Соответствие требованиям - Тестирование

Одной из ключевых задач служб информационной безопасности является управление соответствием (compliance), которое подразумевает:

Определение внешних и внутренних требований, которым должна соответствовать компания;
Контроль текущего соответствия требованиям и выявление отклонений;
Приведение организации, ее информационных систем и системы защиты в соответствие требованиям;
Подтверждение соответствия по запросу внешних и внутренних аудиторов.

Требования разделяются на обязательные и требования, исполнение которых организация берет на себя добровольно.

К обязательным требованиям можно отнести правовые, законодательные, нормативные и договорные требования, которым должна удовлетворять организация.
К требованиям, исполнение которых организация берет на себя добровольно, относятся лучшие практики, стандарты, отраслевые рекомендации.

Требования разделяются на внешние и внутренние:

Внешние требования: законодательные акты, стандарты и лучшие практики.
Внутренние требования: потребности руководства компании, контрагентов, вышестоящих организаций и иных заинтересованных сторон.

Для удобства навигации и проведения сводных оценок соответствия документы разделены по группам:

ПДн – требования к обработке и защите персональных данных;
КИИ – требования к критической информационной инфраструктуре;
АСУ ТП – требования к автоматизированным системам управления технологическими процессами;
ГИС – требования к государственным информационным системам;
СМИБ – требования к системам менеджмента информационной безопасности;
Банки – требования к банковской отрасли и финансовым организациям;
Здравоохранение – требования к отрасли здравоохранения;
Лучшие практики – рекомендации и необязательные стандарты.

Один документ может входить в несколько групп.

Возможности

Сервис позволяет организовать процесс управления соответствием за счет следующих функций:

Ведение учета внешних требований, актуальных для компании: законодательство, регуляторные акты, стандарты и лучшие практики по информационной безопасности;
Создание собственных наборов (документов) с внутренними требованиями;
Проведение оценки соответствия компании внешним и внутренним требованиям, как для всей организации, так и для конкретной области (модуль Области) и для конкретного актива;
Организация процесса приведения компании в соответствие требованиям через внедрение защитных мер, поддержания необходимого уровня показателей метрик и отсутствие в сервисе уязвимостей;
Автоматическое изменение уровня соответствия требованиям в процессе жизненного цикла системы защиты компании;
Связь (маппинг) аналогичных требований из различных документов, что позволяет значительно сократить время при контроле соответствия сразу по нескольким документам.

Оценка соответствия

Существует три подхода к оценке соответствия:

Общая оценка соответствия по всей организации, в данном случае документ с требованиями берется на контроль в рамках команды и производится оценка; Уровень соответствия единый и показывает насколько успешно выполняются требования; Результирующий отчет по документу отображает состояние комплайнса для всей организации.
Частная оценка - оценка на уровне конкретной области (используется модуль Области). Для получения частной оценки и отчета для конкретной системы/защищаемого периметра/дочерней организации. В этом случае документ берется на контроль, создается область, к области добавляются необходимые документы, в интерфейсе модуля Требования заполняется блок Соответствие по областям. Механизм взаимосвязей описан по ссылке.
Оценка по конкретным активам - оценка выполняется для конкретных активов с использованием модуля Активы и модуля Опросы, подходит для чек-листов или ручной оценки и сбора свидетельств через опросы. Для перехода в данную оценку для документа выставляется параметр Оценка по конкретным активам, данный параметр нельзя выставить для документов из Communit, но можно скопировать документ и выполнять оценку по копии.

Для документов загруженных из Community или созданных вручную в сервисе пользовательских документов с установленным параметром Методика оценки по документу и не установленным параметром Оценка по конкретным активам оценка соответствия осуществляется на уровне каждого требования документа вручную или автоматически. У требования могут быть следующие статусы соответствия:

Ручной способ оценки - Неприменимо
Ручной способ оценки - Не выполнено
Ручной способ оценки - Выполнено
Автоматически
Технические уязвимости
Метрики

При ручном способе оценке соответствия пользователь может в отношении конкретного требования указать его статус соответствия: неприменимо, не выполнено, выполнено. После чего указать обоснование статуса.

При автоматической оценке (статус соответствия Автоматически) расчет соответствия проводится по защитным мерам, связанным с требованием. Каждое требование может быть связано с одной или несколькими защитными мерами. Если все связанные с требованием защитные меры находятся в статусе Реализовано, то требование считается выполненным, а если хотя бы одна из защитных мер не реализована (в статусе Потребность, Проект, Внедрение) или вышла из строя (статусе Поломка) то требование будет считаться не выполненным.
Является ли набор защитных мер достаточным для исполнения требования определяется экспертным путем с учетом специфики и уровня зрелости компании.
При оценке с помощью метрик расчет соответствия проводится по связанным метрикам. Например, если метрика находится на значении «плохо», требование получает статус «Не выполнено»; при «умеренно» статус меняется на «Частично»; если значение метрики «хорошо», то требование считается «Выполнено». К требованию могут быть привязаны несколько метрик, для перехода в состояние «Выполнено» требуется чтобы все метрики были в состоянии «хорошо», в случае если одна из метрик в состоянии «хорошо», а другие в «умеренно» или «плохо» статус меняется на «Частично». В случае когда часть метрик в состоянии «умеренно» и часть в состоянии «плохо» статус меняется на «Не выполнено».
При оценке с помощью технических уязвимостей следует указать название конкретной уязвимости или его часть, которая может входить в название интересующей уязвимости. В случае обнаружения уязвимости соответствующее требование получает статус «Не выполнено», а при отсутствии уязвимостей статус требования меняется на «Выполнено».

В отношении документов, для которых предусмотрены различные классы/уровни требований возможно провести быструю корректировку, убрав лишние требования в соответствии с актуальным для компании уровнем/классом защищенности. Все не обязательные для выбранного класса/уровня требования переводятся в статус Неприменимо.

Результаты расчета соответствия отображаются на нескольких уровнях:

На уровне конкретного требования (пункта, статьи документа)
На уровне раздела (подраздела) документа
На уровне всего документа
На уровне группы документов

По каждому из требований, разделов, документов можно посмотреть дополнительную статистику в разрезе требований и защитных мер.

Результаты оценки в документе

Процент в показателе Уровень соответствия определяется по статусам, присвоенным на основании анализа соответствия требованиям. Процентное значение формируется с учётом количества требований, отмеченных как "Выполнено", "Не выполнено", "Частично выполнено" и "Неприменимо".

Параметр Актуальные требования — это количество пунктов, для которых установлено свойство "Является требованием".

Параметр Защитные меры — общее число мер защиты, реализованных для обеспечения выполнения требований в документе.

Блок Дата редакции — указывает, когда документ был выпущен и до какого времени он остается действительным. На основании атрибутов документа Дата редакции, Действует с, Действует до.

Блок Актуальные требования — включает расчет по количеству требований, присутствующих в документе: сколько из них полностью или частично выполнены, а также сколько не выполнено.

Подробная статистика включает четыре направления:

Требования с вручную установленным статусом ("Неприменимо", "Частично", "Выполнено", "Не выполнено");
Требования с автоматической оценкой исполнения через защитные меры ("Выполнено", "Не выполнено", "Реализованные меры", "В процессе внедрения", "Запланированные меры");
Требования, оценка для которых производится на основе метрик ("Выполнено", "Частично", "Не выполнено");
Требования, выполнение которых определяется через выявленные технические уязвимости ("Выполнено", "Не выполнено").

Блок Группы областей
Отображает уровень соответствия по группам и в каждой области.

Блок Графики
Предназначен для отслеживания процента выполнения документа по месяцам. Проценты будут рассчитываться исходя из степени соответствия пунктам, отмеченным как «Выполнено».
Диаграмма — включает три уровня:

Запланированный уровень - учитывает защитные меры в статусе: проект,внедрение и потребность.
Текущий уровень - учитывает все требования которые выполнены
Целевой уровень - учитывает по каждому разделу документа значение это количество требований которые применимы (т.е. не указаны как неприменимые).

Блок Соответствие и Заполнение
Соответствие — предоставляет возможность отслеживать процент заполнения разделов документа, статусы: "Соответствует", "Частично", "Не соответствует" или "Не применимо", указывая это в процентах и в абсолютных значениях.
Заполнение - предоставляет возможность отслеживать процент способов оценки выполнения требований со статусами: "Автоматически, меры выбраны", "Переопределено", "Автоматически, меры не выбраны", "Метрики", "Уязвимости", указывая это в процентах.

В разделе "Список требований" существуют такие фильтры как:

Показывать только требования — при активации этой опции в списке будут отображаться только те элементы, у которых установлен флаг «Является требованием»;
Упрощённый режим — при включении этой функции названия требований преобразуются в ссылки.;
Дополнительно к разделу применяется фильтр по уровням требований.

Фильтр по статусам:

Выполнено
Не выполнено

Аналогичные требования

Похожие требования различных документов уже связаны между собой. Когда создается связь между защитной мерой и требованием связь устанавливается также между этой защитной мерой и всеми похожими требованиями из других документов. Это позволяет экономить время при контроле соответствия сразу по нескольким документам.

Алгоритм работы

Алгоритм работы с модулем соответствия требованиям следующий:

Выбрать документы, соответствие которым планируется контролировать.
Для этого перейти в раздел Требования и нажать на кнопку Выбрать документы или сразу перейти сюда.
Выбрать подходящие документы нажав на кнопку Контроль.
Провести аудит и по каждому из требований
1. Связать требование с действующими в компании защитными мерами.
  Примечание: если защитная мера взята из базы Community то ее связь с требованиями будет установлена автоматически.
2. В случае необходимости установить статус соответствия вручную (выполнено/не выполнено/неприменимо).
Запланировать внедрение связанных с требованиями защитных мер.
Подробнее об управлении защитными мерами описано в разделе Защитные меры.

Внешние документы

В базу сервиса добавлены следующие документы, в отношении которых можно управлять соответствием:

Framework от 11.02.2020 OWASP Software Assurance Maturity Model
Framework OWASP Devsecops Maturity Model
Framework OWASP Building Security In Maturity Model
Федеральный Закон 98 от 29.07.2004 О коммерческой тайне
Приказ ФСТЭК России 118 от 04.07.2022 Требования по безопасности информации к средствам контейнеризации (выписка)
Указ Президента РФ 166 от 30.03.2022 О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации
Приказ ФСБ России 213 от 11.05.2023 Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов
Приказ ФСТЭК России 239 от 25.12.2017 Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации. Тело приказа.
Федеральный Закон 187-ФЗ от 26.07.2017 О безопасности критической информационной инфраструктуры Российской Федерации
Приказ ФСБ России 282 от 19.06.2019 Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации
Методическая документация ФСТЭК от 02.05.2024 Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
Постановление Правительства РФ 127 от 08.02.2018 Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечень показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений
Приказ ФСБ России 367 от 24.07.2018 Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему
Постановление Правительства РФ 1478 от 22.08.2022 Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов
Приказ ФСБ России 77 от 13.02.2023 Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах,
Приказ ФСБ России 196 от 06.05.2019 Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
Указ Президента РФ 250 от 01.05.2022 О дополнительных мерах по обеспечению информационной безопасности Российской Федерации
Приказ ФСТЭК России 239 от 25.12.2017 Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости
Приказ ФСТЭК России 235 от 21.12.2017 Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования
Приказ ФАПСИ 152 от 13.06.2001 Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну
Федеральный Закон 63 от 06.04.2011 Об электронной подписи
Приказ ФСБ России 66 от 09.02.2005 Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Стандарт GMP Annex 11: Computerised Systems (EN) от 30.11.2011 Good Manufacturing Practice. Annex 11: Computerised Systems
Стандарт GMP Annex 11: Computerised Systems (RU) от 30.11.2011 Правила надлежащей производственной практики. Приложение 11: Компьютеризированные системы
Приказ Минздрава 911н от 24.12.2018 Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам
ГОСТ Р 57580.4-2022 от 01.02.2023 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8
ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений
ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации
Стандарт Банка России СТО БР ИББС-1.0-2014 от 01.06.2014 Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Методические рекомендации Банка России 3-МР от 06.03.2025 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 821-П
Постановление Правления Национального Банка Республики Казахстан 47 от 27.03.2018 Постановление Правления Национального Банка Республики Казахстан №47
ГОСТ Р 57580.3-2022 от 01.02.2023 Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.
Положение Банка России 787-П от 12.01.2022 Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг
ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
Положение Банка России 821-П от 17.08.2023 О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
Постановление Правления Агентства Республики Казахстан 89 от 23.09.2020 Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка № 89
ГОСТ Р 57580.4-2022 от 01.02.2023 Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7
Постановление Правления Национального Банка Республики Казахстан 48 от 27.03.2018 Постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48
Стандарт Банка России СТО БР ИББС-1.3-2016 от 01.01.2017 Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств
Методические рекомендации Банка России 18-МР от 20.12.2023 Методические рекомендации Банка России "По описанию наименований объектов информационной инфраструктуры"
Framework PCI DSS 4.0.1 от 11.06.2024 Payment Card Industry Data Security Standard
Положение Банка России 833-П от 07.12.2023 О требованиях к обеспечению защиты информации для участников платформы цифрового рубля
Методические рекомендации Банка России 3-МР от 06.03.2025 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 833-П
Методические рекомендации Банка России 12-МР от 02.11.2022 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 802-П
Стандарт Банка России РС БР ИББС-2.9-2016 от 01.05.2016 Предотвращение утечек информации
Стандарт от 04.04.2023 Стандарт ПС "Мир". Порядок обработки инцидентов ИБ Участником
Постановление Правительства РФ 584 от 13.06.2012 Положение о защите информации в платежной системе
Постановление Правления Национального Банка Республики Казахстан 110 от 23.11.2020 Об утверждении Правил оценки уровня защищенности от угроз информационной безопасности
Положение Банка России 851-П от 30.01.2025 Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента
Положение Банка России 802-П от 25.07.2022 О требованиях к защите информации в платежной системе Банка России
Стандарт от 02.12.2021 Требования к системе управления Рисками информационной безопасности Субъектов ПС "Мир"
Framework PCI DSS 4.0.1 от 11.06.2024 Payment Card Industry Data Security Standard (RU)
Методические рекомендации Банка России 12-МР от 02.11.2022 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 719-П
Федеральный Закон 161 от 27.06.2011 О национальной платежной системе
Методические рекомендации Банка России 12-МР от 02.11.2022 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 683-П
Стандарт Банка России СТО БР БФБО-1.8-2024 от 01.07.2024 Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации"
Стандарт от 01.11.2017 Payment Card Industry 3-D Secure (PCI 3DS)
Стандарт Банка России СТО БР ИББС-1.4-2018 от 01.07.2018 Управление риском нарушения информационной безопасности при аутсорсинге
Положение Банка России 719-П от 04.06.2020 О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
Правила Сбербанк от 12.10.2023 Правила Платежной системы "Сбербанк"
Постановление Правления Национального Банка Республики Казахстан 188 от 12.11.2019 Правила формирования системы управления рисками и внутреннего контроля для банков второго уровня, филиалов банков-нерезидентов Республики Казахстан
Методические рекомендации Банка России 3-МР от 06.03.2025 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 802-П
Методические рекомендации Банка России 3-МР от 06.03.2025 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 851-П
Framework от 01.06.2021 SWIFT Customer Security Controls Framework v2022
Положение Банка России 808-П от 17.10.2022 О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций
Положение Банка России 822-П от 30.08.2023 О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования
Постановление Правления Национального Банка Республики Казахстан 110 от 23.11.2020 Приложение к Правилам оценки уровня защищенности от угроз информационной безопасности
Положение Банка России 757-П от 20.04.2021 Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций
Положение Банка России 779-П от 15.11.2021 Обязательные для некредитных финансовых организаций требования к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"
Положение Банка России 683-П от 17.04.2019 Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента
Методические рекомендации Банка России 12-МР от 02.11.2022 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 821-П
Стандарт Банка России РС БР ИББС-2.5-2014 от 01.06.2014 Менеджмент инцидентов информационной безопасности
Постановление Правления Агентства Республики Казахстан 111 от 23.11.2020 Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка № 111
Постановление Правления Агентства Республики Казахстан 90 от 21.09.2020 Постановление Правления Агентства Республики Казахстан по регулированию и развитию финансового рынка № 90
Методические рекомендации Банка России 8-МР от 20.06.2023 Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 757-П
Положение Банка России 716-П от 08.04.2020 О требованиях к системе управления операционным риском в кредитной организации и банковской группе
Framework от 25.06.2024 CIS Critical Security Controls v8.1 (The 18 CIS CSC)
Framework от 16.04.2018 NIST Cybersecurity Framework (RU)
Framework от 25.07.2024 CIS Docker Benchmark v1.7.0
Framework Jet Container Security Framework (JCSF)
Framework от 01.09.2017 Guideline for a healthy information system v.2.0 (EN)
Framework от 01.04.2019 CIS Critical Security Controls v7.1 (SANS Top 20)
Framework от 01.02.2017 Strategies to Mitigate Cyber Security Incidents (EN)
ГОСТ Р 59547-2021 от 01.04.2022 Защита информации. Мониторинг информационной безопасности. Общие положения
Framework Методика экспресс-оценки уровня кибербезопасности организации РезБез
Framework от 16.04.2018 NIST Cybersecurity Framework (EN)
Framework от 25.03.2024 CIS Kubernetes Benchmark v1.9.0
Стандарт ISO/IEC 27002:2022(E) от 01.02.2022 Information security, cybersecurity and privacy protection — Information security controls. Chapter 6-7
ГОСТ Р 22301 от 01.01.2022 Надежность в технике. Системы менеджмента непрерывности деятельности. Требования
Стандарт ИСО/МЭК 27001:2022(E) от 25.10.2022 Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта
ГОСТ Р ИСО/МЭК 27001-2021 от 01.01.2022 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27001-2021 от 01.01.2022 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
ГОСТ Р ИСО/МЭК 27001-2021 от 01.01.2022 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А
Стандарт ISO/IEC 27001:2022(E) от 25.10.2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body
Стандарт ИСО/МЭК 27001:2022(E) от 25.10.2022 Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А
Стандарт ISO/IEC 27002:2022(E) от 01.02.2022 Information security, cybersecurity and privacy protection — Information security controls. Chapter 5
Стандарт ISO/IEC 27002:2022(E) от 01.02.2022 Information security, cybersecurity and privacy protection — Information security controls. Chapter 8
ГОСТ Р ИСО/МЭК 27002-2021 от 30.11.2021 Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности
Стандарт ISO/IEC 27001:2022(E) от 25.10.2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A
ГОСТ Р 71452-2024 от 13.06.2024 Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла
Приказ ФСТЭК России 31 от 14.03.2014 Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления
Приказ ФСТЭК России 31 от 14.03.2014 Приказ ФСТЭК России №31. Тело приказа.
Приказ ФСТЭК России 21 от 18.02.2013 Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Тело приказа.
Постановление Правительства РФ 687 от 15.09.2008 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Приказ Роскомнадзора 179 от 28.10.2022 Об утверждении Требований к подтверждению уничтожения персональных данных
Постановление Правительства РФ 211 от 21.03.2012 Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами
Постановление Правительства РФ 687 от 15.09.2008 Чистый документ
Приказ ФСТЭК России 21 от 18.02.2013 Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
Приказ МЦРИАП РК 179/НК от 12.06.2023 Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НК
Приказ Роскомнадзора 180 от 28.10.2022 Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных
Постановление Правительства РФ 1119 от 01.11.2012 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных
Постановление Правительства Республики Казахстан 94-V от 21.05.2013 Закон Республики Казахстан от 21 мая 2013 года № 94-V
Framework от 19.05.2017 Общий регламент защиты персональных данных (GDPR)
Приказ Роскомнадзора 178 от 27.10.2022 Требования к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"
Федеральный Закон 152 от 27.07.2006 О персональных данных
Методические рекомендации Роскомнадзора от 13.12.2013 Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных"
Приказ Роскомнадзора 996 от 05.09.2013 Об утверждении требований и методов по обезличиванию персональных данных
Приказ Роскомнадзора 18 от 24.02.2021 Об утверждении требований к содержанию согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения
Постановление Правительства РФ 883 от 31.05.2023 Об утверждении Положения о единой биометрической системе, в том числе о ее региональных сегментах, и о признании утратившим силу постановления Правительства Российской Федерации от 16 июня 2022 г. N 1089
Постановление Правительства РФ 676 от 06.07.2015 Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации
Приказ ФСТЭК России 17 от 11.02.2013 Требования о защите информации, не составляющей государственную тайну, содержащиеся в государственных информационных системах. Тело стандарта.
Приказ ФСБ России 524 от 24.10.2022 Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств
Приказ ФСТЭК России 17 от 11.02.2013 Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах. Приложение 1
Приказ ФСБ России 117 от 18.03.2025 Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений
Постановление Правительства РФ 1441 от 01.09.2023 Об утверждении правил хранения на территории РФ информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных электронных сообщений
Постановление Правительства РФ 1385 от 29.10.2019 Об утверждении Правил взаимодействия собственников или иных владельцев технологических сетей связи, имеющих уникальный идентификатор совокупности средств связи и иных технических средств в информационно-телекоммуникационной сети "Интернет"
Постановление Правительства РФ 313 от 16.04.2012 Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем
Федеральный Закон 149 от 27.07.2006 Об информации, информационных технологиях и о защите информации
Приказ Минцифры 935 от 01.11.2023 Об утверждении требований к вычислительной мощности, используемой провайдером хостинга, для проведения УГО, осуществляющими ОРД или обеспечение безопасности РФ, в случаях, установленных ФЗ, мероприятий в целях реализации возложенных на них задач
"Постановление Правительства РФ 258 от 01.03.2024 Об утверждении требований к антитеррористической защищенности объектов (территорий) промышленности, находящихся в ведении или относящихся к сфере деятельности Министерства промышленности и торговли РФ, и формы паспорта безопасности этих объектов
Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.
Методика оценки уровня зрелости кибербезопасности Сбербанка
Рекомендации по безопасной настройке операционных систем LINUX
О связи
Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности
Правила классификации и постройки морских судов часть XXI
Об утверждении требований к сетям и средствам связи собственников или иных владельцев технологических сетей связи, имеющих номер автономной системы, для проведения уполномоченными государственными органами, обеспечение безопасности Российской Федерации
PCI Secure Software Lifecycle v1.1
ГОСТ Р 56939-2024 Защита информации. Разработка безопасного программного обеспечения. Общие требования"""
Приказ ФСТЭК России 77 от 29.04.2021 OWASP Top Ten
Framework от - AppSec Table Top: методология безопасной разработки от Positive Technologies
Методический документ от 25.12.2022 Методический документ "Методика оценки угроз безопасности информации"
Федеральный Закон 126 от 07.07.2003 Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 28 марта 2018 года № 52/НҚ
Постановление Правительства Республики Казахстан 832 от 20.12.2016 Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации
Правила 2-020101-174 от 01.07.2024 FDA 21 CFR part 11 (EN)
Приказ Минцифры 646 от 05.11.2019 FDA 21 CFR part 11 (RU)
Framework от 18.02.2021 О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе
ГОСТ Р 56939 от 24.10.2024 Russian Unified Cyber Security Framework (на основе The 18 CIS CSC)
Методическая документация ФСТЭК от 05.02.2021
Приказ МОАП РК 52/НҚ от 28.03.2018
Приказ ФСБ России 378 от 10.07.2014
Приказ Минцифры 453 от 12.05.2023

Добавление новых документов осуществляется технической поддержкой сервиса по запросу пользователей. Направить запрос на добавление документа

Внутренние документы

Можно создавать собственные документы с требованиями. Эти документы будут доступны только в команде, в рамках которой были созданы.
Для создания документа нужно:

Перейти в раздел Документы Выбор документов
Нажать на кнопку Создать
Заполнить реквизиты документа:
Для заполнения обязательны только поля Название и Тип.
1. Название - полное наименование документа, отображаемое во всех отчетах и интерфейсах системы.
2. Ссылка - URL-адрес к электронному тексту или публикации соответствующего документа.
  Для формирования URL адреса, будет сформировано автоматически из названия документа.
3. Короткое название - сокращённое или условное обозначение (например, «152-ФЗ»), используемое в фильтрах и сокращённых представлениях.
4. Тип
  Если подходящего типа в списке нет можно добавить свой тип. Возможные варианты:
  - ГОСТ Р
  - Постановление Правительства РФ
  - Указ Президента РФ
  - Стандарт Банка России
  - Приказ ФСТЭК России
  - Приказ Роскомнадзора
  - Приказ ФСБ России
  - Framework
  - Методическая документация ФСТЭК
  - Методические рекомендации Банка России
  - Постановление Правления Национального Банка Республики Казахстан
  - Положение Банка России
  - Стандарт
  - Приказ МОАП РК
  - Приказ ФАПСИ
  - Постановление Правления Агентства Республики Казахстан
  - Федеральный Закон
  - Приказ МЦРИАП РК
  - Приказ Минцифры
  - Приказ Минздрава
  - Постановление Правительства Республики Казахстан
  - Методический документ
  - Правила Сбербанк
  - Методические рекомендации Роскомнадзора
  - Правила
5. Номер — официальный регистрационный/идентификационный номер документа, соответствующий его реквизитам.
6. Дата - дата издания или утверждения документа.
7. Дата редакции — дата актуальной редакции (например, если в документ вносились изменения).
8. Действует с — дата начала действия документа.
9. Действует по — дата окончания действия, если применимо.
10. Группы — предназначены для классификации документов по тематике или предметной области. Один документ может быть отнесён к нескольким группам:
  - Безопасная разработка
  - Коммерческая тайна
  - Внутренние требования
  - КИИ
  - СКЗИ
  - Здравоохранение
  - Финансы
  - Лучшие практики
  - СМИБ
  - АСУ ТП
  - ПДн
  - ГИС
  - Общее
  По умолчанию выбрана группа Внутренние требования, можно добавить любые другие группы.
11. Описание - произвольное поле для краткого содержания, аннотации или примечаний.
12. Уровни требований
  Если в документе есть уровни/классы мер то можно выбрать подходящую классификцию.
13. Методика оценки по документу
  1. Стандартная оценка — классическая четырехуровневая шкала статусов:
    - Неприменимо
    - Не выполнено
    - Частично
    - Выполнено
  2. Бальная оценка — применяется для количественной оценки выполнения требований с учетом следующих свойств:
    - Пороговые значения
    - Плохо
    - Умеренно
    - Хорошо
14. Способ оценки — при использовании Бальной оценки в зависимости от типа документа и специфики требований, метод оценки для каждого требования можно задать из следующих предустановленных вариантов:
  1. Да / Нет
  2. Да / Нет + Файлы (требуется приложение подтверждающих документов)
  3. Да / Нет / Неприменимо + Файлы
  4. Доля (Процент выполнения
  5. Да / Нет / Скорее всего да / Скорее всего нет
  6. Конструктор вариантов — специальный режим, позволяющий самостоятельно настроить варианты ответов на требования, а также присвоить каждому варианту собственный вес в баллах.
15. На контроле
  Будет ли проводиться контроль соответствия по документу
16. Включить расширенную классификацию
17. Оценка по конкретным активам - перевод документа в другой режим работы;
18. Определять применимость требований через активы - дополнительный механизм связанный с модулем Области для автоматического изменения является ли абзац документа требованием. Описание влияние по ссылке.
19. Задавать начало или окончание действия требований - устанавливает сроки действия абзаца документа как требования.
Нажать Создать документ
После создания документа осуществляется переход на страницу редактирования (заполнения) документа.
Каждое требование документа состоит их 3 полей:
1. Ссылка
  Уникальное обозначение части документа, обязательно для заполнения и не может повторяться в рамках документа. Например
  1. п.7
  2. Статья 2 п.1
  3. Потребности директора по продажам
2. Текст требования
  Основная описательная часть, включая порядковый номер и иные атрибуты.
3. Является требованием
  Часть документа может не являться требованиями а быть вспомогательной текстовой частью (например заголовок раздела или аннотация), чтобы система не считала эти части документа требованиями нужно снять галочку Является требованием.
После заполнения полей Ссылка и Текст нажать на кнопку "+" чтобы сохранить требование.
После сохранения требования появится форма для ввода следующего требования.
После ввода всех требований документа нажать на кнопку Завершить.

Оценка по конкретным активам

Оценка по конкретным активам — это функциональность, позволяющая проводить оценку документа по отдельным активам, а не в общем разрезе. Это полезно, если необходимо зафиксировать оценки или проверки для конкретных объектов (например, систем, серверов, устройств и т. д.), что часто требуется в процессах аудита, комплаенса или регулярных проверок.

Чтобы настроить такой документ, выполните следующие шаги:

Перейдите в раздел Требования.
Нажмите на создание нового документа.
В настройках документа активируйте опцию Оценка по конкретным активам.

После включения этой опции документ будет работать в "активном" режиме оценки — по каждому выбранному активу будет создаваться отдельная копия (экземпляр) документа для прохождения оценки. При этом у вас не будет возможности привязывать к результатам оценки защитные меры, уязвимости или метрики — это намеренно реализованное ограничение для целей простоты работы и прозрачности оценки на уровне активов. В зависимости от выбранного типа оценки — ручная или кастомная (например, в виде индивидуальных вопросов или балльных шкал) — процесс проведения оценки будет либо полностью ручным, либо с определёнными заданными параметрами.

Пример
Требуется проводить ежемесячную проверку по чеклисту каждой ИТ-системы. Вы хотите, чтобы этот чеклист был заполнен именно для этой системы, а не по всем системам сразу или в абстрактном виде. В данном случае вы:

Создаёте внутренний документ с требованиями (чеклист) с отметкой "Оценка по конкретным активам";
Выбираете тип актива, к которому будете привязываться, например "Система".
Создаёте опрос на владельца актива (ответственного за систему).
Владелец актива получает уведомление и проходит опрос именно по своей системе.

Отчетность

В разделе "Требования" предусмотрено три варианта экспорта отчетов. Для выгрузки отчета необходимо выбрать интересующий документ, затем воспользоваться кнопкой экспорта (справа вверху) и выбрать желаемый формат отчета из выпадающего списка. Ниже приведено описание каждого варианта:

Отчет о соответствии требованиям (DOCX)
Отчет о соответствии (без активов)
Архив со свидетельствами (ZIP)

ГОСТ 57580 и 3/8/12-МР

Раздел оценки соответствия Оценка реализации ГОСТ 57580 появляется при условии добавления трех документов:

ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений
ГОСТ Р 57580.1-2017 от 01.01.2018 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Группы	Тип	Номер	Дата	Название
Тестирование	Опросный лист		-	Опросный лист № от - Тестирование Тест на уровень знаний в ИБ (простой) Тест на уровень знаний в ИБ (простой)
Тестирование	Опросный лист		-	Опросный лист № от - Тестирование Тест по риск-менеджменту Тест по риск-менеджменту

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Не знаете что выбрать? Воспользуйтесь фильтром

Какая у вас цель?