Соответствие требованиям

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

Приказ ФСТЭК России № 17 от 11.02.2013

ОЦЛ

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

IX. Обеспечение целостности информационной системы и информации (ОЦЛ)

ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

Обязательно для класса защищенности К1 К2

ОЦЛ.2 Контроль целостности информации, содержащейся в базах данных информационной системы

Необязательное требование

ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций

Обязательно для класса защищенности К1 К2 К3

ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)

Обязательно для класса защищенности К1 К2

ОЦЛ.5 Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы

Необязательное требование

ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему

Обязательно для класса защищенности К1

ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему

Необязательное требование

ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях

Необязательное требование

Связанные защитные меры

	Название	Дата	Влияние
Community 2 18 / 24	Дополнительное автономное (оффлайн) хранилище резервных копий Ежеквартально Вручную Техническая Физическая Восстанавливающая 23.08.2021	23.08.2021	2 18 / 24
Цель: уменьшить вероятность потери данных при уничтожении инфраструктуры. Отдельное хранилище с копией основной системы резервного копирования - образов серверов, данных с файловых серверов, баз данных и иных активов по которым в компании осуществляется резервное копирование. Дополняет основную систему резервного копирования в случае ее поломки или уничтожения. Варианты реализации: НЖМД, подключаемые к ПК, в том числе usb flash drive; сетевой СХД; ленточная система резервного копирования. Инструкция к регулярной задаче: Включить/подключить автономную систему резервного копирования Провести резервное копирование Допускается копирование уже созданных основной системой резервного копирования данных Выключить автономную систему резервного копирования Опционально: поместить носители в сейф, зафиксировать операцию в журнале резервного копирования В результатах выполнения задачи указать перечень скопированных объектов *Рекомендации к заполнению карточки:* Описать политику (методологию) автономного хранения резервных копий; Добавить автономное хранилище в реестр активов и связать с карточкой как инструмент. Добавить шаблон регулярной задачи на выполнение (ежемесячного, ежеквартального) и контроль дополнительного автономного хранения резервных копий.
Community 1 9 / 41	Резервное копирование и архивирование конфигураций сетевого оборудования Еженедельно Автоматически Восстанавливающая 26.07.2021	26.07.2021	1 9 / 41
Цель: сохранение возможности быстрого восстановления конфигурации сетевого оборудования (при сбросе, сбое или замене оборудования). С заданной периодичностью со всего сетевого оборудования (коммутаторов и маршрутизаторов) собирается текущая конфигурация. Пример реализации для оборудования Cisco - в заметке. Собираются: Конфигурация (show running-config view full) Таблицы соединений с другим коммутационным оборудованием (show cdp neighbors detail) Таблицы розданных IP по DHCP (show ip dhcp binding) Таблицы подключенных MAC адресов (show mac address-table) Глубина хранения архивных версий: N лет. Место хранения резервных копий: XXX. Примечание: доступ к месту хранения скрипта и резервных копий должен быть ограничен. Проверка работоспособности защитной меры: Проверить, что список проверяемых коммутаторов соответствует актуальному Проверить, что подключения проходят успешно (смотреть логи отработки скрипта); Проверить, что конфигурации собираются успешно (проверить каталог с результатами). *Рекомендации к заполнению карточки:* Описать методологию выполнения, хранения и проверки резервных копий конфигураций; Добавить шаблон регулярной задачи на выполнение и проверку резервных копий конфигураций; Если ведется реестр скриптов - привязать соответствующий скрипт к карточке как инструмент.