Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Положение Банка России № 787-П от 12.01.2022

Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг

п. 10

Для проведения оценки соответствия по документу войдите в систему.

Список требований

10. Кредитные организации в рамках обеспечения операционной надежности должны:
моделировать информационные угрозы в отношении критичной архитектуры с учетом требований к проведению качественной оценки уровня операционного риска, предусмотренных подпунктом 2.1.5 пункта 2.1 Положения Банка России N 716-П;
планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности, с учетом результатов идентификации риска информационной безопасности, а также его оценки, проводимой в составе процедур управления операционным риском в соответствии с требованиями глав 2 и 7 Положения Банка России N 716-П;
обеспечивать реализацию требований к операционной надежности на стадиях создания, ввода в эксплуатацию, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, вывода из эксплуатации объектов информационной инфраструктуры;
обеспечивать контроль соблюдения требований к операционной надежности.
Кредитные организации должны включать в порядок ведения базы событий, предусмотренный пунктом 6.2 Положения Банка России N 716-П, особенности регистрации событий операционного риска, являющихся инцидентами операционной надежности.

Кредитная организация должна регистрировать инциденты операционной надежности с учетом требований к ведению базы событий, предусмотренных главой 6 Положения Банка России N 716-П.

Кредитные организации при определении в соответствии с пунктом 3.7 Положения Банка России N 716-П дополнительных типов событий операционного риска должны предусматривать во внутренних документах классификацию типов инцидентов операционной надежности с использованием перечня типов инцидентов операционной надежности, размещаемого Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), и обеспечивать их регулярную актуализацию.

По каждому инциденту операционной надежности в дополнение к информации, указанной в пункте 6.6 Положения Банка России N 716-П, кредитные организации должны обеспечить регистрацию следующей информации:
данных, используемых для фиксации превышения установленных значений целевых показателей операционной надежности;
данных, позволяющих выявить причину превышения установленных значений целевых показателей операционной надежности;
результата реагирования на инцидент операционной надежности (о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитной организацией или Банком России инцидент операционной надежности).
Кредитные организации должны устанавливать во внутренних документах критерии шкалы качественных оценок и методику определения оценок качественных потерь от реализации инцидентов операционной надежности в соответствии с подпунктом 3.13.2 пункта 3.13 Положения Банка России N 716-П, в случае если они не определяются в денежном выражении.

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":

КОН.1

КОН.1 Контроль применения процесса обеспечения операционной надежности в отношении фактического состава идентифицированных элементов критичной архитектуры, входящих в область применения процесса обеспечения операционной надежности.

ПОН.4

ПОН.4 Документарное определение порядка применения организационных и технических мер обеспечения операционной надежности (процедур в рамках процесса обеспечения операционной надежности), реализуемых в рамках процесса системы обеспечения операционной надежности.

ПОН.3

ПОН.3 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных и технических мер обеспечения операционной надежности, выбранных финансовой организацией и реализуемых в рамках процесса обеспечения операционной надежности.

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":

ЖЦ.11

ЖЦ.11 Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС (документарное определение в соответствии с мерой ЖЦ.11 выполняется в случае необходимости):

состава и порядка применения клиентами финансовой организации прикладного ПО и (или) технических и (или) организационных мер защиты информации (далее при совместном упоминании - клиентские компоненты);
параметров настроек клиентских компонентов и информационной инфраструктуры клиентов финансовой организации, предназначенной для размещения клиентских компонентов;
описания мер по обеспечению использования клиентом определенных доверенных версий (сборок) прикладного ПО

3-О 2-О 1-О

ЖЦ.3

ЖЦ.3 Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС:

состава и порядка применения технических и (или) организационных мер системы защиты информации АС;
параметров настроек технических мер системы защиты информации АС и компонентов информационной инфраструктуры, предназначенных для размещения указанных технических мер (параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости)

3-О 2-О 1-О

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 5 п. 5.7

5.7. Один из главных инструментов собственника в обеспечении ИБ - основанный на опыте прогноз (составление модели угроз и модели нарушителя)*.
Чем обоснованнее и точнее сделан прогноз в отношении актуальных для организации БС РФ рисков нарушения ИБ, тем адекватнее и эффективнее будут планируемые и предпринимаемые усилия по обеспечению требуемого уровня ИБ. При этом следует учитывать, что со временем угрозы, их источники и риски могут изменяться. Поэтому модели следует периодически пересматривать.

(*) Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используется имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.

Р. 6 п. 6.12

6.12. В организации БС РФ рекомендуется устанавливать процедуры регулярного анализа необходимости пересмотра модели угроз и нарушителей ИБ.

Р. 6 п. 6.1

6.1. Модели угроз и нарушителей должны быть основным инструментом организации БС РФ при развертывании, поддержании и совершенствовании СОИБ.

Р. 6 п. 6.11

6.11. Хорошей практикой в организациях БС РФ является разработка моделей угроз и нарушителей ИБ для организации в целом, а также при необходимости для ее отдельных банковских процессов.
Степень детализации параметров моделей угроз и нарушителей ИБ может быть различной и определяется реальными потребностями для каждой организации в отдельности.

CIS Critical Security Controls v8 (The 18 CIS CSC):

16.14

16.14 Conduct Threat Modeling
Conduct threat modeling. Threat modeling is the process of identifying and addressing application security design flaws within a design, before code is created. It is conducted through specially trained individuals who evaluate the application design and gauge security risks for each entry point and access level. The goal is to map out the application, architecture, and infrastructure in a structured way to understand its weaknesses.

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":

ВИО.15

ВИО.15 Разработка модели информационных угроз на основе результатов, полученных при реализации мер ВИО.8 – ВИО.14 настоящей таблицы.

ОПР.8.1

ОПР.8.1 Направленность на обеспечение операционной надежности финансовой организации;

ВИО.12

ВИО.12 Организация и выполнение деятельности по оценке возможностей нарушителя безопасности информации в отношении:

внутреннего нарушителя безопасности информации;
внешнего нарушителя безопасности информации.

РМ.8.2

РМ.8.2 Планирование применения организационных и технических мер, направленных на реализацию требований к процессам системы обеспечения операционной надежности, определенной в рамках семейства стандартов ОН Комплекса стандартов.

ОПР.19.9

ОПР.19.9 Обеспечение реагирования финансовой организации в случае превышения сигнальных и контрольных значений КПУР.

ВРВ.36

ВРВ.36 Определение в качестве целевых показателей анализа технических данных (свидетельств), собранных в рамках выявления, реагирования на инциденты и восстановления после их реализации:

определение (в том числе выявление новых) сценариев реализации инцидентов;
предотвращение повторной реализации инцидентов;
проведение идентификации субъектов, реализующих инциденты;
своевременное выявление маркеров «скрытого» несанкционированного управления объектами информатизации.

ТОН.3

ТОН.3 Организация и выполнение деятельности по формированию и регулярному пересмотру сценариев реализации информационных угроз на основе:

информации об инцидентах, характерных для вида деятельности финансовой организации*;
информации об инцидентах, характерных для технологических участков бизнес- и технологических процессов;
информации о проведенных ранее тестированиях готовности финансовой организации противостоять реализации информационных угроз;
информации об актуальных сценариях реализации информационных угроз, в том числе компьютерных атак.

ИКА.11

ИКА.11 Установление во внутренних документах финансовой организации для каждого бизнес- и технологического процесса, входящего в критичную архитектуру, целевых показателей операционной надежности согласно Приложению Б.

Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):

16.14

16.14 Реализовано моделирование угроз
Проводить моделирование угроз

Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":

п. 1.14.

1.14. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны:

моделировать информационные угрозы в отношении критичной архитектуры;
планировать применение организационных и технических мер, направленных на реализацию требований к операционной надежности, на основе результатов оценки риска реализации информационных угроз в рамках системы управления рисками (при наличии);
обеспечивать реализацию требований к операционной надежности на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации своих объектов информационной инфраструктуры;
обеспечивать контроль соблюдения требований к операционной надежности в отношении элементов критичной архитектуры.

Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны устанавливать во внутренних документах порядок регистрации событий операционного риска, связанных с нарушением операционной надежности. По каждому событию операционного риска, связанному с нарушением операционной надежности, некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечивать регистрацию:

данных, используемых для фиксации отклонения от значений целевых показателей операционной надежности, указанных в пункте 1.3 настоящего Положения;
данных, позволяющих выявить причину отклонения от значений целевых показателей операционной надежности, указанных в пункте 1.3 настоящего Положения;
результата реагирования на событие операционного риска, связанное с нарушением операционной надежности (принятых мер и проведенных мероприятий по реагированию на выявленное некредитной финансовой организацией или Банком России событие операционного риска, связанное с нарушением операционной надежности).

Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":

Глава 7. Пункт 9.1

7.9.1. В целях обеспечения информационной безопасности:

разработка политики информационной безопасности;
контроль осуществления работниками кредитной организации (головной кредитной организации банковской группы) мероприятий в области обеспечения информационной безопасности и защиты информации и выполнения других задач, возложенных на них внутренними документами кредитной организации (головной кредитной организации банковской группы);
осуществление планирования и контроля процессов обеспечения информационной безопасности в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
разработка предложений по совершенствованию процессов обеспечения информационной безопасности, в том числе в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
составление отчетов по обеспечению информационной безопасности и направление их должностному лицу, ответственному за обеспечение информационной безопасности;
осуществление других функций, связанных с обеспечением информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).

Глава 7. Пункт 5.

7.5. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок ведения базы событий риска информационной безопасности (как в общей базе событий, так и в отдельной базе событий риска информационной безопасности). В случае если кредитная организация (головная кредитная организация банковской группы) ведет отдельную базу событий риска информационной безопасности, подразделению (работникам), ответственному (ответственным) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности), необходимо соблюдать требования к классификации событий риска информационной безопасности в соответствии с пунктами 3.3-3.15 настоящего Положения и требования к ведению базы событий в соответствии с пунктами 6.6-6.21 настоящего Положения.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.