отчет по ГОСТ. Отчет по ГОСТ 57580. Директор Аналитического центра
Скачать 162.03 Kb.
|
Применение компенсирующих мерОбоснование применения компенсирующих мер ЗИ при невозможности реализации отдельных мер ЗИ. Таблица 1.5 – Перечень компенсирующих мер ЗИ
Требования к конфиденциальностиНа настоящий отчет распространяются требования о соблюдении конфиденциальности, предусмотренные . Процесс оценки соответствия требованиям ГОСТ Р 57580.1Методика проведения оценки соответствия требованиям ГОСТ Р 57580.1Оценка соответствия выполняется в соответствии с требованиями ГОСТ Р 57580.2 – 2018 «Защита информации финансовых организаций. Методика оценки соответствия» (далее – ГОСТ Р 57580.2). ГОСТ Р 57580.2 предусматривает следующие оценки, характеризующие выбор Банком каждой из организационных и технических мер ЗИ, установленных в ГОСТ Р 57580.1, определяемые путем использования следующих числовых значений: «1» – выбранная мера реализована (при предъявлении свидетельств), «0» – выбранная мера не реализована (при отсутствии свидетельств). Для оценок, характеризующих полноту реализации каждой из мер, а также реализацию каждой из мер на этапах жизненного цикла АС, ГОСТ Р 57580.2 устанавливает следующие числовые значения: «1» – реализуется в полном объеме, «0,5» – реализуется не в полном объеме, «0» – полностью не реализуется. Членами проверяющей группы принято следующее решение по присвоению числовых значений: для технических мер: «1» – выбранная мера реализована для каждой из АС, входящих в область оценки соответствия; «0» – выбранная мера не реализована хотя бы для одной из рассматриваемых АС; для организационных мер: «1» – при одновременном выполнении условий: процедура по реализации выбранной меры определена во внутренних нормативных документах Банка, процедура реализована; «0» – при выполнении одного из следующих условий: процедура по реализации выбранной меры определена во внутренних нормативных документах Банка, но не реализована, процедура по реализации выбранной меры не определена во внутренних нормативных документах Банка, но реализована, процедура по реализации выбранной меры не определена во внутренних документах Банка и не реализована. для оценок, характеризующих полноту реализации каждой из мер, а также реализацию каждой из мер на этапах жизненного цикла АС: «1» – реализуется для всех АС, входящих в область оценки соответствия; «0,5» – реализуется хотя бы для одной из АС, входящих в область оценки соответствия; «0» – не реализуется ни для одной из АС, входящих в область оценки соответствия. Если оценка членов проверяющей группы для конкретного процесса / меры отклоняется от приведенных выше критериев, то даются пояснения при выставлении оценки. В частности, для оценки процесса «Предотвращение утечек информации» не соблюдаются приведенные выше критерии. Краткое описание оценки соответствия по процессамНарушения, выявленные в процессе оценки соответствияГОСТ Р 57580.2 предусматривает следующий перечень нарушений защиты информации, выявляемых в рамках проведения оценки соответствия требованиям ГОСТ Р 57580.1: осуществление логического доступа под учетными записями неопределенного целевого назначения; осуществление логического доступа под коллективными неперсонифицированными учетными записями; наличие незаблокированных учетных записей уволенных работников; отсутствие разграничения логического доступа; несанкционированное предоставление пользователям административных прав; несанкционированное предоставление пользователям прав логического доступа; хранение паролей субъектов доступа в открытом виде; передача аутентифицированных данных в открытом виде по каналам и линиям связи; отсутствие регистрации персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации; отсутствие разграничения физического доступа в помещения, в которых расположены объекты доступа; несанкционированный физический доступ посторонних лиц в помещения, в которых расположены объекты доступа; отсутствие логической сетевой изоляции внутренних вычислительных сетей финансовой организации и сети Интернет и/или беспроводных сетей; передача информации конфиденциального характера с использованием сети Интернет, телекоммуникационных каналов и/или линий связи, не контролируемых финансовой организацией, в отрытом виде; наличие в контролируемой зоне финансовой организации незарегистрированных точек беспроводного доступа, имеющих подключение к локальной вычислительной сети финансовой организации; использование нелицензионного ПО; отсутствие применения средств защиты от воздействия вредоносного кода; обработка информации конфиденциального характера с использованием неучтенных МНИ; отсутствие гарантированного стирания информации конфиденциального характера с МНИ при осуществлении их вывода из эксплуатации или вывода из эксплуатации СВТ, в состав которого входят указанные МНИ, а также при необходимости их передачи в сторонние организации; отсутствие реагирования на инциденты ЗИ. Аудиторами при проведении оценки соответствия зафиксированы нарушения: |