отчет по ГОСТ. Отчет по ГОСТ 57580. Директор Аналитического центра

Название	Директор Аналитического центра
Анкор	отчет по ГОСТ
Дата	24.02.2022
Размер	162.03 Kb.
Формат файла
Имя файла	Отчет по ГОСТ 57580.docx
Тип	Документы #372036
страница	18 из 18

1 ... 10 11 12 13 14 15 16 17 18

Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

Таблица В.20 – Числовые значения мер, относящихся к защите информации на этапах жизненного цикла АС и приложений

Номер меры

Содержание мер системы защиты информации

Е_М_АС_j

Подпроцесс «Мониторинг и анализ событий защиты информации»

ЖЦ.1	Документарное определение перечня защищаемой информации, планируемой к обработке в АС
ЖЦ.10	Проведение модернизации АС при изменении требований к составу и содержанию мер системы защиты информации АС (функционально-технические требований к системе защиты информации АС)
ЖЦ.11	Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС (документарное определение выполняется в случае необходимости): • состава и порядка применения клиентами финансовой организации прикладного ПО и (или) технических и (или) организационных мер защиты информации (далее при совместном упоминании — клиентские компоненты); • параметров настроек клиентских компонентов и информационной инфраструктуры клиентов финансовой организации, предназначенной для размещения клиентских компонентов; • описания мер по обеспечению использования клиентом определенных доверенных версий (сборок) прикладного ПО
ЖЦ.12	Размещение и настройка (конфигурирование) технических мер системы защиты информации АС в информационной инфраструктуре, используемой для непосредственной реализации бизнес-процессов или технологических процессов финансовой организации (далее — промышленная среда), в соответствии с положениями проектной и эксплуатационной документации
ЖЦ.13	Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС) в промышленной среде
ЖЦ.14	Реализация контроля защищенности АС, включающего (по решению финансовой организации при модернизации АС проводится контроль защищенности только элементов информационной инфраструктуры, подвергнутых модернизации): • тестирование на проникновение; • анализ уязвимостей системы защиты информации АС и информационной инфраструктуры промышленной среды
ЖЦ.15	Реализация контроля эксплуатации технических мер системы защиты информации АС в соответствии с положениями проектной и эксплуатационной документации, включающего: • контроль фактического размещения технических мер защиты в промышленной среде; • контроль фактических параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенной для размещения технических мер защиты информации
ЖЦ.16	Реализация контроля применения мер системы защиты информации АС
ЖЦ.17	Назначение и реализация контроля деятельности лиц, ответственных за эксплуатацию (сопровождение) системы защиты информации АС
ЖЦ.18	Обеспечение возможности сопровождения технических мер системы защиты информации АС в течение всего срока их использования
ЖЦ.2	Документарное определение состава (с указанием соответствия стандарту ГОСТ Р 57580.1-2017) и содержания мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)
ЖЦ.20	Реализация проведения ежегодного контроля защищенности АС, включающего: • тестирование не проникновение; • анализ уязвимостей системы защиты информации АС и информационной инфраструктуры промышленной среды
ЖЦ.21	Обеспечение оперативного устранения выявленных уязвимостей защиты информации АС, включая уязвимости прикладного ПО
ЖЦ.22	Регистрация внесения изменений в АС, включая обновление прикладного ПО
ЖЦ.23	Регистрация операций по изменению параметров настроек технических мер системы защиты информации АС
ЖЦ.24	Реализация контроля в сегментах разработки и тестирования корректности функционирования систем защиты информации АС после внесения изменений в АС, включая обновления прикладного ПО
ЖЦ.25	Реализация управления версиями (сборками) и изменениями прикладного ПО при его обновлении (модификации)
ЖЦ.26	Принятие мер по обеспечению защиты информации от несанкционированного копирования и распространения
ЖЦ.27	Обеспечение защиты резервных копий защищаемой информации
ЖЦ.28	Реализация контроля уничтожения защищаемой информации в случаях, когда указанная информация больше не используется, в том числе содержащейся в архивах, с применением мер ПУИ.23 — ПУИ.26
ЖЦ.3	Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС: • состава и порядка применения технических и (или) организационных мер системы защиты информации АС; • параметров настроек технических мер системы защиты информации АС и компонентов информационной инфраструктуры, предназначенных для размещения указанных технических мер (параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости)
ЖЦ.4	Реализация управления версиями (сборками) и изменениями создаваемого (модернизируемого), в том числе тестируемого, прикладного ПО АС, осуществляемого для цели: • контроля реализации функций защиты информации в определенной версии (сборке) прикладного ПО; • принятия мер, препятствующих несанкционированному внесению изменений в версии (сборки) прикладного ПО
ЖЦ.5	Использование (контроль использования) сегментов разработки и тестирования, выделенных в соответствии с мерой СМЭ.6 при создании (модернизации), включая тестирование, АС
ЖЦ.6	Контроль предоставления и обеспечение разграничения доступа в сегментах разработки и тестирования
ЖЦ.7	Реализация запрета использования защищаемой информации в сегментах разработки и тестирования (за исключением конфигурационной информации, определяющей параметры работы АС)
ЖЦ.8	Применение прикладного ПО АС, сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3 (в случаях, предусмотренных нормативными актами Банка России, и (или) если в соответствии с моделью угроз и нарушителей безопасности информации финансовой организации, угрозы, связанные с наличием уязвимостей и недекларированных возможностей в прикладном ПО АС, признаны актуальными)
ЖЦ.9	Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)

Итоговая оценка за процесс Е_АС

0.00

Расчет итоговой оценки соответствия

Таблица В.21 – Расчет итоговой оценки соответствия

Наименование процесса системы ЗИ/направления ЗИ	Оценка, характеризующая выбор ОТМ системы ЗИ ЕПЗИi	Оценка по направлениям ЗИ системы				Качественная оценка уровня соответствия процесса системы ЗИ	Числовое значение оценки соответствия процесса системы ЗИ E_i
		Планирование процесса системы ЗИ Е_Пi	Реализация процесса системы ЗИ Е_Рi	Контроль процесса системы ЗИ Е_Кi	Совершенствование процесса системы ЗИ Е_Сi
Применение организационных и технических мер ЗИ на этапах жизненного цикла АС E_АС								0.00
Итоговая оценка соответствия ЗИ с учетом выявленных нарушений ЗИ:
Количество нарушений ЗИ, выявленных в результате оценки соответствия ЗИ Z								0
Итоговая оценка соответствия ЗИ R								0.00

Уч. №

Отп. 1 экз., на л. каждый

Экз. №1 – в адрес

Уч. №

1 ... 10 11 12 13 14 15 16 17 18