Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Для оценки реализации ГОСТ 57580
- авторизуйтесь
Условное обозначение Содержание меры Оценка (ЕМОУ)
Оценка полноты реализации организационных и технических мер ЗИ, входящих в систему СЗИ 7.2 Процесс 1 Доступ 7.3 Процесс 2 Сеть 7.4 Процесс 3 Целостность 7.5 Процесс 4 ВПО 7.6 Процесс 5 Утечки 7.7 Процесс 6 Инциденты 7.8 Процесс 7 Виртуализация 7.9 Процесс 8 Удаленный доступ
8.2 Направление 1 "Планирование процесса системы защиты информации"
Базовый состав мер планирования процесса системы защиты информации
ПЗИ.1
ПЗИ.1 Документарное определение области применения процесса системы защиты информации (область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России) для уровней информационной инфраструктуры
3-О 2-О 1-О
- - - - - - - -
ПЗИ.2
ПЗИ.2 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации
3-О 2-О 1-О
- - - - - - - -
ПЗИ.3
ПЗИ.3 Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации
3-О 2-О 1-О
- - - - - - - -
ПЗИ.4
ПЗИ.4 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации
3-О 2-О 1-О
- - - - - - - -
ПЗИ.5
ПЗИ.5 Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего: 
  • правила размещения технических мер защиты информации в информационной инфраструктуре; 
  • параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации (параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости); 
  • руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации); 
  • состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации)
3-О 2-О 1-О
- - - - - - - -
Итоговая оценка за процессы: ... ... ... ... ... ... ... ...
8.3 Направление 2 "Реализация процесса системы защиты информации"
Базовый состав мер по реализации процесса системы защиты информации
РЗИ.1
РЗИ.1 Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах)
3-О 2-О 1-Т
- - - - - - - -
РЗИ.2
РЗИ.2 Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации
3-О 2-О 1-Т
- - - - - - - -
РЗИ.3
РЗИ.3 Контроль (тестирование) полноты реализации технических мер защиты информации
3-О 2-О 1-О
- - - - - - - -
РЗИ.4
РЗИ.4 Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение
3-О 2-О 1-О
- - - - - - - -
РЗИ.5
РЗИ.5 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры
3-О 2-О 1-О
- - - - - - - -
РЗИ.6
РЗИ.6 Реализация эксплуатации, использования по назначению технических мер защиты информации
3-О 2-О 1-О
- - - - - - - -
РЗИ.7
РЗИ.7 Реализация применения организационных мер защиты информации
3-О 2-О 1-О
- - - - - - - -
РЗИ.8
РЗИ.8 Реализация централизованного управления техническими мерами защиты информации (централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала)
3-Н 2-Н 1-Т
- - - - - - - -
РЗИ.9
РЗИ.9 Обеспечение доступности технических мер защиты информации: 
  • применение отказоустойчивых технических решений; 
  • резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации; 
  • осуществление контроля безотказного функционирования технических мер защиты информации; 
  • принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования
3-Н 2-Н 1-Т
- - - - - - - -
РЗИ.10
РЗИ.10 Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования
3-Н 2-О 1-О
- - - - - - - -
РЗИ.11
РЗИ.11 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
3-Н 2-Н 1-Т
- - - - - - - -
РЗИ.12
РЗИ.12 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
3-Н 2-Т 1-Н
- - - - - - - -
РЗИ.13
РЗИ.13 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
3-Т 2-Н 1-Н
- - - - - - - -
РЗИ.14
РЗИ.14 Применение СКЗИ, имеющих класс не ниже КС2 (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)
3-Н 2-Н 1-Т
- - - - - - - -
РЗИ.15
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
3-О 2-О 1-О
- - - - - - - -
РЗИ.16
РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации
3-О 2-О 1-О
- - - - - - - -
Итоговая оценка за процессы: ... ... ... ... ... ... ... ...
8.4 Направление 3 "Контроль процесса системы защиты информации"
Базовый состав мер контроля процесса системы защиты информации
КЗИ.1
КЗИ.1 Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1
3-О 2-О 1-Т
- - - - - - - -
КЗИ.2
КЗИ.2 Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:
  • контроль фактического размещения технических мер защиты информации в информационной инфраструктуре финансовой организации;
  • контроль фактических параметров настроек технических мер защиты информации и компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации
3-О 2-О 1-Т
- - - - - - - -
КЗИ.3
КЗИ.3 Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий: 
  • контроль назначения ролей, связанных с эксплуатацией и использованием по назначению технических мер защиты информации; 
  • контроль выполнения руководств по эксплуатации и использованию по назначению технических мер защиты информации
3-О 2-О 1-О
- - - - - - - -
КЗИ.4
КЗИ.4 Периодический контроль (тестирование) полноты реализации технических мер защиты информации
3-О 2-Т 1-Т
- - - - - - - -
КЗИ.5
КЗИ.5 Контроль применения организационных мер защиты информации
3-О 2-О 1-О
- - - - - - - -
КЗИ.6
КЗИ.6 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование
3-О 2-Т 1-Т
- - - - - - - -
КЗИ.7
КЗИ.7 Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации
3-О 2-О 1-О
- - - - - - - -
КЗИ.8
КЗИ.8 Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса системы защиты информации, проводимых в соответствии с мерами КЗИ.1-КЗИ.7
3-О 2-О 1-О
- - - - - - - -
Базовый состав мер контроля процесса системы защиты информации в части регистрации событий защиты информации
КЗИ.9
КЗИ.9 Регистрация операций по установке и (или) обновлению ПО технических средств защиты информации
3-Н 2-Т 1-Т
- - - - - - - -
КЗИ.10
КЗИ.10 Регистрация операций по обновлению сигнатурных баз технических средств защиты информации (в случае их использования)
3-Н 2-Т 1-Т
- - - - - - - -
КЗИ.11
КЗИ.11 Регистрация операций по изменению параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации
3-Н 2-Т 1-Т
- - - - - - - -
КЗИ.12
КЗИ.12 Регистрация сбоев (отказов) технических мер защиты информации
3-Н 2-Т 1-Т
- - - - - - - -
Итоговая оценка за процессы: ... ... ... ... ... ... ... ...
8.5 Направление 4 "Совершенствование процесса системы защиты информации"
Базовый состав мер по совершенствованию процесса системы защиты информации
СЗИ.1
СЗИ.1 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях: 
  • обнаружения инцидентов защиты информации; 
  • обнаружения недостатков в рамках контроля системы защиты информации
3-О 2-О 1-О
- - - - - - - -
СЗИ.2
СЗИ.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении: 
  • области применения процесса системы защиты информации; 
  • основных принципов и приоритетов в реализации процесса системы защиты информации; 
  • целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации
3-О 2-О 1-О
- - - - - - - -
СЗИ.3
СЗИ.3 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях: 
  • изменений требований к защите информации, определенных правилами платежной системы (применяется только для участников платежных систем); 
  • изменений, внесенных в законодательство Российской Федерации, в том числе нормативные акты Банка России
3-О 2-О 1-О
- - - - - - - -
СЗИ.4
СЗИ.4 Фиксация решений о проведении совершенствования процесса системы защиты информации в виде корректирующих или превентивных действий, например: 
  • пересмотр области применения процесса системы защиты информации;
  • пересмотр состава и содержания организационных мер защиты информации, применяемых в рамках процесса системы защиты информации; 
  • пересмотр состава технических мер защиты информации, применяемых в рамках процесса системы защиты информации
3-О 2-О 1-О
- - - - - - - -
Итоговая оценка за процессы: ... ... ... ... ... ... ... ...

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.