Соответствие требованиям

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

ГОСТ Р № 57580.1-2017 от 01.01.2018

Для проведения оценки соответствия по документу войдите в систему.

Для оценки соответствия
- авторизуйтесь

Планируемый уровень

Текущий уровень

Показывать только требования

9.5 Базовый состав мер защиты информации на этапе "Создание (модернизация) АС"

ЖЦ.1 Документарное определение перечня защищаемой информации, планируемой к обработке в АС

Обязательно для уровня защиты 1 2 3

ЖЦ.2 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)

Обязательно для уровня защиты 1 2 3

ЖЦ.3 Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС:

состава и порядка применения технических и (или) организационных мер системы защиты информации АС;
параметров настроек технических мер системы защиты информации АС и компонентов информационной инфраструктуры, предназначенных для размещения указанных технических мер (параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости)

Обязательно для уровня защиты 1 2 3

ЖЦ.4 Реализация управления версиями (сборками) и изменениями создаваемого (модернизируемого), в том числе тестируемого, прикладного ПО АС, осуществляемого для цели:

контроля реализации функций защиты информации в определенной версии (сборке) прикладного ПО;
принятия мер, препятствующих несанкционированному внесению изменений в версии (сборки) прикладного ПО

Обязательно для уровня защиты 1 2

ЖЦ.5 Использование (контроль использования) сегментов разработки и тестирования, выделенных в соответствии с мерой СМЭ.6, при создании (модернизации), включая тестирование, АС

Обязательно для уровня защиты 1 2

ЖЦ.6 Контроль предоставления и обеспечение разграничения доступа в сегментах разработки и тестирования

Обязательно для уровня защиты 1 2 3

ЖЦ.7 Реализация запрета использования защищаемой информации в сегментах разработки и тестирования (за исключением конфигурационной информации, определяющей параметры работы АС)

Обязательно для уровня защиты 1 2 3

ЖЦ.8 Применение прикладного ПО АС, сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3 (в случаях, предусмотренных нормативными актами Банка России, и (или) если в соответствии с моделью угроз и нарушителей безопасности информации финансовой организации, угрозы, связанные с наличием уязвимостей и недеклалированных возможностей в прикладном ПО АС, признаны актуальными)

Обязательно для уровня защиты 1 2

ЖЦ.9 Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)

Обязательно для уровня защиты 1 2 3

ЖЦ.10 Проведение модернизации АС при изменении требований к составу и содержанию мер системы защиты информации АС (функционально-технические требований к системе защиты информации АС)

Обязательно для уровня защиты 1 2 3

ЖЦ.11 Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС (документарное определение в соответствии с мерой ЖЦ.11 выполняется в случае необходимости):

состава и порядка применения клиентами финансовой организации прикладного ПО и (или) технических и (или) организационных мер защиты информации (далее при совместном упоминании - клиентские компоненты);
параметров настроек клиентских компонентов и информационной инфраструктуры клиентов финансовой организации, предназначенной для размещения клиентских компонентов;
описания мер по обеспечению использования клиентом определенных доверенных версий (сборок) прикладного ПО

Обязательно для уровня защиты 1 2 3

9.6 Базовый состав мер защиты информации на этапе "Ввод в эксплуатацию АС"

ЖЦ.12 Размещение и настройка (конфигурирование) технических мер системы защиты информации АС в информационной инфраструктуре, используемой для непосредственной реализации бизнес-процессов или технологических процессов финансовой организации (далее - промышленная среда), в соответствии с положениями проектной и эксплуатационной документации

Обязательно для уровня защиты 1 2 3

ЖЦ.13 Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС) в промышленной среде

Обязательно для уровня защиты 1 2 3

ЖЦ.14 Реализация контроля защищенности АС, включающего (по решению финансовой организации при модернизации АС проводится контроль защищенности только элементов информационной инфраструктуры, подвергнутых модернизации): - тестирование на проникновение; - анализ уязвимостей системы защиты информации АС и информационной инфраструктуры промышленной среды

Обязательно для уровня защиты 1 2

9.7 Базовый состав мер защиты информации на этапе "Эксплуатация (сопровождение) АС"

ЖЦ.15 Реализация контроля эксплуатации технических мер системы защиты информации АС в соответствии с положениями проектной и эксплуатационной документации, включающего:

контроль фактического размещения технических мер защиты в промышленной среде;
контроль фактических параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенной для размещения технических мер защиты информации

Обязательно для уровня защиты 1 2 3

ЖЦ.16 Реализация контроля применения мер системы защиты информации АС

Обязательно для уровня защиты 1 2 3

ЖЦ.17 Назначение и реализация контроля деятельности лиц, ответственных за эксплуатацию (сопровождение) системы защиты информации АС

Обязательно для уровня защиты 1 2 3

ЖЦ.18 Обеспечение возможности сопровождения технических мер системы защиты информации АС в течение всего срока их использования

Обязательно для уровня защиты 1 2

ЖЦ.19 Обеспечение доступности технических мер системы защиты информации АС:

применение отказоустойчивых технических мер; - резервирование технических средств АС, необходимых для функционирования технических мер;
осуществление контроля безотказного функционирования технических мер;
принятие регламентированных мер по восстановлению отказавших технических мер и технических средств АС, необходимых для их функционирования

Обязательно для уровня защиты 1

ЖЦ.20 Реализация проведения ежегодного контроля защищенности АС, включающего: - тестирование на проникновение; - анализ уязвимостей системы защиты информации АС и информационной инфраструктуры промышленной среды

Обязательно для уровня защиты 1 2

ЖЦ.21 Обеспечение оперативного устранения выявленных уязвимостей защиты информации АС, включая уязвимости прикладного ПО

Обязательно для уровня защиты 1 2 3

ЖЦ.22 Регистрация внесения изменений в АС, включая обновление прикладного ПО

Обязательно для уровня защиты 1 2

ЖЦ.23 Регистрация операций по изменению параметров настроек технических мер системы защиты информации АС

Обязательно для уровня защиты 1 2 3

ЖЦ.24 Реализация контроля в сегментах разработки и тестирования корректности функционирования систем защиты информации АС после внесения изменений в АС, включая обновления прикладного ПО

Обязательно для уровня защиты 1 2

ЖЦ.25 Реализация управления версиями (сборками) и изменениями прикладного ПО при его обновлении (модификации)