Положение Банка России № 787-П от 12.01.2022

ПОН.4 Документарное определение порядка применения организационных и технических мер обеспечения операционной надежности (процедур в рамках процесса обеспечения операционной надежности), реализуемых в рамках процесса системы обеспечения операционной надежности. 

ПОН.3 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных и технических мер обеспечения операционной надежности, выбранных финансовой организацией и реализуемых в рамках процесса обеспечения операционной надежности.

ЖЦ.2 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)
3-О 2-О 1-О

7.3.4. В технические задания на разработку или модернизацию АБС следует включать требования к обеспечению информационной безопасности, установленные и используемые организацией БС РФ для обеспечения ИБ в рамках технологических процессов организации БС РФ, реализуемых создаваемой или модернизированной АБС.

7.9.5. Должны быть определены, выполняться и контролироваться требования к обеспечению ИБ в процессе взаимодействия АБС организаций БС РФ с информационными системами сторонних организаций (внешними информационными системами).

ОПР.8.1 Направленность на обеспечение операционной надежности финансовой организации; 

ОПР.5.1 В целях обеспечения ИБ:

ОПР.9.2 Обеспечение возможности поддержания непрерывного предоставления финансовых и (или) информационных услуг в условиях возможной реализации информационных угроз; 

ОПР.19.9 Обеспечение реагирования финансовой организации в случае превышения сигнальных и контрольных значений КПУР.

ВРВ.36 Определение в качестве целевых показателей анализа технических данных (свидетельств), собранных в рамках выявления, реагирования на инциденты и восстановления после их реализации:

УИ.11.1 Внесение изменений в критичную архитектуру с учетом оценки риска реализации информационных угроз (включая остаточный риск) и влияния на операционную надежность финансовой организации до и после внесения изменений;

ВРВ.7.6 Перечня причастных сторон (за исключением клиентов финансовой организации), с которыми финансовая организация осуществляет взаимодействие в рамках реагирования на инциденты;

12.3.2
Defined Approach Requirements: 
A targeted risk analysis is performed for each PCI DSS requirement that the entity meets with the customized approach, to include:

Customized Approach Objective:
This requirement is part of the customized approach and must be met for those using the customized approach. 

Applicability Notes:
 This requirement only applies to entities using a Customized Approach. 

Defined Approach Testing Procedures:

Purpose:
 A risk analysis following a repeatable and robust methodology enables an entity to meet the customized approach objective. 

Definitions:
The customized approach to meeting a PCI DSS requirement allows entities to define the controls used to meet a given requirement’s stated Customized Approach Objective in a way that does not strictly follow the defined requirement. These controls are expected to at least meet or exceed the security provided by the defined requirement and require extensive documentation by the entity using the customized approach. 

Further Information:
See Appendix D: Customized Approach for instructions on how to document the required evidence for the customized approach. 
See Appendix E Sample Templates to Support Customized Approach for templates that entities may use to document their customized controls. Note that while use of the templates is optional, the information specified within each template must be documented and provided to each entity’s assessor. 

Each organization develops within a complex computing environment specific to itself. As such, any position taken or action plan involving the information system security must be considered in light of the risks foreseen by the management. Whether it is organisational or technical measures, their implementation represents a cost for the organization, which needs to ensure that they are able to reduce an identified risk to an acceptable level.
 
In the most sensitive cases, the risk analysis may call into question certain previous choices. This may be the case if the probability of an event appearing and its potential consequences prove critical for the organization and there is no preventive action to control it. 

The recommended approach consists, in broad terms, of defining the context, assessing the risks and dealing with them. The risk assessment generally works by considering two areas: the likelihood and the impacts. This is then followed by the creation of a risk treatment plan to be validated by a designated authority at a higher level. 

Three kinds of approach can be considered to control the risks associated with the information system:

In this last case, the EBIOS method referenced by ANSSI is recommended. It is able to write down security needs, identify the security objectives and determine the security demands 

A.17.1.1 Планирование непрерывности информационной безопасности
Мера обеспечения информационной безопасности: Организация должна определить свои требования к информационной безопасности и менеджменту непрерывности информационной безопасности при неблагоприятных ситуациях, например во время кризиса или бедствия 

7.1. Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны разработать и утвердить внутренние документы, регламентирующие выполнение следующих процессов (направлений) защиты информации в рамках процессов (направлений) защиты информации, предусмотренных подпунктом 7.1.1 пункта 7.1 раздела 7 ГОСТ Р 57580.1-2017:

12.3.2
Определенные Требования к Подходу:
Целевой анализ рисков выполняется для каждого требования PCI DSS, которому организация соответствует с помощью индивидуального подхода, чтобы включить:

Цель Индивидуального подхода:
Это требование является частью индивидуального подхода и должно быть выполнено для тех, кто использует индивидуальный подход.

Примечания по применению:
Это требование применяется только к организациям, использующим Индивидуальный подход.

Определенные Процедуры Тестирования Подхода:

Цель:
Анализ рисков с использованием повторяемой и надежной методологии позволяет предприятию достичь цели индивидуального подхода.

Определения:
Индивидуальный подход к выполнению требований PCI DSS позволяет организациям определять элементы управления, используемые для достижения заявленной цели индивидуального подхода к данному требованию, таким образом, чтобы это не строго соответствовало определенному требованию. Ожидается, что эти средства контроля, по крайней мере, будут соответствовать или превышать уровень безопасности, обеспечиваемый определенным требованием, и требуют обширной документации от организации, использующей индивидуальный подход.

Дополнительная информация:
См. Приложение D: Индивидуальный подход для получения инструкций о том, как документировать необходимые доказательства для индивидуального подхода.
Смотрите Примеры шаблонов в Приложении E для поддержки индивидуального подхода к шаблонам, которые организации могут использовать для документирования своих настраиваемых элементов управления. Обратите внимание, что, хотя использование шаблонов необязательно, информация, указанная в каждом шаблоне, должна быть задокументирована и предоставлена оценщику каждой организации.

А.5.29 ИБ в периоды сбоев
Организация должна планировать, как поддерживать соответствующий уровень ИБ в период сбоя.

5.1. Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).

Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:

А.5.29 Information security during disruption
The organization shall plan how to maintain information security at an appropriate level during disruption.

8.3. В политике информационных систем кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационных систем определяет:

Политика информационных систем утверждается коллегиальным исполнительным органом кредитной организации (головной кредитной организации банковской группы).

Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) несет ответственность за соблюдение требований политики информационных систем.

7.1. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок управления риском информационной безопасности.