Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Карточка защитной меры
Меры Утверждение Регламента контрол...
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Утверждение Регламента контроля (анализа) защищенности в ИС

2 1 10
Цель: определение и установление общих правил, требований и процедур контроля (анализа) защищенности программного обеспечения в информационных систем (в т.ч. ИСПДн).

Регламент направлен на формирование требований по анализу уязвимостей ПО и их устранению, контролю установки обновлений ПО в эксплуатируемых ИС и определяет:
  • типы и порядок проведения проверок обновлений ПО;
  • проведение контроля работоспособности и правильности функционирования ПО после обновления или устранения уязвимостей;
  • меры по контролю ПО и технических средств на соответствие.
Рекомендации к заполнению карточки:
Приложите скан-копию Регламента в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Для просмотра файла необходимо авторизоваться!
Регламент контроля (анализа) защищенности в информационных системах.docx

Ресурсная оценка

Качественная оценка

Количественная оценка

Итоговая оценка

Стоимость

Трудозатраты

Сложность

Стоимость, тыс. руб

Трудозатраты, дней/ год

CAPEX

?
Отсутствует
Низкие
Низкая
0
1
4 - Низкая

OPEX

?
Отсутствует
Низкие
Низкая
0
1

Заметки

2
5 дней назад
Community

ПРИКАЗ

Об утверждении регламента контроля (анализа) защищенности в информационных системах в [наименование организации]
В целях обеспечения безопасности персональных данных при их обработке в информационных системах [наименование организации], и выполнения требований приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказываю:
  1. Утвердить регламент контроля (анализа) защищенности в информационных системах [наименование организации] согласно приложению к настоящему приказу.
  2. Контроль за исполнением настоящего приказа возложить на [должность ответственного лица]
[Должность руководителя] | [Фамилия И.О.]
5 дней назад
Community

Регламент контроля (анализа) защищенности в информационных системах [наименование организации]

1. Общие положения
1.1. Настоящий Регламент разработан с целью установления [наименование организации] общих правил, требований и процедур контроля (анализа) защищенности в информационных системах.
1.2. Меры защиты информации, реализация которых описана в рамках настоящего Регламента:
  • АНЗ.1 | Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
  • АНЗ.2 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
  • АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
  • АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации
 1.3. Состав мер определен на основании уровня защищенности персональных данных и структурно-функциональных характеристик ИС [наименование организации].
1.4. Регламент предназначен для сотрудников [наименование организации]:
1.4.1. Назначенных ответственными за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну.

2. Контроль установки обновлений программного обеспечения
2.1. Мероприятия по контролю установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации, должны проводиться на периодической основе и должны быть включены в ежегодный план мероприятий по защите информации. В ходе проведения данного мероприятия должно осуществляться:
2.1.1. Проверка использования последних версий общесистемного, прикладного и специального программного (микропрограммного) обеспечения, включая программное обеспечение средств защиты информации (проверка соответствия версий – используемой и представленной на официальном сайте (портале) производителя (разработчика));
2.1.2. Проверка наличия отметок об установке (применении) обновлений в эксплуатационной документации (техническом паспорте).
2.1.3. Документирование результатов контроля.
2.1.4. При обнаружении фактов пропуска обновлений – уведомление сотрудника [наименование организации], выполняющего функции по управлению (администрированию) системой защиты информации.

3. Анализ уязвимостей и их устранение
3.1. Управление уязвимостями в [наименование организации] осуществляется в соответствии утвержденным [наименование должности руководителя организации] регламентом управления уязвимостями в [наименование организации].

4. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
4.1. Мероприятия по контролю работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации должны проводиться на периодической основе и должны быть включены в ежегодный план мероприятий по защите информации. В ходе проведения данного мероприятия должно осуществляться:
4.1.1. Проверка работоспособности (неотключения) программного обеспечения и средств защиты информации.
4.1.2. Проверка правильности функционирования программного обеспечения и средств защиты информации.
4.1.3. Проверка настроек программного обеспечения и средств защиты информации на соответствие настройкам, приведенным в эксплуатационной документации на систему защиты информации и средства защиты информации.
4.1.4. Восстановление работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов.

5. Контроль состава технических средств, программного обеспечения и средств защиты информации
5.1. Мероприятия по контролю состава технических средств, программного обеспечения и средств защиты информации должны проводиться на периодической основе и должны быть включены в ежегодный план мероприятий по защите информации. В ходе проведения данного мероприятия должно осуществляться:
5.1.1. Проверка состава технических средств, программного обеспечения и средств защиты информации информационной системы на соответствие сведениям о составе, приведенным в действующей эксплуатационной документации.
5.1.2. Проверка выполнения условий и сроков действия сертификатов соответствия на средства защиты информации.
5.1.3. Принятие мер, направленных на устранение выявленных недостатков. Исключение (восстановление) из состава информационной системы несанкционированно установленных (удаленных) технических средств, программного обеспечения и средств защиты информации.

6. Ответственность
6.1. Сотрудники [наименование организации], назначенные ответственными за обеспечение безопасности персональных данных и за защиту информации, не содержащей сведения, составляющие государственную тайну, несут персональную ответственность за ненадлежащее исполнение или неисполнение положений настоящего Регламента.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.