Раздел Р. 8 п. 11 п.п. 9 СТО БР ИББС-1.0-2014 - Контроль соответствия

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":

ПОН.7

ПОН.7 Определение состава, подходов и требований к организации ресурсного обеспечения процесса обеспечения операционной надежности, в том числе технологического, технического и кадрового обеспечения*.

ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":

ОРО.10

ОРО.10 Определение минимальной необходимой численности работников службы ИБ с учетом:

трудозатрат на выполнение задач и функций, связанных с выполнением планирования, реализации, контроля и совершенствования системы управления риском реализации информационных угроз, а также процессов систем управления, определенных в рамках семейств стандартов ОН и ЗИ Комплекса стандартов, возложенных на службу ИБ;
размеров финансовой организации, количества филиалов (региональных представительств) и их территориального распределения;
количества работников финансовой организации, задействованных в выполнении бизнес- и технологических процессов.

ОПР.1.4

ОПР.1.4 Выделение ресурсного (кадрового и финансового) обеспечения для выполнения процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;

ОПР.20.1

ОПР.20.1 Признание и закрепление важной роли и высокой ответственности каждого работника финансовой организации в части управления риском реализации информационных угроз, включая принятие мер, на реализации информационных угроз;

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":

ВРВ.21.2

ВРВ.21.2 Ролей, связанных с восстановлением после реализации инцидентов;

ВРВ.24

ВРВ.24 Определение ролей, связанных с восстановлением функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, и привлечение к их выполнению, в том числе:

работников службы информационной безопасности;
работников подразделения информатизации, ответственных за поддержание функционирования объектов информатизации;
работников подразделений, формирующих «первую линию защиты» (центров компетенции);
работников иных подразделений, формирующих «вторую линию защиты», в случае необходимости;
внешних экспертов, посредством заключения соответствующих контрактов (договоров), в случае если финансовая организация не располагает необходимыми для данной деятельности компетенциями среди собственных работников.

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":

5.3 Организационные роли, обязанности и управленческие полномочия

5.3 Организационные роли, обязанности и управленческие полномочия
Высшее руководство должно обеспечить определение и распространение в пределах организации обязанностей и управленческих полномочий для ролей, относящихся к информационной безопасности.
Высшее руководство должно определить обязанности и управленческие полномочия для:

a) обеспечения соответствия системы менеджмента информационной безопасности требованиям настоящего документа;
b) отчета высшему руководству о функционировании системы менеджмента информационной безопасности.

ПРИМЕЧАНИЕ Высшее руководство может также определить обязанности и управленческие полномочия по отчету о функционировании системы менеджмента информационной безопасности в пределах организации.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":

Requirement 12.1.3

12.1.3
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.

Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.

Defined Approach Testing Procedures:

12.1.3.a Examine the information security policy to verify that they clearly define information security roles and responsibilities for all personnel.
12.1.3.b Interview personnel in various roles to verify they understand their information security responsibilities.
12.1.3.c Examine documented evidence to verify personnel acknowledge their information security responsibilities.

Purpose:
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.

Guideline for a healthy information system v.2.0 (EN):

39 STANDARD

/STANDARD
All organizations must have a point of contact in information system security who will be supported by the management or an executive committee, depending on the maturity level of the organisation.

This point of contact must be known to all the users and will be the first person to call for all questions relating to information system security:

defining the rules to apply according to the context;
verifying the application of rules;
raising users’ awareness and defining a training plan for IT stakeholders;
centralising and dealing with security incidents noticed or raised by users.

This point of contact must be trained in information system security and crisis management.

In larger organizations, this correspondent can be designated to become the CISO representative. He or she may, for example, raise users’ grievances and identify the themes to deal with in the context of awareness raising, therefore allowing the security level of the information system to be raised within the organization.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.17.1.1

A.17.1.1 Планирование непрерывности информационной безопасности
Мера обеспечения информационной безопасности: Организация должна определить свои требования к информационной безопасности и менеджменту непрерывности информационной безопасности при неблагоприятных ситуациях, например во время кризиса или бедствия

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":

5.3 Organizational roles, responsibilities and authorities

5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:

a) ensuring that the information security management system conforms to the requirements of this document;
b) reporting on the performance of the information security management system to top management.

NOTE Top management can also assign responsibilities and authorities for reporting performance of the information security management system within the organization.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":

Requirement 12.1.3

12.1.3
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.

Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.

Определенные Процедуры Тестирования Подхода:

12.1.3.a Изучите политику информационной безопасности, чтобы убедиться, что в ней четко определены роли и обязанности в области информационной безопасности для всего персонала.
12.1.3.b Провести собеседование с персоналом, выполняющим различные функции, чтобы убедиться, что они понимают свои обязанности в области информационной безопасности.
12.1.3.c Изучите документально подтвержденные доказательства, чтобы убедиться, что персонал признает свои обязанности в области информационной безопасности.

Цель:
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":

А.5.29

А.5.29 ИБ в периоды сбоев
Организация должна планировать, как поддерживать соответствующий уровень ИБ в период сбоя.

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.5.29

А.5.29 Information security during disruption
The organization shall plan how to maintain information security at an appropriate level during disruption.

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Р. 8 п. 11 п.п. 9

Список требований

Похожие требования

Связанные защитные меры