Куда я попал?
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022
Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А
А.5.13
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 1
7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.
Р. 8 п. 3 п.п. 2
8.3.2. В организации БС РФ должны быть установлены критерии отнесения конкретных информационных активов к одному или нескольким типам информационных активов.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.2
9.4.2
Defined Approach Requirements:
All media with cardholder data is classified in accordance with the sensitivity of the data
Customized Approach Objective:
Media are classified and protected appropriately.
Defined Approach Testing Procedures:
Defined Approach Requirements:
All media with cardholder data is classified in accordance with the sensitivity of the data
Customized Approach Objective:
Media are classified and protected appropriately.
Defined Approach Testing Procedures:
- 9.4.2.a Examine documentation to verify that procedures are defined for classifying media with cardholder data in accordance with the sensitivity of the data.
- 9.4.2.b Examine media logs or other documentation to verify that all media is classified in accordance with the sensitivity of the data.
Purpose:
Media not identified as confidential may not be adequately protected or may be lost or stolen.
Good Practice:
It is important that media be identified such that its classification status is apparent. This does not mean however that the media needs to have a “confidential” label.
Media not identified as confidential may not be adequately protected or may be lost or stolen.
Good Practice:
It is important that media be identified such that its classification status is apparent. This does not mean however that the media needs to have a “confidential” label.
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 7 п. 2
7.2. В качестве типов информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие типы:
– базы данных;
– сетевые файловые ресурсы;
– виртуальные машины, предназначенные для размещения серверных компонентов автоматизированных банковских систем (далее – АБС);
– виртуальные машины, предназначенные для размещения автоматизированных рабочих мест пользователей и эксплуатирующего персонала;
– ресурсы доступа, относящиеся к сервисам электронной почты;
– ресурсы доступа, относящиеся к web-сервисам информационно-телекоммуникационной сети “Интернет” (далее – сети Интернет).
– базы данных;
– сетевые файловые ресурсы;
– виртуальные машины, предназначенные для размещения серверных компонентов автоматизированных банковских систем (далее – АБС);
– виртуальные машины, предназначенные для размещения автоматизированных рабочих мест пользователей и эксплуатирующего персонала;
– ресурсы доступа, относящиеся к сервисам электронной почты;
– ресурсы доступа, относящиеся к web-сервисам информационно-телекоммуникационной сети “Интернет” (далее – сети Интернет).
Р. 7 п. 1
7.1. Организации БС РФ рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В составе правил идентификации и учета информационных активов и объектов среды информационных активов рекомендуется определить:
– перечень типов информационных активов и объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), подлежащих идентификации и учету;
– состав учетных данных, хранимых для каждого информационного актива и объекта среды информационного актива;
– обязанность подразделений информатизации и (или) функциональных подразделений организации БС РФ осуществлять идентификацию и учет информационных активов и объектов среды информационных активов; – способы выполнения подразделениями информатизации и (или) функциональных подразделений организации БС РФ идентификации и учета информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и учета;
– обязанность службы ИБ организации БС РФ осуществлять контроль соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным;
– способы выполнения службой ИБ контроля фактического состава информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и контроля;
– правила размещения и (или) запрета размещения информационных активов разных классов информации конфиденциального характера на одном объекте среды информационных активов;
– правила идентификации и учета работниками организации БС РФ носителей информации конфиденциального характера;
– правила обработки работниками организации БС РФ информации конфиденциального характера на бумажных и переносных носителях информации.
– перечень типов информационных активов и объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), подлежащих идентификации и учету;
– состав учетных данных, хранимых для каждого информационного актива и объекта среды информационного актива;
– обязанность подразделений информатизации и (или) функциональных подразделений организации БС РФ осуществлять идентификацию и учет информационных активов и объектов среды информационных активов; – способы выполнения подразделениями информатизации и (или) функциональных подразделений организации БС РФ идентификации и учета информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и учета;
– обязанность службы ИБ организации БС РФ осуществлять контроль соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным;
– способы выполнения службой ИБ контроля фактического состава информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и контроля;
– правила размещения и (или) запрета размещения информационных активов разных классов информации конфиденциального характера на одном объекте среды информационных активов;
– правила идентификации и учета работниками организации БС РФ носителей информации конфиденциального характера;
– правила обработки работниками организации БС РФ информации конфиденциального характера на бумажных и переносных носителях информации.
Р. 6 п. 3
6.3. При формировании перечня категорий информации, включаемых в класс “информация конфиденциального характера”, следует как минимум рассматривать следующую информацию:
– информация, для которой свойство конфиденциальности обеспечивается в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России:
– информация, для которой свойство конфиденциальности обеспечивается в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России:
- банковская тайна;
- персональные данные;
- информация, защищаемая в соответствии с законодательством о национальной платежной системе;
- инсайдерская информация (за исключением коммерческой и банковской тайн);
- информация, входящая в состав кредитной истории;
- иная информация, доступ к которой ограничен в соответствии с законодательством Российской Федерации, в том числе нормативными актами Банка России;
– информация, для которой свойство конфиденциальности обеспечивается в соответствии с требованиями внутренних документов организации БС РФ, устанавливаемых среди прочего в соответствии с законодательством о коммерческой тайне, в том числе, например:
- информация об управлении организацией;
- информация о планировании коммерческой деятельности организации;
- информация о финансовом состоянии организации;
- информация об автоматизации деятельности организации;
- информация организационного характера;
- информация об обеспечении безопасности и защиты информации организации.
Р. 7 п. 7
7.7. Организации БС РФ рекомендуется документировать и обеспечить выполнение работниками правил обработки информации конфиденциального характера на бумажных и переносных носителях информации, предусматривающих среди прочего:
– правила маркировки носителей информации, в том числе бумажных, выполняемой с целью определения класса информации конфиденциального характера;
– правила отнесения информации к конкретным классам информации конфиденциального характера на основе утвержденных перечней категорий информации, включаемых в каждый из классов информации конфиденциального характера;
– правила учета и хранения бумажных и переносных носителей информации, требования к организации доступа к ним;
– правила передачи бумажных и переносных носителей информации, в том числе передачи третьем лицам;
– правила использования переносных носителей информации за пределами объектов организации БС РФ;
– правила безопасного уничтожения бумажных и переносных носителей информации и удаления информации с переносных носителей информации, правила взаимодействия с архивной службой организации БС РФ.
– правила маркировки носителей информации, в том числе бумажных, выполняемой с целью определения класса информации конфиденциального характера;
– правила отнесения информации к конкретным классам информации конфиденциального характера на основе утвержденных перечней категорий информации, включаемых в каждый из классов информации конфиденциального характера;
– правила учета и хранения бумажных и переносных носителей информации, требования к организации доступа к ним;
– правила передачи бумажных и переносных носителей информации, в том числе передачи третьем лицам;
– правила использования переносных носителей информации за пределами объектов организации БС РФ;
– правила безопасного уничтожения бумажных и переносных носителей информации и удаления информации с переносных носителей информации, правила взаимодействия с архивной службой организации БС РФ.
Р. 6 п. 2
6.2. Организации БС РФ рекомендуется обеспечить документирование и выполнение правил установления перечня категорий информации, включаемых в каждый из классов информации конфиденциального характера. В составе правил установления перечня категорий информации рекомендуется определить:
– обязанность отдельного подразделения, например службы ИБ, организации БС РФ составлять и вести перечень категорий информации для каждого из классов информации конфиденциального характера на основе предложений, формируемых функциональными подразделениями организации БС РФ, в компетенцию которых входит определение целей и правил создания, обработки и (или) сбора соответствующей информации конфиденциального характера;
– обязанность функциональных подразделений организации БС РФ своевременно предоставлять в службу ИБ предложения по перечню категорий информации, включаемых в каждый из классов информации конфиденциального характера;
– порядок проведения пересмотра перечня категорий информации, включаемых в каждый из классов информации конфиденциального характера, например не реже одного раза в год и (или) при возникновении соответствующих предложений функциональных подразделений организаций БС РФ;
– порядок обязательного ознакомления работников организации БС РФ с перечнем категорий информации, включаемых в каждый из классов информации конфиденциального характера, с документальной фиксацией факта такого ознакомления.
Перечень категорий информации, включаемых в каждый из классов информации конфиденциального характера, рекомендуется устанавливать организационным актом (приказом, распоряжением) организации БС РФ.
В случае использования организацией БС РФ двух классов информации возможно определение только перечня категорий информации, которые включаются в класс “информация конфиденциального характера”. В этом случае любая иная информация классифицируется как “открытая информация”.
– обязанность отдельного подразделения, например службы ИБ, организации БС РФ составлять и вести перечень категорий информации для каждого из классов информации конфиденциального характера на основе предложений, формируемых функциональными подразделениями организации БС РФ, в компетенцию которых входит определение целей и правил создания, обработки и (или) сбора соответствующей информации конфиденциального характера;
– обязанность функциональных подразделений организации БС РФ своевременно предоставлять в службу ИБ предложения по перечню категорий информации, включаемых в каждый из классов информации конфиденциального характера;
– порядок проведения пересмотра перечня категорий информации, включаемых в каждый из классов информации конфиденциального характера, например не реже одного раза в год и (или) при возникновении соответствующих предложений функциональных подразделений организаций БС РФ;
– порядок обязательного ознакомления работников организации БС РФ с перечнем категорий информации, включаемых в каждый из классов информации конфиденциального характера, с документальной фиксацией факта такого ознакомления.
Перечень категорий информации, включаемых в каждый из классов информации конфиденциального характера, рекомендуется устанавливать организационным актом (приказом, распоряжением) организации БС РФ.
В случае использования организацией БС РФ двух классов информации возможно определение только перечня категорий информации, которые включаются в класс “информация конфиденциального характера”. В этом случае любая иная информация классифицируется как “открытая информация”.
Р. 6 п. 1
6.1. Организации БС РФ рекомендуется установить и документировать классификацию обрабатываемой информации. Рекомендуется выделение как минимум двух классов информации, например классов “информация конфиденциального характера” и “открытая информация”. Классификацию рекомендуется проводить на основе оценивания степени тяжести последствий для организации БС РФ от возможных утечек информации конфиденциального характера.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.2.2
A.8.2.2 Маркировка информации
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.2
9.4.2
Определенные Требования к Подходу:
Все носители с данными о держателях карт классифицируются в соответствии с конфиденциальностью данных
Цель Индивидуального подхода:
Носители классифицируются и защищаются надлежащим образом.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Все носители с данными о держателях карт классифицируются в соответствии с конфиденциальностью данных
Цель Индивидуального подхода:
Носители классифицируются и защищаются надлежащим образом.
Определенные Процедуры Тестирования Подхода:
- 9.4.2.a Изучите документацию, чтобы убедиться, что определены процедуры классификации носителей с данными о держателях карт в соответствии с конфиденциальностью данных.
- 9.4.2.b Изучите журналы носителей или другую документацию, чтобы убедиться, что все носители классифицированы в соответствии с конфиденциальностью данных.
Цель:
Носители, не идентифицированные как конфиденциальные, могут быть недостаточно защищены или могут быть утеряны или украдены.
Надлежащая практика:
Важно, чтобы носитель был идентифицирован таким образом, чтобы его классификационный статус был очевиден. Однако это не означает, что средства массовой информации должны иметь ярлык “конфиденциально”.
Носители, не идентифицированные как конфиденциальные, могут быть недостаточно защищены или могут быть утеряны или украдены.
Надлежащая практика:
Важно, чтобы носитель был идентифицирован таким образом, чтобы его классификационный статус был очевиден. Однако это не означает, что средства массовой информации должны иметь ярлык “конфиденциально”.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
8.2.2
8.2.2 Маркировка информации
Мера обеспечения ИБ
Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации.
Руководство по применению
Необходимо, чтобы процедуры маркировки информации охватывали информационные активы, представленные как в физической, так и в электронной форме. Маркировка должна соответствовать системе категорирования, установленной в 8.2.1. Маркировка должна легко распознаваться. Процедуры должны содержать указания относительно того, где и как размещается маркировка, с учетом того, каким образом осуществляется доступ к информации или каким образом обрабатываются активы, в зависимости от типов носителей. Процедуры могут определять случаи, когда маркировкой можно пренебречь, например для снижения рабочей загруженности можно пренебречь маркировкой неконфиденциальной информации. Работники и подрядчики должны быть ознакомлены с процедурами маркировки информации.
Результаты, формируемые системами, содержащими информацию ограниченного доступа, должны иметь соответствующую маркировку по категориям.
Дополнительная информация
Маркировка конфиденциальной информации является ключевым требованием для мероприятий по обмену информацией. Физические метки и метаданные являются наиболее распространенными формами меток.
Маркировка информации и связанных с ней активов иногда может иметь негативные последствия. Конфиденциальные активы легче идентифицировать и соответственно украсть внутреннему или внешнему злоумышленнику.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.13
А.5.13 Labelling of information
An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.
An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 7.6
8.7.6. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающий следующие элементы:
- процедуры измерения показателей качества данных;
- процедуры обоснования, утверждения и корректировки предельно допустимых значений показателей качества данных, критериев оценки качества данных;
- процедуры реагирования на случаи нарушения установленных кредитной организацией (головной кредитной организацией банковской группы) предельно допустимых значений показателей качества данных, критериев оценки качества данных;
- процедуры, правила и периодичность контроля качества данных и формирования отчетов о качестве данных, о проведении мероприятий контроля качества данных;
- процедуры исправления выявленных ошибок в данных и документирования внесенных в них изменений;
- порядок взаимодействия органов управления, подразделений и должностных лиц кредитной организации (головной кредитной организации банковской группы) по вопросам обеспечения качества данных, устанавливающий их полномочия, ответственность, подотчетность и обеспеченность ресурсами, в том числе определяющий в кредитной организации (головной кредитной организации банковской группы) должностное лицо (должностные лица), несущее (несущие) персональную ответственность за обеспечение качества данных в информационных системах;
- порядок и периодичность (не реже одного раза в год) проведения независимой оценки качества данных.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах другие элементы порядка обеспечения качества данных в информационных системах.
Глава 8. Пункт 7.5
8.7.5. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах методику обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающую следующие элементы:
- классификатор возможных источников и причин образования в информационных системах данных, не соответствующих требованиям к качеству данных в информационных системах;
- показатели (индикаторы) качества данных для оценки характеристик качества данных, разрабатываемые кредитной организацией (головной кредитной организацией банковской группы) для различных информационных систем;
- методы и алгоритмы расчета, правила измерения показателей качества данных, в том числе с использованием контрольных выборок данных;
- критерии оценки качества данных.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах другие элементы методики обеспечения качества данных в информационных системах.
Кредитная организация (головная кредитная организация банковской группы) применяет элементы методики обеспечения качества данных с учетом особенностей конкретных данных, в том числе методов и процедур их фиксирования, хранения и преобразования, а также их типов и форматов.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
1
13 / 130
|
Нанесение грифа конфиденциальности на файлы (маркировка)
Вручную
Организационная
Техническая
Удерживающая
24.05.2022
|
24.05.2022 | 1 13 / 130 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.