  • разработка и (или) пересмотр внутренних документов во взаимодействии с иными подразделениями, формирующими «вторую линию защиты» в области управления риском реализации информационных угроз, в том числе политики управления риском реализации информационных угроз и документов, определяющих методологию в рамках управления таким риском;
  • идентификация риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»);
  • сбор и регистрация информации о событиях риска реализации информационных угроз и потерях в базе событий такого риска (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»);
  • ведение базы событий риска реализации информационных угроз;
  • мониторинг риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»), включая определение и мониторинг значений КИР в целях контроля за возможным превышением сигнальных и контрольных значений КПУР;
  • планирование, реализация (в том числе установление требований) и контроль во взаимодействии с иными подразделениями, формирующими «вторую линию защиты», мероприятий, направленных на уменьшение негативного влияния от риска реализации информационных угроз****;
  • разработка предложений по совершенствованию процессов управления риском реализации информационных угроз (по результатам анализа необходимости совершенствования систем управления риском реализации информационных угроз);
  • расчет и обоснование сигнальных и контрольных значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации;
  • расчет фактических значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации;
  • осуществление мониторинга соблюдения сигнальных и контрольных значений КПУР;
  • организация процесса обеспечения осведомленности об актуальных информационных угрозах;
  • разработка предложений по ресурсному (кадровому и финансовому) обеспечению службы ИБ;
  • участие в реализации программ контроля и аудита операционной надежности и защиты информации (в части самооценки и независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации);
  • разработка предложений по совершенствованию системы управления риском реализации информационных угроз;
  • формирование отчетности в рамках управления риском реализации информационных угроз, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России;
  • информирование работников финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз;
  • осуществление других функций, связанных с управлением риском реализации информационных угроз, предусмотренных внутренними документами финансовой организации

Связанные защитные меры

Ничего не найдено