Куда я попал?
Для оценки реализации ГОСТ 57580
- авторизуйтесь
- авторизуйтесь
| Условное обозначение | Содержание меры | Обоснования и рекомендации | ||||||||
| Обоснование полноты реализации мер ЗИ, входящих в систему СЗИ | 7.2 Процесс 1 Доступ | 7.3 Процесс 2 Сеть | 7.4 Процесс 3 Целостность | 7.5 Процесс 4 ВПО | 7.6 Процесс 5 Утечки | 7.7 Процесс 6 Инциденты | 7.8 Процесс 7 Виртуализация | 7.9 Процесс 8 Удаленный доступ | ||
|
8.2 Направление 1 "Планирование процесса системы защиты информации" |
||||||||||
|
Базовый состав мер планирования процесса системы защиты информации |
||||||||||
| ПЗИ.1 | ПЗИ.1 Документарное определение области применения процесса системы защиты информации (область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России) для уровней информационной инфраструктуры 3-О 2-О 1-О |
|||||||||
| ПЗИ.2 | ПЗИ.2 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации 3-О 2-О 1-О |
|||||||||
| ПЗИ.3 | ПЗИ.3 Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации 3-О 2-О 1-О |
|||||||||
| ПЗИ.4 | ПЗИ.4 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации 3-О 2-О 1-О |
|||||||||
| ПЗИ.5 | ПЗИ.5 Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего:
3-О 2-О 1-О |
|||||||||
| Итоговая оценка за процессы: | ... | ... | ... | ... | ... | ... | ... | ... | ||
|
8.3 Направление 2 "Реализация процесса системы защиты информации" |
||||||||||
|
Базовый состав мер по реализации процесса системы защиты информации |
||||||||||
| РЗИ.1 | РЗИ.1 Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах) 3-О 2-О 1-Т |
|||||||||
| РЗИ.2 | РЗИ.2 Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации 3-О 2-О 1-Т |
|||||||||
| РЗИ.3 | РЗИ.3 Контроль (тестирование) полноты реализации технических мер защиты информации 3-О 2-О 1-О |
|||||||||
| РЗИ.4 | РЗИ.4 Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение 3-О 2-О 1-О |
|||||||||
| РЗИ.5 | РЗИ.5 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры 3-О 2-О 1-О |
|||||||||
| РЗИ.6 | РЗИ.6 Реализация эксплуатации, использования по назначению технических мер защиты информации 3-О 2-О 1-О |
- | - | - | - | - | - | - | - | |
| РЗИ.7 | РЗИ.7 Реализация применения организационных мер защиты информации 3-О 2-О 1-О |
- | - | - | - | - | - | - | - | |
| РЗИ.8 | РЗИ.8 Реализация централизованного управления техническими мерами защиты информации (централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала) 3-Н 2-Н 1-Т |
- | - | - | - | - | - | - | - | |
| РЗИ.9 | РЗИ.9 Обеспечение доступности технических мер защиты информации:
3-Н 2-Н 1-Т |
|||||||||
| РЗИ.10 | РЗИ.10 Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования 3-Н 2-О 1-О |
|||||||||
| РЗИ.11 | РЗИ.11 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации) 3-Н 2-Н 1-Т |
|||||||||
| РЗИ.12 | РЗИ.12 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации) 3-Н 2-Т 1-Н |
|||||||||
| РЗИ.13 | РЗИ.13 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации) 3-Т 2-Н 1-Н |
- | - | - | - | - | - | - | - | |
| РЗИ.14 | РЗИ.14 Применение СКЗИ, имеющих класс не ниже КС2 (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации) 3-Н 2-Н 1-Т |
|||||||||
| РЗИ.15 | РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации 3-О 2-О 1-О |
- | - | - | - | - | - | - | - | |
| РЗИ.16 | РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации 3-О 2-О 1-О |
- | - | - | - | - | - | - | - | |
| Итоговая оценка за процессы: | ... | ... | ... | ... | ... | ... | ... | ... | ||
|
8.4 Направление 3 "Контроль процесса системы защиты информации" |
||||||||||
|
Базовый состав мер контроля процесса системы защиты информации |
||||||||||
| КЗИ.1 | КЗИ.1 Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1 3-О 2-О 1-Т |
- | - | - | - | - | - | - | - | |
| КЗИ.2 | КЗИ.2 Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:
3-О 2-О 1-Т |
|||||||||
| КЗИ.3 | КЗИ.3 Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:
3-О 2-О 1-О |
|||||||||
| КЗИ.4 | КЗИ.4 Периодический контроль (тестирование) полноты реализации технических мер защиты информации 3-О 2-Т 1-Т |
- | - | - | - | - | - | - | - | |
| КЗИ.5 | КЗИ.5 Контроль применения организационных мер защиты информации 3-О 2-О 1-О |
|||||||||
| КЗИ.6 | КЗИ.6 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование 3-О 2-Т 1-Т |
- | - | - | - | - | - | - | - | |
| КЗИ.7 | КЗИ.7 Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации 3-О 2-О 1-О |
|||||||||
| КЗИ.8 | КЗИ.8 Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса системы защиты информации, проводимых в соответствии с мерами КЗИ.1-КЗИ.7 3-О 2-О 1-О |
|||||||||
|
Базовый состав мер контроля процесса системы защиты информации в части регистрации событий защиты информации |
||||||||||
| КЗИ.9 | КЗИ.9 Регистрация операций по установке и (или) обновлению ПО технических средств защиты информации 3-Н 2-Т 1-Т |
|||||||||
| КЗИ.10 | КЗИ.10 Регистрация операций по обновлению сигнатурных баз технических средств защиты информации (в случае их использования) 3-Н 2-Т 1-Т |
|||||||||
| КЗИ.11 | КЗИ.11 Регистрация операций по изменению параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации 3-Н 2-Т 1-Т |
|||||||||
| КЗИ.12 | КЗИ.12 Регистрация сбоев (отказов) технических мер защиты информации 3-Н 2-Т 1-Т |
|||||||||
| Итоговая оценка за процессы: | ... | ... | ... | ... | ... | ... | ... | ... | ||
|
8.5 Направление 4 "Совершенствование процесса системы защиты информации" |
||||||||||
|
Базовый состав мер по совершенствованию процесса системы защиты информации |
||||||||||
| СЗИ.1 | СЗИ.1 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:
3-О 2-О 1-О |
- | - | - | - | - | - | - | - | |
| СЗИ.2 | СЗИ.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении:
3-О 2-О 1-О |
|||||||||
| СЗИ.3 | СЗИ.3 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:
3-О 2-О 1-О |
|||||||||
| СЗИ.4 | СЗИ.4 Фиксация решений о проведении совершенствования процесса системы защиты информации в виде корректирующих или превентивных действий, например:
3-О 2-О 1-О |
|||||||||
| Итоговая оценка за процессы: | ... | ... | ... | ... | ... | ... | ... | ... | ||
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.