Обращаю внимание в каких местах в требованиях содержатся прямые ссылки на ГОСТ 57580.Х:
- Глава 7. Требования к управлению риском информационной
безопасности; - Глава 8. Требования к управлению риском информационных
систем. Здесь также обращаем внимание на указание 187-ФЗ «О
безопасности КИИ». Регуляция сильно меняется.
С 1го по 5е октября пройдет первый курс по ГОСТ 57580.Х в АИС. Читать курс буду я и коллеги из НПФ «Кристалл» (разработчики ГОСТа). Курс очень серьезный и глубокий ибо иначе никак нельзя. Стандарт технически и организационно сложный. Есть много проблем с аудитом и внедрением, будем рассказывать и обсуждать пути решения.
Банк России разработал для кредитных организаций требования к управлению операционным риском и риском информационной безопасности. Соответствующий проект был опубликован на сайте регулятора. Он получил название «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» и устанавливает требования к политике кредитной организации в сфере информационных технологий и к управлению операционным риском, риском информационной безопасности (включая киберриск) и риском информационных систем. В документе содержатся требования к ведению базы данных о событиях операционного риска, включая риск информационной безопасности. В перспективе это поможет внедрить новый стандартизированный подход к оценке операционного риска для расчёта норматива достаточности капитала. Предполагается, что проведение Банком России оценки качества системы управления операционным риском будет осуществляться с 2020 г. К этому времени кредитные организации должны будут привести свои системы управления операционным риском, включая базы данных о событиях операционного риска, в соответствие новым требованиям.
Источник: Экономика и жизнь
