Куда я попал?
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014
Менеджмент инцидентов информационной безопасности
Р. 7 п. 2 п.п. 1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ОСО.13
ОСО.13 Включение в разрабатываемые для различных групп работников (с учетом их должностных обязанностей и выполняемых ролей) планы обучения и повышения осведомленности в части противостояния реализации информационных угроз учебных мероприятий по доведению:
- - информации, содержащейся в утвержденной политике управления риском реализации информационных угроз финансовой организации;
- - информации о применяемых в финансовой организации мерах, направленных на управление риском реализации информационных угроз, на обеспечение операционной надежности и защиты информации;
- - информации о возможных сценариях реализации компьютерных атак, направленных на работников финансовой организации (в частности, компьютерных атак, реализуемых посредством применения вредоносного ПО, фишинга и методов социальной инженерии);
- инструкций по выполнению мер, направленных на противостояние реализации информационных угроз, в соответствии с внутренними документами финансовой организации;
- информации о значимости и важности деятельности работников финансовой организации в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;
- инструкций по порядку и способам взаимодействия при реализации инцидентов, связанных с реализацией информационных угроз.
ОСО.15
ОСО.15 Организация обучения или инструктажа в части выявления и инициативного информирования о событиях риска реализации информационных угроз.
ТОН.1.5
ТОН.1.5 Оценку подготовленности работников финансовой организации противостоять реализации информационных угроз, в том числе компьютерных атак;
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.10.4
12.10.4
Defined Approach Requirements:
Personnel responsible for responding to suspected and confirmed security incidents are appropriately and periodically trained on their incident response responsibilities.
Customized Approach Objective:
Personnel are knowledgeable about their role and responsibilities in incident response and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Personnel responsible for responding to suspected and confirmed security incidents are appropriately and periodically trained on their incident response responsibilities.
Customized Approach Objective:
Personnel are knowledgeable about their role and responsibilities in incident response and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
- 12.10.4 Examine training documentation and interview incident response personnel to verify that personnel are appropriately and periodically trained on their incident response responsibilities.
Purpose:
Without a trained and readily available incident response team, extended damage to the network could occur, and critical data and systems may become “polluted” by inappropriate handling of the targeted systems. This can hinder the success of a post-incident investigation.
Good Practice:
It is important that all personnel involved in incident response are trained and knowledgeable about managing evidence for forensics and investigations.
Without a trained and readily available incident response team, extended damage to the network could occur, and critical data and systems may become “polluted” by inappropriate handling of the targeted systems. This can hinder the success of a post-incident investigation.
Good Practice:
It is important that all personnel involved in incident response are trained and knowledgeable about managing evidence for forensics and investigations.
Requirement 12.10.4.1
12.10.4.1
Defined Approach Requirements:
12.10.4.1 The frequency of periodic training for incident response personnel is defined in the entity’s targeted risk analysis, which is performed according to all elements specified in Requirement 12.3.1.
Customized Approach Objective:
Incident response personnel are trained at a frequency that addresses the entity’s risk.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Defined Approach Requirements:
12.10.4.1 The frequency of periodic training for incident response personnel is defined in the entity’s targeted risk analysis, which is performed according to all elements specified in Requirement 12.3.1.
Customized Approach Objective:
Incident response personnel are trained at a frequency that addresses the entity’s risk.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 12.10.4.1.a Examine the entity’s targeted risk analysis for the frequency of training for incident response personnel to verify the risk analysis was performed in accordance with all elements specified in Requirement 12.3.1.
- 12.10.4.1.b Examine documented results of periodic training of incident response personnel and interview personnel to verify training is performed at the frequency defined in the entity’s targeted risk analysis performed for this requirement.
Purpose:
Each entity’s environment and incident response plan are different and the approach will depend on a number of factors, including the size and complexity of the entity, the degree of change in the environment, the size of the incident response team, and the turnover in personnel.
Performing a risk analysis will allow the entity to determine the optimum frequency for training personnel with incident response responsibilities.
Each entity’s environment and incident response plan are different and the approach will depend on a number of factors, including the size and complexity of the entity, the degree of change in the environment, the size of the incident response team, and the turnover in personnel.
Performing a risk analysis will allow the entity to determine the optimum frequency for training personnel with incident response responsibilities.
Requirement 12.6.1
12.6.1
Defined Approach Requirements:
A formal security awareness program is implemented to make all personnel aware of the entity’s information security policy and procedures, and their role in protecting the cardholder data.
Customized Approach Objective:
Personnel are knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
Defined Approach Requirements:
A formal security awareness program is implemented to make all personnel aware of the entity’s information security policy and procedures, and their role in protecting the cardholder data.
Customized Approach Objective:
Personnel are knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
- 12.6.1 Examine the security awareness program to verify it provides awareness to all personnel about the entity’s information security policy and procedures, and personnel’s role in protecting the cardholder data.
Purpose:
If personnel are not educated about their company’s information security policies and procedures and their own security responsibilities, security safeguards and processes that have been implemented may become ineffective through unintentional errors or intentional actions.
If personnel are not educated about their company’s information security policies and procedures and their own security responsibilities, security safeguards and processes that have been implemented may become ineffective through unintentional errors or intentional actions.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.2
A.16.1.2 Сообщения о событиях информационной безопасности
Мера обеспечения информационной безопасности: Требуется как можно скорее сообщать о событиях информационной безопасности по соответствующим каналам управления
Мера обеспечения информационной безопасности: Требуется как можно скорее сообщать о событиях информационной безопасности по соответствующим каналам управления
A.16.1.3
A.16.1.3 Сообщения о недостатках информационной безопасности
Мера обеспечения информационной безопасности: Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки информационной безопасности в системах или сервисах и сообщать о них
Мера обеспечения информационной безопасности: Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки информационной безопасности в системах или сервисах и сообщать о них
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.10.4
12.10.4
Определенные Требования к Подходу:
Персонал, ответственный за реагирование на предполагаемые и подтвержденные инциденты безопасности, проходит надлежащую и периодическую подготовку по своим обязанностям по реагированию на инциденты.
Цель Индивидуального подхода:
Персонал хорошо осведомлен о своей роли и обязанностях в реагировании на инциденты и при необходимости может получить помощь и рекомендации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Персонал, ответственный за реагирование на предполагаемые и подтвержденные инциденты безопасности, проходит надлежащую и периодическую подготовку по своим обязанностям по реагированию на инциденты.
Цель Индивидуального подхода:
Персонал хорошо осведомлен о своей роли и обязанностях в реагировании на инциденты и при необходимости может получить помощь и рекомендации.
Определенные Процедуры Тестирования Подхода:
- 12.10.4 Изучите учебную документацию и опросите персонал по реагированию на инциденты, чтобы убедиться, что персонал надлежащим образом и периодически обучается своим обязанностям по реагированию на инциденты.
Цель:
Без обученной и легкодоступной группы реагирования на инциденты может произойти значительный ущерб сети, а критически важные данные и системы могут “загрязниться” из-за неправильного обращения с целевыми системами. Это может помешать успешному расследованию после инцидента.
Надлежащая практика:
Важно, чтобы весь персонал, участвующий в реагировании на инциденты, был обучен и хорошо осведомлен об управлении доказательствами для судебно-медицинской экспертизы и расследований.
Без обученной и легкодоступной группы реагирования на инциденты может произойти значительный ущерб сети, а критически важные данные и системы могут “загрязниться” из-за неправильного обращения с целевыми системами. Это может помешать успешному расследованию после инцидента.
Надлежащая практика:
Важно, чтобы весь персонал, участвующий в реагировании на инциденты, был обучен и хорошо осведомлен об управлении доказательствами для судебно-медицинской экспертизы и расследований.
Requirement 12.10.4.1
12.10.4.1
Определенные Требования к Подходу:
12.10.4.1 Периодичность периодического обучения персонала по реагированию на инциденты определяется в рамках целевого анализа рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.
Цель Индивидуального подхода:
Персонал по реагированию на инциденты проходит обучение с периодичностью, учитывающей риски организации.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
12.10.4.1 Периодичность периодического обучения персонала по реагированию на инциденты определяется в рамках целевого анализа рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.
Цель Индивидуального подхода:
Персонал по реагированию на инциденты проходит обучение с периодичностью, учитывающей риски организации.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.10.4.1.a Изучите целевой анализ рисков организации на предмет частоты обучения персонала по реагированию на инциденты, чтобы убедиться, что анализ рисков был выполнен в соответствии со всеми элементами, указанными в Требовании 12.3.1.
- 12.10.4.1.b Изучить документированные результаты периодического обучения персонала по реагированию на инциденты и провести собеседование с персоналом, чтобы убедиться, что обучение проводится с частотой, определенной в целевом анализе рисков организации, выполненном для этого требования.
Цель:
Среда и план реагирования на инциденты каждой организации различны, и подход будет зависеть от ряда факторов, включая размер и сложность организации, степень изменений в среде, размер группы реагирования на инциденты и текучесть кадров.
Проведение анализа рисков позволит организации определить оптимальную частоту обучения персонала, отвечающего за реагирование на инциденты.
Среда и план реагирования на инциденты каждой организации различны, и подход будет зависеть от ряда факторов, включая размер и сложность организации, степень изменений в среде, размер группы реагирования на инциденты и текучесть кадров.
Проведение анализа рисков позволит организации определить оптимальную частоту обучения персонала, отвечающего за реагирование на инциденты.
Requirement 12.6.1
12.6.1
Определенные Требования к Подходу:
Реализуется официальная программа повышения осведомленности о безопасности, чтобы весь персонал был осведомлен о политике и процедурах информационной безопасности организации, а также об их роли в защите данных о держателях карт.
Цель Индивидуального подхода:
Персонал осведомлен о ландшафте угроз, своей ответственности за функционирование соответствующих средств контроля безопасности и может получить доступ к помощи и руководству, когда это необходимо.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Реализуется официальная программа повышения осведомленности о безопасности, чтобы весь персонал был осведомлен о политике и процедурах информационной безопасности организации, а также об их роли в защите данных о держателях карт.
Цель Индивидуального подхода:
Персонал осведомлен о ландшафте угроз, своей ответственности за функционирование соответствующих средств контроля безопасности и может получить доступ к помощи и руководству, когда это необходимо.
Определенные Процедуры Тестирования Подхода:
- 12.6.1 Изучите программу информирования о безопасности, чтобы убедиться, что она обеспечивает осведомленность всего персонала о политике и процедурах информационной безопасности организации, а также о роли персонала в защите данных о держателях карт.
Цель:
Если персонал не осведомлен о политике и процедурах информационной безопасности своей компании, а также о своих собственных обязанностях в области безопасности, внедренные меры безопасности и процессы могут стать неэффективными из-за непреднамеренных ошибок или преднамеренных действий.
Если персонал не осведомлен о политике и процедурах информационной безопасности своей компании, а также о своих собственных обязанностях в области безопасности, внедренные меры безопасности и процессы могут стать неэффективными из-за непреднамеренных ошибок или преднамеренных действий.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.8
А.6.8 Сообщения о событиях ИБ
Организация должна предоставить персоналу механизм для своевременного сообщения о наблюдаемых или предполагаемых событиях ИБ по соответствующим каналам.
Организация должна предоставить персоналу механизм для своевременного сообщения о наблюдаемых или предполагаемых событиях ИБ по соответствующим каналам.
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.13.
1.13. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), в целях противодействия незаконным финансовым операциям.
Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов:
Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов:
- информации о возможных рисках несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления;
- информации о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции, контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления финансовой операции, и своевременному обнаружению воздействия вредоносного кода.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
16.1.3
16.1.3 Сообщение о недостатках информационной безопасности
Мера обеспечения ИБ
Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки ИБ в системах или сервисах и сообщать о них.
Руководство по применению
Все работники и подрядчики должны незамедлительно сообщать о недостатках ИБ контактных лиц, чтобы предотвратить инциденты ИБ. Механизм оповещения должен быть максимально простым, доступным и работоспособным.
Дополнительная информация
Работникам и подрядчикам должно быть рекомендовано не пытаться проверять предполагаемые недостатки безопасности. Тестирование недостатков может быть воспринято как потенциально неправильное использование системы, а также может повредить информационную систему или сервис и привести к юридической ответственности лица, выполняющего тестирование.
16.1.2
16.1.2 Сообщения о событиях информационной безопасности
Мера обеспечения ИБ
Требуется незамедлительно сообщать о событиях информационной безопасности по соответствующим каналам управления.
Руководство по применению
Все работники и подрядчики должны быть осведомлены о своей обязанности незамедлительно сообщать о событиях ИБ. Они должны быть также осведомлены о процедуре оповещения о событиях безопасности и контактных лицах, которым следует сообщать о событиях.
Ситуации, которые предполагают передачу сообщения о событии ИБ, включают в себя:
- a) неэффективный контроль ИБ;
- b) нарушение ожидаемого уровня целостности, конфиденциальности или доступности информации;
- c) человеческие ошибки;
- d) несоответствия политикам или руководствам;
- e) нарушения мер физической безопасности;
- f) неконтролируемые системные изменения;
- g) неисправности программного или аппаратного обеспечения;
- h) нарушения доступа.
Дополнительная информация
Сбои или иное ненормальное поведение системы могут быть индикаторами атак на систему защиты или фактического нарушения защиты, и следовательно о них всегда необходимо сообщать как о событиях ИБ.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.8
А.6.8 Information security event reporting
The organization shall provide a mechanism for personnel to report observed or suspected information security events through appropriate channels in a timely manner.
The organization shall provide a mechanism for personnel to report observed or suspected information security events through appropriate channels in a timely manner.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.