Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Приказ ФСТЭК России № 17 от 11.02.2013
Приложение 1 - Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности информационной системы
Для проведения оценки соответствия по документу войдите в систему.
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
Обязательно
для класса защищенности
К1
К2
К3
ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
Обязательно
для класса защищенности
К1
К2
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
Обязательно
для класса защищенности
К1
К2
К3
ИАФ.5 Защита обратной связи при вводе аутентификационной информации
Обязательно
для класса защищенности
К1
К2
К3
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
Обязательно
для класса защищенности
К1
К2
К3
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
Обязательно
для класса защищенности
К1
К2
К3
УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
Обязательно
для класса защищенности
К1
К2
К3
УПД.4 Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы
Обязательно
для класса защищенности
К1
К2
К3
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
Обязательно
для класса защищенности
К1
К2
К3
УПД.6 Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе)
Обязательно
для класса защищенности
К1
К2
К3
УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы
Обязательно
для класса защищенности
К1
УПД.10 Блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу
Обязательно
для класса защищенности
К1
К2
К3
УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации
Обязательно
для класса защищенности
К1
К2
К3
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Обязательно
для класса защищенности
К1
К2
К3
УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа
Обязательно
для класса защищенности
К1
К2
К3
УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств
Обязательно
для класса защищенности
К1
К2
К3
УПД.16 Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)
Обязательно
для класса защищенности
К1
К2
К3
УПД.17 Обеспечение доверенной загрузки средств вычислительной техники
Обязательно
для класса защищенности
К1
К2
ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов
Обязательно
для класса защищенности
К1
К2
К3
ЗНИ.1 Учет машинных носителей информации
Обязательно
для класса защищенности
К1
К2
К3
ЗНИ.2 Управление доступом к машинным носителям информации
Обязательно
для класса защищенности
К1
К2
К3
ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны
Необязательное требование
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации
Обязательно
для класса защищенности
К1
К2
ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации
Необязательное требование
ЗНИ.7 Контроль подключения машинных носителей информации
Необязательное требование
РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения
Обязательно
для класса защищенности
К1
К2
К3
РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
Обязательно
для класса защищенности
К1
К2
К3
РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения
Обязательно
для класса защищенности
К1
К2
К3
РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них
Обязательно
для класса защищенности
К1
К2
К3
РСБ.6 Генерирование временных меток и (или) синхронизация системного времени в информационной системе
Обязательно
для класса защищенности
К1
К2
К3
РСБ.7 Защита информации о событиях безопасности
Обязательно
для класса защищенности
К1
К2
К3
АВЗ.1 Реализация антивирусной защиты
Обязательно
для класса защищенности
К1
К2
К3
АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
Обязательно
для класса защищенности
К1
К2
К3
СОВ.1 Обнаружение вторжений
Обязательно
для класса защищенности
К1
К2
СОВ.2 Обновление базы решающих правил
Обязательно
для класса защищенности
К1
К2
АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
Обязательно
для класса защищенности
К1
К2
К3
АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
Обязательно
для класса защищенности
К1
К2
К3
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
Обязательно
для класса защищенности
К1
К2
К3
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации
Обязательно
для класса защищенности
К1
К2
К3
ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации
Обязательно
для класса защищенности
К1
К2
ОЦЛ.2 Контроль целостности информации, содержащейся в базах данных информационной системы
Необязательное требование
ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций
Обязательно
для класса защищенности
К1
К2
К3
ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему
Обязательно
для класса защищенности
К1
ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему
Необязательное требование
ОДТ.1 Использование отказоустойчивых технических средств
Обязательно
для класса защищенности
К1
ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
Обязательно
для класса защищенности
К1
ОДТ.4 Периодическое резервное копирование информации на резервные машинные носители информации
Обязательно
для класса защищенности
К1
К2
ОДТ.5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала
Обязательно
для класса защищенности
К1
К2
ОДТ.6 Кластеризация информационной системы и (или) ее сегментов
Необязательное требование
ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации
Обязательно
для класса защищенности
К1
К2
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
Обязательно
для класса защищенности
К1
К2
К3
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
Обязательно
для класса защищенности
К1
К2
К3
ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре
Обязательно
для класса защищенности
К1
К2
К3
ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
Обязательно
для класса защищенности
К1
К2
ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций
Обязательно
для класса защищенности
К1
К2
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре
Обязательно
для класса защищенности
К1
К2
К3
ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей
Обязательно
для класса защищенности
К1
К2
К3
ЗТС.1 Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам
Необязательное требование
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
Обязательно
для класса защищенности
К1
К2
К3
ЗТС.5 Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)
Обязательно
для класса защищенности
К1
ЗИС.7 Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода
Обязательно
для класса защищенности
К1
К2
ЗИС.8 Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи
Обязательно
для класса защищенности
К1
К2
ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
Обязательно
для класса защищенности
К1
К2
ЗИС.12 Исключение возможности отрицания пользователем факта отправки информации другому пользователю
Обязательно
для класса защищенности
К1
К2
ЗИС.13 Исключение возможности отрицания пользователем факта получения информации от другого пользователя
Обязательно
для класса защищенности
К1
К2
ЗИС.14 Использование устройств терминального доступа для обработки информации
Необязательное требование
ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
Обязательно
для класса защищенности
К1
К2
ЗИС.19 Изоляция процессов (выполнение программ) в выделенной области памяти
Необязательное требование
ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе
Обязательно
для класса защищенности
К1
К2
К3
ЗИС.22 Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы
Обязательно
для класса защищенности
К1
К2
ЗИС.24 Прекращение сетевых соединений по их завершении или по истечении заданного оператором временного интервала неактивности сетевого соединения
Обязательно
для класса защищенности
К1
К2
ЗИС.30 Защита мобильных технических средств, применяемых в информационной системе
Обязательно
для класса защищенности
К1
К2
К3