Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Положение Банка России № 716-П от 08.04.2022

О требованиях к системе управления операционным риском в кредитной организации и банковской группе

Глава 7. Пункт 9.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":

СОН.2

СОН.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы обеспечения операционной надежности в случаях изменения политики финансовой организации в отношении:

области применения процесса обеспечения операционной надежности;
основных принципов и приоритетов в реализации процесса системы обеспечения операционной надежности;
принятого допустимого уровня риска реализации информационных угроз (риск-аппетита)*, сигнальных и контрольных значений КПУР (а также целевых показателей операционный надежности), предусмотренных ГОСТ Р 57580.3 и приложением Б с учетом требований нормативных актов Банка России [6]-[8].

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":

ОПР.19.14

ОПР.19.14 Периодический контроль за фактическими значениями КПУР;

ОПР.19.15

ОПР.19.15 Контроль за осуществлением мониторинга риска реализации информационных угроз;

ОПР.5.1

ОПР.5.1 В целях обеспечения ИБ:

разработка и (или) пересмотр внутренних документов в области обеспечения операционной надежности и защиты информации;
планирование, реализация (в том числе установление требований) и контроль процессов обеспечения операционной надежности и защиты информации;
разработка предложений по совершенствованию процессов обеспечения операционной надежности и защиты информации (по результатам анализа необходимости совершенствования систем управления, определяемых в рамках семейств стандартов ОН и ЗИ);
выявление и фиксация инцидентов, в том числе обнаружение реализации компьютерных атак и выявление фактов (индикаторов) компрометации объектов информатизации;
формирование отчетности по вопросам обеспечения операционной надежности и защиты информации, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России;
осуществление других функций, связанных с реализаций процессов обеспечения операционной надежности и защиты информации, предусмотренных внутренними документами финансовой организации

УПК.9.1

УПК.9.1 Данных, содержащихся в базе событий риска реализации информационных угроз;

ВСР.4

ВСР.4 Организация и выполнение деятельности по регистрации информации о выявленных событиях риска реализации информационных угроз и потерях**** в базе событий такого риска с учетом их классификации и порога регистрации, в том числе в соответствии с требованиями нормативных актов Банка России.

ВСР.3.6

ВСР.3.6 Хранение в базе событий информации о выявленных событиях риска реализации информационных угроз, в том числе сведений о проведении их анализа не менее пяти лет**;

ВСР.3.5

ВСР.3.5 Хранение в базе событий информации о выявленных событиях риска реализации информационных угроз, в том числе сведений о проведении их анализа не менее трех лет**.

ВИО.1

ВИО.1 Организация* и выполнение деятельности по анализу базы событий риска реализации информационных угроз.

ОСЗ.1.1

ОСЗ.1.1 Выявления фактов или возможности превышения сигнальных и контрольных значений КПУР;

УПК.11.2

УПК.11.2 Соблюдения установленных финансовой организацией в политике управления риском реализации информационных значений КПУР;

ОПР.5.2

ОПР.5.2 В целях управления риском реализации информационных угроз:

разработка и (или) пересмотр внутренних документов во взаимодействии с иными подразделениями, формирующими «вторую линию защиты» в области управления риском реализации информационных угроз, в том числе политики управления риском реализации информационных угроз и документов, определяющих методологию в рамках управления таким риском;
идентификация риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»);
сбор и регистрация информации о событиях риска реализации информационных угроз и потерях в базе событий такого риска (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»);
ведение базы событий риска реализации информационных угроз;
мониторинг риска реализации информационных угроз (в том числе во взаимодействии с подразделениями, формирующими «первую линию защиты»), включая определение и мониторинг значений КИР в целях контроля за возможным превышением сигнальных и контрольных значений КПУР;
планирование, реализация (в том числе установление требований) и контроль во взаимодействии с иными подразделениями, формирующими «вторую линию защиты», мероприятий, направленных на уменьшение негативного влияния от риска реализации информационных угроз****;
разработка предложений по совершенствованию процессов управления риском реализации информационных угроз (по результатам анализа необходимости совершенствования систем управления риском реализации информационных угроз);
расчет и обоснование сигнальных и контрольных значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации;
расчет фактических значений КПУР, характеризующих уровень зрелости процессов обеспечения операционной надежности и защиты информации, а также уровень обеспечения операционной надежности бизнес- и технологических процессов финансовой организации;
осуществление мониторинга соблюдения сигнальных и контрольных значений КПУР;
организация процесса обеспечения осведомленности об актуальных информационных угрозах;
разработка предложений по ресурсному (кадровому и финансовому) обеспечению службы ИБ;
участие в реализации программ контроля и аудита операционной надежности и защиты информации (в части самооценки и независимой оценки зрелости процессов обеспечения операционной надежности и защиты информации);
разработка предложений по совершенствованию системы управления риском реализации информационных угроз;
формирование отчетности в рамках управления риском реализации информационных угроз, направляемой на рассмотрение коллегиальному исполнительному органу, должностному лицу, ответственному за функционирование системы управления риском реализации информационных угроз, а также иным должностным лицам, в случае наличия соответствующих требований во внутренних документах финансовой организации или требований нормативных актов Банка России;
информирование работников финансовой организации по вопросам, связанным с управлением риском реализации информационных угроз;
осуществление других функций, связанных с управлением риском реализации информационных угроз, предусмотренных внутренними документами финансовой организации

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.