Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № 57580.1-2017 от 01.01... 8.3.2
Группы требований Все документы
Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Подробнее
Наш канал

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации

ГОСТ Р № 57580.1-2017 от 01.01.2018

8.3.2

Для проведения оценки соответствия по документу войдите в систему.
РЗИ.9 Обеспечение доступности технических мер защиты информации: 
- применение отказоустойчивых технических решений; - резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации; 
- осуществление контроля безотказного функционирования технических мер защиты информации; 
- принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования
Обязательно для уровня защиты 1

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстановительная Удерживающая Компенсирующая
Название Дата Влияние
Community
11 / 15
Проведение обучающих мероприятий по информационной безопасности
Разово Организационная
08.05.2022 		08.05.2022 11 / 15
Цель: повышение осведомленности работников.

Выполнять регулярные мероприятия по повышению осведомленности, а также поддерживать знания в области безопасности.

Варианты реализации:
  • Очные или дистанционные курсы;
  • Разовые встречи или вебинары;
  • Непрерывное (регулярное) обучение;
  • Платформы для обучения (например, Kaspersky Automated Security Awareness Platform).
Проведение рассылок по информационной безопасности выделено в отдельную защитную меру.

Обучение может затрагивать:
  • Только технический персонал, пользователей с привилегированными правами в информационных системах;
  • Работников допущенных к конфиденциальной информации и в ключевые системы компании;
  • Всех работников.
Для обучения должна быть определена периодичность. Дополнительное обучение может назначаться в результате инцидентов безопасности, смены должности работника.

Рекомендации к заполнению карточки:
  • Описать в карточке кого из работников обучают, с какой периодичностью, каким образом;
  • Если разработаны отдельные документы (программа, план обучения) - привести на них ссылки;
  • Добавить шаблон регулярной задачи по проведению обучения.
Community
27 / 49
Ведение реестра информационных активов
По событию Вручную Организационная
16.03.2022 		16.03.2022 27 / 49
Цель: учёт, инвентаризация активов различного типа 
Типы активов, подлежащие в учёту, определяются в зависимости от уровня зрелости компании, исполняемых требований и целей. 
Варианты реализации:
  • Бумажные реестры
  • Электронные таблицы (excel)
  • CMDB/ITAM системы
  • Сервис SECURITM (модуль Активы)
В заметке к защитной мере приведен пример регламента учёта информационных активов на базе SECURITM.

Рекомендации к заполнению карточки:
  • Написать регламент учета активов и разместить его прямо в карточке или как ссылку на внешний документ 
  • Указать перечень учитываемых типов активов