|
отчет по ГОСТ. Отчет по ГОСТ 57580. Директор Аналитического центра
Результаты числовых значений мер, относящихся к процессам организации и управления защитой информации, приведены в таблице В.9 Таблица В.19 – Числовые значения мер по выполнению требований к организации и управлению защитой информации
Номер меры
| Содержание мер системы защиты информации
| Содержание мер систем
|
| Процесс 1
| Процесс 2
| Процесс 3
| Процесс 4
| Процесс 5
| Процесс 6
| Процесс 7
| Процесс 8
|
| Направление «Планирование процесса системы защиты»
| ПЗИ.1
| Документарное определение области применения процесса системы защиты информации для уровней информационной инфраструктуры: • системный уровень (уровень аппаратного обеспечения; уровень сетевого обеспечения; уровень сетевых приложений и сервисов; уровень серверных компонентов виртуализации, программных инфраструктурных сервисов; уровень операционных систем, систем управления базами данных, серверов приложений); • уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации
|
|
|
|
|
|
|
|
| ПЗИ.2
| Документарное определение состава (с указанием соответствия ГОСТ Р 57580.1-2017) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации
|
|
|
|
|
|
|
|
| ПЗИ.3
| Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации
|
|
|
|
|
|
|
|
| ПЗИ.4
| Документарное определение состава (с указанием соответствия ГОСТ Р 57580.1-2017) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации
|
|
|
|
|
|
|
|
| ПЗИ.5
| Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего: • правила размещения технических мер защиты информации в информационной инфраструктуре; • параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации (в случае необходимости); • руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации); • состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию. контроль эксплуатации и использование по назначению мер защиты информации)
|
|
|
|
|
|
|
|
|
|
| Итоговая оценка за процессы ЕПi
|
|
| Направление «Реализация процесса системы защиты информации»
| РЗИ.1
| Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах)
|
|
|
|
|
|
|
|
| РЗИ.2
| Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации
|
|
|
|
|
|
|
|
| РЗИ.3
| Контроль (тестирование) полноты реализации технических мер защиты информации
|
|
|
|
|
|
|
|
| РЗИ.4
| Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение
|
|
|
|
|
|
|
|
| РЗИ.5
| Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры
|
|
|
|
|
|
|
|
| РЗИ.6
| Реализация эксплуатации, использования по назначению технических мер защиты информации
|
|
|
|
|
|
|
|
| РЗИ.7
| Реализация применения организационных мер защиты информации
|
|
|
|
|
|
|
|
| РЗИ.8
| Реализация централизованного управления техническими мерами защиты информации (централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала)
|
|
|
|
|
|
|
|
| РЗИ.9
| Обеспечение доступности технических мер защиты информации: • применение отказоустойчивых технических решений; • резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации; • осуществление контроля безотказного функционирования технических мер защиты информации; • принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования
|
|
|
|
|
|
|
|
| РЗИ.10
| Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования
|
|
|
|
|
|
|
|
| РЗИ.11
| Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
|
|
|
|
|
|
|
|
| РЗИ.12
| Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
|
|
|
|
|
|
|
|
| РЗИ.13
| Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
|
|
|
|
|
|
|
|
| РЗИ.14
| Применение СКЗИ, имеющих класс не ниже КС2 (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
|
|
|
|
|
|
|
|
| РЗИ.15
| Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
|
|
|
|
|
|
|
|
| РЗИ.16
| Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации
|
|
|
|
|
|
|
|
|
|
| Итоговая оценка за процессы ЕРi
|
|
| Направление «Контроль процесса системы защиты информации»
| КЗИ.1
| Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1
|
|
|
|
|
|
|
|
| КЗИ.2
| Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий: • контроль фактического размещения технических мер защиты информации в информационной инфраструктуре финансовой организации; • контроль фактических параметров настроек технических мер защиты информации и компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации
|
|
|
|
|
|
|
|
| КЗИ.3
| Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий: • контроль назначения ролей, связанных с эксплуатацией и использованием по назначению технических мер защиты информации: • контроль выполнения руководств по эксплуатации и использованию по назначению технических мер защиты информации
|
|
|
|
|
|
|
|
| КЗИ.4
| Периодический контроль (тестирование) полноты реализации технических мер защиты информации
|
|
|
|
|
|
|
|
| КЗИ.5
| Контроль применения организационных мер защиты информации
|
|
|
|
|
|
|
|
| КЗИ.6
| Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование
|
|
|
|
|
|
|
|
| КЗИ.7
| Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации
|
|
|
|
|
|
|
|
| КЗИ.8
| Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса системы защиты информации, проводимых в соответствии с мерами КЗИ.1 — КЗИ.7
|
|
|
|
|
|
|
|
| КЗИ.9
| Регистрация операций по установке и (или) обновлению ПО технических средств защиты информации
|
|
|
|
|
|
|
|
| КЗИ.10
| Регистрация операций по обновлению сигнатурных баз технических средств защиты информации (в случае их использования)
|
|
|
|
|
|
|
|
| КЗИ.11
| Регистрация операций по изменению параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации
|
|
|
|
|
|
|
|
| КЗИ.12
| Регистрация сбоев (отказов) технических мер защиты информации
|
|
|
|
|
|
|
|
|
|
| Итоговая оценка за процессы ЕКi
|
|
| Направление «Совершенствование процесса системы защиты информации»
| СЗИ.1
| Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях: • обнаружения инцидентов защиты информации: • обнаружения недостатков в рамках контроля системы защиты информации
|
|
|
|
|
|
|
|
| СЗИ.2
| Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении: • области применения процесса системы защиты информации; • основных принципов и приоритетов в реализации процесса системы защиты информации: • целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации
|
|
|
|
|
|
|
|
| СЗИ.3
| Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях: • изменений требований к защите информации, определенных правилами платежной системы (применяется только для участников платежных систем); • изменений, внесенных в законодательство Российской Федерации, в том числе нормативные акты Банка России
|
|
|
|
|
|
|
|
| СЗИ.4
| Фиксация решений о проведении совершенствования процесса системы защиты информации в виде корректирующих или превентивных действий, например: • пересмотр области применения процесса системы защиты информации; • пересмотр состава и содержания организационных мер защиты информации. применяемых в рамках процесса системы защиты информации; • пересмотр состава технических мер защиты информации, применяемых в рамках процесса системы защиты информации
|
|
|
|
|
|
|
|
|
|
| Итоговая оценка за процессы ЕСi
|
|
|
|
|
|