Куда я попал?
Положение Банка России № 716-П от 08.04.2022
О требованиях к системе управления операционным риском в кредитной организации и банковской группе
Глава 8. Пункт 7.8
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ВИО.22
ВИО.22 Организация и выполнение деятельности по переоценке риска реализации информационных угроз на основе:
- результатов пересмотра модели информационных угроз;
- информации о новом идентифицированном риске реализации информационных угроз;
- выявленных событий риска реализации информационных угроз.
ВИО.2
ВИО.2 Организация и выполнение деятельности по проведению периодической (как минимум ежегодной) самооценки риска реализации информационных угроз.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 9 п. 2 пп. 2
9.2.2 Программа(ы) аудита
Организация должна:
Организация должна:
- а) планировать, устанавливать, внедрять и поддерживать в рабочем состоянии программу(ы) аудита, включая требования к частоте проведения, методам, распределению обязанностей, планированию и отчетности, при этом необходимо учитывать важность соответствующих процессов и результаты предыдущих аудитов;
- b) определять критерии и область применения каждого аудита;
- с) выбирать аудиторов и проводить аудиты так. чтобы обеспечить объективность и беспристрастность процесса аудита;
- d) обеспечить, чтобы результаты аудита были доведены до сведения соответствующих руководителей;
- е) хранить документированную информацию в качестве объективных свидетельств реализации программ(ы) аудита и результатов аудита;
- f) обеспечить, чтобы все необходимые корректирующие действия по устранению обнаруженных несоответствий и их причин были выполнены без неоправданной задержки;
- g) обеспечить, чтобы последующие аудиторские действия предпринимались с учетом верификации предпринятых действий и отчетности о результатах верификации.
NIST Cybersecurity Framework (RU):
PR.IP-7
PR.IP-7: Процессы защиты постоянно улучшаются
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
9.1 Мониторинг, измерение, анализ и оценивание
9.1 Мониторинг, оценка защищенности, анализ и оценивание
Организация должна определить:
Организация должна определить:
- a) что требуется мониторить и измерять, включая процессы и средства управления информационной безопасностью
- b) методы мониторинга, измерения, анализа и оценивания, если применимо, для обеспечения достоверных результатов. Выбранные методы должны давать сопоставимые и воспроизводимые результаты, чтобы их можно было считать действительными;
- c) когда должны выполняться мониторинг и измерения;
- d) кто должен выполнять мониторинг и измерения;
- e) когда результаты мониторинга и измерения должны анализироваться и оцениваться; а также
- f) кто должен анализировать и оценивать эти результаты.
Документированная информация должна быть доступна в качестве свидетельств достижения результатов.
Организация должна оценивать исполнение информационной безопасности и эффективность системы менеджмента информационной безопасности.
Организация должна оценивать исполнение информационной безопасности и эффективность системы менеджмента информационной безопасности.
9.2.2 Программа внутреннего аудита
9.2.2 Программа внутреннего аудита
Организация должна планировать, разрабатывать, внедрять и поддерживать программу (-ы) аудита, включающую частоту, методы, ответственности, требования по планированию и отчету.
При разработке программы (-мм) внутреннего аудита организация должна учитывать важность соответствующих процессов и результаты предыдущих аудитов.
Организация должна:
Организация должна планировать, разрабатывать, внедрять и поддерживать программу (-ы) аудита, включающую частоту, методы, ответственности, требования по планированию и отчету.
При разработке программы (-мм) внутреннего аудита организация должна учитывать важность соответствующих процессов и результаты предыдущих аудитов.
Организация должна:
- a) определять критерии аудита и область действия каждого аудита;
- b) выбирать аудиторов и проводить аудиты, которые обеспечивают объективность и беспристрастность процесса аудита;
- c) обеспечивать отчет по результатам аудитов перед релевантными руководством; а также
Должна быть доступна документированная информация, подтверждающая выполнение программы (-мм) аудита и достижения результатов аудита.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования":
9.1
9.1 Мониторинг, оценка защищенности, анализ и оценивание
Организация должна оценивать деятельность по обеспечению информационной безопасности, а также результативность системы менеджмента информационной безопасности.
Организация должна определить:
а) объекты мониторинга и оценки защищенности, включая процессы, меры обеспечения информационной безопасности;
b) методы проведения мониторинга, оценки защищенности, анализа и оценивания, обеспечивающие уверенность в достоверности результатов.
Примечание — Допустимыми признаются методы, дающие сопоставимые и воспроизводимые результаты;
с) когда проводить мониторинг и оценку защищенности;
d) кто должен осуществлять мониторинг и оценку защищенности;
е) когда анализировать результаты мониторинга и оценки защищенности;
f) кто должен осуществлять анализ и оценивание этих результатов.
Организация должна хранить соответствующую документированную информацию в качестве свидетельства результатов мониторинга и оценки защищенности.
Организация должна оценивать деятельность по обеспечению информационной безопасности, а также результативность системы менеджмента информационной безопасности.
Организация должна определить:
а) объекты мониторинга и оценки защищенности, включая процессы, меры обеспечения информационной безопасности;
b) методы проведения мониторинга, оценки защищенности, анализа и оценивания, обеспечивающие уверенность в достоверности результатов.
Примечание — Допустимыми признаются методы, дающие сопоставимые и воспроизводимые результаты;
с) когда проводить мониторинг и оценку защищенности;
d) кто должен осуществлять мониторинг и оценку защищенности;
е) когда анализировать результаты мониторинга и оценки защищенности;
f) кто должен осуществлять анализ и оценивание этих результатов.
Организация должна хранить соответствующую документированную информацию в качестве свидетельства результатов мониторинга и оценки защищенности.
9.2
9.2 Внутренний аудит Организация должна проводить внутренние аудиты через запланированных интервалы времени, чтобы получать информацию о том,
a) соответствует ли система менеджмента информационной безопасности
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и
2) требованиям Настоящего Международного Стандарта;
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна:
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов;
d) определить критерии и область аудита для каждой проверки;
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита;
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации;
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита.
a) соответствует ли система менеджмента информационной безопасности
1) собственным требованиям организации к ее системе менеджмента информационной безопасности; и
2) требованиям Настоящего Международного Стандарта;
b) что система менеджмента информационной безопасности результативно внедрена и функционирует. Организация должна:
c) планировать, разрабатывать, выполнять и управлять программой(ами) аудитов, включая периодичность их проведения, методы, ответственность, требования к планированию и отчетности. Программа (ы) аудитов должна учитывать значимость проверяемых процессов и результаты предыдущих аудитов;
d) определить критерии и область аудита для каждой проверки;
e) выбирать аудиторов и проводить аудиты так, чтобы гарантировать объективность и беспристрастность процесса аудита;
f) гарантировать, что результаты аудитов переданы на соответствующим руководителям, и
g) сохранять документированную информацию как подтверждение программы аудита и его результатов.
f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации;
g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.18.2.1
A.18.2.1 Независимая проверка информационной безопасности
Мера обеспечения информационной безопасности: Подход организации к менеджменту информационной безопасностью и ее реализация (т. е. цели, меры и средства, политики, процессы и процедуры информационной безопасности) следует проверять независимо друг от друга через запланированные интервалы времени или в случае значительных изменений
Мера обеспечения информационной безопасности: Подход организации к менеджменту информационной безопасностью и ее реализация (т. е. цели, меры и средства, политики, процессы и процедуры информационной безопасности) следует проверять независимо друг от друга через запланированные интервалы времени или в случае значительных изменений
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
9.1 Monitoring, measurement, analysis and evaluation
9.1 Monitoring, measurement, analysis and evaluation
The organization shall determine:
The organization shall determine:
- a) what needs to be monitored and measured, including information security processes and controls;
- b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results. The methods selected should produce comparable and reproducible results to be considered valid;
- c) when the monitoring and measuring shall be performed;
- d) who shall monitor and measure;
- e) when the results from monitoring and measurement shall be analysed and evaluated; and
- f) who shall analyse and evaluate these results
Documented information shall be available as evidence of the results.
The organization shall evaluate the information security performance and the effectiveness of the information security management system.
The organization shall evaluate the information security performance and the effectiveness of the information security management system.
9.2.2 Internal audit programme
9.2.2 Internal audit programme
The organization shall plan, establish, implement and maintain an audit programme (s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme (s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
The organization shall plan, establish, implement and maintain an audit programme (s), including the frequency, methods, responsibilities, planning requirements and reporting.
When establishing the internal audit programme (s), the organization shall consider the importance of the processes concerned and the results of previous audits.
The organization shall:
- a) define the audit criteria and scope for each audit;
- b) select auditors and conduct audits that ensure objectivity and the impartiality of the audit process;
- c) ensure that the results of the audits are reported to relevant management; and
Documented information shall be available as evidence of the implementation of the audit programme (s) and the audit results.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.35
А.5.35 Независимые проверки ИБ
Принятый в организации подход к управлению ИБ и его реализация, включая людей, процессы и технологии, должны подвергаться независимой проверке через запланированные интервалы времени или в случае существенных изменений.
Принятый в организации подход к управлению ИБ и его реализация, включая людей, процессы и технологии, должны подвергаться независимой проверке через запланированные интервалы времени или в случае существенных изменений.
NIST Cybersecurity Framework (EN):
PR.IP-7
PR.IP-7: Protection processes are improved
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
18.2.1
18.2.1 Независимая проверка информационной безопасности
Мера обеспечения ИБ
Подход организации к менеджменту ИБ и ее реализация (т.е. цели, меры и средства, политики, процессы и процедуры ИБ) должны проверяться независимо друг от друга через запланированные интервалы времени или в случае значительных изменений.
Руководство по применению
Руководство должно инициировать проведение независимой проверки. Такая независимая проверка необходима для обеспечения постоянной пригодности, адекватности и эффективности подхода организации к управлению ИБ. Проверка должна включать оценку возможностей для улучшения и необходимости изменений в подходе к безопасности, включая задачи политики и мер обеспечения ИБ.
Такая проверка должна выполняться лицами, не связанными с проверяемой областью, например теми, кто проводит внутренние аудиты, независимыми руководителями или сторонними организациями, специализирующимися на проведении таких проверок. Лица, проводящие проверки, должны иметь соответствующие навыки и опыт.
Результаты независимой проверки должны быть задокументированы и доведены до сведения руководства, которое инициировало проверку. Эти записи должны сохраняться.
Если независимая проверка выявляет, что подход организации и реализация управления ИБ недостаточны, например документированные цели и требования не выполняются или не соответствуют направлению ИБ, установленному в политиках ИБ (см. 5.1.1), руководство должно рассмотреть необходимость корректирующих действий.
Дополнительная информация
ИСО/МЭК 27007 [12] "Руководство по аудиту систем управления информационной безопасностью" и ИСО/МЭК ТО 27008 [13] "Руководство для аудиторов по мерам обеспечения информационной безопасности" также предоставляют руководства для проведения независимой проверки.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.35
А.5.35 Independent review of information security
The organization’s approach to managing information security and its implementation including people, processes and technologies shall be reviewed independently at planned intervals, or when significant changes occur.
The organization’s approach to managing information security and its implementation including people, processes and technologies shall be reviewed independently at planned intervals, or when significant changes occur.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.