Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014
Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Р. 8 п. 9 п.п. 2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
КОН.6
КОН.6 Проведение проверок знаний работников финансовой организации в части применения мер обеспечения операционной надежности.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.5.2
ОРО.5.2 Проведение оценки соответствия кандидатов на должности согласно установленным требованиям в отношении их компетенции.
ОПР.20.2
ОПР.20.2 Организация определения способов мотивации работников финансовой организации по участию в управлении риском реализации информационных угроз, а также осведомленности об актуальных информационных угроз в целях противодействия реализации информационных угроз.
Приказ ФАПСИ № 152 от 13.06.2001 "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну":
Глава II п. 13
13. К выполнению обязанностей сотрудников органов криптографической защиты лицензиатами ФАПСИ допускаются лица, имеющие необходимый уровень квалификации для обеспечения защиты конфиденциальной информации с использованием конкретного вида (типа) СКЗИ.
Глава II п. 21
21. Непосредственно к работе с СКЗИ пользователи допускаются только после соответствующего обучения.
Обучение пользователей правилам работы с СКЗИ осуществляют сотрудники соответствующего органа криптографической защиты. Документом, подтверждающим должную специальную подготовку пользователей и возможность их допуска к самостоятельной работе с СКЗИ, является заключение, составленное комиссией соответствующего органа криптографической защиты на основании принятых от этих лиц зачетов по программе обучения.
Глава II п. 14
14. Лиц, оформляемых на работу в органы криптографической защиты, следует ознакомить с настоящей Инструкцией под расписку.
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ОСО.13
ОСО.13 Включение в разрабатываемые для различных групп работников (с учетом их должностных обязанностей и выполняемых ролей) планы обучения и повышения осведомленности в части противостояния реализации информационных угроз учебных мероприятий по доведению:
- - информации, содержащейся в утвержденной политике управления риском реализации информационных угроз финансовой организации;
- - информации о применяемых в финансовой организации мерах, направленных на управление риском реализации информационных угроз, на обеспечение операционной надежности и защиты информации;
- - информации о возможных сценариях реализации компьютерных атак, направленных на работников финансовой организации (в частности, компьютерных атак, реализуемых посредством применения вредоносного ПО, фишинга и методов социальной инженерии);
- инструкций по выполнению мер, направленных на противостояние реализации информационных угроз, в соответствии с внутренними документами финансовой организации;
- информации о значимости и важности деятельности работников финансовой организации в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации;
- инструкций по порядку и способам взаимодействия при реализации инцидентов, связанных с реализацией информационных угроз.
ОСО.7
ОСО.7 Организация и выполнение деятельности по оценке эффективности реализуемых программ по доведению до клиентов финансовой организации информации, способствующей повышению их готовности противостоять реализации информационных угроз и уменьшению негативного влияния риска реализации информационных угроз при предоставлении (получении) финансовых и (или) информационных услуг.
ТОН.1.5
ТОН.1.5 Оценку подготовленности работников финансовой организации противостоять реализации информационных угроз, в том числе компьютерных атак;
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.6.1
12.6.1
Defined Approach Requirements:
A formal security awareness program is implemented to make all personnel aware of the entity’s information security policy and procedures, and their role in protecting the cardholder data.
Customized Approach Objective:
Personnel are knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
Defined Approach Requirements:
A formal security awareness program is implemented to make all personnel aware of the entity’s information security policy and procedures, and their role in protecting the cardholder data.
Customized Approach Objective:
Personnel are knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
- 12.6.1 Examine the security awareness program to verify it provides awareness to all personnel about the entity’s information security policy and procedures, and personnel’s role in protecting the cardholder data.
Purpose:
If personnel are not educated about their company’s information security policies and procedures and their own security responsibilities, security safeguards and processes that have been implemented may become ineffective through unintentional errors or intentional actions.
If personnel are not educated about their company’s information security policies and procedures and their own security responsibilities, security safeguards and processes that have been implemented may become ineffective through unintentional errors or intentional actions.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.6.1
12.6.1
Определенные Требования к Подходу:
Реализуется официальная программа повышения осведомленности о безопасности, чтобы весь персонал был осведомлен о политике и процедурах информационной безопасности организации, а также об их роли в защите данных о держателях карт.
Цель Индивидуального подхода:
Персонал осведомлен о ландшафте угроз, своей ответственности за функционирование соответствующих средств контроля безопасности и может получить доступ к помощи и руководству, когда это необходимо.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Реализуется официальная программа повышения осведомленности о безопасности, чтобы весь персонал был осведомлен о политике и процедурах информационной безопасности организации, а также об их роли в защите данных о держателях карт.
Цель Индивидуального подхода:
Персонал осведомлен о ландшафте угроз, своей ответственности за функционирование соответствующих средств контроля безопасности и может получить доступ к помощи и руководству, когда это необходимо.
Определенные Процедуры Тестирования Подхода:
- 12.6.1 Изучите программу информирования о безопасности, чтобы убедиться, что она обеспечивает осведомленность всего персонала о политике и процедурах информационной безопасности организации, а также о роли персонала в защите данных о держателях карт.
Цель:
Если персонал не осведомлен о политике и процедурах информационной безопасности своей компании, а также о своих собственных обязанностях в области безопасности, внедренные меры безопасности и процессы могут стать неэффективными из-за непреднамеренных ошибок или преднамеренных действий.
Если персонал не осведомлен о политике и процедурах информационной безопасности своей компании, а также о своих собственных обязанностях в области безопасности, внедренные меры безопасности и процессы могут стать неэффективными из-за непреднамеренных ошибок или преднамеренных действий.
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.13.
1.13. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов рекомендаций по защите информации от воздействия программных кодов, приводящего к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код), в целях противодействия незаконным финансовым операциям.
Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов:
Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны обеспечивать доведение до своих клиентов:
- информации о возможных рисках несанкционированного доступа к защищаемой информации с целью осуществления финансовых операций лицами, не обладающими правом их осуществления;
- информации о мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) клиентом устройства, с использованием которого им совершались действия в целях осуществления финансовой операции, контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления финансовой операции, и своевременному обнаружению воздействия вредоносного кода.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.