Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Стандарт № ИСО/МЭК 27001:2022(... А.7.5
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022

Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А

А.7.5

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.19
ЖЦ.19 Обеспечение доступности технических мер системы защиты информации АС: 
  • применение отказоустойчивых технических мер; - резервирование технических средств АС, необходимых для функционирования технических мер; 
  • осуществление контроля безотказного функционирования технических мер; 
  • принятие регламентированных мер по восстановлению отказавших технических мер и технических средств АС, необходимых для их функционирования
3-Н 2-Н 1-Т
NIST Cybersecurity Framework (RU):
ID.BE-5
ID.BE-5: Установлены требования к устойчивости для поддержки предоставления критически важных услуг для всех состояний функционирования (например, при атаке, во время восстановления, во время нормального функционирования) 
PR.IP-5
PR.IP-5: Соблюдаются политика и положения физической безопасности для организационных активов 
PR.IP-9
PR.IP-9:  Созданы и управляются планы реагирования (реагирование на инциденты и непрерывность бизнеса) и планы восстановления (восстановление после инцидентов и аварийное  восстановление) 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.1.4
A.11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды 
Мера обеспечения информационной безопасности: Должны быть разработаны и реализованы меры физической защиты от стихийных бедствий, злоумышленных атак или аварий 
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 12 п. 7
12.7. Контрольные ключевые параметры качества сервиса ИБ, вносимые в соглашение, должны быть измеримыми и представляться в виде числовых показателей (метрик). Состав ключевых показателей (ме‑ трик) качества определяется в зависимости от состава предоставляемых сервисов ИБ. Ключевыми пока‑ зателями (метриками) качества сервиса ИБ могут выступать среди прочих:
  • временные показатели (метрики):
    • время реакции на обращение организации БС РФ
  • время, прошедшее с момента поступления и регистрации запроса на обслуживание (сообщение организации БС РФ об инциденте) до фактического начала работ по факту обращения;
    • время закрытия инцидента SLA – время, прошедшее с момента фактического начала работ над инцидентом SLA до его фактического закрытия;
    • время решения инцидента SLA – суммарное время, прошедшее с момента поступления и регистрации обращения до закрытия заявки на обслуживание;
    • максимальное время реакции поставщика услуг – максимальное время, необходимое поставщику услуг при аварийных ситуациях для устранения их последствий;
    • время устранения уязвимости – время, прошедшее с момента обнаружения уязвимости до ее устранения;
  • качественные характеристики:
    • число предотвращенных утечек информации по отношению к общему числу реализованных и предотвращенных утечек информации; 
    • число предотвращенных фишинговых атак по отношению к общему числу реализованных и предотвращенных фишинговых атак;
    • соотношение числа запросов на обслуживание (сообщение организации БС РФ об инциденте) к числу инцидентов SLA; 
    • число повторных инцидентов SLA определенного типа;
    • соотношение найденных и устраненных уязвимостей;
  • качественные метрики:
    • уровень брака – это количественное или процентное выражение количества инцидентов SLA за определенный (отчетный) период времени; 
    • техническое качество – уровень технического качества программно-аппаратного комплекса, используемого для предоставления сервисов ИБ и обеспечивающего гарантию непрерывности предоставления финансовых услуг;
    • удовлетворенность качеством обслуживания – степень соответствия реализации сервиса ИБ потребности организации БС РФ, определяемой на основании опросов, проводимых самостоятельно организацией БС РФ и (или) с привлечением независимой организации;
  • метрики доступности и непрерывности сервисов ИБ:
    • доступность сервисов ИБ организации БС РФ – количество времени или временной промежуток, в котором сервисы ИБ, выполняемые поставщиком услуг, остаются доступными;
    • время восстановления сервисов ИБ в случае прерывания (RTO, Recovery time objective). 
Количество метрик, включаемых в SLA, должно быть достаточным для проведения объективной оценки качества предоставления сервисов ИБ поставщиком услуг. 
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОДТ.0 ОДТ.0 Разработка политики обеспечения доступности
NIST Cybersecurity Framework (EN):
ID.BE-5 ID.BE-5: Resilience requirements to support delivery of critical services are established for all operating states (e.g. under duress/attack, during recovery, normal operations)
PR.IP-5 PR.IP-5: Policy and regulations regarding the physical operating environment for organizational assets are met
PR.IP-9 PR.IP-9: Response plans (Incident Response and Business Continuity) and recovery plans (Incident Recovery and Disaster Recovery) are in place and managed
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
11.1.4
11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды

Мера обеспечения ИБ
Должны быть разработаны и реализованы меры физической защиты от стихийных бедствий, злоумышленных атак или аварий.

Руководство по применению
Следует проконсультироваться со специалистом о том, как избежать ущерба от пожара, наводнения, землетрясения, взрыва и других форм стихийных или техногенных бедствий, а также от общественных беспорядков.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.5
А.7.5 Protecting against physical and environmental threats
Protection against physical and environmental threats, such as natural disasters and other intentional or unintentional physical threats to infrastructure shall be designed and implemented.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.