Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A
А.5.12
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 1
7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.
Р. 8 п. 3 п.п. 2
8.3.2. В организации БС РФ должны быть установлены критерии отнесения конкретных информационных активов к одному или нескольким типам информационных активов.
Р. 8 п. 3 п.п. 1
8.3.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета структурированных по классам (типам) защищаемых информационных активов. Классификацию информационных активов рекомендуется проводить на основании оценок ценности информационных активов для интересов (целей) организации БС РФ, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов.
NIST Cybersecurity Framework (RU):
ID.AM-5
ID.AM-5: Приоритезированы ресурсы (например, оборудование, устройства, данные, время и программное обеспечение) на основе их классификации, критичности и ценности для бизнеса
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.2
9.4.2
Defined Approach Requirements:
All media with cardholder data is classified in accordance with the sensitivity of the data
Customized Approach Objective:
Media are classified and protected appropriately.
Defined Approach Testing Procedures:
Defined Approach Requirements:
All media with cardholder data is classified in accordance with the sensitivity of the data
Customized Approach Objective:
Media are classified and protected appropriately.
Defined Approach Testing Procedures:
- 9.4.2.a Examine documentation to verify that procedures are defined for classifying media with cardholder data in accordance with the sensitivity of the data.
- 9.4.2.b Examine media logs or other documentation to verify that all media is classified in accordance with the sensitivity of the data.
Purpose:
Media not identified as confidential may not be adequately protected or may be lost or stolen.
Good Practice:
It is important that media be identified such that its classification status is apparent. This does not mean however that the media needs to have a “confidential” label.
Media not identified as confidential may not be adequately protected or may be lost or stolen.
Good Practice:
It is important that media be identified such that its classification status is apparent. This does not mean however that the media needs to have a “confidential” label.
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 7 п. 2
7.2. В качестве типов информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие типы:
– базы данных;
– сетевые файловые ресурсы;
– виртуальные машины, предназначенные для размещения серверных компонентов автоматизированных банковских систем (далее – АБС);
– виртуальные машины, предназначенные для размещения автоматизированных рабочих мест пользователей и эксплуатирующего персонала;
– ресурсы доступа, относящиеся к сервисам электронной почты;
– ресурсы доступа, относящиеся к web-сервисам информационно-телекоммуникационной сети “Интернет” (далее – сети Интернет).
– базы данных;
– сетевые файловые ресурсы;
– виртуальные машины, предназначенные для размещения серверных компонентов автоматизированных банковских систем (далее – АБС);
– виртуальные машины, предназначенные для размещения автоматизированных рабочих мест пользователей и эксплуатирующего персонала;
– ресурсы доступа, относящиеся к сервисам электронной почты;
– ресурсы доступа, относящиеся к web-сервисам информационно-телекоммуникационной сети “Интернет” (далее – сети Интернет).
Р. 7 п. 1
7.1. Организации БС РФ рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В составе правил идентификации и учета информационных активов и объектов среды информационных активов рекомендуется определить:
– перечень типов информационных активов и объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), подлежащих идентификации и учету;
– состав учетных данных, хранимых для каждого информационного актива и объекта среды информационного актива;
– обязанность подразделений информатизации и (или) функциональных подразделений организации БС РФ осуществлять идентификацию и учет информационных активов и объектов среды информационных активов; – способы выполнения подразделениями информатизации и (или) функциональных подразделений организации БС РФ идентификации и учета информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и учета;
– обязанность службы ИБ организации БС РФ осуществлять контроль соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным;
– способы выполнения службой ИБ контроля фактического состава информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и контроля;
– правила размещения и (или) запрета размещения информационных активов разных классов информации конфиденциального характера на одном объекте среды информационных активов;
– правила идентификации и учета работниками организации БС РФ носителей информации конфиденциального характера;
– правила обработки работниками организации БС РФ информации конфиденциального характера на бумажных и переносных носителях информации.
– перечень типов информационных активов и объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), подлежащих идентификации и учету;
– состав учетных данных, хранимых для каждого информационного актива и объекта среды информационного актива;
– обязанность подразделений информатизации и (или) функциональных подразделений организации БС РФ осуществлять идентификацию и учет информационных активов и объектов среды информационных активов; – способы выполнения подразделениями информатизации и (или) функциональных подразделений организации БС РФ идентификации и учета информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и учета;
– обязанность службы ИБ организации БС РФ осуществлять контроль соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным;
– способы выполнения службой ИБ контроля фактического состава информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и контроля;
– правила размещения и (или) запрета размещения информационных активов разных классов информации конфиденциального характера на одном объекте среды информационных активов;
– правила идентификации и учета работниками организации БС РФ носителей информации конфиденциального характера;
– правила обработки работниками организации БС РФ информации конфиденциального характера на бумажных и переносных носителях информации.
Р. 6 п. 3
6.3. При формировании перечня категорий информации, включаемых в класс “информация конфиденциального характера”, следует как минимум рассматривать следующую информацию:
– информация, для которой свойство конфиденциальности обеспечивается в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России:
– информация, для которой свойство конфиденциальности обеспечивается в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России:
- банковская тайна;
- персональные данные;
- информация, защищаемая в соответствии с законодательством о национальной платежной системе;
- инсайдерская информация (за исключением коммерческой и банковской тайн);
- информация, входящая в состав кредитной истории;
- иная информация, доступ к которой ограничен в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России;
– информация, для которой свойство конфиденциальности обеспечивается в соответствии с требованиями внутренних документов организации БС РФ, устанавливаемых среди прочего в соответствии с законодательством о коммерческой тайне, в том числе, например:
- информация об управлении организацией;
- информация о планировании коммерческой деятельности организации;
- информация о финансовом состоянии организации;
- информация об автоматизации деятельности организации;
- информация организационного характера;
- информация об обеспечении безопасности и защиты информации организации.
Р. 6 п. 2
6.2. Организации БС РФ рекомендуется обеспечить документирование и выполнение правил установления перечня категорий информации, включаемых в каждый из классов информации конфиденциального характера. В составе правил установления перечня категорий информации рекомендуется определить:
– обязанность отдельного подразделения, например службы ИБ, организации БС РФ составлять и вести перечень категорий информации для каждого из классов информации конфиденциального характера на основе предложений, формируемых функциональными подразделениями организации БС РФ, в компетенцию которых входит определение целей и правил создания, обработки и (или) сбора соответствующей информации конфиденциального характера;
– обязанность функциональных подразделений организации БС РФ своевременно предоставлять в службу ИБ предложения по перечню категорий информации, включаемых в каждый из классов информации конфиденциального характера;
– порядок проведения пересмотра перечня категорий информации, включаемых в каждый из классов информации конфиденциального характера, например не реже одного раза в год и (или) при возникновении соответствующих предложений функциональных подразделений организаций БС РФ;
– порядок обязательного ознакомления работников организации БС РФ с перечнем категорий информации, включаемых в каждый из классов информации конфиденциального характера, с документальной фиксацией факта такого ознакомления.
Перечень категорий информации, включаемых в каждый из классов информации конфиденциального характера, рекомендуется устанавливать организационным актом (приказом, распоряжением) организации БС РФ.
В случае использования организацией БС РФ двух классов информации возможно определение только перечня категорий информации, которые включаются в класс “информация конфиденциального характера”. В этом случае любая иная информация классифицируется как “открытая информация”.
– обязанность отдельного подразделения, например службы ИБ, организации БС РФ составлять и вести перечень категорий информации для каждого из классов информации конфиденциального характера на основе предложений, формируемых функциональными подразделениями организации БС РФ, в компетенцию которых входит определение целей и правил создания, обработки и (или) сбора соответствующей информации конфиденциального характера;
– обязанность функциональных подразделений организации БС РФ своевременно предоставлять в службу ИБ предложения по перечню категорий информации, включаемых в каждый из классов информации конфиденциального характера;
– порядок проведения пересмотра перечня категорий информации, включаемых в каждый из классов информации конфиденциального характера, например не реже одного раза в год и (или) при возникновении соответствующих предложений функциональных подразделений организаций БС РФ;
– порядок обязательного ознакомления работников организации БС РФ с перечнем категорий информации, включаемых в каждый из классов информации конфиденциального характера, с документальной фиксацией факта такого ознакомления.
Перечень категорий информации, включаемых в каждый из классов информации конфиденциального характера, рекомендуется устанавливать организационным актом (приказом, распоряжением) организации БС РФ.
В случае использования организацией БС РФ двух классов информации возможно определение только перечня категорий информации, которые включаются в класс “информация конфиденциального характера”. В этом случае любая иная информация классифицируется как “открытая информация”.
Р. 6 п. 1
6.1. Организации БС РФ рекомендуется установить и документировать классификацию обрабатываемой информации. Рекомендуется выделение как минимум двух классов информации, например классов “информация конфиденциального характера” и “открытая информация”. Классификацию рекомендуется проводить на основе оценивания степени тяжести последствий для организации БС РФ от возможных утечек информации конфиденциального характера.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.2.1
A.8.2.1 Категорирование информации
Мера обеспечения информационной безопасности: Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации
Мера обеспечения информационной безопасности: Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.1
CSC 13.1 Maintain an Inventory of Sensitive Information
Maintain an inventory of all sensitive information stored, processed, or transmitted by the organization's technology systems, including those located on-site or at a remote service provider.
Maintain an inventory of all sensitive information stored, processed, or transmitted by the organization's technology systems, including those located on-site or at a remote service provider.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.2
9.4.2
Определенные Требования к Подходу:
Все носители с данными о держателях карт классифицируются в соответствии с конфиденциальностью данных
Цель Индивидуального подхода:
Носители классифицируются и защищаются надлежащим образом.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Все носители с данными о держателях карт классифицируются в соответствии с конфиденциальностью данных
Цель Индивидуального подхода:
Носители классифицируются и защищаются надлежащим образом.
Определенные Процедуры Тестирования Подхода:
- 9.4.2.a Изучите документацию, чтобы убедиться, что определены процедуры классификации носителей с данными о держателях карт в соответствии с конфиденциальностью данных.
- 9.4.2.b Изучите журналы носителей или другую документацию, чтобы убедиться, что все носители классифицированы в соответствии с конфиденциальностью данных.
Цель:
Носители, не идентифицированные как конфиденциальные, могут быть недостаточно защищены или могут быть утеряны или украдены.
Надлежащая практика:
Важно, чтобы носитель был идентифицирован таким образом, чтобы его классификационный статус был очевиден. Однако это не означает, что средства массовой информации должны иметь ярлык “конфиденциально”.
Носители, не идентифицированные как конфиденциальные, могут быть недостаточно защищены или могут быть утеряны или украдены.
Надлежащая практика:
Важно, чтобы носитель был идентифицирован таким образом, чтобы его классификационный статус был очевиден. Однако это не означает, что средства массовой информации должны иметь ярлык “конфиденциально”.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.12
А.5.12 Категорирование информации
Информация должна быть категорирована в соответствии с потребностями ИБ организации на основе требований к ней по конфиденциальности, целостности, доступности, а также соответствующих требований заинтересованных сторон.
Информация должна быть категорирована в соответствии с потребностями ИБ организации на основе требований к ней по конфиденциальности, целостности, доступности, а также соответствующих требований заинтересованных сторон.
NIST Cybersecurity Framework (EN):
ID.AM-5
ID.AM-5: Resources (e.g., hardware, devices, data, time, personnel, and software) are prioritized based on their classification, criticality, and business value
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
8.2.1
8.2.1 Категорирование информации
Мера обеспечения ИБ
Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации.
Руководство по применению
Категорирование информации и связанные с ней меры обеспечения информационной безопасности должны учитывать потребности бизнеса в обмене информацией или ограничении доступа к ней, а также требования законодательства. Прочие активы, не являющиеся информацией, также могут быть категорированы в соответствии с категорированием информации, которая в них хранится, обрабатывается или иным образом преобразуется, или защищается этими активами.
Владельцы информационных активов должны быть ответственными за их категорирование.
Система категорирования должна включать в себя метки категорирования и критерии для пересмотра категорирования по истечении времени. Уровень защиты в системе должен оцениваться путем анализа конфиденциальности, целостности и доступности и любых других требований к рассматриваемой информации. Система должна быть согласована с политикой управления доступом (см. 9.1.1).
Каждому уровню должно быть присвоено наименование, которое имеет смысл в контексте применения этой системы категорирования.
Система должна быть единой для всей организации, чтобы лица, проводящие категорирование информации и связанных с ней активов, выполняли это одинаково, имели общее понимание требований по защите и применяли соответствующие меры по защите.
Категорирование должно быть включено в процессы организации, быть согласованным и единообразным по всей организации. Результаты категорирования должны отражать ценность активов в зависимости от их чувствительности и критичности для организации, например с точки зрения конфиденциальности, целостности и доступности. Результаты категорирования информации должны обновляться в соответствии с изменениями их ценности, чувствительности и критичности в течение всего их жизненного цикла.
Дополнительная информация
Категорирование предоставляет людям, имеющим дело с информацией, краткое указание о том, как обрабатывать информацию и защищать ее. Создание категорий информации с одинаковыми необходимыми мерами по защите и определение процедур ИБ, которые применяются ко всей информации в каждой категории, облегчает эту задачу. Такой подход снижает потребность в оценке рисков и разработке мер обеспечения информационной безопасности в каждом отдельном случае.
Информация может перестать быть чувствительной или критической по истечении некоторого периода времени, например когда она становится общедоступной. Эти аспекты необходимо принимать во внимание, поскольку присвоение более высокой категории может привести к реализации излишних мер обеспечения ИБ и, как следствие, к дополнительным расходам или, наоборот, присвоение более низкой категории может поставить под угрозу достижение бизнес-целей.
Пример системы категорирования по конфиденциальности информации может основываться на следующих четырех уровнях:
- a) раскрытие информации не приведет к ущербу;
- b) раскрытие информации приведет к незначительным затруднениям или незначительным неудобствам в операционной деятельности;
- c) раскрытие информации оказывает значительное кратковременное влияние на операционную деятельность или достижение тактических целей;
- d) раскрытие информации оказывает серьезное влияние на достижение долгосрочных стратегических целей или подвергает риску само существование организации.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 7.6
8.7.6. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающий следующие элементы:
- процедуры измерения показателей качества данных;
- процедуры обоснования, утверждения и корректировки предельно допустимых значений показателей качества данных, критериев оценки качества данных;
- процедуры реагирования на случаи нарушения установленных кредитной организацией (головной кредитной организацией банковской группы) предельно допустимых значений показателей качества данных, критериев оценки качества данных;
- процедуры, правила и периодичность контроля качества данных и формирования отчетов о качестве данных, о проведении мероприятий контроля качества данных;
- процедуры исправления выявленных ошибок в данных и документирования внесенных в них изменений;
- порядок взаимодействия органов управления, подразделений и должностных лиц кредитной организации (головной кредитной организации банковской группы) по вопросам обеспечения качества данных, устанавливающий их полномочия, ответственность, подотчетность и обеспеченность ресурсами, в том числе определяющий в кредитной организации (головной кредитной организации банковской группы) должностное лицо (должностные лица), несущее (несущие) персональную ответственность за обеспечение качества данных в информационных системах;
- порядок и периодичность (не реже одного раза в год) проведения независимой оценки качества данных.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах другие элементы порядка обеспечения качества данных в информационных системах.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
1
13 / 130
|
Нанесение грифа конфиденциальности на файлы (маркировка)
Вручную
Организационная
Техническая
Удерживающая
24.05.2022
|
24.05.2022 | 1 13 / 130 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.