Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Приказ ФСТЭК России № 31 от 14.03.2014

Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления

ОЦЛ.0

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

NIST Cybersecurity Framework (RU):
ID.GV-1
ID.GV-1:  Установлена политика информационной безопасности организации 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.7.7
3.7.7
Defined Approach Requirements: 
Key management policies and procedures are implemented to include the prevention of unauthorized substitution of cryptographic keys. 

Customized Approach Objective:
Cryptographic keys cannot be substituted by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 3.7.7.a Examine the documented key-management policies and procedures for keys used for protection of stored account data and verify that they define prevention of unauthorized substitution of cryptographic keys. 
  • 3.7.7.b Interview personnel and/or observe processes to verify that unauthorized substitution of keys is prevented. 
Purpose:
If an attacker is able to substitute an entity’s key with a key the attacker knows, the attacker will be able to decrypt all data encrypted with that key 

Good Practice:
The encryption solution should not allow for or accept substitution of keys from unauthorized sources or unexpected processes. 
Controls should include ensuring that individuals with access to key components or shares do not have access to other components or shares that form the necessary threshold to derive the key. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.7.7
3.7.7
Определенные Требования к Подходу:
Политики и процедуры управления ключами реализованы таким образом, чтобы включать предотвращение несанкционированной замены криптографических ключей.

Цель Индивидуального подхода:
Криптографические ключи не могут быть заменены неавторизованным персоналом.

Определенные Процедуры Тестирования Подхода:
  • 3.7.7.a Изучите документированные политики и процедуры управления ключами для ключей, используемых для защиты хранимых данных учетной записи, и убедитесь, что они определяют предотвращение несанкционированной замены криптографических ключей.
  • 3.7.7.b Опрашивать персонал и/или наблюдать за процессами, чтобы убедиться, что предотвращена несанкционированная замена ключей.
Цель:
Если злоумышленник сможет заменить ключ объекта ключом, который известен злоумышленнику, злоумышленник сможет расшифровать все данные, зашифрованные с помощью этого ключа

Надлежащая практика:
Решение для шифрования не должно допускать или допускать замену ключей из неавторизованных источников или неожиданных процессов.
Средства контроля должны включать обеспечение того, чтобы лица, имеющие доступ к ключевым компонентам или общим ресурсам, не имели доступа к другим компонентам или общим ресурсам, которые образуют необходимый порог для получения ключа.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.1
А.5.1 Политики в области ИБ
Политика ИБ, а также специфические тематические политики должны быть определены, утверждены руководством, опубликованы, доведены до сведения соответствующего персонала и заинтересованных сторон, признаны ими; также эти политики должны пересматриваться через запланированные интервалы времени и в случае возникновения существенных изменений.
Положение Банка России № 683-П от 17.04.2019 "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента":
5.2.
5.2. Кредитные организации должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, указанной в абзацах втором - четвертом пункта 1 настоящего Положения, при совершении следующих действий (далее - технологические участки):
  • идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций;
  • формирование (подготовка), передача и прием электронных сообщений;
  • удостоверение права клиентов распоряжаться денежными средствами;
  • осуществление банковской операции, учет результатов ее осуществления;
  • хранение электронных сообщений и информации об осуществленных банковских операциях.
NIST Cybersecurity Framework (EN):
ID.GV-1 ID.GV-1: Organizational cybersecurity policy is established and communicated
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОЦЛ.0 ОЦЛ.0 Регламентация правил и процедур обеспечения целостности
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.1
А.5.1 Policies for information security
Information security policy and topic-specific policies shall be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 7. Пункт 9.1
7.9.1. В целях обеспечения информационной безопасности:
  • разработка политики информационной безопасности;
  • контроль осуществления работниками кредитной организации (головной кредитной организации банковской группы) мероприятий в области обеспечения информационной безопасности и защиты информации и выполнения других задач, возложенных на них внутренними документами кредитной организации (головной кредитной организации банковской группы);
  • осуществление планирования и контроля процессов обеспечения информационной безопасности в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
  • разработка предложений по совершенствованию процессов обеспечения информационной безопасности, в том числе в рамках комплекса мероприятий, направленных на повышение эффективности управления риском информационной безопасности и уменьшение негативного влияния риска информационной безопасности;
  • составление отчетов по обеспечению информационной безопасности и направление их должностному лицу, ответственному за обеспечение информационной безопасности;
  • осуществление других функций, связанных с обеспечением информационной безопасности, предусмотренных внутренними документами кредитной организации (головной кредитной организации банковской группы).

Связанные защитные меры

Ничего не найдено