Куда я попал?
ГОСТ Р № 57580.4-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7
7.3 Процесс 2 Изменения
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
УИ.1 Планирование, информирование вовлеченных подразделений о вносимых изменениях и контроль внесения изменений в критичную архитектуру.Обязательно для уровня защиты 1 2 3
-
УИ.2 Классификация в целях приоритизации изменений (например, плановые, срочные и критичные изменения) в критичную архитектуру.Обязательно для уровня защиты 1 2 3
-
УИ.3 Выявление, оценка и утверждение срочных и критичных изменений.Обязательно для уровня защиты 1 2 3
-
УИ.6.1 Контроля соответствия заявленным целям внесения изменений;Обязательно для уровня защиты 1 2 3
-
УИ.6.2 Контроля требований безопасности вносимых изменений;Обязательно для уровня защиты 1 2 3
-
УИ.6.4 Контроля отсутствия известных (описанных) уязвимостей объектов информатизации.Обязательно для уровня защиты 1 2 3
-
УИ.9 Фиксация и протоколирование внесенных изменений в критичную архитектуру.Обязательно для уровня защиты 1 2 3
-
УИ.11.2 Обновление инвентарных данных о критичных активах (элементах критичной архитектуры) при внесении изменений в критичную архитектуру, в том числе для фиксации фактов внедрения новых, перемещения и (или) перепрофилирования существующих, а также выявления неучтенных объектов информатизации;Обязательно для уровня защиты 1 2 3
-
УИ.11.3 Обновление данных об используемых сервисах поставщиков облачных услуг и применяемых мерах защиты информации для таких сервисов.Обязательно для уровня защиты 1 2 3
-
УИ.12 Проведение анализа на предмет необходимости переоценки риска реализации информационных угроз** перед внесением изменений в критичную архитектуру финансовой организации, включая выявление фактов***, свидетельствующих о возможном изменении уровня такого риска.Обязательно для уровня защиты 1 2 3
-
УИ.14 Идентификация и поддержание в актуальном состоянии инвентарных данных о составе и конфигурациях объектов информатизации***.Обязательно для уровня защиты 1 2 3
-
УИ.16.1 Централизованная**** установка, применение и контроль (в том числе с применением средств автоматизации) стандартов конфигурирования;Обязательно для уровня защиты 1 2 3
-
УИ.16.2 Включение в состав стандартов конфигурирования условий функционирования объекта информатизации*****;Обязательно для уровня защиты 1 2 3
-
УИ.16.4 Хранение предыдущих версий стандартов конфигурирования и обеспечение возможности возврата к ним;Обязательно для уровня защиты 1 2 3
-
УИ.16.6 Разграничение доступа и контроль несанкционированного изменения стандартов конфигурирования;Обязательно для уровня защиты 1 2 3
-
УИ.16.7 Согласование (в том числе со стороны службы ИБ) и утверждение внесения изменений в стандарты конфигурирования.Обязательно для уровня защиты 1 2 3
-
УИ.18.2 Реагирования в случаях выявления несанкционированного изменения текущих конфигураций объектов информатизации.Обязательно для уровня защиты 1 2 3
-
УИ.22.1 Реализации бизнес- и технологических процессов;Обязательно для уровня защиты 1 2 3
-
УИ.22.2 Объектам информатизации прикладного уровня;Обязательно для уровня защиты 1 2 3
-
УИ.22.3 Объектам информатизации инфраструктурного уровня.Обязательно для уровня защиты 1 2 3
-
УИ.23.1 Поддержание актуальности данных о доступных обновлениях (исправлениях) для устранения уязвимостей;Обязательно для уровня защиты 1 2 3
-
УИ.23.4 Документарное определение процедур, связанных с применением обновлений (исправлений).Обязательно для уровня защиты 1 2 3
-
УИ.24.1 Выявление вредоносного кода;Обязательно для уровня защиты 1 2 3
-
УИ.24.2 Выявление неконтролируемого использования технологии мобильного кода**;Обязательно для уровня защиты 1 2 3
-
УИ.24.3 Выявление неавторизованного логического доступа к ресурсам доступа, в том числе автоматизированным системам.Обязательно для уровня защиты 1 2 3
-
УИ.25.2 Реализации процедур предварительного анализа*** и согласования применения обновлений (исправлений);Обязательно для уровня защиты 1 2 3
-
УИ.25.3 Реализации процедур запрета применения обновлений (исправлений), которые предварительно не согласованы.Обязательно для уровня защиты 1 2 3
-
УИ.25.5 Применение отдельных сред разработки, тестирования и постоянной эксплуатации, обеспечивающих возможность быстрого тестирования.Обязательно для уровня защиты 1 2 3
-
УИ.25.6 Анализа и применения передового опыта (в том числе по использованию средств автоматизации) в целях устранения технических и организационных недостатков, а также обеспечения контроля соответствия установленным стандартам конфигурирования и политикам (режимам) защиты информации;Обязательно для уровня защиты 1 2 3
-
УИ.25.8 Контроль своевременности применения (установки) обновлений (исправлений) объектов информатизации.Обязательно для уровня защиты 1 2 3
-
УИ.31 Проведение анализа системных журналов для выявления фактов эксплуатации в прошлом уязвимостей, аналогичных вновь выявленным.Обязательно для уровня защиты 1 2 3
-
УИ.32 Тестирование «red team», то есть симуляция действий нарушителя безопасности в контролируемых условиях, в том числе для симуляции попыток реализации компьютерных атак в отношении объектов информатизации, входящих в критичную архитектуру, в соответствии с заранее определенными сценариями.Обязательно для уровня защиты 1 2 3
-
УИ.35 Ведение реестра выявленных и устраненных уязвимостей********, в том числе фиксация совершенных действий по устранению уязвимостей.Обязательно для уровня защиты 1 2 3
-
УИ.37 Организация мониторинга статуса работ по устранению уязвимостей.Обязательно для уровня защиты 1 2 3
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.