Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A
А.5.10
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 3
7.4.3. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры:
- идентификации, аутентификации, авторизации субъектов доступа, в том числе внешних субъектов доступа, которые не являются работниками организации БС РФ, и программных процессов (сервисов);
- разграничения доступа к информационным активам на основе ролевого метода, с определением для каждой роли полномочий по доступу к информационным активам;
- управления предоставлением/отзывом и блокированием доступа, в том числе доступа, осуществляемого через внешние информационно-телекоммуникационные сети;
- регистрации действий субъектов доступа с обеспечением контроля целостности и защиты данных регистрации;
- управления идентификационными данными, аутентификационными данными и средствами аутентификации;
- управления учетными записями субъектов доступа;
- выявления и блокирования неуспешных попыток доступа;
- блокирования сеанса доступа после установленного времени бездействия или по запросу субъекта доступа, требующего выполнения процедур повторной аутентификации и авторизации для продолжения работы;
- ограничения действий пользователей по изменению настроек их автоматизированных мест (использование ограничений на изменение BIOS);
- управления составом разрешенных действий до выполнения идентификации и аутентификации;
- ограничения действий пользователей по изменению параметров настроек АБС и реализации контроля действий эксплуатационного персонала по изменению параметров настроек АБС;
- выявления и блокирования несанкционированного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин;
- использования технологий беспроводного доступа к информации, в случае их применения, и защиты внутренних беспроводных соединений;
- использования мобильных устройств для доступа к информации в случае их применения. Процедуры управления доступом должны исключать возможность "самосанкционирования".
Р. 7 п. 6 п.п. 2
7.6.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры подключения и использования ресурсов сети Интернет.
Р. 7 п. 6 п.п. 9
7.6.9. Электронная почта должна архивироваться. Целями создания архивов электронной почты являются:
- контроль информационных потоков, в том числе с целью предотвращение утечек информации;
- использование архивов при проведении разбирательств по фактам утечек информации.
Должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры доступа к информации архива и ее изменения, предусматривающие возможность доступа работников службы ИБ к информации архива.
CIS Critical Security Controls v8 (The 18 CIS CSC):
4.1
4.1 Establish and Maintain a Secure Configuration Process
Establish and maintain a secure configuration process for enterprise assets (end-user devices, including portable and mobile; non-computing/IoT devices; and servers) and software (operating systems and applications). Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard
Establish and maintain a secure configuration process for enterprise assets (end-user devices, including portable and mobile; non-computing/IoT devices; and servers) and software (operating systems and applications). Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard
4.3
4.3 Configure Automatic Session Locking on Enterprise Assets
Configure automatic session locking on enterprise assets after a defined period of inactivity. For general purpose operating systems, the period must not exceed 15 minutes. For mobile end-user devices, the period must not exceed 2 minutes.
Configure automatic session locking on enterprise assets after a defined period of inactivity. For general purpose operating systems, the period must not exceed 15 minutes. For mobile end-user devices, the period must not exceed 2 minutes.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
4.3
4.3 Настроена автоматическая блокировка сеансов на корпоративных ресурсах
Для ОС общего назначения время блокировки не превышает 15 минут.
Для мобильных устройств время блокировки не превышает 2 минут.
Для ОС общего назначения время блокировки не превышает 15 минут.
Для мобильных устройств время блокировки не превышает 2 минут.
4.1
4.1 Реализован и поддерживается процесс конфигурирования мер защиты
Описание процесса анализируется и обновляется раз в год или чаще.
Описание процесса анализируется и обновляется раз в год или чаще.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.1.3
A.8.1.3 Допустимое использование активов
Мера обеспечения информационной безопасности: Должны быть идентифицированы, документально оформлены и реализованы правила допустимого использования активов, включая информацию и средства ее обработки
Мера обеспечения информационной безопасности: Должны быть идентифицированы, документально оформлены и реализованы правила допустимого использования активов, включая информацию и средства ее обработки
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 5.1
CSC 5.1 Establish Secure Configurations
Maintain documented security configuration standards for all authorized operating systems and software.
Maintain documented security configuration standards for all authorized operating systems and software.
CSC 16.11
CSC 16.11 Lock Workstation Sessions After Inactivity
Automatically lock workstation sessions after a standard period of inactivity.
Automatically lock workstation sessions after a standard period of inactivity.
CSC 15.9
CSC 15.9 Disable Wireless Peripheral Access of Devices
Disable wireless peripheral access of devices [such as Bluetooth and Near Field Communication (NFC)], unless such access is required for a business purpose.
Disable wireless peripheral access of devices [such as Bluetooth and Near Field Communication (NFC)], unless such access is required for a business purpose.
CSC 15.6
CSC 15.6 Disable Peer-to-Peer Wireless Network Capabilities on Wireless Clients
Disable peer-to-peer (ad hoc) wireless network capabilities on wireless clients.
Disable peer-to-peer (ad hoc) wireless network capabilities on wireless clients.
CSC 15.4
CSC 15.4 Disable Wireless Access on Devices if Not Required
Disable wireless access on devices that do not have a business purpose for wireless access.
Disable wireless access on devices that do not have a business purpose for wireless access.
CSC 15.5
CSC 15.5 Limit Wireless Access on Client Devices
Configure wireless access on client machines that do have an essential wireless business purpose, to allow access only to authorized wireless networks and to restrict access to other wireless networks.
Configure wireless access on client machines that do have an essential wireless business purpose, to allow access only to authorized wireless networks and to restrict access to other wireless networks.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.10
А.5.10 Допустимое использование информационных и иных, связанных с ними активов
Должны быть идентифицированы, задокументированы и внедрены правила и процедуры по безопасному обращению с информационными и иными, связанными с ними активами.
Должны быть идентифицированы, задокументированы и внедрены правила и процедуры по безопасному обращению с информационными и иными, связанными с ними активами.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
2.2.2.1.
Сбор и актуализация сведений об активах автоматизировано частично
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
8.1.3
8.1.3 Допустимое использование активов
Мера обеспечения ИБ
Должны быть идентифицированы, документально оформлены и реализованы правила допустимого использования активов, включая информацию и средства ее обработки.
Руководство по применению
Работники и внешние пользователи, использующие или имеющие доступ к активам организации, должны быть осведомлены о требованиях ИБ, относящихся к информации, активам организации, связанным с информацией, средствам и ресурсам обработки информации. (Внесена техническая поправка Cor.1:2014).
Они должны нести ответственность за использование ими любых ресурсов обработки информации и любое подобное использование, осуществляемое в зоне их ответственности.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.