Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Методические рекомендации Банка России № 18-МР от 08.10.2024

Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных

П.3.6

Для проведения оценки соответствия по документу войдите в систему.

Список требований

  • 3.6. В случае применения банками решения, указанного в подпункте 3.5.1 пункта 3.5 настоящих Методических рекомендаций, банкам рекомендуется создавать доверенную среду функционирования информационной системы с использованием:
    • операционной системы, имеющей подтверждение соответствия Требованиям безопасности информации к операционным системам, утвержденным приказом ФСТЭК России от 19 августа 2016 года N 119, либо требованиям к средствам защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от несанкционированного доступа, установленным ФСБ России, по классу АК3; 
    • антивирусных средств, сертифицированных ФСТЭК России на соответствие требованиям к антивирусным средствам не менее чем 4-го класса защиты согласно Требованиям к средствам антивирусной защиты, утвержденным приказом ФСТЭК России от 20 марта 2012 года N 28;
    • средств межсетевого экранирования, сертифицированного ФСТЭК России на соответствие требованиям к устройствам типа межсетевой экран не менее чем 4-го класса защиты, с применением средства защиты информации от воздействий вредоносного кода, предназначенных для применения на серверах информационных систем (тип "А"), согласно Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 года N 9, а также средств защиты от компьютерных атак, сертифицированных ФСТЭК России на соответствие требованиям к программным, программно-аппаратным или аппаратным средствам типа "системы обнаружения вторжений" не менее чем 4-го класса защищенности согласно Требованиям к системам обнаружения вторжений, утвержденным приказом ФСТЭК России от 6 декабря 2011 года N 638 , либо средств, совмещающих в себе межсетевой экран и систему обнаружения вторжения (NGFW) не ниже 4-го класса защищенности, сертифицированных согласно Требованиям по безопасности информации к многофункциональным межсетевым экранам уровня сети, утвержденным приказом ФСТЭК России от 7 марта 2023 года N 44;
    • аппаратно-программных модулей доверенной загрузки уровня платы расширения, сертифицированных ФСТЭК России на соответствие требованиям к аппаратно-программным модулям доверенной загрузки ЭВМ не ниже 4-го класса защиты согласно Требованиям к средствам доверенной загрузки, утвержденным приказом ФСТЭК России от 27 сентября 2013 года N 119, в информационной системе, взаимодействующей (формирующей вызовы) с программно-аппаратным модулем криптографической защиты (HSM);
    • прикладного программного обеспечения, применяемого в доверенной среде, которое сертифицировано в системе сертификации ФСТЭК России в соответствии с порядком, установленным Положением о сертификации средств защиты информации, утвержденным постановлением Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации", или прошло оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, предусмотренного пунктом 7.6 раздела 7 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст (далее - ГОСТ Р ИСО/МЭК 15408-3-2013);
    • результатов тематических исследований по оценке влияния, проводимых в соответствии с пунктом 35 Положения ПКЗ-2005, подсистемы обработки биометрических персональных данных физических лиц, совместно с которой предполагается штатное функционирование программно-аппаратного модуля криптографической защиты (HSM), на выполнение предъявленных к программно-аппаратному модулю криптографической защиты (HSM) требований по безопасности информации к СКЗИ по классу не ниже КВ, предусмотренного пунктом 13 Состава и содержания организационных и технических мер.
    Доверенная среда функционирования информационной системы может быть создана с использованием специализированного программно-аппаратного средства (адаптера), обеспечивающего информационно-технологическое взаимодействие объектов информационной инфраструктуры банка с программно-аппаратным модулем криптографической защиты (HSM) и соответствующего описанию, приведенному в настоящем пункте.
Название Severity IP Integral
1111111 111 11 1111 11111111111111111 1111111 1 11111111111111111
 - 
1
 - 
11 111111111 111 1111111111111111111111111 1111 1 11111 1111111
 - 
1
 - 

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.