Требования по оценке рисков ИБ: 27001, 152-ФЗ, СТО БР ИББС-1.0 , PCI DSS, положение №382-П, № 584

Процессу оценки рисков ИБ отведена одна из ведущих ролей в структуре процессов управления информационной безопасностью в организации. Необходимость и требования к проведению оценки рисков и построению модели угроз определена в российских и международных стандартах по информационной безопасности, в том числе и в нормативных документах государственных регулирующих органов. Основными документами, определяющими процессы и методики по оценке рисков являются:

ISO 27001:2013

В данном международном стандарте предлагается процессный подход к созданию, внедрению, сопровождению и совершенствованию системы управления информационной безопасностью в организации. Для эффективного функционирования системы защиты информации в организации должны быть определены все активы и бизнес-процессы. Подобный процессный подход к управлению информационной безопасностью, представленный в текущем стандарте, акцентрирует свое внимание на необходимости и важности:

  • в определении и понимании требований к защите информации в организации;
  • в разработке политики информационной безопасности и определения целей данной политики;
  • в использовании инструментов и механизмов, обеспечивающих анализ и управление рисками информационной безопасности в организации;
  • в периодическом проведении мониторинга и анализа состояния функционирующей системы управления ИБ;
  • в непрерывном совершенствовании применяемых подходов к обеспечению ИБ в организации.

152-ФЗ «О персональных данных»

Статься 19 федерального закона «О персональных данных» содержит необходимые меры по обеспечению безопасности персональных данных при их обработке. Пункт 2 статьи определяет, что обеспечение безопасности ПДн достигается определением угроз безопасности ПДн при их обработке в ИСПДн, а также применением организационных и технических мер по обеспечению защиты ПДн, в том числе и СрЗИ прошедших оценку соответсвии.

СТО БР ИББС-1.0-2014

Стандарт Банка России определяет следующие требования к выбору подхода к оценке рисков нарушения ИБ и проведению оценки рисков ИБ, в частности:
«8.4.1. В организации БС РФ должна быть принята/корректироваться методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ.
8.4.2. В организации БС РФ должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.
8.4.3. Методика оценки рисков нарушения ИБ/подход к оценке рисков нарушения ИБ организации БС РФ должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:

8.4.4. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ.»

PCI DSS

Политика информационной безопасности является одним из главных документов по обеспечению ИБ в любой организации. Строгая политика безопасности регулирует атмосферу безопасности для организации в целом, так и информирует сотрудников об их обязанностях соблюдения требований к защите информации. Требования 12 стандарта PCI DSS определяет:
«12.1 Должна быть разработана, опубликована и распространена поддерживаемая в актуальном состоянии политика безопасности.
12.1.1 Политика безопасности должна пересматриваться по меньшей мере ежегодно и обновляться в случае изменения среды организации.
12.2 Внедрить процесс оценки рисков, который:

  • осуществляется не реже, чем раз в год и после значительного изменения среды (например, покупки, слияния, перемещения и т.д.);
  • выявляет критические активы, угрозы и уязвимости; и
  • авершается официальной оценкой рисков..»

Постановление Правительства № 584 от 13 июня 2012

Постановление Правительства об утверждении Положения о защите информации в платежной системе, вступившее в силу с 1 июля 2012 года определяет:
«4. Правила платежной системы должны предусматривать в том числе следующие требования к защите информации:

в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;
г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками..»

Положение ЦБ № 382-П от 9 июня 2012

Положение ЦБ № 382-П утверждает следующие требования к обеспечению защиты информации при осуществлении переводов денежных средств:
«2.14.2. Для определения порядка обеспечения защиты информации при осуществлении переводов денежных средств оператор платежной системы, оператор по переводу денежных средств, оператор услуг платежной инфраструктуры в рамках обязанностей, установленных оператором платежной системы, могут использовать:

результаты анализа рисков при обеспечении защиты информации при осуществлении переводов денежных средств на основе моделей угроз и нарушителей безопасности информации, определенных в национальных стандартах по защите информации, стандартах организаций, в том числе стандартах Банка России, принятых в соответствии с законодательством Российской Федерации о техническом регулировании, или на основе моделей угроз и нарушителей безопасности информации, определенных оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры…»

Поделиться записью:
Scroll Up