Куда я попал?
Приказ ФСТЭК России № 239 от 25.12.2017
Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости
Приложение к Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Группы областей
70
%
Входящая логистика
75
%
Создание продукта
35
%
Исходящая логистика
58
%
Маркетинг, продажа
65
%
Обслуживание клиента
81
%
Инфраструктура
67
%
HR-менеджмент
43
%
Технологии
40
%
Закупки / Снабжение
51
%
Опыт клиента
Список требований
-
ИАФ.0 Регламентация правил и процедур идентификации и аутентификацииОбязательно для категории значимости К1 К2 К3
-
ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессовОбязательно для категории значимости К1 К2 К3
-
ИАФ.2 Идентификация и аутентификация устройствОбязательно для категории значимости К1 К2 К3
-
ИАФ.3 Управление идентификаторамиОбязательно для категории значимости К1 К2 К3
-
ИАФ.4 Управление средствами аутентификацииОбязательно для категории значимости К1 К2 К3
-
ИАФ.5 Идентификация и аутентификация внешних пользователейОбязательно для категории значимости К1 К2 К3
-
ИАФ.6 Двусторонняя аутентификацияНеобязательное требование
-
ИАФ.7 Защита аутентификационной информации при передачеОбязательно для категории значимости К1 К2 К3
-
УПД.0 Регламентация правил и процедур управления доступомОбязательно для категории значимости К1 К2 К3
-
УПД.1 Управление учетными записями пользователейОбязательно для категории значимости К1 К2 К3
-
УПД.2 Реализация модели управления доступомОбязательно для категории значимости К1 К2 К3
-
УПД.3 Доверенная загрузкаОбязательно для категории значимости К1 К2
-
УПД.4 Разделение полномочий (ролей) пользователейОбязательно для категории значимости К1 К2 К3
-
УПД.5 Назначение минимально необходимых прав и привилегийОбязательно для категории значимости К1 К2 К3
-
УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) системуОбязательно для категории значимости К1 К2 К3
-
УПД.7 Предупреждение пользователя при его доступе к информационным ресурсамНеобязательное требование
-
УПД.9 Ограничение числа параллельных сеансов доступаОбязательно для категории значимости К1
-
УПД.10 Блокирование сеанса доступа пользователя при неактивностиОбязательно для категории значимости К1 К2 К3
-
УПД.11 Управление действиями пользователей до идентификации и аутентификацииОбязательно для категории значимости К1 К2 К3
-
УПД.12 Управление атрибутами безопасностиНеобязательное требование
-
УПД.13 Реализация защищенного удаленного доступаОбязательно для категории значимости К1 К2 К3
-
УПД.14 Контроль доступа из внешних информационных (автоматизированных) системОбязательно для категории значимости К1 К3
-
ОПС.0 Регламентация правил и процедур ограничения программной средыОбязательно для категории значимости К1 К2
-
ОПС.1 Управление запуском (обращениями) компонентов программного обеспеченияОбязательно для категории значимости К1
-
ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспеченияОбязательно для категории значимости К1 К2
-
ОПС.3 Управление временными файламиНеобязательное требование
-
ЗНИ.0 Регламентация правил и процедур защиты машинных носителей информацииОбязательно для категории значимости К1 К2 К3
-
ЗНИ.1 Учет машинных носителей информацииОбязательно для категории значимости К1 К2 К3
-
ЗНИ.2 Управление физическим доступом к машинным носителям информацииОбязательно для категории значимости К1 К2 К3
-
ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоныНеобязательное требование
-
ЗНИ.4 Исключение возможности несанкционированного чтения информации на машинных носителях информацииНеобязательное требование
-
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информацииОбязательно для категории значимости К1 К2 К3
-
ЗНИ.6 Контроль ввода (вывода) информации на съемные машинные носители информацииОбязательно для категории значимости К1
-
ЗНИ.7 Контроль подключения съемных машинных носителей информацииОбязательно для категории значимости К1 К2 К3
-
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информацииОбязательно для категории значимости К1 К2 К3
-
АУД.0 Регламентация правил и процедур аудита безопасностиОбязательно для категории значимости К1 К2 К3
-
АУД.1 Инвентаризация информационных ресурсовОбязательно для категории значимости К1 К2 К3
-
АУД.2 Анализ уязвимостей и их устранениеОбязательно для категории значимости К1 К2 К3
-
АУД.3 Генерирование временных меток и (или) синхронизация системного времениОбязательно для категории значимости К1 К2 К3
-
АУД.4 Регистрация событий безопасностиОбязательно для категории значимости К1 К2 К3
-
АУД.5 Контроль и анализ сетевого трафикаОбязательно для категории значимости К1
-
АУД.6 Защита информации о событиях безопасностиОбязательно для категории значимости К1 К2 К3
-
АУД.7 Мониторинг безопасностиОбязательно для категории значимости К1 К2 К3
-
АУД.8 Реагирование на сбои при регистрации событий безопасностиОбязательно для категории значимости К1 К2 К3
-
АУД.9 Анализ действий отдельных пользователейОбязательно для категории значимости К1
-
АУД.10 Проведение внутренних аудитовОбязательно для категории значимости К1 К2 К3
-
АУД.11 Проведение внешних аудитовНеобязательное требование
-
АВЗ.0 Регламентация правил и процедур антивирусной защитыОбязательно для категории значимости К1 К2 К3
-
АВЗ.1 Реализация антивирусной защитыОбязательно для категории значимости К1 К2 К3
-
АВЗ.2 Антивирусная защита электронной почты и иных сервисовОбязательно для категории значимости К1 К2 К3
-
АВЗ.3 Контроль использования архивных, исполняемых и зашифрованных файловОбязательно для категории значимости К1
-
АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)Обязательно для категории значимости К1 К2 К3
-
АВЗ.5 Использование средств антивирусной защиты различных производителейОбязательно для категории значимости К1
-
СОВ.0 Регламентация правил и процедур предотвращения вторжений (компьютерных атак)Обязательно для категории значимости К1 К2
-
СОВ.1 Обнаружение и предотвращение компьютерных атакОбязательно для категории значимости К1 К2
-
СОВ.2 Обновление базы решающих правилОбязательно для категории значимости К1 К2
-
ОЦЛ.0 Регламентация правил и процедур обеспечения целостностиОбязательно для категории значимости К1 К2 К3
-
ОЦЛ.1 Контроль целостности программного обеспеченияОбязательно для категории значимости К1 К2 К3
-
ОЦЛ.2 Контроль целостности информацииНеобязательное требование
-
ОЦЛ.3 Ограничения по вводу информации в информационную (автоматизированную) системуОбязательно для категории значимости К1
-
ОЦЛ.4 Контроль данных, вводимых в информационную (автоматизированную) системуОбязательно для категории значимости К1 К2
-
ОЦЛ.5 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действияхОбязательно для категории значимости К1 К2
-
ОЦЛ.6 Обезличивание и (или) деидентификация информацииНеобязательное требование
-
ОДТ.1 Использование отказоустойчивых технических средствОбязательно для категории значимости К1 К2
-
ОДТ.2 Резервирование средств и системОбязательно для категории значимости К1 К2
-
ОДТ.3 Контроль безотказного функционирования средств и системОбязательно для категории значимости К1 К2
-
ОДТ.4 Резервное копирование информацииОбязательно для категории значимости К1 К2 К3
-
ОДТ.5 Обеспечение возможности восстановления информацииОбязательно для категории значимости К1 К2 К3
-
ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуацияхОбязательно для категории значимости К1 К2 К3
-
ОДТ.7 Кластеризация информационной (автоматизированной) системыНеобязательное требование
-
ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связиОбязательно для категории значимости К1 К2 К3
-
ЗТС.0 Регламентация правил и процедур защиты технических средств и системОбязательно для категории значимости К1 К2 К3
-
ЗТС.1 Защита информации от утечки по техническим каналамНеобязательное требование
-
ЗТС.2 Организация контролируемой зоныОбязательно для категории значимости К1 К2 К3
-
ЗТС.3 Управление физическим доступомОбязательно для категории значимости К1 К2 К3
-
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотрОбязательно для категории значимости К1 К2 К3
-
ЗТС.5 Защита от внешних воздействийОбязательно для категории значимости К1 К2 К3
-
ЗТС.6 Маркирование аппаратных компонентов системы относительно разрешенной к обработке информацииНеобязательное требование
-
ЗИС.0 Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентовОбязательно для категории значимости К1 К2 К3
-
ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциямиОбязательно для категории значимости К1 К2 К3
-
ЗИС.2 Защита периметра информационной (автоматизированной) системыОбязательно для категории значимости К1 К2 К3
-
ЗИС.3 Эшелонированная защита информационной (автоматизированной) системыОбязательно для категории значимости К1 К2 К3
-
ЗИС.4 Сегментирование информационной (автоматизированной) системыОбязательно для категории значимости К1 К2
-
ЗИС.5 Организация демилитаризованной зоныОбязательно для категории значимости К1 К2 К3
-
ЗИС.6 Управление сетевыми потокамиОбязательно для категории значимости К1 К2 К3
-
ЗИС.7 Использование эмулятора среды функционирования программного обеспечения ("песочница")Необязательное требование
-
ЗИС.8 Сокрытие архитектуры и конфигурации информационной (автоматизированной) системыОбязательно для категории значимости К1 К2 К3
-
ЗИС.9 Создание гетерогенной средыНеобязательное требование
-
ЗИС.10 Использование программного обеспечения, функционирующего в средах различных операционных системНеобязательное требование
-
ЗИС.12 Изоляция процессов (выполнение программ) в выделенной области памятиНеобязательное требование
-
ЗИС.13 Защита неизменяемых данныхОбязательно для категории значимости К1 К2
-
ЗИС.14 Использование неперезаписываемых машинных носителей информацииНеобязательное требование
-
ЗИС.16 Защита от спамаОбязательно для категории значимости К1 К2
-
ЗИС.17 Защита информации от утечекНеобязательное требование
-
ЗИС.18 Блокировка доступа к сайтам или типам сайтов, запрещенных к использованиюНеобязательное требование
-
ЗИС.19 Защита информации при ее передаче по каналам связиОбязательно для категории значимости К1 К2 К3
-
ЗИС.20 Обеспечение доверенных канала, маршрутаОбязательно для категории значимости К1 К2 К3
-
ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройствОбязательно для категории значимости К1 К2 К3
-
ЗИС.23 Контроль использования мобильного кодаНеобязательное требование
-
ЗИС.24 Контроль передачи речевой информацииНеобязательное требование
-
ЗИС.25 Контроль передачи видеоинформацииНеобязательное требование
-
ЗИС.26 Подтверждение происхождения источника информацииНеобязательное требование
-
ЗИС.27 Обеспечение подлинности сетевых соединенийОбязательно для категории значимости К1 К2
-
ЗИС.28 Исключение возможности отрицания отправки информацииНеобязательное требование
-
ЗИС.29 Исключение возможности отрицания получения информацииНеобязательное требование
-
ЗИС.30 Использование устройств терминального доступаНеобязательное требование
-
ЗИС.31 Защита от скрытых каналов передачи информацииНеобязательное требование
-
ЗИС.32 Защита беспроводных соединенийОбязательно для категории значимости К1 К2 К3
-
ЗИС.33 Исключение доступа через общие ресурсыОбязательно для категории значимости К1
-
ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)Обязательно для категории значимости К1 К2 К3
-
ЗИС.35 Управление сетевыми соединениямиОбязательно для категории значимости К1 К2 К3
-
ЗИС.36 Создание (эмуляция) ложных компонентов информационных (автоматизированных) системНеобязательное требование
-
ЗИС.38 Защита информации при использовании мобильных устройствОбязательно для категории значимости К1 К2 К3
-
ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данныхОбязательно для категории значимости К1 К2 К3
-
ИНЦ.0 Регламентация правил и процедур реагирования на компьютерные инцидентыОбязательно для категории значимости К1 К2 К3
-
ИНЦ.1 Выявление компьютерных инцидентовОбязательно для категории значимости К1 К2 К3
-
ИНЦ.2 Информирование о компьютерных инцидентахОбязательно для категории значимости К1 К2 К3
-
ИНЦ.3 Анализ компьютерных инцидентовОбязательно для категории значимости К1 К2 К3
-
ИНЦ.4 Устранение последствий компьютерных инцидентовОбязательно для категории значимости К1 К2 К3
-
ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентовОбязательно для категории значимости К1 К2 К3
-
ИНЦ.6 Хранение и защита информации о компьютерных инцидентахОбязательно для категории значимости К1 К2 К3
-
УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системыОбязательно для категории значимости К1 К2 К3
-
УКФ.1 Идентификация объектов управления конфигурациейНеобязательное требование
-
УКФ.2 Управление изменениямиОбязательно для категории значимости К1 К2 К3
-
УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспеченияОбязательно для категории значимости К1 К2 К3
-
УКФ.4 Контроль действий по внесению измененийНеобязательное требование
-
ОПО.0 Регламентация правил и процедур управления обновлениями программного обеспеченияОбязательно для категории значимости К1 К2 К3
-
ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источникаОбязательно для категории значимости К1 К2 К3
-
ОПО.2 Контроль целостности обновлений программного обеспеченияОбязательно для категории значимости К1 К2 К3
-
ОПО.3 Тестирование обновлений программного обеспеченияОбязательно для категории значимости К1 К2 К3
-
ОПО.4 Установка обновлений программного обеспеченияОбязательно для категории значимости К1 К2 К3
-
ПЛН.0 Регламентация правил и процедур планирования мероприятий по обеспечению защиты информацииОбязательно для категории значимости К1 К2 К3
-
ПЛН.1 Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информацииОбязательно для категории значимости К1 К2 К3
-
ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информацииОбязательно для категории значимости К1 К2 К3
-
ДНС.0 Регламентация правил и процедур обеспечения действий в нештатных ситуацияхОбязательно для категории значимости К1 К2 К3
-
ДНС.1 Разработка плана действий в нештатных ситуацияхОбязательно для категории значимости К1 К2 К3
-
ДНС.2 Обучение и отработка действий персонала в нештатных ситуацияхОбязательно для категории значимости К1 К2 К3
-
ДНС.3 Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуацийОбязательно для категории значимости К1 К2
-
ДНС.4 Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуацийОбязательно для категории значимости К1 К2
-
ДНС.5 Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуацийОбязательно для категории значимости К1 К2 К3
-
ДНС.6 Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновенияНеобязательное требование
-
ИПО.0 Регламентация правил и процедур информирования и обучения персоналаОбязательно для категории значимости К1 К2 К3
-
ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работыОбязательно для категории значимости К1 К2 К3
-
ИПО.2 Обучение персонала правилам безопасной работыОбязательно для категории значимости К1 К2 К3
-
ИПО.3 Проведение практических занятий с персоналом по правилам безопасной работыОбязательно для категории значимости К1 К2
-
ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работыОбязательно для категории значимости К1 К2 К3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.