Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 8 п. 7 п.п. 1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 5 п. 1
5.1. Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).

Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:
  • управление риском информационной безопасности в платежной системе как одним из видов операционного риска в платежной системе, источниками реализации которого являются: недостатки процессов обеспечения защиты информации, в том числе недостатки применяемых технологических мер защиты информации, недостатки прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдение требований к указанным процессам деятельности операторами по переводу денежных средств, являющимися участниками платежной системы, операторами услуг платежной инфраструктуры (далее - риск информационной безопасности в платежной системе);
  • установление состава показателей уровня риска информационной безопасности в платежной системе;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств, и контроль их соблюдения операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности в платежной системе в отношении объектов информационной инфраструктуры участников платежной системы, операторов услуг платежной инфраструктуры;
  • выявление и анализ операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры риска информационной безопасности в платежной системе;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, определенных пунктами 2.2 и 2.4 Указания Банка России от 8 октября 2018 года № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента», зарегистрированного Министерством юстиции Российской Федерации 12 декабря 2018 года № 52988;
  • реализация операторами платежных систем процессов применения в отношении операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры ограничений по параметрам операций по осуществлению переводов денежных средств в случае выявления факта превышения значений показателей уровня риска информационной безопасности в платежной системе, в том числе условий снятия таких ограничений.

Связанные защитные меры

Название Дата Влияние
Community
40 / 60
Управление рисками информационной безопасности
Ежеквартально Вручную Организационная Детективная
08.05.2022
08.05.2022 40 / 60
Цель: выявление и устранение актуальных проблем информационной безопасности.

Общий процесс управления рисками включает следующие подпроцессы:
  1. Оценивание / Risk Assessment
    1. Идентификация / Risk Identification
      Результат: Реестр рисков
    2. Анализ / Risk Analysis
      Результат: оценка параметров рисков (ущерб, вероятность)
    3. Оценка / Risk Evaluation
      Результат: рассчет величины для каждого риска, соотнесение рисков с допустимым уровнем
  2. Обработка / Risk Treatment
    Результат: План обработки рисков
Реализация меры означает выполнение в организации всех подпроцессов управления рисками.
Варианты реализации:
Для обеспечения процесса должны быть определены:
  • область оценки рисков (активы или типы активов, для которых оцениваются риски);
  • ценность (приоритет) активов (типов активов), для которых проводится оценка рисков;
  • периодичность оценивания (ежегодно, ежеквартально, непрерывно/динамически); 
  • методика оценки, включая:
    • формулы расчета величины риска;
    • критерии для оценки рисков;
    • критерии принятия рисков ( = критерии приемлемости риска);
    • риск-аппетит ( = уровень допустимого риска, допустимый остаточный риск);
  • ответственные и роли в процессе;
  • владельцы рисков;
Результатами процесса являются:
  • Реестр рисков, в т.ч.: 
    • реестр недопустимых рисков;
    • реестр принятых рисков;
  • План обработки рисков
    • включает перечень влияющих на риски защитных мер ( = средств управления, контролей).
Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по актуализации реестра рисков, переоценке рисков, проверке полноты и исполнения плана обработки рисков.