отчет по ГОСТ. Отчет по ГОСТ 57580. Директор Аналитического центра

Название	Директор Аналитического центра
Анкор	отчет по ГОСТ
Дата	24.02.2022
Размер	162.03 Kb.
Формат файла
Имя файла	Отчет по ГОСТ 57580.docx
Тип	Документы #372036
страница	17 из 18

1 ... 10 11 12 13 14 15 16 17 18

Требования к организации и управлению защитой информации

Результаты числовых значений мер, относящихся к процессам организации и управления защитой информации, приведены в таблице В.9
Таблица В.19 – Числовые значения мер по выполнению требований к организации и управлению защитой информации

Номер меры

Содержание мер системы защиты информации

Содержание мер систем

Процесс 1

Процесс 2

Процесс 3

Процесс 4

Процесс 5

Процесс 6

Процесс 7

Процесс 8

Направление «Планирование процесса системы защиты»

ПЗИ.1	Документарное определение области применения процесса системы защиты информации для уровней информационной инфраструктуры: • системный уровень (уровень аппаратного обеспечения; уровень сетевого обеспечения; уровень сетевых приложений и сервисов; уровень серверных компонентов виртуализации, программных инфраструктурных сервисов; уровень операционных систем, систем управления базами данных, серверов приложений); • уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации
ПЗИ.2	Документарное определение состава (с указанием соответствия ГОСТ Р 57580.1-2017) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации
ПЗИ.3	Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации
ПЗИ.4	Документарное определение состава (с указанием соответствия ГОСТ Р 57580.1-2017) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации
ПЗИ.5	Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего: • правила размещения технических мер защиты информации в информационной инфраструктуре; • параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации (в случае необходимости); • руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации); • состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию. контроль эксплуатации и использование по назначению мер защиты информации)

Итоговая оценка за процессы Е_Пi

	-	-	-	-	-	-	-

Направление «Реализация процесса системы защиты информации»

РЗИ.1	Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах)
РЗИ.2	Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации
РЗИ.3	Контроль (тестирование) полноты реализации технических мер защиты информации
РЗИ.4	Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение
РЗИ.5	Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры
РЗИ.6	Реализация эксплуатации, использования по назначению технических мер защиты информации
РЗИ.7	Реализация применения организационных мер защиты информации
РЗИ.8	Реализация централизованного управления техническими мерами защиты информации (централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала)
РЗИ.9	Обеспечение доступности технических мер защиты информации: • применение отказоустойчивых технических решений; • резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации; • осуществление контроля безотказного функционирования технических мер защиты информации; • принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования
РЗИ.10	Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования
РЗИ.11	Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
РЗИ.12	Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
РЗИ.13	Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
РЗИ.14	Применение СКЗИ, имеющих класс не ниже КС2 (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
РЗИ.15	Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
РЗИ.16	Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации

Итоговая оценка за процессы Е_Рi

Направление «Контроль процесса системы защиты информации»

КЗИ.1	Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1
КЗИ.2	Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий: • контроль фактического размещения технических мер защиты информации в информационной инфраструктуре финансовой организации; • контроль фактических параметров настроек технических мер защиты информации и компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации
КЗИ.3	Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий: • контроль назначения ролей, связанных с эксплуатацией и использованием по назначению технических мер защиты информации: • контроль выполнения руководств по эксплуатации и использованию по назначению технических мер защиты информации
КЗИ.4	Периодический контроль (тестирование) полноты реализации технических мер защиты информации
КЗИ.5	Контроль применения организационных мер защиты информации
КЗИ.6	Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование
КЗИ.7	Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации
КЗИ.8	Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса системы защиты информации, проводимых в соответствии с мерами КЗИ.1 — КЗИ.7
КЗИ.9	Регистрация операций по установке и (или) обновлению ПО технических средств защиты информации
КЗИ.10	Регистрация операций по обновлению сигнатурных баз технических средств защиты информации (в случае их использования)
КЗИ.11	Регистрация операций по изменению параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации
КЗИ.12	Регистрация сбоев (отказов) технических мер защиты информации

Итоговая оценка за процессы Е_Кi

Направление «Совершенствование процесса системы защиты информации»

СЗИ.1	Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях: • обнаружения инцидентов защиты информации: • обнаружения недостатков в рамках контроля системы защиты информации
СЗИ.2	Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении: • области применения процесса системы защиты информации; • основных принципов и приоритетов в реализации процесса системы защиты информации: • целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации
СЗИ.3	Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях: • изменений требований к защите информации, определенных правилами платежной системы (применяется только для участников платежных систем); • изменений, внесенных в законодательство Российской Федерации, в том числе нормативные акты Банка России
СЗИ.4	Фиксация решений о проведении совершенствования процесса системы защиты информации в виде корректирующих или превентивных действий, например: • пересмотр области применения процесса системы защиты информации; • пересмотр состава и содержания организационных мер защиты информации. применяемых в рамках процесса системы защиты информации; • пересмотр состава технических мер защиты информации, применяемых в рамках процесса системы защиты информации

Итоговая оценка за процессы Е_С_i

1 ... 10 11 12 13 14 15 16 17 18