Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг

Положение Банка России № 787-П от 12.01.2022

п. 6

Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
0% 20% 40% 60% 80% 100% п. 6
Планируемый уровень
Текущий уровень
6. Кредитные организации должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:
  • требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
  • требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с учетом установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
  • требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий), с учетом установленных главами 7 и 8 Положения Банка России N 716-П требований к управлению риском информационной безопасности и риском информационных систем при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем, а также требований к аутсорсингу обслуживания и функционирования информационных систем;
  • требования к тестированию операционной надежности технологических процессов;
  • требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;
  • требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.
6.1. Кредитные организации должны обеспечивать организацию учета и контроля состава следующих элементов (далее при совместном упоминании - критичная архитектура):
  • технологических процессов, реализуемых непосредственно кредитной организацией;
  • подразделений (работников) кредитной организации, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов (далее - подразделения кредитной организации);
  • объектов информационной инфраструктуры кредитной организации, задействованных при выполнении каждого технологического процесса;
  • технологических участков технологических процессов, установленных в абзацах втором - шестом подпункта 5.2 пункта 5 Положения Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее соответственно - Положение Банка России N 683-П, технологические участки технологических процессов);
  • технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий;
  • работников кредитных организаций или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса;
  • взаимосвязей и взаимозависимостей кредитной организации с иными кредитными организациями, некредитными финансовыми организациями, поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов (далее при совместном упоминании - участники технологического процесса);
  • каналов передачи защищаемой информации, установленной в абзацах первом - пятом пункта 1 Положения Банка России N 683-П, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.
В целях организации учета и контроля состава технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации должны обеспечивать ведение отдельного реестра в соответствии с внутренними документами.

Кредитные организации в отношении элементов, указанных в подпункте 6.1 настоящего пункта, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон от 26 июля 2017 года N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ 7.
6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
  • выявление и регистрация инцидентов операционной надежности;
  • реагирование на инциденты операционной надежности в отношении критичной архитектуры;
  • восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
  • проведение анализа причин и последствий реализации инцидентов операционной надежности;
  • организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.2
ЖЦ.2 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 3 п.п. 4
7.3.4. В технические задания на разработку или модернизацию АБС следует включать требования к обеспечению информационной безопасности, установленные и используемые организацией БС РФ для обеспечения ИБ в рамках технологических процессов организации БС РФ, реализуемых создаваемой или модернизированной АБС.
Р. 7 п. 9 п.п. 5
7.9.5. Должны быть определены, выполняться и контролироваться требования к обеспечению ИБ в процессе взаимодействия АБС организаций БС РФ с информационными системами сторонних организаций (внешними информационными системами).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.3.2
12.3.2
Defined Approach Requirements: 
A targeted risk analysis is performed for each PCI DSS requirement that the entity meets with the customized approach, to include:
  • Documented evidence detailing each element specified in Appendix D: Customized Approach (including, at a minimum, a controls matrix and risk analysis). 
  • Approval of documented evidence by senior management.
  • Performance of the targeted analysis of risk at least once every 12 months. 
Customized Approach Objective:
This requirement is part of the customized approach and must be met for those using the customized approach. 

Applicability Notes:
 This requirement only applies to entities using a Customized Approach. 

Defined Approach Testing Procedures:
  • 12.3.2 Examine the documented targeted riskanalysis for each PCI DSS requirement that the entity meets with the customized approach to verify that documentation for each requirement exists and is in accordance with all elements specified in this requirement. 
Purpose:
 A risk analysis following a repeatable and robust methodology enables an entity to meet the customized approach objective. 

Definitions:
The customized approach to meeting a PCI DSS requirement allows entities to define the controls used to meet a given requirement’s stated Customized Approach Objective in a way that does not strictly follow the defined requirement. These controls are expected to at least meet or exceed the security provided by the defined requirement and require extensive documentation by the entity using the customized approach. 

Further Information:
See Appendix D: Customized Approach for instructions on how to document the required evidence for the customized approach. 
See Appendix E Sample Templates to Support Customized Approach for templates that entities may use to document their customized controls. Note that while use of the templates is optional, the information specified within each template must be documented and provided to each entity’s assessor. 
Guideline for a healthy information system v.2.0 (EN):
41 STANDARD
/STANDARD
Each organization develops within a complex computing environment specific to itself. As such, any position taken or action plan involving the information system security must be considered in light of the risks foreseen by the management. Whether it is organisational or technical measures, their implementation represents a cost for the organization, which needs to ensure that they are able to reduce an identified risk to an acceptable level.
 
In the most sensitive cases, the risk analysis may call into question certain previous choices. This may be the case if the probability of an event appearing and its potential consequences prove critical for the organization and there is no preventive action to control it. 

The recommended approach consists, in broad terms, of defining the context, assessing the risks and dealing with them. The risk assessment generally works by considering two areas: the likelihood and the impacts. This is then followed by the creation of a risk treatment plan to be validated by a designated authority at a higher level. 

Three kinds of approach can be considered to control the risks associated with the information system:
  • the recourse to best IT security practices;
  • a systematic risk analysis based on feedback from users;
  • a structured risk management formalised by a dedicated methodology. 
In this last case, the EBIOS method referenced by ANSSI is recommended. It is able to write down security needs, identify the security objectives and determine the security demands 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.17.1.1
A.17.1.1 Планирование непрерывности информационной безопасности
Мера обеспечения информационной безопасности: Организация должна определить свои требования к информационной безопасности и менеджменту непрерывности информационной безопасности при неблагоприятных ситуациях, например во время кризиса или бедствия 
Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":
П. 7 п.п. 1
7.1. Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны разработать и утвердить внутренние документы, регламентирующие выполнение следующих процессов (направлений) защиты информации в рамках процессов (направлений) защиты информации, предусмотренных подпунктом 7.1.1 пункта 7.1 раздела 7 ГОСТ Р 57580.1-2017:
  • обеспечение защиты информации при управлении доступом;
  • обеспечение защиты вычислительных сетей;
  • контроль целостности и защищенности информационной инфраструктуры;
  • защита от вредоносного кода;
  • предотвращение утечек информации;
  • управление инцидентами защиты информации;
  • защита среды виртуализации;
  • защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.3.2
12.3.2
Определенные Требования к Подходу:
Целевой анализ рисков выполняется для каждого требования PCI DSS, которому организация соответствует с помощью индивидуального подхода, чтобы включить:
  • Документированные доказательства с подробным описанием каждого элемента, указанного в Приложении D: Индивидуальный подход (включая, как минимум, матрицу контроля и анализ рисков).
  • Утверждение документально подтвержденных доказательств высшим руководством.
  • Проведение целевого анализа рисков не реже одного раза в 12 месяцев.
Цель Индивидуального подхода:
Это требование является частью индивидуального подхода и должно быть выполнено для тех, кто использует индивидуальный подход.

Примечания по применению:
Это требование применяется только к организациям, использующим Индивидуальный подход.

Определенные Процедуры Тестирования Подхода:
  • 12.3.2 Изучить документированный целевой анализ рисков для каждого требования PCI DSS, которому соответствует организация, с помощью индивидуального подхода, чтобы убедиться, что документация по каждому требованию существует и соответствует всем элементам, указанным в этом требовании.
Цель:
Анализ рисков с использованием повторяемой и надежной методологии позволяет предприятию достичь цели индивидуального подхода.

Определения:
Индивидуальный подход к выполнению требований PCI DSS позволяет организациям определять элементы управления, используемые для достижения заявленной цели индивидуального подхода к данному требованию, таким образом, чтобы это не строго соответствовало определенному требованию. Ожидается, что эти средства контроля, по крайней мере, будут соответствовать или превышать уровень безопасности, обеспечиваемый определенным требованием, и требуют обширной документации от организации, использующей индивидуальный подход.

Дополнительная информация:
См. Приложение D: Индивидуальный подход для получения инструкций о том, как документировать необходимые доказательства для индивидуального подхода.
Смотрите Примеры шаблонов в Приложении E для поддержки индивидуального подхода к шаблонам, которые организации могут использовать для документирования своих настраиваемых элементов управления. Обратите внимание, что, хотя использование шаблонов необязательно, информация, указанная в каждом шаблоне, должна быть задокументирована и предоставлена оценщику каждой организации.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.29
А.5.29 ИБ в периоды сбоев
Организация должна планировать, как поддерживать соответствующий уровень ИБ в период сбоя.
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 5 п. 1
5.1. Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).

Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:
  • управление риском информационной безопасности в платежной системе как одним из видов операционного риска в платежной системе, источниками реализации которого являются: недостатки процессов обеспечения защиты информации, в том числе недостатки применяемых технологических мер защиты информации, недостатки прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдение требований к указанным процессам деятельности операторами по переводу денежных средств, являющимися участниками платежной системы, операторами услуг платежной инфраструктуры (далее - риск информационной безопасности в платежной системе);
  • установление состава показателей уровня риска информационной безопасности в платежной системе;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств, и контроль их соблюдения операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности в платежной системе в отношении объектов информационной инфраструктуры участников платежной системы, операторов услуг платежной инфраструктуры;
  • выявление и анализ операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры риска информационной безопасности в платежной системе;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, определенных пунктами 2.2 и 2.4 Указания Банка России от 8 октября 2018 года № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента», зарегистрированного Министерством юстиции Российской Федерации 12 декабря 2018 года № 52988;
  • реализация операторами платежных систем процессов применения в отношении операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры ограничений по параметрам операций по осуществлению переводов денежных средств в случае выявления факта превышения значений показателей уровня риска информационной безопасности в платежной системе, в том числе условий снятия таких ограничений.

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.29
А.5.29 Information security during disruption
The organization shall plan how to maintain information security at an appropriate level during disruption.

Связанные защитные меры

Название Дата Влияние
Community
3 17 / 70
Установка обновлений для ОС Linux
Ежемесячно Вручную Техническая Превентивная Компенсирующая
31.05.2022
31.05.2022 3 17 / 70
Community
18 10 / 104
Настройка безопасной конфигурации для серверов ОС Linux
Разово Вручную Техническая Превентивная
16.05.2022
16.05.2022 18 10 / 104
Community
13 / 107
Проведение штабных киберучений
Ежегодно Вручную Организационная
08.05.2022
08.05.2022 13 / 107
Community
1 15 / 69
Централизованная установка обновлений для ОС Windows через WSUS сервер
Ежедневно Автоматически Техническая Превентивная Компенсирующая
04.05.2022
04.05.2022 1 15 / 69
Community
27 / 87
Ведение реестра информационных активов
По событию Вручную Организационная
16.03.2022
16.03.2022 27 / 87
Community
1 12 / 114
Блокировка возможности удаленного завершения работы в ОС Windows
Постоянно Автоматически Техническая Превентивная
25.02.2022
25.02.2022 1 12 / 114
Community
1 28 / 90
Сканирование внешнего сетевого периметра на наличие уязвимостей
Еженедельно Автоматически Техническая Детективная
11.02.2022
11.02.2022 1 28 / 90
Community
1 8 / 137
Доведение до новых работников документов по информационной безопасности
По событию Вручную Организационная Удерживающая
28.10.2021
28.10.2021 1 8 / 137
Community
4 5 / 90
Подписание работниками обязательств о конфиденциальности
Разово Вручную Организационная Удерживающая
12.10.2021
12.10.2021 4 5 / 90
Community
11 / 92
Разработка высокоуровневой политики информационной безопасности
Разово Вручную Организационная Удерживающая
03.06.2021
03.06.2021 11 / 92