Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Приказ ФСТЭК России № 239 от 25.12.2017

Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости

ИПО.4

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.6
РОН.6  Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер обеспечения операционной надежности в рамках процесса обеспечения операционной надежности.
КОН.6
КОН.6 Проведение проверок знаний работников финансовой организации в части применения мер обеспечения операционной надежности. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.15
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
3-О 2-О 1-О
КЗИ.7
КЗИ.7 Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации
3-О 2-О 1-О
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.17
ОРО.17 Организация целевого обучения работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в частности организация целевого обучения по вопросам противодействия реализации информационных угроз для работников, входящих в группы повышенного риска*.
ОРО.8
ОРО.8 Организация и выполнение деятельности по повышению эффективности работников, направленной на исправление недостатков, выявленных по результатам оценки, предусмотренной мерой ОРО.7 настоящей таблицы, и осуществление последующего контроля.
ОРО.7
ОРО.7 Организация и выполнение деятельности по оценке эффективности работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации**.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 8 п. 4 пп. 2 ппп. 3
 8.4.2.3 В совокупности команды должны быть компетентны: 
  • а) при оценке особенностей и степени нарушения деятельности организации и его потенциального воздействия; 
  • b) оценке влияния по отношению к установленным пороговым значениям, инициации ответных действий; 
  • с) активации соответствующих ответных действий в области обеспечения непрерывности деятельности; 
  • d) планировании необходимых действий; 
  • е) установлении приоритетов (используя безопасность в качестве главного приоритета); 
  • f) мониторинге последствий нарушения деятельности организации и реагировании организации на нарушение деятельности; 
  • g) активации решения по обеспечению непрерывности деятельности; 
  • h) обмене информацией с соответствующими заинтересованными сторонами, органами власти и средствами массовой информации. 
NIST Cybersecurity Framework (RU):
PR.AT-2
PR.AT-2: Привилегированные пользователи понимают роли и ответственность 
PR.AT-1
PR.AT-1: Все пользователи проинформированы и обучены 
PR.AT-5
PR.AT-5: Сотрудники физической и информационной безопасности понимают роли и ответственность 
RS.CO-1
RS.CO-1: Персонал знает свои роли и порядок действий, при выполнении мероприятий по реагированию 
Приказ ФАПСИ № 152 от 13.06.2001 "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну":
Глава II п. 14
14. Лиц, оформляемых на работу в органы криптографической защиты, следует ознакомить с настоящей Инструкцией под расписку.
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ОСО.11
ОСО.11 Повышение осведомленности по вопросам противостояния реализации информационных угроз членов совета директоров (наблюдательного совета) и исполнительного органа финансовой организации, в том числе по вопросам организации и контроля за управлением риском реализации информационных угроз, за обеспечением операционной надежности и защиты информации.
ОСО.12
ОСО.12 Организация и контроль со стороны исполнительного органа финансовой организации деятельности по обучению и повышению осведомленности работников финансовой организации в части противостояния реализации информационных угроз, включая разработку и реализацию соответствующих планов по периодическому обучению и повышению осведомленности работников финансовой организации.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
7.2 Компетенция
7.2 Компетенция
Организация должна:
  • a) определить необходимую компетенцию лиц (-а), выполняющих работы под ее (организации) контролем, влияющим на их (лиц) исполнение информационной безопасности;
  • b) обеспечить компетентность этих лиц на основе соответствующих образования, обучения или опыта;
  • c) где это применимо, предпринимать действия по овладению необходимой компетенцией и оценивать эффективность предпринятых действий; а также
  • d) сохранять соответствующую документированную информацию в качестве подтверждения компетенции.
ПРИМЕЧАНИЕ Применимыми действиями могут быть, например, предоставление обучения, наставничество или переназначения действующих сотрудников, или найм или привлечение по контракту компетентных лиц.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.5.1.3
9.5.1.3
Defined Approach Requirements: 
Training is provided for personnel in POI environments to be aware of attempted tampering or replacement of POI devices, and includes:
  • Verifying the identity of any third-party persons claiming to be repair or maintenance personnel, before granting them access to modify or troubleshoot devices.
  • Procedures to ensure devices are not installed, replaced, or returned without verification. 
  • Being aware of suspicious behavior around devices.
  • Reporting suspicious behavior and indications of device tampering or substitution to appropriate personnel. 
Customized Approach Objective:
Personnel are knowledgeable about the types of attacks against POI devices, the entity’s technical and procedural countermeasures, and can access assistance and guidance when required. 

Defined Approach Testing Procedures:
  • 9.5.1.3.a Review training materials for personnel in POI environments to verify they include all elements specified in this requirement. 
  • 9.5.1.3.b Interview personnel in POI environments to verify they have received training and know the procedures for all elements specified in this requirement. 
Purpose:
Criminals will often pose as authorized maintenance personnel to gain access to POI devices. 

Good Practice:
Personnel training should include being alert to and questioning anyone who shows up to do POI maintenance to ensure they are authorized and have a valid work order, including any agents, maintenance or repair personnel, technicians, service providers, or other third parties. All third parties requesting access to devices should always be verified before being provided access—for example, by checking with management or phoning the POI maintenance company, such as the vendor or acquirer, for verification. Many criminals will try to fool personnel by dressing for the part (for example, carrying toolboxes and dressed in work apparel), and could also be knowledgeable about locations of devices, so personnel should be trained to always follow procedures. 
Another trick that criminals use is to send a “new” POI device with instructions for swapping it with a legitimate device and “returning” the legitimate device. The criminals may even provide return postage to their specified address. Therefore, personnel should always verify with their manager or supplier that the device is legitimate and came from a trusted source before installing it or using it for business. 

Examples:
Suspicious behavior that personnel should be aware of includes attempts by unknown persons to unplug or open devices. 
Ensuring personnel are aware of mechanisms for reporting suspicious behavior and who to report such behavior to—for example, a manager or security officer—will help reduce the likelihood and potential impact of a device being tampered with or substituted. 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.2 Competence
7.2 Competence
The organization shall:
  • a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
  • b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
  • c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
  • d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 19.7 CSC 19.7 Conduct Periodic Incident Scenario Sessions for Personnel
Plan and conduct routine incident, response exercises and scenarios for the workforce involved in the incident response to maintain awareness and comfort in responding to real-world threats. Exercises should test communication channels, decision making, and incident responders technical capabilities using tools and data available to them.
CSC 17.1 CSC 17.1 Perform a Skills Gap Analysis
Perform a skills gap analysis to understand the skills and behaviors workforce members are not adhering to, using this information to build a baseline education roadmap.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.5.1.3
9.5.1.3
Определенные Требования к Подходу:
Для персонала, работающего в среде POI, проводится обучение, чтобы он был осведомлен о попытках взлома или замены устройств POI, и включает в себя:
  • Проверка личности любых сторонних лиц, утверждающих, что они являются ремонтным или обслуживающим персоналом, прежде чем предоставлять им доступ к модификации или устранению неполадок устройств.
  • Процедуры, гарантирующие, что устройства не будут установлены, заменены или возвращены без проверки.
  • Быть осведомленным о подозрительном поведении вокруг устройств.
  • Сообщать соответствующему персоналу о подозрительном поведении и признаках взлома или замены устройства.
Цель Индивидуального подхода:
Персонал осведомлен о типах атак на устройства POI, технических и процедурных контрмерах организации и при необходимости может получить помощь и рекомендации.

Определенные Процедуры Тестирования Подхода:
  • 9.5.1.3.a Просмотрите учебные материалы для персонала в средах POI, чтобы убедиться, что они включают все элементы, указанные в этом требовании.
  • 9.5.1.3.b Провести собеседование с персоналом в среде POI, чтобы убедиться, что он прошел обучение и знает процедуры для всех элементов, указанных в этом требовании.
Цель:
Преступники часто выдают себя за авторизованный обслуживающий персонал, чтобы получить доступ к устройствам POI.

Надлежащая практика:
Обучение персонала должно включать в себя предупреждение и опрос всех, кто приходит для обслуживания POI, чтобы убедиться, что они авторизованы и имеют действительный заказ на работу, включая любых агентов, обслуживающий или ремонтный персонал, техников, поставщиков услуг или других третьих лиц. Все третьи стороны, запрашивающие доступ к устройствам, всегда должны быть проверены перед предоставлением доступа — например, путем проверки у руководства или звонка в компанию по обслуживанию POI, такую как поставщик или покупатель, для проверки. Многие преступники будут пытаться обмануть персонал, одеваясь соответственно роли (например, носить ящики с инструментами и рабочую одежду), а также могут быть осведомлены о расположении устройств, поэтому персонал должен быть обучен всегда следовать процедурам.
Еще один трюк, который используют преступники, заключается в отправке “нового” POI-устройства с инструкциями по замене его на законное устройство и “возврату” законного устройства. Преступники могут даже предоставить обратную почтовую отправку по указанному ими адресу. Поэтому персонал всегда должен проверять у своего менеджера или поставщика, что устройство является законным и получено из надежного источника, прежде чем устанавливать его или использовать в коммерческих целях.

Примеры:
Подозрительное поведение, о котором должен знать персонал, включает попытки неизвестных лиц отключить или открыть устройства.
Информирование персонала о механизмах сообщения о подозрительном поведении и о том, кому сообщать о таком поведении — например, менеджеру или сотруднику службы безопасности, — поможет снизить вероятность и потенциальное воздействие подделки или замены устройства.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.4 ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы
NIST Cybersecurity Framework (EN):
RS.CO-1 RS.CO-1: Personnel know their roles and order of operations when a response is needed
PR.AT-2 PR.AT-2: Privileged users understand their roles and responsibilities
PR.AT-1 PR.AT-1: All users are informed and trained
PR.AT-5 PR.AT-5: Physical and cybersecurity personnel understand their roles and responsibilities

Связанные защитные меры

Ничего не найдено