Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости
Приказ ФСТЭК России № 239 от 25.12.2017
Приложение к Требованиям по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
ИАФ.0 Регламентация правил и процедур идентификации и аутентификации
Обязательно
для категории значимости К1 К2 К3
ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов
Обязательно
для категории значимости К1 К2 К3
ИАФ.2 Идентификация и аутентификация устройств
Обязательно
для категории значимости К1 К2 К3
ИАФ.3 Управление идентификаторами
Обязательно
для категории значимости К1 К2 К3
ИАФ.4 Управление средствами аутентификации
Обязательно
для категории значимости К1 К2 К3
ИАФ.5 Идентификация и аутентификация внешних пользователей
Обязательно
для категории значимости К1 К2 К3
ИАФ.6 Двусторонняя аутентификация
Необязательное требование
ИАФ.7 Защита аутентификационной информации при передаче
Обязательно
для категории значимости К1 К2 К3
УПД.0 Регламентация правил и процедур управления доступом
Обязательно
для категории значимости К1 К2 К3
УПД.1 Управление учетными записями пользователей
Обязательно
для категории значимости К1 К2 К3
УПД.2 Реализация модели управления доступом
Обязательно
для категории значимости К1 К2 К3
УПД.3 Доверенная загрузка
Обязательно
для категории значимости К1 К2
УПД.4 Разделение полномочий (ролей) пользователей
Обязательно
для категории значимости К1 К2 К3
УПД.5 Назначение минимально необходимых прав и привилегий
Обязательно
для категории значимости К1 К2 К3
УПД.6 Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему
Обязательно
для категории значимости К1 К2 К3
УПД.7 Предупреждение пользователя при его доступе к информационным ресурсам
Необязательное требование
УПД.9 Ограничение числа параллельных сеансов доступа
Обязательно
для категории значимости К1
УПД.10 Блокирование сеанса доступа пользователя при неактивности
Обязательно
для категории значимости К1 К2 К3
УПД.11 Управление действиями пользователей до идентификации и аутентификации
Обязательно
для категории значимости К1 К2 К3
УПД.12 Управление атрибутами безопасности
Необязательное требование
УПД.13 Реализация защищенного удаленного доступа
Обязательно
для категории значимости К1 К2 К3
УПД.14 Контроль доступа из внешних информационных (автоматизированных) систем
Обязательно
для категории значимости К1 К3
ОПС.0 Регламентация правил и процедур ограничения программной среды
Обязательно
для категории значимости К1 К2
ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения
Обязательно
для категории значимости К1
ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения
Обязательно
для категории значимости К1 К2
ОПС.3 Управление временными файлами
Необязательное требование
ЗНИ.0 Регламентация правил и процедур защиты машинных носителей информации
Обязательно
для категории значимости К1 К2 К3
ЗНИ.1 Учет машинных носителей информации
Обязательно
для категории значимости К1 К2 К3
ЗНИ.2 Управление физическим доступом к машинным носителям информации
Обязательно
для категории значимости К1 К2 К3
ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны
Необязательное требование
ЗНИ.4 Исключение возможности несанкционированного чтения информации на машинных носителях информации
Необязательное требование
ЗНИ.5 Контроль использования интерфейсов ввода (вывода) информации на съемные машинные носители информации
Обязательно
для категории значимости К1 К2 К3
ЗНИ.6 Контроль ввода (вывода) информации на съемные машинные носители информации
Обязательно
для категории значимости К1
ЗНИ.7 Контроль подключения съемных машинных носителей информации
Обязательно
для категории значимости К1 К2 К3
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
Обязательно
для категории значимости К1 К2 К3
АУД.0 Регламентация правил и процедур аудита безопасности
Обязательно
для категории значимости К1 К2 К3
АУД.1 Инвентаризация информационных ресурсов
Обязательно
для категории значимости К1 К2 К3
АУД.2 Анализ уязвимостей и их устранение
Обязательно
для категории значимости К1 К2 К3
АУД.3 Генерирование временных меток и (или) синхронизация системного времени
Обязательно
для категории значимости К1 К2 К3
АУД.4 Регистрация событий безопасности
Обязательно
для категории значимости К1 К2 К3
АУД.5 Контроль и анализ сетевого трафика
Обязательно
для категории значимости К1
АУД.6 Защита информации о событиях безопасности
Обязательно
для категории значимости К1 К2 К3
АУД.7 Мониторинг безопасности
Обязательно
для категории значимости К1 К2 К3
АУД.8 Реагирование на сбои при регистрации событий безопасности
Обязательно
для категории значимости К1 К2 К3
АУД.9 Анализ действий отдельных пользователей
Обязательно
для категории значимости К1
АУД.10 Проведение внутренних аудитов
Обязательно
для категории значимости К1 К2 К3
АУД.11 Проведение внешних аудитов
Необязательное требование
АВЗ.0 Регламентация правил и процедур антивирусной защиты
Обязательно
для категории значимости К1 К2 К3
АВЗ.1 Реализация антивирусной защиты
Обязательно
для категории значимости К1 К2 К3
АВЗ.2 Антивирусная защита электронной почты и иных сервисов
Обязательно
для категории значимости К1 К2 К3
АВЗ.3 Контроль использования архивных, исполняемых и зашифрованных файлов
Обязательно
для категории значимости К1
АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
Обязательно
для категории значимости К1 К2 К3
АВЗ.5 Использование средств антивирусной защиты различных производителей
Обязательно
для категории значимости К1
СОВ.0 Регламентация правил и процедур предотвращения вторжений (компьютерных атак)
Обязательно
для категории значимости К1 К2
СОВ.1 Обнаружение и предотвращение компьютерных атак
Обязательно
для категории значимости К1 К2
СОВ.2 Обновление базы решающих правил
Обязательно
для категории значимости К1 К2
ОЦЛ.0 Регламентация правил и процедур обеспечения целостности
Обязательно
для категории значимости К1 К2 К3
ОЦЛ.1 Контроль целостности программного обеспечения
Обязательно
для категории значимости К1 К2 К3
ОЦЛ.2 Контроль целостности информации
Необязательное требование
ОЦЛ.3 Ограничения по вводу информации в информационную (автоматизированную) систему
Обязательно
для категории значимости К1
ОЦЛ.4 Контроль данных, вводимых в информационную (автоматизированную) систему
Обязательно
для категории значимости К1 К2
ОЦЛ.5 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях
Обязательно
для категории значимости К1 К2
ОЦЛ.6 Обезличивание и (или) деидентификация информации
Необязательное требование
ОДТ.1 Использование отказоустойчивых технических средств
Обязательно
для категории значимости К1 К2
ОДТ.2 Резервирование средств и систем
Обязательно
для категории значимости К1 К2
ОДТ.3 Контроль безотказного функционирования средств и систем
Обязательно
для категории значимости К1 К2
ОДТ.4 Резервное копирование информации
Обязательно
для категории значимости К1 К2 К3
ОДТ.5 Обеспечение возможности восстановления информации
Обязательно
для категории значимости К1 К2 К3
ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях
Обязательно
для категории значимости К1 К2 К3
ОДТ.7 Кластеризация информационной (автоматизированной) системы
Необязательное требование
ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи
Обязательно
для категории значимости К1 К2 К3
ЗТС.0 Регламентация правил и процедур защиты технических средств и систем
Обязательно
для категории значимости К1 К2 К3
ЗТС.1 Защита информации от утечки по техническим каналам
Необязательное требование
ЗТС.2 Организация контролируемой зоны
Обязательно
для категории значимости К1 К2 К3
ЗТС.3 Управление физическим доступом
Обязательно
для категории значимости К1 К2 К3
ЗТС.4 Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр
Обязательно
для категории значимости К1 К2 К3
ЗТС.5 Защита от внешних воздействий
Обязательно
для категории значимости К1 К2 К3
ЗТС.6 Маркирование аппаратных компонентов системы относительно разрешенной к обработке информации
Необязательное требование
ЗИС.0 Регламентация правил и процедур защиты информационной (автоматизированной) системы и ее компонентов
Обязательно
для категории значимости К1 К2 К3
ЗИС.1 Разделение функций по управлению (администрированию) информационной (автоматизированной) системой с иными функциями
Обязательно
для категории значимости К1 К2 К3
ЗИС.2 Защита периметра информационной (автоматизированной) системы
Обязательно
для категории значимости К1 К2 К3
ЗИС.3 Эшелонированная защита информационной (автоматизированной) системы
Обязательно
для категории значимости К1 К2 К3
ЗИС.4 Сегментирование информационной (автоматизированной) системы
Обязательно
для категории значимости К1 К2
ЗИС.5 Организация демилитаризованной зоны
Обязательно
для категории значимости К1 К2 К3
ЗИС.6 Управление сетевыми потоками
Обязательно
для категории значимости К1 К2 К3
ЗИС.7 Использование эмулятора среды функционирования программного обеспечения ("песочница")
Необязательное требование
ЗИС.8 Сокрытие архитектуры и конфигурации информационной (автоматизированной) системы
Обязательно
для категории значимости К1 К2 К3
ЗИС.9 Создание гетерогенной среды
Необязательное требование
ЗИС.10 Использование программного обеспечения, функционирующего в средах различных операционных систем
Необязательное требование
ЗИС.12 Изоляция процессов (выполнение программ) в выделенной области памяти
Необязательное требование
ЗИС.13 Защита неизменяемых данных
Обязательно
для категории значимости К1 К2
ЗИС.14 Использование неперезаписываемых машинных носителей информации
Необязательное требование
ЗИС.16 Защита от спама
Обязательно
для категории значимости К1 К2
ЗИС.17 Защита информации от утечек
Необязательное требование
ЗИС.18 Блокировка доступа к сайтам или типам сайтов, запрещенных к использованию
Необязательное требование
ЗИС.19 Защита информации при ее передаче по каналам связи
Обязательно
для категории значимости К1 К2 К3
ЗИС.20 Обеспечение доверенных канала, маршрута
Обязательно
для категории значимости К1 К2 К3
ЗИС.21 Запрет несанкционированной удаленной активации периферийных устройств
Обязательно
для категории значимости К1 К2 К3
ЗИС.23 Контроль использования мобильного кода
Необязательное требование
ЗИС.24 Контроль передачи речевой информации
Необязательное требование
ЗИС.25 Контроль передачи видеоинформации
Необязательное требование
ЗИС.26 Подтверждение происхождения источника информации
Необязательное требование
ЗИС.27 Обеспечение подлинности сетевых соединений
Обязательно
для категории значимости К1 К2
ЗИС.28 Исключение возможности отрицания отправки информации
Необязательное требование
ЗИС.29 Исключение возможности отрицания получения информации
Необязательное требование
ЗИС.30 Использование устройств терминального доступа
Необязательное требование
ЗИС.31 Защита от скрытых каналов передачи информации
Необязательное требование
ЗИС.32 Защита беспроводных соединений
Обязательно
для категории значимости К1 К2 К3
ЗИС.33 Исключение доступа через общие ресурсы
Обязательно
для категории значимости К1
ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)
Обязательно
для категории значимости К1 К2 К3
ЗИС.35 Управление сетевыми соединениями
Обязательно
для категории значимости К1 К2 К3
ЗИС.36 Создание (эмуляция) ложных компонентов информационных (автоматизированных) систем
Необязательное требование
ЗИС.38 Защита информации при использовании мобильных устройств
Обязательно
для категории значимости К1 К2 К3
ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
Обязательно
для категории значимости К1 К2 К3
ИНЦ.0 Регламентация правил и процедур реагирования на компьютерные инциденты
Обязательно
для категории значимости К1 К2 К3
ИНЦ.1 Выявление компьютерных инцидентов
Обязательно
для категории значимости К1 К2 К3
ИНЦ.2 Информирование о компьютерных инцидентах
Обязательно
для категории значимости К1 К2 К3
ИНЦ.3 Анализ компьютерных инцидентов
Обязательно
для категории значимости К1 К2 К3
ИНЦ.4 Устранение последствий компьютерных инцидентов
Обязательно
для категории значимости К1 К2 К3
ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
Обязательно
для категории значимости К1 К2 К3
ИНЦ.6 Хранение и защита информации о компьютерных инцидентах
Обязательно
для категории значимости К1 К2 К3
УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы
Обязательно
для категории значимости К1 К2 К3
УКФ.1 Идентификация объектов управления конфигурацией
Необязательное требование
УКФ.2 Управление изменениями
Обязательно
для категории значимости К1 К2 К3
УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения
Обязательно
для категории значимости К1 К2 К3
УКФ.4 Контроль действий по внесению изменений
Необязательное требование
ОПО.0 Регламентация правил и процедур управления обновлениями программного обеспечения
Обязательно
для категории значимости К1 К2 К3
ОПО.1 Поиск, получение обновлений программного обеспечения от доверенного источника
Обязательно
для категории значимости К1 К2 К3
ОПО.2 Контроль целостности обновлений программного обеспечения
Обязательно
для категории значимости К1 К2 К3
ОПО.3 Тестирование обновлений программного обеспечения
Обязательно
для категории значимости К1 К2 К3
ОПО.4 Установка обновлений программного обеспечения
Обязательно
для категории значимости К1 К2 К3
ПЛН.0 Регламентация правил и процедур планирования мероприятий по обеспечению защиты информации
Обязательно
для категории значимости К1 К2 К3
ПЛН.1 Разработка, утверждение и актуализация плана мероприятий по обеспечению защиты информации
Обязательно
для категории значимости К1 К2 К3
ПЛН.2 Контроль выполнения мероприятий по обеспечению защиты информации
Обязательно
для категории значимости К1 К2 К3
ДНС.0 Регламентация правил и процедур обеспечения действий в нештатных ситуациях
Обязательно
для категории значимости К1 К2 К3
ДНС.1 Разработка плана действий в нештатных ситуациях
Обязательно
для категории значимости К1 К2 К3
ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
Обязательно
для категории значимости К1 К2 К3
ДНС.3 Создание альтернативных мест хранения и обработки информации на случай возникновения нештатных ситуаций
Обязательно
для категории значимости К1 К2
ДНС.4 Резервирование программного обеспечения, технических средств, каналов связи на случай возникновения нештатных ситуаций
Обязательно
для категории значимости К1 К2
ДНС.5 Обеспечение возможности восстановления информационной (автоматизированной) системы в случае возникновения нештатных ситуаций
Обязательно
для категории значимости К1 К2 К3
ДНС.6 Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения
Необязательное требование
ИПО.0 Регламентация правил и процедур информирования и обучения персонала
Обязательно
для категории значимости К1 К2 К3
ИПО.1 Информирование персонала об угрозах безопасности информации и о правилах безопасной работы
Обязательно
для категории значимости К1 К2 К3
ИПО.2 Обучение персонала правилам безопасной работы
Обязательно
для категории значимости К1 К2 К3
ИПО.3 Проведение практических занятий с персоналом по правилам безопасной работы
Обязательно
для категории значимости К1 К2
ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы
Обязательно
для категории значимости К1 К2 К3