Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021

Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

8.2.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 3 п.п. 2
8.3.2. В организации БС РФ должны быть установлены критерии отнесения конкретных информационных активов к одному или нескольким типам информационных активов. 
Р. 7 п. 4 п.п. 1
7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.
CIS Critical Security Controls v8 (The 18 CIS CSC):
3.2
3.2 Establish and Maintain a Data Inventory
Establish and maintain a data inventory, based on the enterprise’s data management process. Inventory sensitive data, at a minimum. Review and update inventory annually, at a minimum, with a priority on sensitive data.
NIST Cybersecurity Framework (RU):
ID.AM-5
ID.AM-5: Приоритезированы ресурсы (например, оборудование, устройства, данные, время и программное обеспечение) на основе их классификации, критичности и ценности для бизнеса
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ИКА.7
ИКА.7 Организация и выполнение деятельности по классификации защищаемой информации (определению критериев отнесения информации к защищаемой и перечня ее типов), обрабатываемой, передаваемой и (или) хранимой финансовой организацией в рамках выполнения бизнес- и технологических процессов в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
3.1
3.1 Реализован и поддерживается процесс управления данными
В описании процесса учтены конфиденциальность данных, указаны ответственные, требования к хранению данных в зависимости от типа и прописаны процедуры уничтожения в зависимости от конфиденциальности и требований к хранению. 
Процесс пересматривается раз в год или при наступлении серьезных организационных изменений
Постановление Правления Национального Банка Республики Казахстан № 48 от 27.03.2018 "Постановление Правления Национального Банка Республики Казахстан от 27 марта 2018 года № 48":
Глава 3 / 32
32. Банк, организация осуществляют категорирование информационных активов путем разделения их на критичные и некритичные на основании уровня убытков от нарушения их конфиденциальности, целостности, доступности.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.2
9.4.2
Defined Approach Requirements: 
All media with cardholder data is classified in accordance with the sensitivity of the data 

Customized Approach Objective:
Media are classified and protected appropriately. 

Defined Approach Testing Procedures:
  • 9.4.2.a Examine documentation to verify that procedures are defined for classifying media with cardholder data in accordance with the sensitivity of the data. 
  • 9.4.2.b Examine media logs or other documentation to verify that all media is classified in accordance with the sensitivity of the data. 
Purpose:
Media not identified as confidential may not be adequately protected or may be lost or stolen. 

Good Practice:
It is important that media be identified such that its classification status is apparent. This does not mean however that the media needs to have a “confidential” label. 
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 6 п. 3
6.3. При формировании перечня категорий информации, включаемых в класс “информация конфиденциального характера”, следует как минимум рассматривать следующую информацию: 
– информация, для которой свойство конфиденциальности обеспечивается в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России: 
  • банковская тайна; 
  • персональные данные; 
  • информация, защищаемая в соответствии с законодательством о национальной платежной системе; 
  • инсайдерская информация (за исключением коммерческой и банковской тайн); 
  • информация, входящая в состав кредитной истории; 
  • иная информация, доступ к которой ограничен в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России; 
– информация, для которой свойство конфиденциальности обеспечивается в соответствии с требованиями внутренних документов организации БС РФ, устанавливаемых среди прочего в соответствии с законодательством о коммерческой тайне, в том числе, например: 
  • информация об управлении организацией; 
  • информация о планировании коммерческой деятельности организации; 
  • информация о финансовом состоянии организации; 
  • информация об автоматизации деятельности организации; 
  • информация организационного характера; 
  • информация об обеспечении безопасности и защиты информации организации.
Р. 7 п. 1
7.1. Организации БС РФ рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В составе правил идентификации и учета информационных активов и объектов среды информационных активов рекомендуется определить: 
– перечень типов информационных активов и объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), подлежащих идентификации и учету; 
– состав учетных данных, хранимых для каждого информационного актива и объекта среды информационного актива; 
– обязанность подразделений информатизации и (или) функциональных подразделений организации БС РФ осуществлять идентификацию и учет информационных активов и объектов среды информационных активов; – способы выполнения подразделениями информатизации и (или) функциональных подразделений организации БС РФ идентификации и учета информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и учета; 
– обязанность службы ИБ организации БС РФ осуществлять контроль соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным; 
– способы выполнения службой ИБ контроля фактического состава информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и контроля; 
– правила размещения и (или) запрета размещения информационных активов разных классов информации конфиденциального характера на одном объекте среды информационных активов; 
– правила идентификации и учета работниками организации БС РФ носителей информации конфиденциального характера; 
– правила обработки работниками организации БС РФ информации конфиденциального характера на бумажных и переносных носителях информации. 
Р. 7 п. 2
7.2. В качестве типов информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие типы:
– базы данных;
– сетевые файловые ресурсы;
– виртуальные машины, предназначенные для размещения серверных компонентов автоматизированных банковских систем (далее – АБС);
– виртуальные машины, предназначенные для размещения автоматизированных рабочих мест пользователей и эксплуатирующего персонала; 
– ресурсы доступа, относящиеся к сервисам электронной почты; 
– ресурсы доступа, относящиеся к web-сервисам информационно-телекоммуникационной сети “Интернет” (далее – сети Интернет). 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.2.1
A.8.2.1 Категорирование информации 
Мера обеспечения информационной безопасности: Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.1 CSC 13.1 Maintain an Inventory of Sensitive Information
Maintain an inventory of all sensitive information stored, processed, or transmitted by the organization's technology systems, including those located on-site or at a remote service provider.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.2
9.4.2
Определенные Требования к Подходу:
Все носители с данными о держателях карт классифицируются в соответствии с конфиденциальностью данных

Цель Индивидуального подхода:
Носители классифицируются и защищаются надлежащим образом.

Определенные Процедуры Тестирования Подхода:
  • 9.4.2.a Изучите документацию, чтобы убедиться, что определены процедуры классификации носителей с данными о держателях карт в соответствии с конфиденциальностью данных.
  • 9.4.2.b Изучите журналы носителей или другую документацию, чтобы убедиться, что все носители классифицированы в соответствии с конфиденциальностью данных.
Цель:
Носители, не идентифицированные как конфиденциальные, могут быть недостаточно защищены или могут быть утеряны или украдены.

Надлежащая практика:
Важно, чтобы носитель был идентифицирован таким образом, чтобы его классификационный статус был очевиден. Однако это не означает, что средства массовой информации должны иметь ярлык “конфиденциально”.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.12
А.5.12 Категорирование информации
Информация должна быть категорирована в соответствии с потребностями ИБ организации на основе требований к ней по конфиденциальности, целостности, доступности, а также соответствующих требований заинтересованных сторон.
NIST Cybersecurity Framework (EN):
ID.AM-5 ID.AM-5: Resources (e.g., hardware, devices, data, time, personnel, and software) are prioritized based on their classification, criticality, and business value
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.12
А.5.12 Classification of information
Information shall be classified according to the information security needs of the organization based on confidentiality, integrity, availability and relevant interested party requirements.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 7.6
8.7.6. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающий следующие элементы:
  • процедуры измерения показателей качества данных;
  • процедуры обоснования, утверждения и корректировки предельно допустимых значений показателей качества данных, критериев оценки качества данных;
  • процедуры реагирования на случаи нарушения установленных кредитной организацией (головной кредитной организацией банковской группы) предельно допустимых значений показателей качества данных, критериев оценки качества данных;
  • процедуры, правила и периодичность контроля качества данных и формирования отчетов о качестве данных, о проведении мероприятий контроля качества данных;
  • процедуры исправления выявленных ошибок в данных и документирования внесенных в них изменений;
  • порядок взаимодействия органов управления, подразделений и должностных лиц кредитной организации (головной кредитной организации банковской группы) по вопросам обеспечения качества данных, устанавливающий их полномочия, ответственность, подотчетность и обеспеченность ресурсами, в том числе определяющий в кредитной организации (головной кредитной организации банковской группы) должностное лицо (должностные лица), несущее (несущие) персональную ответственность за обеспечение качества данных в информационных системах;
  • порядок и периодичность (не реже одного раза в год) проведения независимой оценки качества данных.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах другие элементы порядка обеспечения качества данных в информационных системах.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.