19 Совершенствование процесса системы защиты информации (СЗИ)
СЗИ.1
|
Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:
• обнаружения инцидентов защиты информации;
• обнаружения недостатков в рамках контроля системы защиты информации
|
О
|
О
|
О
|
СЗИ.2
|
Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении:
• области применения процесса системы защиты информации;
• основных принципов и приоритетов в реализации процесса системы защиты информации;
• целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации
|
О
|
О
|
О
|
СЗИ.3
|
Проведете и фиксация результате» (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:
• изменений требований к защите информации, определенных правилами платежной системы (применяется только для участников платежных систем);
• изменений, внесенных в законодательство Российской Федерации, в том числе нормативные акты Банка России
|
О
|
О
|
О
|
СЗИ.4
|
Фиксация решений о проведении совершенствования процесса системы
защиты информации в виде корректирующих или превентивных действий, например:
• пересмотр области применения процесса системы защиты информации;
• пересмотр состава и содержания организационных мер защиты информации, применяемых е рамках процесса системы защиты информации;
• пересмотр состава технических мер защиты информации, применяемых в рамках процесса системы защиты информации
|
О
|
О
|
О
|
20 Этапы жизненного цикла автоматизированных систем и приложений (ЖЦ)
|
20.1 Этап «Создание (модернизация) АС»
|
ЖЦ.1
|
Документарное определение перечня защищаемой информации, планируемой к обработке в АС
|
О
|
О
|
О
|
ЖЦ.2
|
Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)
|
О
|
О
|
О
|
ЖЦ.3
|
Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС:
• состава и порядка применения технических и (или) организационных мер системы защиты информации АС;
• параметров настроек технических мер системы защиты информации АС и компонентов информационной инфраструктуры, предназначенных для размещения указанных технических мер
|
О
|
О
|
О
|
ЖЦ.4
|
Реализация управления версиями (сборками) и изменениями создаваемого (модернизируемого), в том числе тестируемого, прикладного ПО АС, осуществляемого для цели:
• контроля реализации функций защиты информации в определенной версии (сборке) прикладного ПО;
• принятия мер, препятствующих несанкционированному внесению изменений в версии (сборки) прикладного ПО
|
Н
|
О
|
О
|
ЖЦ.5
|
Использование (контроль использования) сегментов разработки и тестирования, выделенных в соответствии с мерой СМЭ.6, при создании (модернизации), включая тестирование, АС
|
Н
|
О
|
О
|
ЖЦ.6
|
Контроль предоставления и обеспечение разграничения доступа в сегментах разработки и тестирования
|
О
|
О
|
О
|
ЖЦ.7
|
Реализация запрета использования защищаемой информации в сегментах разработки и тестирования
|
О
|
О
|
О
|
ЖЦ.8
|
Применение прикладного ПО АС, сертифицированного на соответствие
требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3
|
Н
|
О
|
О
|
ЖЦ.9
|
Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)
|
О
|
О
|
О
|
ЖЦ.10
|
Проведение модернизации АС при изменении требований к составу и содержанию мер системы защиты информации АС (функционально-технические требований к системе защиты информации АС)
|
О
|
О
|
О
|
ЖЦ.11
|
Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС:
• состава и порядка применения клиентами финансовой организации прикладного ПО и (или) технических и (или) организационных мер защиты информации (далее при совместном упоминании – клиентские компоненты);
• параметров настроек клиентских компонентов и информационной инфраструктуры клиентов финансовой организации, предназначенной для размещения клиентских компонентов;
• описания мер по обеспечению использования клиентом определенных
доверенных версий (сборок) прикладного ПО
|
О
|
О
|
О
|
20.2 Этап «Ввод в эксплуатацию АС»
|
ЖЦ.12
|
Размещение и настройка (конфигурирование) технических мер системы
защиты информации АС в информационной инфраструктуре, используемой для непосредственной реализации бизнес-процессов или технологических процессов финансовой организации (далее – промышленная среда), в соответствии с положениями проектной и эксплуатационной документации
|
О
|
О
|
О
|
ЖЦ.13
|
Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС) в промышленной среде
|
О
|
О
|
О
|
ЖЦ.14
|
Реализация контроля защищенности АС, включающего:
• тестирование на проникновение;
• анализ уязвимостей системы защиты информации АС и информационной инфраструктуры промышленной среды
|
Н
|
О
|
О
|
20.3 Этап «Эксплуатация (сопровождение) АС»
|
ЖЦ.15
|
Реализация контроля эксплуатации технических мер системы защиты информации АС в соответствии с положениями проектной и эксплуатационной документации, включающего:
• контроль фактического размещения технических мер защиты в промышленной среде;
• контроль фактических параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенной для размещения технических мер защиты информации
|
О
|
О
|
О
|
ЖЦ.16
|
Реализация контроля применения мер системы защиты информации АС
|
О
|
О
|
О
|
ЖЦ.17
|
Назначение и реализация контроля деятельности лиц. ответственных за
эксплуатацию (сопровождение) системы защиты информации АС
|
О
|
О
|
О
|
ЖЦ.18
|
Обеспечение возможности сопровождения технических мер системы защиты информации АС в течение всего срока их использования
|
Н
|
О
|
О
|
ЖЦ.19
|
Обеспечение доступности технических мер системы защиты информации АС:
• применение отказоустойчивых технических мер;
• резервирование технических средств АС, необходимых для функционирования технических мер;
• осуществление контроля безотказного функционирования технических мер;
• принятие регламентированных мер по восстановлению отказавших технических мер и технических средств АС, необходимых для их функционирования
|
Н
|
Н
|
Т
|
ЖЦ.20
|
Реализация проведения ежегодного контроля защищенности АС, включающего:
• тестирование на проникновение;
• анализ уязвимостей системы защиты информации АС и информационной инфраструктуры промышленной среды
|
Н
|
О
|
О
|
ЖЦ.21
|
Обеспечение оперативного устранения выявленных уязвимостей защиты информации АС, включая уязвимости прикладного ПО
|
О
|
О
|
О
|
ЖЦ.22
|
Регистрация внесения изменений в АС, включая обновление прикладного ПО
|
Н
|
О
|
О
|
ЖЦ.23
|
Регистрация операций по изменению параметров настроек технических
мер системы защиты информации АС
|
О
|
Т
|
Т
|
ЖЦ.24
|
Реализация контроля в сегментах разработки и тестирования корректности функционирования систем защиты информации АС после внесения изменений в АС, включая обновления прикладного ПО
|
Н
|
О
|
О
|
ЖЦ.25
|
Реализация управления версиями (сборками) и изменениями прикладного ПО при его обновлении (модификации)
|
Н
|
О
|
О
|
20.4 Этап «Эксплуатация (сопровождение) и снятие с эксплуатации АС»
|
ЖЦ.26
|
Принятие мер по обеспечению защиты информации от несанкционированного копирования и распространения
|
О
|
О
|
О
|
ЖЦ.27
|
Обеспечение защиты резервных копий защищаемой информации
|
Н
|
О
|
О
|
ЖЦ.28
|
Реализация контроля уничтожения защищаемой информации в случаях,
когда указанная информация больше не используется, в том числе содержащейся в архивах, с применением мер ПУИ.23 – ПУИ.26
|
Н
|
О
|
О
|
Скачать 92.99 Kb.