1. Ведение учета внешних требований, актуальных для компании: законодательство, регуляторные акты, стандарты и лучшие практики по информационной безопасности;
2. Создание собственных наборов (документов) с внутренними требованиями;
3. Проведение оценки соответствия компании внешним и внутренним требованиям, как для всей организации, так и для конкретной области (модуль Области) и для конкретного актива;
4. Организация процесса приведения компании в соответствие требованиям через внедрение защитных мер, поддержания необходимого уровня показателей метрик и отсутствие в сервисе уязвимостей;
5. Автоматическое изменение уровня соответствия требованиям в процессе жизненного цикла системы защиты компании;
6. Связь (маппинг) аналогичных требований из различных документов, что позволяет значительно сократить время при контроле соответствия сразу  по нескольким документам.

1. Общая оценка соответствия по всей организации, в данном случае документ с требованиями берется на контроль в рамках команды и производится оценка; Уровень соответствия единый и показывает насколько успешно выполняются требования; Результирующий отчет по документу отображает состояние комплайнса для всей организации.
2. Частная оценка - оценка на уровне конкретной области (используется модуль Области). Для получения частной оценки и отчета для конкретной системы/защищаемого периметра/дочерней организации. В этом случае документ берется на контроль, создается область, к области добавляются необходимые документы, в интерфейсе модуля Требования заполняется блок Соответствие по областям. Механизм взаимосвязей описан по ссылке.
3. Оценка по конкретным активам - оценка выполняется для конкретных активов с использованием модуля Активы и модуля Опросы, подходит для чек-листов или ручной оценки и сбора свидетельств через опросы. Для перехода в данную оценку для документа выставляется параметр Оценка по конкретным активам, данный параметр нельзя выставить для документов из Communit, но можно скопировать документ и выполнять оценку по копии. 

1. Ручной способ оценки - Неприменимо
2. Ручной способ оценки - Не выполнено
3. Ручной способ оценки - Выполнено
4. Автоматически
5. Технические уязвимости
6. Метрики

• На уровне конкретного требования (пункта, статьи документа)
• На уровне раздела (подраздела) документа
• На уровне всего документа
• На уровне группы документов

Результаты оценки в документе 

• Требования с вручную установленным статусом ("Неприменимо", "Частично", "Выполнено", "Не выполнено");
• Требования с автоматической оценкой исполнения через защитные меры ("Выполнено", "Не выполнено", "Реализованные меры", "В процессе внедрения", "Запланированные меры");
• Требования, оценка для которых производится на основе метрик ("Выполнено", "Частично", "Не выполнено");
• Требования, выполнение которых определяется через выявленные технические уязвимости ("Выполнено", "Не выполнено").

1. Запланированный уровень - учитывает защитные меры в статусе: проект,внедрение и потребность.
2. Текущий уровень - учитывает все требования которые выполнены
3. Целевой уровень - учитывает по каждому разделу документа значение это количество требований которые применимы (т.е. не указаны как неприменимые).

• Показывать только требования — при активации этой опции в списке будут отображаться только те элементы, у которых установлен флаг «Является требованием»;
• Упрощённый режим — при включении этой функции названия требований преобразуются в ссылки.;
• Дополнительно к разделу применяется фильтр по уровням требований.

• Выполнено
• Не выполнено

Аналогичные требования

Методика оценки

• Вручную. В данном случае указывается конкретный статус (Неприменимо/Не выполнено/Частично/Выполнено);
• Автоматически. В этом случае указывается связь с Защитными мерами, метриками, техническими уязвимостями.

• Выполнено полностью - зеленый;
• Выполнено частично - желтый;
• Не выполнено - красный;
• Неприменимо - черный.

• Да/Нет;
• Да/Нет+Файлы;
• Да/Нет/Несовместимо+Файлы;
• Доля(процент);
• Да/Нет/Скорее всего да/Скорее всего нет;
• Конструктор вариантов;

• Хорошо - зеленый; 
• Умерено - желтый; 
• Плохо - красный.

• Включить расширенную классификацию;
• Оценка по конкретным активам;
• Определять применимость требований через активы;
• Задавать начало или окончание действий требований.

• Выполнено;
• Не выполнено;
• Частично;
• Неприменимо.

• Хорошо - зеленый; 
• Умерено - желтый; 
• Плохо - красный.

• number — целочисленные значения и значения с десятичными дробями (42, 3.14, 0);
• string — значение строк и пустых значений ("hello", "Выполнено", "")
• boolean — булевые значения (true, false);
• array — массивы ([1, 2], ["a" => 1]).

• $sum () — сумма набранных баллов по всем требованиям подраздела;
• $scores (array) — баллы подразделов, ключ - позиция требования. Пример: ["1.1" => 2, "1.2" => 5, ...];
• $statuses (array) — статусы требований, ключ - позиция требования. Пример: ["1.1" => "Выполнено", "1.2" => "Автоматически", ...];

• Арифметические: 
  • сложение + ;
  • вычитание - ;
  • умножение * ;
  • деление / ;
• Сравнения:
  • равно == ;
  • не равно !=;
  • больше/меньше >/<;
  • больше или равно/меньше или равно >=/<=;
• Логические:
  • логическое умножение And;
  • логическое сложение Or;
  • логическое отрицание Not;
• Присваивание =.

if ($x > 10) { $y = 1;} else { $y = 0;}

Count([1, 2, 3]) # Результат равен 3
Count($items)
Count([]) # Результат равен 0

• Все массивы должны иметь одинаковую длину;
• Количество аргументов в функции должно быть кратно 3;

CountIf([1, 2, 3, 4], ">=", 3) # Результат равен 2
CountIf($statuses, "==", "Выполнено") # Возвратит количество выполненных требований
CountIf($a, ">=", 3, $b, "<", 10) # Логика AND по двум условиям: (a[i] >= 3) AND (b[i] < 10)

return 1;
return $b;

if (Countif(scores, "<=", 0.5) <= 1 ) { return 0.8; } else { if (Countif(scores, "<=", 0.5) >= Count($scores)/2) {
   return 0.5;
  } else {
   return 1;
  }
}

1. Выбрать документы, соответствие которым планируется контролировать.
   Для этого перейти в раздел Требования и нажать на кнопку Выбрать документы или сразу перейти сюда.
   Выбрать подходящие документы нажав на кнопку Контроль.
2. Провести аудит и по каждому из требований
   1. Связать требование с действующими в компании защитными мерами.
      Примечание: если защитная мера взята из базы Community то ее связь с требованиями будет установлена автоматически.
   2. В случае необходимости установить статус соответствия вручную (выполнено/не выполнено/неприменимо).
3. Запланировать внедрение связанных с требованиями защитных мер.
    Подробнее об управлении защитными мерами описано в разделе Защитные меры.

Элементы интерфейса

• Служит для перехода в библиотеку (каталог) документов требований от Регуляторов, лучших практик и шаблонов нашего комьюнити. Поддерживается отделом методологии и регулярно актуализируется. Доступно 180+ документов. Функционал позволяет принять документы в свою команду и начать выполнять по ним оценку соответствия.

• Открывает мастер создания внутреннего документа.

• Инструмент позволяет выявлять группы и пересечения взаимосвязанных требований. Список "Топ 10" отображает которые чаще всего совпадают в разных документах.

• Актуальная документация по модулю «Требования».

• Показывать неприменимые требования - добавляет отдельную полоску для «неприменимых» требований на круговой диаграмме распределения статусов.
• Показывать частично выполненные требования - добавляет отдельную полоску «частично выполнено» на горизонтальном прогресс-баре статусов.
• Показывать прогресс-бары с общей оценкой - включает прогресс-бар общей оценки в блоках по направлениям (агрегированный процент выполнения).
• Скрыть блок с группами документов по направлениям - скрывает весь блок, где документы сгруппированы по направлениям.
• Отображение прогресс-баров - место размещения:
  • Справа - размещает индикаторы прогресса справа от названия.
  • Слева - размещает индикаторы прогресса слева от названия.
• Отображение результатов - вариант отображения выполненных требований:
  • Проценты и числа - показывает одновременно долю в процентах и абсолютные значения (например, 68% — 34 из 50).
  • В процентах - показывает только процент выполнения.
  • В числах - показывает только абсолютные значения (например, 34 из 50).
• Пересчитать оценку требований – запускает задачу перерасчёта оценок требований на главной странице. Синхронизация происходит автоматически раз в 2 часа.
  
  

• 12-МР для 719-П;
• 12-МР для 802-П;
• 12-МР для 683-П;
• 12-МР для 821-П;
• 8-МР для 757-П;
• 3-МР для 851-П;
• 3-МР для 821-П;
• 3-МР для 802-П.

• ГОСТ 57580 Раздел 7;
• ГОСТ 57580 Раздел 8;
• ГОСТ 57580 Раздел 9.

Блок Документы

• Финансы: пример документа PCI DSS 4.0.1
• ПДн: пример документа Приказ ФСТЭК №21
• ГИС: пример документа Приказ ФСТЭК №17. Приложение
• КИИ: пример документа Приказ ФСТЭК №239. Приложение
• Общее: пример документа Федеральный закон №149-ФЗ
• Безопасная разработка: пример документа PCI SLC v1.1
• Лучшие практики: пример документа NIST CSF
• СКЗИ: пример документа Приказ ФАПСИ №152
• АСУ ТП:  пример документа RUCSF — The 18 CIS CSC
• СМИБ: ISO/IEC 27001:2022
• Здравоохранение: пример документа FDA 21 CFR Part 11
• Тестирование:  пример документа Тест на уровень знаний в ИБ (простой)
• Коммерческая тайна: пример документа Федеральный закон №98-ФЗ.

Блок Соответствие по областям

• Выбрать документы - отображает результаты расчёта соответствия только по выбранным документам;
• Фильтр по группам - отображает результаты расчёта соответствия по выбранным группам документов (категориям).

Метрики 

• Средний показатель соответствия в виде круговой диаграммы (средний процент соответствия по документам). При наведении отображает подробную статистику.
• Показатель оценки соответствия по всем требованиям блока в виде гистограммы. Гистограмма поделена на четыре типа оценки Выполненные / Частично выполненные / Не выполненные требования / Не применимые и количественный показатель Всего требований.
• Показатель статусов документах в виде гистограммы, отображает количество документов по статусу: полностью выполнены, частично выполнены, полностью не выполнены.
• Показатель оценки соответствия по конкретному документу. Гистограмма поделена на три типа оценки Выполненные / Частично выполненные / Не выполненные требования. 

• Общий процент соответствия для всех документов всех областей. Расположен рядом с заголовком блока Соответствие по областям;
• Общий процент соответствия для всех документов группы областей (или всех областей без групп). Расположен рядом с заголовком группы;

Сценарии использования

• Нажмите «Выбрать документы».
• Найдите нужные стандарты/законы/политики.
• Примите документы в команду при помощи «Контроль» переведите переключатель в «Да».

• Нажмите «Создать».
• Заполните карточку документа.
• Настройте методику оценки и, при необходимости, «Оценку по конкретным активам» или привязку к областям.
• После сохранения настроек нажмите создать, у вас откроется блок создания требований.
• Заполните требования.
• Нажмите «Завершить».

• Framework  от 11.02.2020 OWASP Software Assurance Maturity Model
• Framework  OWASP Devsecops Maturity Model
• Framework  OWASP Building Security In Maturity Model
• Федеральный Закон 98 от 29.07.2004 О коммерческой тайне
• Приказ ФСТЭК России 118 от 04.07.2022 Требования по безопасности информации к средствам контейнеризации (выписка)
• Указ Президента РФ 166 от 30.03.2022 О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации
• Приказ ФСБ России 213 от 11.05.2023 Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов
• Приказ ФСТЭК России 239 от 25.12.2017 Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Тело приказа.
• Федеральный Закон 187-ФЗ от 26.07.2017 О безопасности критической информационной инфраструктуры Российской Федерации
• Приказ ФСБ России 282 от 19.06.2019 Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
• Методическая документация ФСТЭК  от 02.05.2024 Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
• Постановление Правительства РФ 127 от 08.02.2018 Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений
• Приказ ФСБ России 367 от 24.07.2018 Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему
• Постановление Правительства РФ 1478 от 22.08.2022 Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов
• Приказ ФСБ России 77 от 13.02.2023 Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах,
• Приказ ФСБ России 196 от 06.05.2019 Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
• Указ Президента РФ 250 от 01.05.2022 О дополнительных мерах по обеспечению информационной безопасности Российской Федерации
• Приказ ФСТЭК России 239 от 25.12.2017 Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости
• Приказ ФСТЭК России 235 от 21.12.2017 Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования
• Приказ ФАПСИ 152 от 13.06.2001 Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну
• Федеральный Закон 63 от 06.04.2011 Об электронной подписи
• Приказ ФСБ России 66 от 09.02.2005 Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
• Стандарт GMP Annex 11: Computerised Systems (EN) от 30.11.2011 Good Manufacturing Practice. Annex 11: Computerised Systems
• Стандарт GMP Annex 11: Computerised Systems (RU) от 30.11.2011 Правила надлежащей производственной практики. Приложение 11: Компьютеризированные системы
• Приказ Минздрава 911н от 24.12.2018 Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам
• ГОСТ Р 57580.4-2022 от 01.02.2023 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8
• ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений
• ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации
• Стандарт Банка России СТО БР ИББС-1.0-2014 от 01.06.2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
• Методические рекомендации Банка России 3-МР от 06.03.2025 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 821-П
• Постановление Правления Национального Банка Республики Казахстан 47 от 27.03.2018 Постановление Правления Национального Банка Республики Казахстан №47
• ГОСТ Р 57580.3-2022 от 01.02.2023 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.
• Положение Банка России 787-П от 12.01.2022 Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг
• ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
• Положение Банка России 821-П от 17.08.2023 О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
• Постановление Правления Агентства Республики Казахстан 89 от 23.09.2020 Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка № 89
• ГОСТ Р 57580.4-2022 от 01.02.2023 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7
• Постановление Правления Национального Банка Республики Казахстан 48 от 27.03.2018 Постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48
• Стандарт Банка России СТО БР ИББС-1.3-2016 от 01.01.2017 Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств
• Методические рекомендации Банка России 18-МР от 20.12.2023 Методические рекомендации Банка России "По описанию наименований объектов информационной инфраструктуры"
• Framework PCI DSS 4.0.1 от 11.06.2024 Payment Card Industry Data Security Standard
• Положение Банка России 833-П от 07.12.2023 О требованиях к обеспечению защиты информации для участников платформы цифрового рубля
• Методические рекомендации Банка России 3-МР от 06.03.2025 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 833-П
• Методические рекомендации Банка России 12-МР от 02.11.2022 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 802-П
• Стандарт Банка России РС БР ИББС-2.9-2016 от 01.05.2016 Предотвращение утечек информации
• Стандарт  от 04.04.2023 Стандарт ПС "Мир". Порядок обработки инцидентов ИБ Участником
• Постановление Правительства РФ 584 от 13.06.2012 Положение о защите информации в платежной системе
• Постановление Правления Национального Банка Республики Казахстан 110 от 23.11.2020 Об утверждении Правил оценки уровня защищенности от угроз информационной безопасности
• Положение Банка России 851-П от 30.01.2025 Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента
• Положение Банка России 802-П от 25.07.2022 О требованиях к защите информации в платежной системе Банка России
• Стандарт  от 02.12.2021 Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир"
• Framework PCI DSS 4.0.1 от 11.06.2024 Payment Card Industry Data Security Standard (RU)
• Методические рекомендации Банка России 12-МР от 02.11.2022 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 719-П
• Федеральный Закон 161 от 27.06.2011 О национальной платежной системе
• Методические рекомендации Банка России 12-МР от 02.11.2022 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 683-П
• Стандарт Банка России СТО БР БФБО-1.8-2024 от 01.07.2024 Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации"
• Стандарт  от 01.11.2017 Payment Card Industry 3-D Secure (PCI 3DS)
• Стандарт Банка России СТО БР ИББС-1.4-2018 от 01.07.2018 Управление риском нарушения информационной безопасности при аутсорсинге
• Положение Банка России 719-П от 04.06.2020 О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
• Правила Сбербанк  от 12.10.2023 Правила Платежной системы "Сбербанк"
• Постановление Правления Национального Банка Республики Казахстан 188 от 12.11.2019 Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан
• Методические рекомендации Банка России 3-МР от 06.03.2025 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 802-П
• Методические рекомендации Банка России 3-МР от 06.03.2025 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 851-П
• Framework  от 01.06.2021 SWIFT Customer Security Controls Framework v2022
• Положение Банка России 808-П от 17.10.2022 О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций
• Положение Банка России 822-П от 30.08.2023 О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования
• Постановление Правления Национального Банка Республики Казахстан 110 от 23.11.2020 Приложение к Правилам оценки уровня защищенности от угроз информационной безопасности
• Положение Банка России 757-П от 20.04.2021 Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций
• Положение Банка России 779-П от 15.11.2021 Обязательные для некредитных финансовых организаций требования к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"
• Положение Банка России 683-П от 17.04.2019 Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента
• Методические рекомендации Банка России 12-МР от 02.11.2022 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 821-П
• Стандарт Банка России РС БР ИББС-2.5-2014 от 01.06.2014 Менеджмент инцидентов информационной безопасности
• Постановление Правления Агентства Республики Казахстан 111 от 23.11.2020 Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка № 111
• Постановление Правления Агентства Республики Казахстан 90 от 21.09.2020 Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка № 90
• Методические рекомендации Банка России 8-МР от 20.06.2023 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 757-П
• Положение Банка России 716-П от 08.04.2020 О требованиях к системе управления операционным риском в кредитной организации и банковской группе
• Framework от 25.06.2024 CIS Critical Security Controls v8.1 (The 18 CIS CSC)
• Framework от 16.04.2018 NIST Cybersecurity Framework (RU)
• Framework от 25.07.2024 CIS Docker Benchmark v1.7.0
• Framework Jet Container Security Framework (JCSF)
• Framework от 01.09.2017 Guideline for a healthy information system v.2.0 (EN)
• Framework от 01.04.2019 CIS Critical Security Controls v7.1 (SANS Top 20)
• Framework от 01.02.2017 Strategies to Mitigate Cyber Security Incidents (EN)
• ГОСТ Р 59547-2021 от 01.04.2022 Защита информации. Мониторинг информационной безопасности. Общие положения
• Framework Методика экспресс-оценки уровня кибербезопасности организации РезБез
• Framework от 16.04.2018 NIST Cybersecurity Framework (EN)
• Framework от 25.03.2024 CIS Kubernetes Benchmark v1.9.0
• Стандарт ISO/IEC 27002:2022(E) от 01.02.2022 Information security, cybersecurity and privacy protection — Information security controls. Chapter 6-7
• ГОСТ Р 22301 от 01.01.2022 Надежность в технике. Системы менеджмента непрерывности деятельности. Требования
• Стандарт ИСО/МЭК 27001:2022(E) от 25.10.2022 Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта
• ГОСТ Р ИСО/МЭК 27001-2021 от 01.01.2022 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
• ГОСТ Р ИСО/МЭК 27001-2021 от 01.01.2022 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
• ГОСТ Р ИСО/МЭК 27001-2021 от 01.01.2022 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А
• Стандарт ISO/IEC 27001:2022(E) от 25.10.2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body
• Стандарт ИСО/МЭК 27001:2022(E) от 25.10.2022 Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А
• Стандарт ISO/IEC 27002:2022(E) от 01.02.2022 Information security, cybersecurity and privacy protection — Information security controls. Chapter 5
• Стандарт ISO/IEC 27002:2022(E) от 01.02.2022 Information security, cybersecurity and privacy protection — Information security controls. Chapter 8
• ГОСТ Р ИСО/МЭК 27002-2021 от 30.11.2021 Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности
• Стандарт ISO/IEC 27001:2022(E) от 25.10.2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A
• ГОСТ Р 71452-2024 от 13.06.2024 Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла
• Приказ ФСТЭК России 31 от 14.03.2014 Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления
• Приказ ФСТЭК России 31 от 14.03.2014 Приказ ФСТЭК России №31. Тело приказа.
• Приказ ФСТЭК России 21 от 18.02.2013 Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Тело приказа.
• Постановление Правительства РФ 687 от 15.09.2008 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
• Приказ Роскомнадзора 179 от 28.10.2022 Об утверждении Требований к подтверждению уничтожения персональных данных
• Постановление Правительства РФ 211 от 21.03.2012 Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами
• Постановление Правительства РФ 687 от 15.09.2008 Чистый документ
• Приказ ФСТЭК России 21 от 18.02.2013 Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
• Приказ МЦРИАП РК 179/НК от 12.06.2023 Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НК
• Приказ Роскомнадзора 180 от 28.10.2022 Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных
• Постановление Правительства РФ 1119 от 01.11.2012 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
• Постановление Правительства Республики Казахстан 94-V от 21.05.2013 Закон Республики Казахстан от 21 мая 2013 года № 94-V
• Framework  от 19.05.2017 Общий регламент защиты персональных данных (GDPR)
• Приказ Роскомнадзора 178 от 27.10.2022 Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"
• Федеральный Закон 152 от 27.07.2006 О персональных данных
• Методические рекомендации Роскомнадзора  от 13.12.2013 Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных"
• Приказ Роскомнадзора 996 от 05.09.2013 Об утверждении требований и методов по обезличиванию персональных данных
• Приказ Роскомнадзора 18 от 24.02.2021 Об утверждении требований к содержанию согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения
• Постановление Правительства РФ 883 от 31.05.2023 Об утверждении Положения о единой биометрической системе, в том числе о ее региональных сегментах, и о признании утратившим силу постановления Правительства Российской Федерации от 16 июня 2022 г. N 1089
• Постановление Правительства РФ 676 от 06.07.2015 Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации
• Приказ ФСТЭК России 17 от 11.02.2013 Требования о защите информации, не составляющей государственную тайну, содержащиеся в государственных информационных системах. Тело стандарта.
• Приказ ФСБ России 524 от 24.10.2022 Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств
• Приказ ФСТЭК России 17 от 11.02.2013 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Приложение 1
• Приказ ФСБ России 117 от 18.03.2025 Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений
• Постановление Правительства РФ 1441 от 01.09.2023 Об утверждении правил хранения на территории РФ информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных электронных сообщений
• Постановление Правительства РФ 1385 от 29.10.2019 Об утверждении Правил взаимодействия собственников или иных владельцев технологических сетей связи, имеющих уникальный идентификатор совокупности средств связи и иных технических средств в информационно-телекоммуникационной сети "Интернет"
• Постановление Правительства РФ 313 от 16.04.2012 Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем
• Федеральный Закон 149 от 27.07.2006 Об информации, информационных технологиях и о защите информации
• Приказ Минцифры 935 от 01.11.2023 Об утверждении требований к вычислительной мощности, используемой провайдером хостинга, для проведения УГО, осуществляющими ОРД или обеспечение безопасности РФ, в случаях, установленных ФЗ, мероприятий в целях реализации возложенных на них задач
• "Постановление Правительства РФ 258 от 01.03.2024 Об утверждении требований к антитеррористической защищенности объектов (территорий) промышленности, находящихся в ведении или относящихся к сфере деятельности Министерства промышленности и торговли РФ, и формы паспорта безопасности этих объектов
• Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.
• Методика оценки уровня зрелости кибербезопасности Сбербанка
• Рекомендации по безопасной настройке операционных систем LINUX
• О связи
• Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности
• Правила классификации и постройки морских судов часть XXI
• Об утверждении требований к сетям и средствам связи собственников или иных владельцев технологических сетей связи, имеющих номер автономной системы, для проведения уполномоченными государственными органами, обеспечение безопасности Российской Федерации
• PCI Secure Software Lifecycle v1.1
• ГОСТ Р 56939-2024 Защита информации. Разработка безопасного программного обеспечения. Общие требования"""
• Приказ ФСТЭК России 77 от 29.04.2021 OWASP Top Ten
• Framework  от - AppSec Table Top: методология безопасной разработки от Positive Technologies
• Методический документ  от 25.12.2022 Методический документ "Методика оценки угроз безопасности информации"
• Федеральный Закон 126 от 07.07.2003 Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 52/НҚ
• Постановление Правительства Республики Казахстан 832 от 20.12.2016 Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации
• Правила 2-020101-174 от 01.07.2024 FDA 21 CFR part 11 (EN)
• Приказ Минцифры 646 от 05.11.2019 FDA 21 CFR part 11 (RU)
• Framework  от 18.02.2021 О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе
• ГОСТ Р 56939 от 24.10.2024 Russian Unified Cyber Security Framework (на основе The 18 CIS CSC)
• Методическая документация ФСТЭК  от 05.02.2021 
• Приказ МОАП РК 52/НҚ от 28.03.2018 
• Приказ ФСБ России 378 от 10.07.2014 
• Приказ Минцифры 453 от 12.05.2023 

1. Перейти в раздел Документы Выбор документов
2. Нажать на кнопку Создать 
3. Заполнить реквизиты документа:
   Для заполнения обязательны только поля Название и Тип.
   1. Название - полное наименование документа, отображаемое во всех отчетах и интерфейсах системы.
   2. Ссылка - URL-адрес к электронному тексту или публикации соответствующего документа.  
      Для формирования URL адреса, будет сформировано автоматически из названия документа.
   3. Короткое название - сокращённое или условное обозначение (например, «152-ФЗ»), используемое в фильтрах и сокращённых представлениях.
   4. Тип
      Если подходящего типа в списке нет можно добавить свой тип. Возможные варианты:
        - ГОСТ Р
        - Постановление Правительства РФ
        - Указ Президента РФ
        - Стандарт Банка России
        - Приказ ФСТЭК России
        - Приказ Роскомнадзора
        - Приказ ФСБ России
        - Framework
        - Методическая документация ФСТЭК
        - Методические рекомендации Банка России
        - Постановление Правления Национального Банка Республики Казахстан
        - Положение Банка России
        - Стандарт
        - Приказ МОАП РК
        - Приказ ФАПСИ
        - Постановление Правления Агентства Республики Казахстан
        - Федеральный Закон
        - Приказ МЦРИАП РК
        - Приказ Минцифры
        - Приказ Минздрава
        - Постановление Правительства Республики Казахстан
        - Методический документ
        - Правила Сбербанк
        - Методические рекомендации Роскомнадзора
        - Правила
   5. Номер — официальный регистрационный/идентификационный номер документа, соответствующий его реквизитам.
   6. Дата - дата издания или утверждения документа.
   7. Дата редакции — дата актуальной редакции (например, если в документ вносились изменения).
   8. Действует с — дата начала действия документа.
   9. Действует по — дата окончания действия, если применимо.
   10. Группы — предназначены для классификации документов по тематике или предметной области. Один документ может быть отнесён к нескольким группам:
         - Безопасная разработка
         - Коммерческая тайна
         - Внутренние требования
         - КИИ
         - СКЗИ
         - Здравоохранение
         - Финансы
         - Лучшие практики
         - СМИБ
         - АСУ ТП
         - ПДн
         - ГИС
         - Общее
       По умолчанию выбрана группа Внутренние требования, можно добавить любые другие группы. 
   11. Описание -  произвольное поле для краткого содержания, аннотации или примечаний.
   12. Уровни требований
       Если в документе есть уровни/классы мер то можно выбрать подходящую классификцию.
   13. Методика оценки по документу  
       1. Стандартная оценка — классическая четырехуровневая шкала статусов:
            - Неприменимо
            - Не выполнено
            - Частично
            - Выполнено
       2. Бальная оценка — применяется для количественной оценки выполнения требований с учетом следующих свойств:
            - Пороговые значения
            - Плохо
            - Умеренно
            - Хорошо
   14. Способ оценки — при использовании Бальной оценки в зависимости от типа документа и специфики требований, метод оценки для каждого требования можно задать из следующих предустановленных вариантов:
       1. Да / Нет
       2. Да / Нет + Файлы (требуется приложение подтверждающих документов)
       3. Да / Нет / Неприменимо + Файлы
       4. Доля (Процент выполнения
       5. Да / Нет / Скорее всего да / Скорее всего нет
       6. Конструктор вариантов — специальный режим, позволяющий самостоятельно настроить варианты ответов на требования, а также присвоить каждому варианту собственный вес в баллах.
   15. На контроле
       Будет ли проводиться контроль соответствия по документу
   16. Включить расширенную классификацию
   17. Оценка по конкретным активам - перевод документа в другой режим работы;
   18. Определять применимость требований через активы - дополнительный механизм связанный с модулем Области для автоматического изменения является ли абзац документа требованием. Описание влияние по ссылке.
   19. Задавать начало или окончание действия требований - устанавливает сроки действия абзаца документа как требования.
4. Нажать Создать документ
   После создания документа осуществляется переход на страницу редактирования (заполнения) документа.
5. Каждое требование документа состоит их 3 полей:
   1. Ссылка
      Уникальное обозначение части документа, обязательно для заполнения и не может повторяться в рамках документа. Например
      1. п.7
      2. Статья 2 п.1
      3. Потребности директора по продажам
   2. Текст требования
      Основная описательная часть, включая порядковый номер и иные атрибуты.
   3. Является требованием
      Часть документа может не являться требованиями а быть вспомогательной текстовой частью (например заголовок раздела или аннотация), чтобы система не считала эти части документа требованиями нужно снять галочку Является требованием.
6. После заполнения полей Ссылка и Текст нажать на кнопку "+" чтобы сохранить требование.
7. После сохранения требования появится форма для ввода следующего требования.
8. После ввода всех требований документа нажать на кнопку Завершить.

1. Перейдите в раздел Требования.
2. Нажмите на создание нового документа.
3. В настройках документа активируйте опцию Оценка по конкретным активам.

• Создаёте внутренний документ с требованиями (чеклист) с отметкой "Оценка по конкретным активам";
• Выбираете тип актива, к которому будете привязываться, например "Система".
• Создаёте опрос на владельца актива (ответственного за систему).
• Владелец актива получает уведомление и проходит опрос именно по своей системе.

• Отчет о соответствии требованиям (DOCX)
• Отчет о соответствии (без активов)
• Архив со свидетельствами (ZIP)

• ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
• ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений
• ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации