Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014
Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Р. 7 п. 2 п.п. 8
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Приказ ФАПСИ № 152 от 13.06.2001 "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну":
Глава II п. 18
18. Сотрудники органа криптографической защиты должны иметь разработанные в соответствии с настоящей Инструкцией и утвержденные лицензиатом ФАПСИ функциональные обязанности. Объем и порядок ознакомления сотрудников органов криптографической защиты с конфиденциальной информацией определяется обладателем конфиденциальной информации.
Обязанности между сотрудниками органа криптографической защиты должны быть распределены с учетом персональной ответственности за сохранность СКЗИ, ключевой документации и документов, а также за порученные участки работы.
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.3.1
РВН.3.1 Включение в трудовые контракты (соглашения, договоры) и (или) должностные инструкции и доведение до работников финансовой организации обязанностей по соблюдению соответствующих требований, а также ответственности за их нарушение.
РВН.3.4
РВН.3.4 Приравнивание фактов невыполнения работниками финансовой организации требований к обеспечению операционной надежности и защиты информации к фактам неисполнения должностных обязанностей и применение в указанных случаях соответствующих дисциплинарных взысканий согласно Трудовому кодексу Российской Федерации.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 4.1.2
4.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 4 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 4 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 4 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 4 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 4.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 4 are documented and assigned.
- 4.1.2.b Interview personnel with responsibility for performing activities in Requirement 4 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 3.7.8
3.7.8
Defined Approach Requirements:
Key management policies and procedures are implemented to include that cryptographic key custodians formally acknowledge (in writing or electronically) that they understand and accept their key-custodian responsibilities.
Customized Approach Objective:
Key custodians are knowledgeable about their responsibilities in relation to cryptographic operations and can access assistance and guidance when required.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Key management policies and procedures are implemented to include that cryptographic key custodians formally acknowledge (in writing or electronically) that they understand and accept their key-custodian responsibilities.
Customized Approach Objective:
Key custodians are knowledgeable about their responsibilities in relation to cryptographic operations and can access assistance and guidance when required.
Defined Approach Testing Procedures:
- 3.7.8.a Examine the documented key-management policies and procedures for keys used for protection of stored account data and verify that they define acknowledgments for key custodians in accordance with all elements specified in this requirement.
- 3.7.8.b Examine documentation or other evidence showing that key custodians have provided acknowledgments in accordance with all elements specified in this requirement.
Purpose:
This process will help ensure individuals that act as key custodians commit to the key-custodian role and understand and accept the responsibilities. An annual reaffirmation can help remind key custodians of their responsibilities.
Further Information:
Industry guidance for key custodians and their roles and responsibilities includes:
This process will help ensure individuals that act as key custodians commit to the key-custodian role and understand and accept the responsibilities. An annual reaffirmation can help remind key custodians of their responsibilities.
Further Information:
Industry guidance for key custodians and their roles and responsibilities includes:
- NIST SP 800-130 A Framework for Designing Cryptographic Key Management Systems [5. Roles and Responsibilities (especially) for Key Custodians]
- ISO 11568-1 Banking -- Key management (retail) -- Part 1: Principles [5 Principles of key management (especially b)]
Requirement 11.1.2
11.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 11 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 11 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 11 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 11 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 11.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 11 are documented and assigned.
- 11.1.2.b Interview personnel with responsibility for performing activities in Requirement 11 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 8.1.2
8.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 8 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 8 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 8 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 8 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 8.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 8 are documented and assigned.
- 8.1.2.b Interview personnel with responsibility for performing activities in Requirement 8 to verify that roles and responsibilities are assigned as documented and are understood
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 7.1.2
7.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 7 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 7 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 7 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 7 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 7.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 7 are documented and assigned.
- 7.1.2.b Interview personnel with responsibility for performing activities in Requirement 7 to verify that roles and responsibilities are assigned as and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 1.1.2
1.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 1 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 1 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 1 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 1 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 1.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 1 are documented and assigned.
- 1.1.2.b Interview personnel responsible for performing activities in Requirement 1 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Definitions:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Definitions:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 3.1.2
3.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 3 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 3 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 3 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 3 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 3.1.2.a Examine documentation to verify that descriptions of roles and responsibilities performing activities in Requirement 3 are documented and assigned.
- 3.1.2.b Interview personnel with responsibility for performing activities in Requirement 3 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 6.1.2
6.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 6 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 6 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 6 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 6 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 6.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 6 are documented and assigned.
- 6.1.2.b Interview personnel responsible for performing activities in Requirement 6 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, systems will not be securely maintained, and their security level will be reduced.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, systems will not be securely maintained, and their security level will be reduced.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 12.6.3.2
12.6.3.2
Defined Approach Requirements:
Security awareness training includes awareness about the acceptable use of end-user technologies in accordance with Requirement 12.2.1.
Customized Approach Objective:
Personnel are knowledgeable about their responsibility for the security and operation of enduser technologies and are able to access assistance and guidance when required.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Security awareness training includes awareness about the acceptable use of end-user technologies in accordance with Requirement 12.2.1.
Customized Approach Objective:
Personnel are knowledgeable about their responsibility for the security and operation of enduser technologies and are able to access assistance and guidance when required.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 12.6.3.2 Examine security awareness training content to verify it includes awareness about acceptable use of end-user technologies in accordance with Requirement 12.2.1.
Purpose:
By including the key points of the acceptable use policy in regular training and the related context, personnel will understand their responsibilities and how these impact the security of an organization’s systems.
By including the key points of the acceptable use policy in regular training and the related context, personnel will understand their responsibilities and how these impact the security of an organization’s systems.
Requirement 10.1.2
10.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 10 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 10 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 10 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 10 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 10.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 10 are documented and assigned.
- 10.1.2.b Interview personnel with responsibility for performing activities in Requirement 10 to verify that roles and responsibilities are assigned as defined and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 2.1.2
2.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 2 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 2 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 2 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 2 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 2.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 2 are documented and assigned.
- 2.1.2.b Interview personnel with responsibility for performing activities in Requirement 2 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 5.1.2
5.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 5 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 5 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 5 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 5 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 5.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 5 are documented and assigned.
- 5.1.2.b Interview personnel with responsibility for performing activities in Requirement 5 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, networks and systems may not be properly protected from malware.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
If roles and responsibilities are not formally assigned, networks and systems may not be properly protected from malware.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
Examples:
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix).
Requirement 12.1.3
12.1.3
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.
Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.
Defined Approach Testing Procedures:
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.
Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.
Defined Approach Testing Procedures:
- 12.1.3.a Examine the information security policy to verify that they clearly define information security roles and responsibilities for all personnel.
- 12.1.3.b Interview personnel in various roles to verify they understand their information security responsibilities.
- 12.1.3.c Examine documented evidence to verify personnel acknowledge their information security responsibilities.
Purpose:
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.
Requirement 9.1.2
9.1.2
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 9 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 9 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Roles and responsibilities for performing activities in Requirement 9 are documented, assigned, and understood.
Customized Approach Objective:
Day-to-day responsibilities for performing all the activities in Requirement 9 are allocated. Personnel are accountable for successful, continuous operation of these requirements.
Defined Approach Testing Procedures:
- 9.1.2.a Examine documentation to verify that descriptions of roles and responsibilities for performing activities in Requirement 9 are documented and assigned.
- 9.1.2.b Interview personnel with responsibility for performing activities in Requirement 9 to verify that roles and responsibilities are assigned as documented and are understood.
Purpose:
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix)
If roles and responsibilities are not formally assigned, personnel may not be aware of their day-to-day responsibilities, and critical activities may not occur.
Good Practice:
Roles and responsibilities may be documented within policies and procedures or maintained within separate documents.
As part of communicating roles and responsibilities, entities can consider having personnel acknowledge their acceptance and understanding of their assigned roles and responsibilities.
A method to document roles and responsibilities is a responsibility assignment matrix that includes who is responsible, accountable, consulted, and informed (also called a RACI matrix)
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.1.1
A.12.1.1 Документально оформленные эксплуатационные процедуры
Мера обеспечения информационной безопасности: Эксплуатационные процедуры должны быть документированы и доступны всем нуждающимся в них пользователям
Мера обеспечения информационной безопасности: Эксплуатационные процедуры должны быть документированы и доступны всем нуждающимся в них пользователям
A.7.2.3
A.7.2.3 Дисциплинарный процесс
Мера обеспечения информационной безопасности: Должен существовать формализованный и доведенный до персонала дисциплинарный процесс по принятию мер в отношении работников, совершивших нарушение информационной безопасности
Мера обеспечения информационной безопасности: Должен существовать формализованный и доведенный до персонала дисциплинарный процесс по принятию мер в отношении работников, совершивших нарушение информационной безопасности
A.6.1.1
A.6.1.1 Должностные функции и обязанности, связанные с информационной безопасностью
Мера обеспечения информационной безопасности: Средства реализации: Должны быть определены и назначены все обязанности, связанные с информационной безопасностью
Мера обеспечения информационной безопасности: Средства реализации: Должны быть определены и назначены все обязанности, связанные с информационной безопасностью
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.1.2
8.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 8, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 8. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 8, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 8. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 8.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 8 задокументированы и распределены.
- 8.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 8, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 9.1.2
9.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 9, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 9. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 9, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 9. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 9.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 9 задокументированы и распределены.
- 9.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 9, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 11.1.2
11.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 11, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 11. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 11, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 11. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 11.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 11 задокументированы и распределены.
- 11.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 11, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 12.1.3
12.1.3
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.
Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.
Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
- 12.1.3.a Изучите политику информационной безопасности, чтобы убедиться, что в ней четко определены роли и обязанности в области информационной безопасности для всего персонала.
- 12.1.3.b Провести собеседование с персоналом, выполняющим различные функции, чтобы убедиться, что они понимают свои обязанности в области информационной безопасности.
- 12.1.3.c Изучите документально подтвержденные доказательства, чтобы убедиться, что персонал признает свои обязанности в области информационной безопасности.
Цель:
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Requirement 4.1.2
4.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 4, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 4. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 4, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 4. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 4.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 4 задокументированы и распределены.
- 4.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 4, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 1.1.2
1.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 1, задокументированы, распределены и поняты.
Цель Индивидуального Подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 1. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 1, задокументированы, распределены и поняты.
Цель Индивидуального Подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 1. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 1.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 1 задокументированы и распределены.
- 1.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 1, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Определения:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Определения:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 2.1.2
2.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 2, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 2. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 2, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 2. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 2.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 2 задокументированы и распределены.
- 2.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 2, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей (также называемая матрицей RACI).
Requirement 12.6.3.2
12.6.3.2
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.
Цель Индивидуального подхода:
Персонал осведомлен о своей ответственности за безопасность и эксплуатацию технологий конечного пользователя и может получить доступ к помощи и руководству, когда это необходимо.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.
Цель Индивидуального подхода:
Персонал осведомлен о своей ответственности за безопасность и эксплуатацию технологий конечного пользователя и может получить доступ к помощи и руководству, когда это необходимо.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.6.3.2 Изучите содержание тренинга по повышению осведомленности о безопасности, чтобы убедиться, что оно включает в себя осведомленность о приемлемом использовании технологий конечного пользователя в соответствии с требованием 12.2.1.
Цель:
Включив ключевые пункты политики приемлемого использования в регулярное обучение и соответствующий контекст, персонал поймет свои обязанности и то, как они влияют на безопасность систем организации.
Включив ключевые пункты политики приемлемого использования в регулярное обучение и соответствующий контекст, персонал поймет свои обязанности и то, как они влияют на безопасность систем организации.
Requirement 3.7.8
3.7.8
Определенные Требования к Подходу:
Политики и процедуры управления ключами внедрены таким образом, чтобы ответственные за хранение криптографических ключей официально подтверждали (в письменной или электронной форме), что они понимают и принимают свои обязанности по хранению ключей.
Цель Индивидуального подхода:
Хранители ключей осведомлены о своих обязанностях в отношении криптографических операций и при необходимости могут получить помощь и рекомендации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политики и процедуры управления ключами внедрены таким образом, чтобы ответственные за хранение криптографических ключей официально подтверждали (в письменной или электронной форме), что они понимают и принимают свои обязанности по хранению ключей.
Цель Индивидуального подхода:
Хранители ключей осведомлены о своих обязанностях в отношении криптографических операций и при необходимости могут получить помощь и рекомендации.
Определенные Процедуры Тестирования Подхода:
- 3.7.8.a Изучите документированные политики и процедуры управления ключами для ключей, используемых для защиты хранимых данных учетной записи, и убедитесь, что они определяют подтверждения для хранителей ключей в соответствии со всеми элементами, указанными в этом требовании.
- 3.7.8.b Изучите документацию или другие доказательства, свидетельствующие о том, что хранители ключей предоставили подтверждения в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Этот процесс поможет гарантировать, что лица, выполняющие функции ключевых хранителей, будут выполнять роль ключевых хранителей, а также понимать и принимать ответственность. Ежегодное подтверждение может помочь напомнить ключевым хранителям об их обязанностях.
Дополнительная информация:
Отраслевые рекомендации для ключевых хранителей, а также их роли и обязанности включают:
Этот процесс поможет гарантировать, что лица, выполняющие функции ключевых хранителей, будут выполнять роль ключевых хранителей, а также понимать и принимать ответственность. Ежегодное подтверждение может помочь напомнить ключевым хранителям об их обязанностях.
Дополнительная информация:
Отраслевые рекомендации для ключевых хранителей, а также их роли и обязанности включают:
- NIST SP 800-130 Фреймворк для проектирования систем управления криптографическими ключами [5. Роли и обязанности (особенно) Ключевых хранителей]
- ISO 11568-1 Банковское дело - Управление ключами (розничная торговля) - Часть 1: Принципы [5 Принципов управления ключами (особенно b)]
Requirement 3.1.2
3.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 3, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 3. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 3, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 3. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 3.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей, выполняющих действия в Требовании 3, задокументированы и распределены.
- 3.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 3, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 10.1.2
10.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 10, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в требовании 10. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 10, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в требовании 10. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 10.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 10 задокументированы и распределены.
- 10.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 10, чтобы убедиться, что роли и обязанности распределены в соответствии с определением и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 7.1.2
7.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 7, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 7. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 7, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 7. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 7.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 7 задокументированы и распределены.
- 7.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 7, чтобы убедиться, что роли и обязанности распределены правильно и поняты.
Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 5.1.2
5.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 5, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 5. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 5, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 5. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 5.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 5 задокументированы и распределены.
- 5.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 5, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, сети и системы могут не быть должным образом защищены от вредоносных программ.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, сети и системы могут не быть должным образом защищены от вредоносных программ.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Requirement 6.1.2
6.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 6, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 6. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 6, задокументированы, распределены и поняты.
Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в Требовании 6. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.
Определенные Процедуры Тестирования Подхода:
- 6.1.2.a Изучите документацию, чтобы убедиться, что описания ролей и обязанностей для выполнения действий в Требовании 6 задокументированы и распределены.
- 6.1.2.b Провести собеседование с персоналом, ответственным за выполнение действий, указанных в Требовании 6, чтобы убедиться, что роли и обязанности распределены в соответствии с документацией и поняты.
Цель:
Если роли и обязанности официально не распределены, системы не будут надежно обслуживаться, и уровень их безопасности будет снижен.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Если роли и обязанности официально не распределены, системы не будут надежно обслуживаться, и уровень их безопасности будет снижен.
Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.
Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.2
А.6.2 Сроки и условия найма
Трудовые договоры должны включать и устанавливать обязанности персонала и организации по обеспечению ИБ.
Трудовые договоры должны включать и устанавливать обязанности персонала и организации по обеспечению ИБ.
А.5.2
А.5.2 Роли и ответственность в области ИБ
В соответствии с потребностями организации должны быть определены и распределены роли и ответственность в области ИБ.
В соответствии с потребностями организации должны быть определены и распределены роли и ответственность в области ИБ.
А.5.37
А.5.37 Документированные рабочие процедуры
Рабочие процедуры для средств обработки информации должны быть задокументированы и доступны для персонала, который в них нуждается.
Рабочие процедуры для средств обработки информации должны быть задокументированы и доступны для персонала, который в них нуждается.
А.6.4
А.6.4 Дисциплинарный процесс
С целью принятия мер в отношении персонала и иных релевантных заинтересованных сторон, допустивших нарушение политики ИБ, должен быть формализован и опубликован дисциплинарный процесс.
С целью принятия мер в отношении персонала и иных релевантных заинтересованных сторон, допустивших нарушение политики ИБ, должен быть формализован и опубликован дисциплинарный процесс.
SWIFT Customer Security Controls Framework v2022:
5 - 5.3A Staff Screening Process
5.3A Staff Screening Process
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
12.1.1
12.1.1 Документально оформленные эксплуатационные процедуры
Мера обеспечения ИБ
Эксплуатационные процедуры должны быть документированы и доступны всем нуждающимся в них пользователям.
Руководство по применению
Должны быть разработаны эксплуатационные процедуры для повседневной деятельности, связанной со средствами обработки информации и связи, такими как процедуры включения и выключения компьютеров, резервного копирования, обслуживания оборудования, обращения с носителями, управления и обеспечения безопасности в серверной комнате и при обработке почты.
Эксплуатационные процедуры должны содержать инструкции, в том числе:
- a) по установке и настройке систем;
- b) по обработке информации как в автоматизированном, так и в ручном режиме;
- c) по резервному копированию (см. 12.3);
- d) по требованиям к графику работы, включая взаимосвязь между системами, самое раннее время начала работы и самое позднее время завершения работы;
- e) инструкции по обработке ошибок или других исключительных ситуаций, которые могут возникнуть в процессе работы, включая ограничения на использование системных служебных программ (см. 9.4.4);
- f) контакты поддержки (включая внешнюю) и эскалации на случай непредвиденных эксплуатационных или технических трудностей;
- g) инструкции по обращению с особыми носителями и выводом данных, такие как использование специальной бумаги или управление выводом конфиденциальной информации, включая процедуры по безопасному удалению результатов вывода в случае сбоя в работе (см. 8.3 и 11.2.7);
- h) процедуры перезапуска и восстановления системы в случае сбоя;
- i) управления информацией системных журналов и журналов аудита (см. 12.4);
- j) процедуры мониторинга.
Эксплуатационные процедуры и документированные процедуры по системным операциям должны рассматриваться как официальные документы и вносимые в них изменения должны утверждаться руководством. Там, где это технически возможно, информационные системы должны управляться единообразно, с использованием одних и тех же процедур, инструментов и служебных программ.
6.1.1
6.1.1 Роли и обязанности по обеспечению информационной безопасности
Мера обеспечения ИБ
Мера обеспечения ИБ
Все обязанности по обеспечению ИБ должны быть определены и распределены.
Руководство по применению
Руководство по применению
Разделение обязанностей по обеспечению ИБ необходимо осуществлять в соответствии с политиками ИБ (см. 5.1.1). Должны быть определены обязанности по защите конкретных активов и выполнению конкретных процессов ИБ. Там, где это необходимо, обязанности следует дополнять более подробным руководством для конкретных мест и средств обработки информации.
Лица, за которыми закреплены обязанности, связанные с ИБ, могут делегировать задачи по обеспечению безопасности другим. Но поскольку ответственность остается лежать на них, они должны удостовериться, что все делегированные задачи были выполнены корректно.
Должны быть определены области, за которые лица несут ответственность. В частности, следует проделать следующее:
- a) активы и процессы ИБ должны быть идентифицированы и описаны;
- b) для каждого актива или процесса ИБ следует назначить ответственное лицо, при этом следует детально задокументировать возложенную ответственность;
- c) должны быть определены и задокументированы уровни полномочий;
- d) чтобы иметь возможность выполнять возложенные обязанности, назначенные лица должны быть компетентны в области ИБ и им должна быть предоставлена возможность поддержания своих компетенций на должном уровне;
- e) должны быть определены и задокументированы аспекты взаимодействия и контроля ИБ при взаимодействии с поставщиками.
Дополнительная информация
Многие организации назначают менеджера по ИБ, который в целом несет ответственность за разработку и внедрение системы менеджмента информационной безопасности и за выбор мер обеспечения ИБ.
Тем не менее, ответственность за выделение ресурсов и внедрение мер обеспечения ИБ часто ложится на отдельных менеджеров. Распространенной практикой является назначение владельца каждому активу, который затем становится ответственным за его постоянную защиту.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.4
А.6.4 Disciplinary process
A disciplinary process shall be formalized and communicated to take actions against personnel and other relevant interested parties who have committed an information security policy violation.
A disciplinary process shall be formalized and communicated to take actions against personnel and other relevant interested parties who have committed an information security policy violation.
А.5.37
А.5.37 Documented operating procedures
Operating procedures for information processing facilities shall be documented and made available to personnel who need them.
Operating procedures for information processing facilities shall be documented and made available to personnel who need them.
А.5.2
А.5.2 Information security roles and responsibilities
Information security roles and responsibilities shall be defined and allocated according to the organization needs.
Information security roles and responsibilities shall be defined and allocated according to the organization needs.
А.6.2
А.6.2 Terms and conditions of employment
The employment contractual agreements shall state the personnel’s and the organization’s responsibilities for information security.
The employment contractual agreements shall state the personnel’s and the organization’s responsibilities for information security.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.