Обращаю внимание в каких местах в требованиях содержатся прямые ссылки на ГОСТ 57580.Х:
- Глава 7. Требования к управлению риском информационной безопасности;
- Глава 8. Требования к управлению риском информационных систем. Здесь также обращаем внимание на указание 187-ФЗ "О безопасности КИИ". Регуляция сильно меняется.
С 1го по 5е октября пройдет первый курс по ГОСТ 57580.Х в АИС. Читать курс буду я и коллеги из НПФ "Кристалл" (разработчики ГОСТа). Курс очень серьезный и глубокий ибо иначе никак нельзя. Стандарт технически и организационно сложный. Есть много проблем с аудитом и внедрением, будем рассказывать и обсуждать пути решения.
Банк России разработал для кредитных организаций требования к управлению операционным риском и риском информационной безопасности. Соответствующий проект был опубликован на сайте регулятора. Он получил название «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» и устанавливает требования к политике кредитной организации в сфере информационных технологий и к управлению операционным риском, риском информационной безопасности (включая киберриск) и риском информационных систем. В документе содержатся требования к ведению базы данных о событиях операционного риска, включая риск информационной безопасности. В перспективе это поможет внедрить новый стандартизированный подход к оценке операционного риска для расчёта норматива достаточности капитала. Предполагается, что проведение Банком России оценки качества системы управления операционным риском будет осуществляться с 2020 г. К этому времени кредитные организации должны будут привести свои системы управления операционным риском, включая базы данных о событиях операционного риска, в соответствие новым требованиям.
Источник: Экономика и жизнь