Сведения о нормативном документе

Cтр. 24 из 32
6.2.14.17. Должны быть включены в число мер защиты ПДн, меры по обеспечению целостности следующих системных компонентов:
• ОС и файловой системы.
• Исполняемых файлов и файлов конфигураций ППО и СЗИ.
• Виртуальных машин.
6.2.15 З
АЩИТА КОММЕРЧЕСКОЙ ТАЙНЫ
6.2.15.1. Должна быть обеспечена защита сведений, составляющих коммерческую тайну, в соответствии с требованиями и принципами, установленными законодательством Российской
Федерации.
6.2.15.2. Должен быть введен режим коммерческой тайны. Соответствующие требования должны быть установлены внутренними нормативными документами.
6.2.15.3. Должен быть определен и утвержден перечень информации, относящейся к коммерческой тайне. Все сотрудники Компании должны быть ознакомлены с этим перечнем под роспись.
6.2.15.4. Должны быть определены требования по защите информации составляющей коммерческую тайну. Применяемые защитные меры должны обеспечивать безопасность сведений, составляющих коммерческую тайну, на всем жизненном цикле:
• При создании.
• При хранении.
• При передаче.
• При уничтожении.
6.2.15.5. Должны быть документированы и выполнены требования по установлению меток конфиденциальности на информацию, составляющую коммерческую тайну.
6.2.15.6. Должны быть определены и реализованы процедуры регистрации и учета информации составляющей коммерческую тайну.
6.2.15.7. Должна быть определена процедура изменения степени конфиденциальности информации, составляющей коммерческую тайну.
6.3 П
ЕРЕЧЕНЬ КОРПОРАТИВНЫХ ТРЕБОВАНИЙ ПО УПРАВЛЕНИЮ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
6.3.1 Д
ОКУМЕНТИРОВАНИЕ И УПРАВЛЕНИЕ ДОКУМЕНТАЦИЕЙ
С целью обеспечения контроля за процедурами управления информационной безопасностью, должна быть определена и документирована политика управления документацией в области информационной безопасности.
6.3.1.1.
Должны быть включены в Политику управления документацией следующие требования:
• Правила разработки, согласования и утверждения документации.
• Правила внесения обновлений в документацию.
• Правила публикации обновленных документов и отмены устаревших документов.
• Правила по ведению истории изменений в документах.
• Правила по формированию номера версии документа.
• Правила маркировки документации.
• Требования к составу документов.
Вся документация, регламентирующая вопросы информационной безопасности, должна вестись в соответствии с требованиями вышеописанной политики.
6.3.1.2.
Должен осуществляться периодический пересмотр нормативных документов области ИБ, как минимум в следующих случаях:

Cтр. 25 из 32
• Изменения применимых стандартов и законодательных актов в области информационной безопасности.
• Изменения внешних контрактных требований, затрагивающих вопросы информационной безопасности.
• По результатам обработки инцидентов ИБ, когда такие результаты требуют внесения изменений в меры по обеспечению информационной безопасности.
• Изменения в инфраструктуре и бизнес-процессах, затрагивающие вопросы информационной безопасности.
• По результатам оценки рисков информационной безопасности.
Должны быть закреплены в Политике управления документацией требования к пересмотру нормативных документов в области ИБ.
6.3.1.3.
Должна быть обеспечена доступность актуальных версий документов, регламентирующих вопросы информационной безопасности, для всех заинтересованных лиц, которым они необходимы для выполнения должностных обязанностей. Процедуры предоставления такого доступа, а также определения перечня документов, доступных тем или иным группам лиц, должны быть документированы в Политике управления документацией.
6.3.1.4.
Рекомендуется документировать и выполнять формальный порядок согласования утверждения нормативных документов в области информационной безопасности. Реализация этой рекомендации позволит обеспечить участие всех заинтересованных сторон в согласовании документов.
6.3.1.5.
Рекомендуется в каждом нормативном документе определить перечень записей, порождаемых по итогам выполнения процедур, описанных в документе, и правил маркировки таких записей. Соответствующее требование по определению в документах перечня записей и требований по их маркировке рекомендуется документировать в Политике управления документацией. Реализация этой рекомендации повысит удобство использования нормативной документации в области ИБ.
6.3.2 Р
АСПРЕДЕЛЕНИЕ ОТВЕТСТВЕННОСТИ ЗА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ
6.3.2.1.
Должно быть обеспечено точное назначение обязанностей между работниками, задействованными в процессах обеспечения и управления информационной безопасностью. Для этого должны быть формально назначены лица и/или подразделения ответственные за:
• Обеспечение информационной безопасности в целом.
• Мониторинг событий ИБ.
• Администрирование СКЗИ.
• Мониторинг информации об уязвимостях в информационных системах.
• Устранение уязвимостей в информационных системах.
• Пересмотр документов, регламентирующих ИБ.
• Инвентаризацию активов.
• Проведение оценки рисков ИБ.
• Проведение внутренних аудитов ИБ.
• Формирование плана обработки рисков ИБ.
• Управление инцидентами ИБ (включая, реагирование, расследование, устранение и формирование корректирующих мероприятий по их итогам).
• Формирование корректирующих и предупреждающих мероприятий и контроль их реализации.
• Оценку эффективности обеспечения и управления информационной безопасностью.
• Управление непрерывностью деятельности.
• Повышение осведомленности в области ИБ.
• Отслеживание изменений в стандартах и законодательных актах в области ИБ.

Cтр. 26 из 32
• Организацию обработки ПДн.
• Организацию защиты ПДн.
• Поддержания режима коммерческой тайны.
6.3.2.2.
Должен соблюдаться принцип, в соответствии с которым запрещается при проведении аудита или самоооценке проверять собственную деятельность. Кроме того, не должны совмещаться следующие роли в обязанностях одних и тех же работников:
• Пользователей ИС и администраторов ИС.
• Администраторов ИС и разработчиков ИС.
• Пользователей ИС и разработчиков ИС.
• Функции по обеспечению ИБ и контролю за выполнением такой деятельности.
6.3.3 У
ПРАВЛЕНИЕ АКТИВАМИ И РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Для формирования списка защитных мер, адекватного существующим рискам информационной безопасности, должна проводится процедура оценки рисков информационной безопасности. Входной информацией для процедуры оценки рисков ИБ служит перечень активов, являющийся результатом процедуры управления активами.
6.3.3.1.
Должна быть регламентирована процедура управления активами, отвечающая следующим требованиям:
• Включающая в себя порядок инвентаризации активов и ведения реестра активов.
• Включающая в себя шкалу для оценки ценности активов.
• Предусматривающая определение (назначение) для каждого актива владельца, при оценивающего ценность каждого актива c точки зрения свойств конфиденциальности, целостности и доступности.
6.3.3.2.
Должен быть составлен реестр активов, включающей в себя:
• Наименование каждого актива, применяемого при реализации процессов обработки конфиденциальной информации.
• Описание каждого актива.
• Назначение каждого актива.
• Расположение актива.
• Указание на владельца актива.
• Ценность актива с точки зрения свойств конфиденциальности, целостности и доступности.
6.3.3.3.
Должно быть выполнено утверждение реестра активов руководством Компании.
6.3.3.4.
Должна проводится инвентаризация активов с периодичность не реже одного раза в год, в соответствии с установленными в Компании требованиями.
Должна быть определена и документирована методика оценки рисков информационной безопасности.
Такая методика должна соответствовать следующим требованиям:
• Методика должна основываться на ценности активов, степени уязвимости активов к угрозам
ИБ и вероятности реализации таких угроз.
• Предусматривать использование для оценки рисков: o
Результатов внутренних аудитов. o
Результаты обработки инцидентов ИБ. o
Результатов процесса управления уязвимостями ПО.
• Методика должна быть воспроизводимой, то есть результаты двух оценок риска ИБ с использованием одних и тех же исходных данных, должны быть идентичны.
• Методика должна включать в себя методологию расчета результирующего уровня для каждого риска.
• Методика должна определять требования к составу и содержанию отчетной документации по результатам ее применения.

Cтр. 27 из 32
6.3.3.5.
Должен вестись реестр угроз и уязвимостей ИБ, характерных для инфраструктуры Компании и ее бизнес процессов. Перечисленные в этом реестре угрозы и уязвимости должны использоваться рамках оценки рисков ИБ для определения уровня риска в отношении каждого актива. Реестр угроз и уязвимостей должен включать в себя перечень угроз и уязвимостей, характерных для каждого типа активов Компании.
6.3.3.6.
Должны быть документированы результаты оценки рисков в Отчете об оценке рисков, включающем в себя:
• Наименование каждого актива, в отношении которого проводилась оценка рисков.
• Указание на владельца актива.
• Ценность актива с точки зрения свойств конфиденциальности, целостности и доступности.
• Угрозы и уязвимости ИБ, которым подвержен каждый актив.
• Результаты предположений о подверженности активов угрозам и уязвимостям, а также рассчитанное результирующее значение риска ИБ.
6.3.3.7.
Должно быть выполнено утверждение Отчета об оценке рисков руководством Компании.
6.3.3.8.
Должно быть обеспечено проведение процедуры оценки рисков ИБ с периодичностью не реже одного раза в год и для всех активов, входящих в область действия СУИБ.
6.3.3.9.
Должен быть определен допустимый уровень риска информационной безопасности. Риски с результирующем уровням выше чем допустимый, должны обрабатываться в обязательном порядке.
Результаты обработки таких рисков, должны быть зафиксированы в отчете, содержащем:
• Перечень рисков ИБ, уровень которых выше допустимого.
• Перечень действий по обработке каждого риска недопустимого уровня, в том числе по снижению уровня каждого такого риска.
• Перечень принятых без дополнительной обработки рисков информационной безопасности с аргументацией их принятия.
6.3.4 У
ПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
6.3.5.1.
Должны быть определены и документированы критерии отнесения тех или иных событий ИБ к инцидентам, в число таких событий входят:
• Попытки получения несанкционированного доступа.
• События вирусного заражения.
• События, связанные с несанкционированным использованием пользовательских учетных данных.
• События утечки конфиденциальной информации.
6.3.5.2.
Должна быть определена шкала критичности инцидентов, с указанием типов и/или меры критичности инцидентов, которые должны быть обработаны в обязательном порядке. В связи с этим, документированные критерии обработки инцидентов могут основываться как на уровне критичности, так и на типе инцидентов.
6.3.5.3.
Должны быть определен перечень лиц, уведомляемых о каждом типе инцидентов ИБ, требующих обязательной обработки,
6.3.5.4.
Должна осуществляться регистрация инцидентов ИБ, требующих обязательной обработки, с уровнем детализации, продиктованным критериями обработки инцидентов. При регистрации инцидентов ИБ должна фиксироваться следующая информация:
• Дата и время обнаружения инцидента ИБ.
• Тип инцидента ИБ.
• Краткое описание инцидента ИБ.
• Сведения о лице, сообщившем об инциденте ИБ (обнаружившем инцидент ИБ).
• Предпосылки по которым был обнаружен инцидент ИБ.
• Активы Компании, затронутые инцидентом ИБ.

Cтр. 28 из 32
• Сведения о лице, зарегистрировавшем инцидент ИБ.
6.3.5.5.
Должны быть разработаны планы реагирования на инциденты ИБ, требующих обязательной обработки. Эти планы должны включать в себя:
• Последовательность действий по устранению инцидента ИБ.
• Последовательность действий по уведомлению заинтересованных лиц..
• Последовательность действий по устранению последствий инцидента ИБ.
• Временные интервалы на совершение каждого действия.
• Ответственных лиц за выполнение каждого действия в рамках реагирования на инциденты
ИБ.
• Перечень лиц, уведомляемых о каждом инциденте ИБ.
Устранение инцидентов ИБ должно осуществляться в соответствии с этими планами. Планы реагирования на инциденты ИБ должны быть доведены до работников Компании, ответственных за управление инцидентами ИБ.
6.3.5.6.
Должны формироваться отчеты по устранению инцидентов ИБ, требующих обязательной обработки. Эти отчеты должны включать в себя:
• Дата и время обнаружения инцидента ИБ.
• Дата и время начала инцидента ИБ.
• Тип инцидента ИБ.
• Краткое описание инцидента ИБ.
• Сведения о лице, сообщившем об инциденте ИБ (обнаружившем инцидент ИБ).
• Предпосылки по которым был обнаружен инцидент ИБ.
• Активы Компании, затронутые инцидентом ИБ.
• Сведения о лице, зарегистрировавшем инцидент ИБ.
• Действия, предпринятые для устранения инцидента ИБ.
6.3.5.7.
Должно проводиться расследование причин возникновения инцидентов ИБ, требующих обязательной обработки, и последующее планирование корректирующих мероприятий, призванных не допустить возникновения подобных инцидентов в дальнейшем. Расследование инцидентов ИБ должно проводиться после завершения их устранения. Результаты расследования инцидентов ИБ должны фиксироваться в соответствующем отчете.
6.3.5.8.
Рекомендуется проводить ежегодное тестирование планов реагирования на инциденты ИБ.
6.3.5 У
ПРАВЛЕНИЕ КОРРЕКТИРУЮЩИМИ И ПРЕДУПРЕЖДАЮЩИМИ ДЕЙСТВИЯМИ
6.3.6.1.
Должно осуществляться планирование корректирующих и предупреждающих действий, как минимум по результатам выполнения следующих процессов ИБ:
• Оценка рисков ИБ.
• Управление инцидентами ИБ.
• Оценка эффективности СУИБ.
• Проведение внутренних и внешних аудитов ИБ.
• Реализация и тестирование планов и процедур обеспечения непрерывности деятельности и восстановления после сбоев.
Подобные планы должны содержать в себе перечень действий, направленных на совершенствованные системы информационной безопасности, сроки их реализации и ответственных за их исполнение.
6.3.6.2.
Должно осуществляться утверждение Планов корректирующих и предупреждающих действий лицом, ответственным за обеспечение информационной безопасности, а выполнение таких планов должно контролироваться.

Cтр. 29 из 32
6.3.6 О
ЦЕНКА
ЭФФЕКТИВНОСТИ
СИСТЕМЫ
УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
С целью определения эффективности деятельности по информационной безопасности, должен быть реализован соответствующий процесс.
6.3.7.1.
Должна быть документирована Методика оценки эффективности СУИБ, где для каждого процесса информационной безопасности должны быть определены критерии оценки эффективности и периодичность проведения подобной оценки.
6.3.7.2.
Должен своевременно производится сбор и анализ информации (метрик эффективности), необходимой для оценки эффективности процессов ИБ, выполняемый на основе принятой в Компании
Методики оценки эффективности СУИБ. В число такой информации могут входить результаты исполнения процессов ИБ, например:
• Количество зафиксированных инцидентов ИБ.
• Время, прошедшее между началом и обнаружением инцидента ИБ.
• Количество своевременно устраненных инцидентов ИБ, в результате которых злоумышленник не нанес ущерба.
• И так далее для иных процессов ИБ.
6.3.7.3.
Должен формироваться отчет, содержащий результаты оценки эффективности. Отчет по результатам оценки эффективности должен включать в себя в том числе следующую информацию:
• Перечень процессов ИБ, в отношении которых проводилась оценка эффективности.
• Перечень метрик эффективности, проанализированных в отношении каждого процесса ИБ, а также их значения.
• Результирующее значение оценки эффективности каждого процесса ИБ с обоснованием такой оценки, а также прошлую оценку эффективности.
• Вывод об изменении эффективности каждого процесса ИБ, а также предпосылки, которые привели к изменению эффективности.
• Предложения по повышению эффективности процессов ИБ.
6.3.7.4.
Рекомендуется в случае выявления несоответствий процессов ИБ предъявляемым к ним требованиям, формировать корректирующие действия, включаемые в соответствующий план.
6.3.7 В
НУТРЕННИЙ
АУДИТ
СИСТЕМЫ
УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТЬЮ
6.3.8.1.
Должны проводится внутренние аудиты (самооценка) информационной безопасности.
Внутренние аудиты должны проводится в соответствии с Программой внутренних аудитов, принимаемой на период равный одному году. Такая программа должна описывать планируемые внутренние аудиты, их области и критерии.
6.3.8.2.
Должна быть определена и документирована периодичность проведения внутренних аудитов.
Внутренние аудиты должны проводиться не реже одного раз в год.
6.3.8.3.
Должно предшествовать проведению аудита ИБ формирование Плана аудита, описывающего сроки проведения проверок, осуществляемых в рамках проведения аудита.
6.3.8.4.
Должен формироваться итоговый отчет по результатам аудита. В этот отчет должны быть включены выводы, сделанные по результатам аудита. Отчет подлежит передаче лицу, ответственному за информационную безопасность, для анализа.
6.3.8.5.
Должно осуществляться разграничение ответственности за проверяемую в рамках внутреннего аудита деятельность. Лица, осуществляющие проверяемую в рамках аудита деятельность, не должны проводить ее проверку.