Главная страница
Навигация по странице:

  • Номер меры Содержание мер системы защиты информации Компенсирующая мера

  • отчет по ГОСТ. Отчет по ГОСТ 57580. Директор Аналитического центра


    Скачать 162.03 Kb.
    НазваниеДиректор Аналитического центра
    Анкоротчет по ГОСТ
    Дата24.02.2022
    Размер162.03 Kb.
    Формат файлаdocx
    Имя файлаОтчет по ГОСТ 57580.docx
    ТипДокументы
    #372036
    страница5 из 18
    1   2   3   4   5   6   7   8   9   ...   18

    Применение компенсирующих мер


    Обоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных мер ЗИ.

    Таблица 1.5 – Перечень компенсирующих мер ЗИ

    Номер меры

    Содержание мер системы защиты информации

    Компенсирующая мера
      1. Требования к конфиденциальности


    На настоящий отчет распространяются требования о соблюдении конфиденциальности, предусмотренные .
    1. Процесс оценки соответствия требованиям ГОСТ Р 57580.1

      1. Методика проведения оценки соответствия требованиям ГОСТ Р 57580.1


    Оценка соответствия выполняется в соответствии с требованиями ГОСТ Р 57580.2 – 2018 «Защита информации финансовых организаций. Методика оценки соответствия» (далее – ГОСТ Р 57580.2).

    ГОСТ Р 57580.2 предусматривает следующие оценки, характеризующие выбор Банком каждой из организационных и технических мер ЗИ, установленных в ГОСТ Р 57580.1, определяемые путем использования следующих числовых значений:

    «1» – выбранная мера реализована (при предъявлении свидетельств),

    «0» – выбранная мера не реализована (при отсутствии свидетельств).

    Для оценок, характеризующих полноту реализации каждой из мер, а также реализацию каждой из мер на этапах жизненного цикла АС, ГОСТ Р 57580.2 устанавливает следующие числовые значения:

    «1» – реализуется в полном объеме,

    «0,5» – реализуется не в полном объеме,

    «0» – полностью не реализуется.

    Членами проверяющей группы принято следующее решение по присвоению числовых значений:

    1. для технических мер:

    «1» – выбранная мера реализована для каждой из АС, входящих в область оценки соответствия;

    «0» – выбранная мера не реализована хотя бы для одной из рассматриваемых АС;

    1. для организационных мер:

    «1» – при одновременном выполнении условий:

    • процедура по реализации выбранной меры определена во внутренних нормативных документах Банка,

    • процедура реализована;

    «0» – при выполнении одного из следующих условий:

    • процедура по реализации выбранной меры определена во внутренних нормативных документах Банка, но не реализована,

    • процедура по реализации выбранной меры не определена во внутренних нормативных документах Банка, но реализована,

    • процедура по реализации выбранной меры не определена во внутренних документах Банка и не реализована.

    1. для оценок, характеризующих полноту реализации каждой из мер, а также реализацию каждой из мер на этапах жизненного цикла АС:

    «1» – реализуется для всех АС, входящих в область оценки соответствия;

    «0,5» – реализуется хотя бы для одной из АС, входящих в область оценки соответствия;

    «0» – не реализуется ни для одной из АС, входящих в область оценки соответствия.

    Если оценка членов проверяющей группы для конкретного процесса / меры отклоняется от приведенных выше критериев, то даются пояснения при выставлении оценки. В частности, для оценки процесса «Предотвращение утечек информации» не соблюдаются приведенные выше критерии.
      1. Краткое описание оценки соответствия по процессам

      2. Нарушения, выявленные в процессе оценки соответствия


    ГОСТ Р 57580.2 предусматривает следующий перечень нарушений защиты информации, выявляемых в рамках проведения оценки соответствия требованиям ГОСТ Р 57580.1:

    • осуществление логического доступа под учетными записями неопределенного целевого назначения;

    • осуществление логического доступа под коллективными неперсонифицированными учетными записями;

    • наличие незаблокированных учетных записей уволенных работников;

    • отсутствие разграничения логического доступа;

    • несанкционированное предоставление пользователям административных прав;

    • несанкционированное предоставление пользователям прав логического доступа;

    • хранение паролей субъектов доступа в открытом виде;

    • передача аутентифицированных данных в открытом виде по каналам и линиям связи;

    • отсутствие регистрации персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации;

    • отсутствие разграничения физического доступа в помещения, в которых расположены объекты доступа;

    • несанкционированный физический доступ посторонних лиц в помещения, в которых расположены объекты доступа;

    • отсутствие логической сетевой изоляции внутренних вычислительных сетей финансовой организации и сети Интернет и/или беспроводных сетей;

    • передача информации конфиденциального характера с использованием сети Интернет, телекоммуникационных каналов и/или линий связи, не контролируемых финансовой организацией, в отрытом виде;

    • наличие в контролируемой зоне финансовой организации незарегистрированных точек беспроводного доступа, имеющих подключение к локальной вычислительной сети финансовой организации;

    • использование нелицензионного ПО;

    • отсутствие применения средств защиты от воздействия вредоносного кода;

    • обработка информации конфиденциального характера с использованием неучтенных МНИ;

    • отсутствие гарантированного стирания информации конфиденциального характера с МНИ при осуществлении их вывода из эксплуатации или вывода из эксплуатации СВТ, в состав которого входят указанные МНИ, а также при необходимости их передачи в сторонние организации;

    • отсутствие реагирования на инциденты ЗИ.

    Аудиторами при проведении оценки соответствия зафиксированы нарушения:

      1. 1   2   3   4   5   6   7   8   9   ...   18


    написать администратору сайта