Главная страница
Навигация по странице:

  • Внедрение дополнительных технических мер

    		•

    отчет по ГОСТ. Отчет по ГОСТ 57580. Директор Аналитического центра


    Скачать 162.03 Kb.
    НазваниеДиректор Аналитического центра
    Анкоротчет по ГОСТ
    Дата24.02.2022
    Размер162.03 Kb.
    Формат файлаdocx
    Имя файлаОтчет по ГОСТ 57580.docx
    ТипДокументы
    #372036
    страница8 из 18
    1   ...   4   5   6   7   8   9   10   11   ...   18

    Рекомендации по совершенствованию защиты информации и устранению выявленных нарушений


    Для эффективного достижения соответствия требованиям ГОСТ Р 57580.1 организационные и технические меры должны быть документированы и выполняться.

      1. Разработка и актуализация внутренних нормативных документов


    Рекомендации по разработке и актуализации внутренних нормативных документов, связанных с обеспечением ИБ, приведены в таблице Б.1Б.1.

    Таблица Б.9 – Рекомендации по разработке внутренних нормативных документов

    п/п
    Рекомендация
    Улучшаемый показатель

    Актуализация документов

    Разработка документов

      1. Внедрение и модернизация технических мер


    Для выполнения отдельных требований ГОСТ Р 57580.1 должны использоваться технические меры. Использование технических средств защиты позволяет автоматизировать деятельность и значительно сократить трудозатраты сотрудников УЗИ по сравнению с трудозатратами на реализацию аналогичных организационных мер.

    В настоящем подразделе приводится перечень рекомендуемых технических мер и требования к функционалу этих средств.

    Следует учесть, что для достижения соответствия требованиям ГОСТ Р 57580.1 (и для улучшения оценок соответствующих показателей) внедрение технических средств должно сопровождаться разработкой внутренних нормативных документов Банка, регламентирующих их использование.

    Для обеспечения сохранения инвестиций в технические средства и максимального учета требований законодательства, платежных систем и международных стандартов PCI, при внедрении технических средств Банку рекомендуется использовать комплексный подход, учитывающий разнородные требования регуляторов, а также цели и задачи бизнеса.

    При создании комплексной системы защиты информационной инфраструктуры, охватывающей все информационное пространство Банка целесообразно руководствоваться признанными методологиями создания информационных систем – государственными стандартами РФ серии 34 и 51.

    Создание комплексной системы защиты информационной инфраструктуры предлагается осуществлять по следующим стадиям:

    • Техническое задание – целью этой стадии является разработка и согласование со всеми заинтересованными сторонами документа, описывающего всевозможные требования к создаваемой системе;

    • Технический проект – целью этой стадии является детальная проработка решений, в частности: архитектура системы, размещение технических средств, решений по обслуживающему персоналу, режимы функционирования и т.п.;

    • Рабочая документация – целью этой стадии является детальная проработка вопросов размещения технических средств, их подключения к инженерным системам, компьютерным сетям Общества и т.п.;

    • Ввод в действие – целью этой стадии является проведение работ по созданию комплексной системы защиты информации (в рамках предложенной очередности), а также по оценке соответствия системы предъявленным требованиям (перечисленным в техническом задании или в требованиях нормативных документов).

    Рекомендации по внедрению технических мер приведены в таблице Б.2.Б.2.

    Таблица Б.10 – Рекомендации внедрению технических мер

    п/п
    Рекомендация
    Улучшаемый показатель

    Внедрение дополнительных технических мер

    Реализация дополнительных мер в ранее внедренных технических решениях:

      1. Назначение необходимых ролей


    В рамках реализации процесса системы защиты необходимо дополнительно назначить следующие роли:

    1. распорядитель физического доступа: должен быть назначен для всех помещений Банка, используемых для обработки и/или хранения защищаемой информации, доступ в помещения следует предоставлять с согласования распорядителя физического доступа;

    2. в составе ГРИЗИ выделить роли (не допуская совмещения указанных ролей в одном лице):

    • оператор-диспетчер Группы реагирования, в основные функциональные обязанности которого входит обеспечение сбора и регистрации информации об инцидентах защиты информации;

    • аналитик Группы реагирования, в основные функциональные обязанности которого входит выполнение непосредственных действий по реагированию на инцидент защиты информации;

    • секретарь Группы реагирования, в основные функциональные обязанности которого входит документирование результатов реагирования на инциденты защиты информации, формирование аналитических отчетов материалов;

    Также в соответствии с требованиями ГОСТ Р 57580.1 следует обеспечить разделение ролей, связанных с управлением учетными записями субъектов логического доступа и управления правами логического доступа (сейчас совмещены в роли администратора доступа АС или администратора системы).
    1. 1   ...   4   5   6   7   8   9   10   11   ...   18

    написать администратору сайта