Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Положение Банка России № 716-П от 08.04.2022

О требованиях к системе управления операционным риском в кредитной организации и банковской группе

Глава 8. Пункт 8.9

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 8 п. 2 п.п. 1

8.2.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ руководству следует сформировать службу ИБ в составе не менее двух человек (назначить уполномоченных лиц), а также утвердить цели и задачи ее деятельности.
Служба ИБ должна иметь утвержденные руководством полномочия и ресурсы, необходимые для выполнения установленных целей и задач, а также назначенного из числа руководства куратора. При этом служба ИБ и служба информатизации (автоматизации) не должны иметь общего куратора.
Рекомендуется наделить службу ИБ собственным бюджетом.
Организациям БС РФ, имеющим сеть филиалов или региональных представительств, рекомендуется выделять соответствующие подразделения ИБ (уполномоченных лиц) на местах, обеспечив их необходимыми ресурсами и нормативной базой.

Р. 8 п. 7 п.п. 4

8.7.4. В организации БС РФ должны быть зафиксированы решения руководства, связанные с назначением и распределением ролей для всех структурных подразделений в соответствии с положениями внутренних документов, регламентирующих деятельность по обеспечению ИБ организации БС РФ.

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":

ОПР.7

ОПР.7 Установление функций и полномочий подразделений, формирующих «третью линию защиты», в части управления риском реализации информационных угроз, включающих:

проведение ежегодной оценки эффективности функционирования системы управления риском реализации информационных угроз*****;
оценку независимости деятельности подразделений, формирующих «вторую линию защиты», в части валидации данных и применения методологии в рамках управления риском реализации информационных угроз;
верификацию методологии и данных (последующая оценка адекватности методологии на предмет ее согласованности с внутренними политиками и требованиями финансовой организации, проверка полноты и корректности данных о риске реализации информационных угроз и событиях такого риска);
верификацию внутренней отчетности в рамках управления риском реализации информационных угроз, представляемой на рассмотрение совету директоров (наблюдательному совету);
содействие своевременному и адекватному реагированию подразделениями, формирующими «первую» и «вторую линии защиты», на недостатки функционирования системы управления риском реализации информационных угроз (в части их устранения)

ОРО.16

ОРО.16 Выделение на местах, в случае наличия у финансовой организации филиалов (региональных представительств), соответствующих подразделений ИБ (уполномоченных лиц) и организация их ресурсного (кадрового и финансового) обеспечения и обеспечение нормативной базой*.

ОПР.4

ОПР.4 Установление функций и полномочий подразделений, формирующих «первую линию защиты», включающих:

идентификацию риска реализации информационных угроз (в пределах своей компетенции) в рамках реализуемых ими бизнеси технологических процессов;
сбор информации и информирование о внутренних событиях риска реализации информационных угроз и потерях подразделения, ответственного за регистрацию такой информации в базе событий риска реализации информационных угроз (службы ИБ);
оценку риска реализации информационных угроз (в пределах компетенции) в рамках реализуемых ими бизнес- и технологических процессов;
обеспечение соблюдения требований к планированию, реализации, контролю (в пределах компетенции) и совершенствованию мероприятий, направленных на уменьшение негативного влияния риска реализации информационных угроз;
мониторинг риска реализации информационных угроз (в пределах компетенции) и формирование соответствующей отчетности в рамках выполняемых ими бизнес- и технологических процессов;
информирование службы ИБ об остаточном риске реализации информационных угроз, не уменьшенном выполняемыми мероприятиями, направленными на уменьшение негативного влияния риска реализации информационных угроз;
информирование о необходимости пересмотра ресурсного (кадрового и финансового) обеспечения для управления риском реализации информационных угроз

УПК.16

УПК.16 Определение процедур информирования и состава отчетности для представления совету директоров (наблюдательному совету) и исполнительному органу финансовой организации в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации подразделениями финансовой организации, формирующими «три линий защиты».

ОПР.10

ОПР.10 Установление целей и требований политики управления риском реализации информационных угроз с участием и по согласованию с вовлеченными подразделениями, формирующими «три линии защиты».

ОПР.6

ОПР.6 Установление функций и полномочий подразделений, формирующих «вторую линию защиты» в части управления риском реализации информационных угроз, включающих:

интеграцию системы управления риском реализации информационных угроз в систему управления операционным риском;
координацию деятельности по управлению риском реализации информационных угроз как одним из видов операционного риска;
валидацию данных (анализ данных о риске реализации информационных угроз или событиях такого риска на предмет их полноты и адекватности);
валидацию применения методологии в рамках управления риском реализации информационных угроз как одним из видов операционного риска (оценка корректности и адекватности в части согласованности методологии в рамках управления риском реализации информационных угроз с методологией управления операционным риском);
валидацию КИР;
расчет и обоснование сигнальных и контрольных значений КПУР (за исключением сигнальных и контрольных значений КПУР, расчет и обоснование которых осуществляется службой ИБ согласно ОПР.5.2 настоящей таблицы);
расчет фактических значений КПУР (за исключением фактических значений КПУР, расчет которых осуществляется службой ИБ согласно ОПР.5.2);
координацию деятельности по отражению информации о событиях риска реализации информационных угроз в базе событий операционного риска;
включение отчетности, формируемой в рамках управления риском реализации информационных угроз, в отчетность об управлении операционным риском;
определение (во взаимодействии со службой ИБ) согласованной или единой методологии управления риском реализации информационных угроз, обеспечивающей интеграцию процессов управления риском реализации информационных угроз в рамках процессов управления операционным риском

ОПР.1.3

ОПР.1.3 Определение организационной структуры финансовой организации, задействованной в выполнении процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в том числе установление функций подразделений финансовой организации (включая принятие решений с учетом исключения конфликта интересов) и контроль за выполнением процессов в рамках порядка организации и осуществления финансовой организацией внутреннего контроля;

NIST Cybersecurity Framework (RU):

ID.GV-2

ID.GV-2: Роли и обязанности в области информационной безопасности скоординорованы и согласованы с внутренними ролями и внешними партнерами

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":

ВРВ.38

ВРВ.38 Определение в качестве показателей для оценки эффективности выявления, реагирования на инциденты и восстановления после их реализации:

оперативность выявления, регистрации и реагирования на инцидент;
своевременность и корректность предварительной оценки влияния (критичности) инцидента;
полнота, качество и оперативность восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидента;
эффективность выполнения процедур приоритизации, эскалации и принятия (или делегирования прав по принятию) решений;
эффективность взаимодействия в рамках реагирования на инциденты и восстановления после их реализации как внутри финансовой организации, так с причастными сторонами, в том числе клиентами финансовой организации.

Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":

Р. 9 п. 1

9.1. В рамках реализации процессов обработки технических данных рекомендуется участие следующих подразделений организации БС РФ:

подразделение информатизации в части:
- обеспечения наличия технических данных путем должной настройки объектов информационной инфраструктуры для ведения протоколов (журналов) регистрации;
- обеспечения хранения протоколов (журналов) регистрации в течение как минимум трех лет;
- обеспечения необходимых технических средств для сбора и обработки технических данных;
- участия при необходимости в сборе технических данных; • участия при необходимости в выделении и анализе содержательной (семантической) информации;
- предоставления содействия и информации, необходимых для проведения полноценного сбора технических данных, выделения и анализа содержательной (семантической) информации;
служба ИБ в части:
- организации и проведения сбора технических данных;
- организации и проведения выделения и анализа содержательной (семантической) информации;
- разработки планов (регламентов) сбора технических данных, реализуемого в случае выявления инцидентов ИБ;
- формирования предложений по привлечению сторонних специалистов, а также по взаимодействию с правоохранительными органами, обращению в МВД России, FinCert Банка России;
- обеспечения и координации взаимодействия с правоохранительными органами и FinCert Банка России;
- обеспечения взаимодействия с клиентами организации БС РФ для получения технических данных, собранных клиентами;
- контроля обеспечения наличия технических данных;
юридическая служба – в части привлечения представителей, которых целесообразно обеспечить при документировании результатов выделения и анализа содержательной (семантической) информации, предполагаемых к передаче в правоохранительные органы;
подразделение, ответственное за операционную деятельность, обслуживание банковских карт – в части участия при необходимости в анализе содержательной (семантической) информации при выявлении инцидентов ИБ, связанных с переводами денежных средств, а также принятии решений о возможности отключения и (или) выведения из штатного режима объектов информационной инфраструктуры целевых систем;
подразделение внутренней (физической) безопасности – в части сопровождения при необходимости работников организации БС РФ при сборе технических данных с информационной инфраструктуры клиентов;
подразделение по связям с общественностью – в части обеспечения взаимодействия со средствами массовой информации.

Р. 9 п. 3

9.3. Организации БС РФ рекомендуется выделение и назначение работникам службы ИБ отдельной функциональной роли (или выделение отдельного функционального подразделения), связанной с выполнением функций, определенных в пункте 9.1 настоящего раздела.

NIST Cybersecurity Framework (EN):

ID.GV-2 ID.GV-2: Cybersecurity roles and responsibilities are coordinated and aligned with internal roles and external partners

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.