Куда я попал?
Методика оценки уровня зрелости кибербезопасности Сбербанка
Framework
Безопасность данных
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
Определён состав защищаемой информации, определены места и способы её хранения.Обязательно для уровня зрелости 1 2 3 4 5
-
Производится резервное копирование систем и информации, как минимум, ключевых активов, необходимость определяется экспертно.Обязательно для уровня зрелости 1 2 3 4 5
-
Промышленные данные не обрабатываются в средах тестирования и разработки, производится контроль.Обязательно для уровня зрелости 1 2 3 4 5
-
Определены категории информации ограниченного доступа в зависимости от состава и критичности.Обязательно для уровня зрелости 2 3 4 5
-
Для критичных АС определены категории и состав обрабатываемой информации. Определены владельцы данных в разрезе АС.Обязательно для уровня зрелости 2 3 4 5
-
Для мониторинга доступа к критичным данным используются автоматизированные решения (например, встроенные решения или DAG).Обязательно для уровня зрелости 2 3 4 5
-
Использование съёмных носителей контролируется с использованием СЗИ и/или штатного функционала ОС.Обязательно для уровня зрелости 2 3 4 5
-
Используются решения класса DLP в режиме мониторинга, как минимум, для почтового трафика, веб-приложений, записи на съёмные носители, сетевых папок и печати. Покрытие не менее 25% пользователей, выбор контролируемых пользователей осуществляется на основании риск-ориентированного подхода.Обязательно для уровня зрелости 2 3 4 5
-
Для резервного копирования информации используется централизованное решение. Резервное копирование планируется и выполняется с учётом критичности систем и информации в них, оценки возможного влияния на бизнес компании в случае полной потери информации и/или длительного простоя систем.Обязательно для уровня зрелости 2 3 4 5
-
Используются средства автоматизации для выявления реальных данных в средах разработки и тестирования (возможно, покрывают не весь технологический стек).Обязательно для уровня зрелости 2 3 4 5
-
Регламентирован жизненный цикл управления данными и требования КБ к нему.Обязательно для уровня зрелости 3 4 5
-
Регулярно, как минимум, ежегодно, пересматривается (актуализируется) подход к категорированию информации.Обязательно для уровня зрелости 3 4 5
-
Перед началом взаимодействий с контрагентами выполняется анализ общедоступных данных о кибербезопасности контрагента.Обязательно для уровня зрелости 3 4 5
-
Для обнаружения и классификации данных «at rest» используются автоматизированные решения (например, DCAP).Обязательно для уровня зрелости 3 4 5
-
Используется решение класса DLP, покрыто не менее 90% пользователей и каналов взаимодействия.Обязательно для уровня зрелости 3 4 5
-
Автоматизированные решения для защиты данных интегрированы с SIEM/внешним SOC.Обязательно для уровня зрелости 4 5
-
Проводится регулярный (не реже 1 раза в год) аудит выполнения требований КБ по жизненному циклу данных.Обязательно для уровня зрелости 4 5
-
Реестр информационных потоков обновляется ежедневно, доступен для всех авторизованных лиц.Обязательно для уровня зрелости 5
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.