Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № 22301 от 01.01.2022

Надежность в технике. Системы менеджмента непрерывности деятельности. Требования

Р. 8 п. 3 пп. 2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

NIST Cybersecurity Framework (RU):

ID.SC-2

ID.SC-2: С использованием процесса оценки рисков в киберцепочке поставок идентфицированы, расставлены приоритеты и оценены поставщики и партнеры критически важных информационных систем, компонентов и услуг

ID.BE-3

ID.BE-3: Установлены и сообщены приоритеты для миссии, целей и деятельности организации

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.12.1.3

A.12.1.3 Управление производительностью
Мера обеспечения информационной безопасности: Необходимо осуществлять мониторинг, корректировку и прогнозирование использования ресурсов, исходя из будущих требований к производительности, для обеспечения требуемой производительности системы

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":

Requirement 5.2.3

5.2.3
Определенные Требования к Подходу:
Любые системные компоненты, которые не подвержены риску заражения вредоносными программами, периодически проверяются на наличие следующих:

Документированный список всех компонентов системы, не подверженных риску заражения вредоносными программами.
Выявление и оценка возникающих вредоносных угроз для этих компонентов системы.
Подтверждение того, что такие системные компоненты по-прежнему не требуют защиты от вредоносных программ.

Цель Индивидуального подхода:
Организация поддерживает осведомленность о развивающихся угрозах вредоносного ПО, чтобы гарантировать, что любые системы, не защищенные от вредоносного ПО, не подвергаются риску заражения.

Примечания по применению:
Системные компоненты, на которые распространяется это требование, - это те, для которых не развернуто решение для защиты от вредоносных программ в соответствии с требованием 5.2.1.

Определенные Процедуры Тестирования Подхода:

5.2.3.a Изучите документированные политики и процедуры, чтобы убедиться, что определен процесс для периодических оценок любых компонентов системы, которые не подвержены риску заражения вредоносными программами, который включает все элементы, указанные в этом требовании.
5.2.3.b Провести собеседование с персоналом, чтобы убедиться, что оценки включают все элементы, указанные в этом требовании.
5.2.3.c Изучите список системных компонентов, идентифицированных как не подверженные риску заражения вредоносными программами, и сравните с системными компонентами без развернутого антивирусного решения в соответствии с требованием 5.2.1, чтобы убедиться, что системные компоненты соответствуют обоим требованиям.

Цель:
Некоторые системы в данный момент времени могут в настоящее время не подвергаться обычным атакам или воздействию вредоносных программ. Однако отраслевые тенденции в отношении вредоносных программ могут быстро меняться, поэтому организациям важно быть в курсе новых вредоносных программ, которые могут повлиять на их системы — например, путем отслеживания уведомлений о безопасности поставщиков и форумов по защите от вредоносных программ, чтобы определить, могут ли их системы подвергаться угрозе со стороны новых и развивающихся вредоносных программ.

Надлежащая практика:
Если организация определяет, что конкретная система не подвержена каким-либо вредоносным программам, это определение должно быть подкреплено отраслевыми данными, ресурсами поставщиков и передовой практикой.
Следующие шаги могут помочь организациям в проведении их периодических оценок:

Идентификация всех типов систем, ранее определенных как не требующие защиты от вредоносных программ.
Просмотрите предупреждения и уведомления об уязвимостях в отрасли, чтобы определить, существуют ли новые угрозы для какой-либо идентифицированной системы.
Документированный вывод о том, остаются ли типы систем невосприимчивыми к вредоносным программам.
Стратегия добавления защиты от вредоносных программ для любых типов систем, для которых защита от вредоносных программ стала необходимой.

Тенденции в области вредоносных программ должны быть включены в определение новых уязвимостей в системе безопасности в соответствии с требованием 6.3.1, а методы устранения новых тенденций должны быть включены в стандарты конфигурации организации и механизмы защиты по мере необходимости.

NIST Cybersecurity Framework (EN):

ID.SC-2 ID.SC-2: Suppliers and third party partners of information systems, components, and services are identified, prioritized, and assessed using a cyber supply chain risk assessment process

ID.BE-3 ID.BE-3: Priorities for organizational mission, objectives, and activities are established and communicated

ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":

12.1.3

12.1.3 Управление производительностью

Мера обеспечения ИБ

Необходимо осуществлять мониторинг, корректировку и прогнозирование использования ресурсов исходя из будущих требований к производительности, для обеспечения требуемой производительности системы.

Руководство по применению

Требования к производительности должны быть определены с учетом важности рассматриваемой системы для бизнеса. Необходимо проводить настройку и мониторинг системы для гарантии и, где это применимо, повышения доступности и эффективности системы. Для своевременного выявления проблем следует задействовать соответствующие средства обнаружения. Прогнозирования требований к производительности должны учитывать новые требования как со стороны бизнеса, так и со сторон систем, а также текущие и будущие тенденции в возможностях обработки информации в организации.

Особое внимание следует уделять ресурсам, требующим длительного времени на закупку или высоких затрат, поэтому руководители должны следить за использованием ключевых системных ресурсов. Они должны определять тенденции использования, особенно в отношении бизнес-приложений или инструментов управления информационными системами.

Руководители должны использовать эту информацию для выявления зависимости от основных работников и предотвращения потенциальных узких мест, которые могут представлять угрозу безопасности систем или сервисов, а также планирования соответствующего действия.

Обеспечение достаточного уровня производительности может быть достигнуто как путем наращивания мощностей, так и снижением спроса. Примеры мер снижения спроса включают в себя:

a) удаление устаревших данных (дисковое пространство);
b) вывод из эксплуатации приложений, систем, баз данных или сред;
c) оптимизацию пакетных заданий и расписаний;
d) оптимизацию логики приложения или запросов к базе данных;
e) запрет или ограничение полосы пропускания для ресурсоемких сервисов, если они не являются критически важными для бизнеса (например, потоковое видео).

В отношении критически важных систем следует иметь задокументированный план управления производительностью.

Дополнительная информация

Данная мера обеспечения ИБ также применима к человеческим ресурсам, а также к помещениям и оборудованию.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.