Соответствие требованиям

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации

ГОСТ Р № 57580.1-2017 от 01.01.2018

Оригинал: https://docs.cntd.ru/document/1200146534

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

8.2 Направление 1 "Планирование процесса системы защиты информации"

Базовый состав мер планирования процесса системы защиты информации

ПЗИ.1 Документарное определение области применения процесса системы защиты информации (область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России) для уровней информационной инфраструктуры

Обязательно для уровня защиты 1 2 3

ПЗИ.2 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации

Обязательно для уровня защиты 1 2 3

ПЗИ.3 Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации

Обязательно для уровня защиты 1 2 3

ПЗИ.4 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации

Обязательно для уровня защиты 1 2 3

ПЗИ.5 Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего:
- правила размещения технических мер защиты информации в информационной инфраструктуре;
- параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации (параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости);
- руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации);
- состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации)

Обязательно для уровня защиты 1 2 3

8.3 Направление 2 "Реализация процесса системы защиты информации"

Базовый состав мер по реализации процесса системы защиты информации

РЗИ.1 Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах)

Обязательно для уровня защиты 1 2 3

РЗИ.2 Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации

Обязательно для уровня защиты 1 2 3

РЗИ.3 Контроль (тестирование) полноты реализации технических мер защиты информации

Обязательно для уровня защиты 1 2 3

РЗИ.4 Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение

Обязательно для уровня защиты 1 2 3

РЗИ.5 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры

Обязательно для уровня защиты 1 2 3

РЗИ.6 Реализация эксплуатации, использования по назначению технических мер защиты информации

Обязательно для уровня защиты 1 2 3

РЗИ.7 Реализация применения организационных мер защиты информации

Обязательно для уровня защиты 1 2 3

РЗИ.8 Реализация централизованного управления техническими мерами защиты информации (централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала)

Обязательно для уровня защиты 1

РЗИ.9 Обеспечение доступности технических мер защиты информации:
- применение отказоустойчивых технических решений; - резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации;
- осуществление контроля безотказного функционирования технических мер защиты информации;
- принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования

Обязательно для уровня защиты 1

РЗИ.10 Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования

Обязательно для уровня защиты 1 2

РЗИ.11 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)

Обязательно для уровня защиты 1

РЗИ.12 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)

Обязательно для уровня защиты 2

РЗИ.13 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)

Обязательно для уровня защиты 3

РЗИ.14 Применение СКЗИ, имеющих класс не ниже КС2 (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)

Обязательно для уровня защиты 1

РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации

Обязательно для уровня защиты 1 2 3

РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации

Обязательно для уровня защиты 1 2 3

8.4 Направление 3 "Контроль процесса системы защиты информации"

Базовый состав мер контроля процесса системы защиты информации

КЗИ.1 Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1

Обязательно для уровня защиты 1 2 3

КЗИ.2 Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:
- контроль фактического размещения технических мер защиты информации в информационной инфраструктуре финансовой организации;
- контроль фактических параметров настроек технических мер защиты информации и компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации

Обязательно для уровня защиты 1 2 3

КЗИ.3 Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:
- контроль назначения ролей, связанных с эксплуатацией и использованием по назначению технических мер защиты информации; - контроль выполнения руководств по эксплуатации и использованию по назначению технических мер защиты информации

Обязательно для уровня защиты 1 2 3

КЗИ.4 Периодический контроль (тестирование) полноты реализации технических мер защиты информации

Обязательно для уровня защиты 1 2 3

КЗИ.5 Контроль применения организационных мер защиты информации

Обязательно для уровня защиты 1 2 3

КЗИ.6 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование

Обязательно для уровня защиты 1 2 3

КЗИ.7 Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации

Обязательно для уровня защиты 1 2 3

КЗИ.8 Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса системы защиты информации, проводимых в соответствии с мерами КЗИ.1-КЗИ.7

Обязательно для уровня защиты 1 2 3

Базовый состав мер контроля процесса системы защиты информации в части регистрации событий защиты информации

КЗИ.9 Регистрация операций по установке и (или) обновлению ПО технических средств защиты информации

Обязательно для уровня защиты 1 2

КЗИ.10 Регистрация операций по обновлению сигнатурных баз технических средств защиты информации (в случае их использования)

Обязательно для уровня защиты 1 2

КЗИ.11 Регистрация операций по изменению параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации

Обязательно для уровня защиты 1 2

КЗИ.12 Регистрация сбоев (отказов) технических мер защиты информации

Обязательно для уровня защиты 1 2

8.5 Направление 4 "Совершенствование процесса системы защиты информации"

Базовый состав мер по совершенствованию процесса системы защиты информации

СЗИ.1 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:
- обнаружения инцидентов защиты информации;
- обнаружения недостатков в рамках контроля системы защиты информации

Обязательно для уровня защиты 1 2 3

СЗИ.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении:
- области применения процесса системы защиты информации; - основных принципов и приоритетов в реализации процесса системы защиты информации;
- целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации

Обязательно для уровня защиты 1 2 3

СЗИ.3 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:
- изменений требований к защите информации, определенных правилами платежной системы (применяется только для участников платежных систем);
- изменений, внесенных в законодательство Российской Федерации, в том числе нормативные акты Банка России

Обязательно для уровня защиты 1 2 3

СЗИ.4 Фиксация решений о проведении совершенствования процесса системы защиты информации в виде корректирующих или превентивных действий, например:
- пересмотр области применения процесса системы защиты информации; - пересмотр состава и содержания организационных мер защиты информации, применяемых в рамках процесса системы защиты информации;
- пересмотр состава технических мер защиты информации, применяемых в рамках процесса системы защиты информации

Обязательно для уровня защиты 1 2 3