Соответствие требованиям

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации

ГОСТ Р № 57580.1-2017 от 01.01.2018

8.3

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

8.3 Направление 2 "Реализация процесса системы защиты информации"

Базовый состав мер по реализации процесса системы защиты информации

РЗИ.1 Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах)

Обязательно для уровня защиты 1 2 3

РЗИ.2 Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации

Обязательно для уровня защиты 1 2 3

РЗИ.3 Контроль (тестирование) полноты реализации технических мер защиты информации

Обязательно для уровня защиты 1 2 3

РЗИ.4 Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение

Обязательно для уровня защиты 1 2 3

РЗИ.5 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры

Обязательно для уровня защиты 1 2 3

РЗИ.6 Реализация эксплуатации, использования по назначению технических мер защиты информации

Обязательно для уровня защиты 1 2 3

РЗИ.7 Реализация применения организационных мер защиты информации

Обязательно для уровня защиты 1 2 3

РЗИ.8 Реализация централизованного управления техническими мерами защиты информации (централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала)

Обязательно для уровня защиты 1

РЗИ.9 Обеспечение доступности технических мер защиты информации:
- применение отказоустойчивых технических решений; - резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации;
- осуществление контроля безотказного функционирования технических мер защиты информации;
- принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования

Обязательно для уровня защиты 1

РЗИ.10 Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования

Обязательно для уровня защиты 1 2

РЗИ.11 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)

Обязательно для уровня защиты 1

РЗИ.12 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)

Обязательно для уровня защиты 2

РЗИ.13 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)

Обязательно для уровня защиты 3

РЗИ.14 Применение СКЗИ, имеющих класс не ниже КС2 (в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации)

Обязательно для уровня защиты 1

РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации

Обязательно для уровня защиты 1 2 3

РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации

Обязательно для уровня защиты 1 2 3

Связанные защитные меры

	Название	Дата	Влияние
Community 11 / 13	Проведение обучающих мероприятий по информационной безопасности Разово Организационная 08.05.2022	08.05.2022	11 / 13
Цель: повышение осведомленности работников. Выполнять регулярные мероприятия по повышению осведомленности, а также поддерживать знания в области безопасности. Варианты реализации: Очные или дистанционные курсы; Разовые встречи или вебинары; Непрерывное (регулярное) обучение; Платформы для обучения (например, Kaspersky Automated Security Awareness Platform). Проведение рассылок по информационной безопасности выделено в отдельную защитную меру. Обучение может затрагивать: Только технический персонал, пользователей с привилегированными правами в информационных системах; Работников допущенных к конфиденциальной информации и в ключевые системы компании; Всех работников. Для обучения должна быть определена периодичность. Дополнительное обучение может назначаться в результате инцидентов безопасности, смены должности работника. *Рекомендации к заполнению карточки:* Описать в карточке кого из работников обучают, с какой периодичностью, каким образом; Если разработаны отдельные документы (программа, план обучения) - привести на них ссылки; Добавить шаблон регулярной задачи по проведению обучения.
Community 25 / 47	Ведение реестра информационных активов По событию Вручную Организационная 16.03.2022	16.03.2022	25 / 47
Цель: учёт, инвентаризация активов различного типа Типы активов, подлежащие в учёту, определяются в зависимости от уровня зрелости компании, исполняемых требований и целей. Варианты реализации: Бумажные реестры Электронные таблицы (excel) CMDB/ITAM системы Сервис SECURITM (модуль Активы) В заметке к защитной мере приведен пример регламента учёта информационных активов на базе SECURITM. *Рекомендации к заполнению карточки:* Написать регламент учета активов и разместить его прямо в карточке или как ссылку на внешний документ Указать перечень учитываемых типов активов