Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.6.2.1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗУД.12
ЗУД.12 Стирание информации конфиденциального характера с мобильных (переносных) устройств средствами, обеспечивающими полную перезапись данных, при осуществлении вывода мобильных (переносных) устройств из эксплуатации, а также при необходимости их передачи в сторонние организации, между работниками и (или) структурными подразделениями финансовой организации
3-Т 2-Т 1-Т
ЗУД.9
ЗУД.9 Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и мобильных (переносных) устройств в соответствии с установленными правилами и протоколами сетевого взаимодействия
3-Т 2-Т 1-Т
ЗУД.2
ЗУД.2 Аутентификация мобильных (переносных) устройств удаленного доступа
3-Т 2-Т 1-Т
ЗВК.18
ЗВК.18 Входной контроль всех устройств и переносных (отчуждаемых) носителей информации (включая мобильные компьютеры и флеш-накопители) перед их использованием в вычислительных сетях финансовой организации
3-Т 2-Т 1-Т
ЗУД.11
ЗУД.11 Обеспечение защиты мобильных (переносных) устройств от воздействий вредоносного кода
3-Т 2-Т 1-Т
ЗУД.10
ЗУД.10 Применение системы централизованного управления и мониторинга (MDM-системы), реализующей:
  • шифрование и возможность удаленного удаления информации, полученной в результате взаимодействия с информационными ресурсами финансовой организации;
  • аутентификацию пользователей на устройстве доступа;
  • блокировку устройства по истечении определенного промежутка времени неактивности пользователя, требующую выполнения повторной аутентификации пользователя на устройстве доступа;
  • управление обновлениями системного ПО устройств доступа;
  • управление параметрами настроек безопасности системного ПО устройств доступа;
  • управление составом и обновлениями прикладного ПО;
  • невозможность использования мобильного (переносного) устройства в режиме USB-накопителя, а также в режиме отладки;
  • управление ключевой информацией, используемой для организации защищенного сетевого взаимодействия;
  • возможность определения местонахождения устройства доступа;
  • регистрацию смены SIM-карты;
  • запрет переноса информации в облачные хранилища данных, расположенные в общедоступных сетях (например, iCIoud);
  • обеспечение возможности централизованного управления и мониторинга при смене SIM-карты
3-Н 2-Т 1-Т
ЗУД.8
ЗУД.8 Контентный анализ информации, передаваемой мобильными (переносными) устройствами в сеть Интернет с использованием информационной инфраструктуры финансовой организации
3-Н 2-Т 1-Т
ЗУД.6
ЗУД.6 Запрет прямого сетевого взаимодействия мобильных (переносных) устройств доступа и внутренних сетей финансовой организации на уровне выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1
3-Н 2-Т 1-Т
7.9.1
7.9.1 Применяемые финансовой организацией меры по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) устройств должны обеспечивать:
  • защиту информации от раскрытия и модификации при осуществлении удаленного доступа;
  • защиту внутренних вычислительных сетей при осуществлении удаленного доступа;
  • защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.15 УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств
ИАФ.2 ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
Guideline for a healthy information system v.2.0 (EN):
30 STANDARD
/STANDARD
Mobile devices (laptops, tablets and smartphones) are, naturally, exposed to loss and theft. They may contain sensitive information for the organization, locally, and constitute an entry point to wider resources of the information system. Beyond the minimal application of the organization’s security policies, specific security measures for these devices must therefore be provided. 

First and foremost, users’ awareness must be raised to increase their level of vigilance during their trips and keep their devices within sight. Any organization, even a small sized one, may be the victim of a cyberattack. Consequently, when mobile, any device becomes a potential or even favoured target.
 
It is recommended that mobile devices are as ordinary as possible, avoiding any explicit mention of the organization they belong to (by displaying a sticker with the colours of the organization for example). 

To avoid any indiscretion during journeys, especially on public transport or in waiting areas, a privacy filter must be placed on each screen.. 
2 STRENGTHENED
/STRENGTHENED
To strengthen these measures, the creation and signature of an IT resource charter specifying the rules and instructions that must be adhered to by users may be considered. 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.6 CSC 13.6 Encrypt Mobile Device Data
Utilize approved cryptographic mechanisms to protect enterprise data stored on all mobile devices.
Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":
П. 7 п.п. 1
7.1. Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны разработать и утвердить внутренние документы, регламентирующие выполнение следующих процессов (направлений) защиты информации в рамках процессов (направлений) защиты информации, предусмотренных подпунктом 7.1.1 пункта 7.1 раздела 7 ГОСТ Р 57580.1-2017:
  • обеспечение защиты информации при управлении доступом;
  • обеспечение защиты вычислительных сетей;
  • контроль целостности и защищенности информационной инфраструктуры;
  • защита от вредоносного кода;
  • предотвращение утечек информации;
  • управление инцидентами защиты информации;
  • защита среды виртуализации;
  • защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗИС.30 ЗИС.30 Защита мобильных технических средств, применяемых в информационной системе
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.38 ЗИС.38 Защита информации при использовании мобильных устройств
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.38 ЗИС.38 Защита информации при использовании мобильных устройств

Связанные защитные меры

Ничего не найдено