Куда я попал?
NIST Cybersecurity Framework (EN)
Framework
PR.IP-4
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
11.2
11.2 Perform Automated Backups
Perform automated backups of in-scope enterprise assets. Run backups weekly, or more frequently, based on the sensitivity of the data.
Perform automated backups of in-scope enterprise assets. Run backups weekly, or more frequently, based on the sensitivity of the data.
11.5
11.5 Test Data Recovery
Test backup recovery quarterly, or more frequently, for a sampling of in-scope enterprise assets.
Test backup recovery quarterly, or more frequently, for a sampling of in-scope enterprise assets.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 7 п. 5 пп. 3 ппп. 2
7.5.3.2 Для управления документированной информацией организация должка рассмотреть следующие виды действий с документацией:
- а) распространение, доступ, поиск и использование;
- b) хранение и сохранение, в том числе сохранение разборчивости;
- с) управление изменениями (например, управление версиями);
- d) хранение и распоряжение (в том числе утилизация).
Документированная информация внешнего происхождения, необходимая организации для планирования и эксплуатации СМНД должна быть идентифицирована, и при необходимости должна контролироваться.
Примечание — Доступ может подразумевать решение относительно разрешения только на просмотр документированной информации или на просмотр и изменение документированной информации.
Примечание — Доступ может подразумевать решение относительно разрешения только на просмотр документированной информации или на просмотр и изменение документированной информации.
Р. 7 п. 2
7.2 Компетентность
Организация должна:
Организация должна:
- а) определить необходимую компетентность лица (лиц), выполняющего работу по управлению, которая влияет на показатели в области непрерывности деятельности;
- b) обеспечить компетентность этих лиц на основе соответствующего образования, обучения или опыта;
- с) (если применимо), предпринять действия для приобретения необходимой компетенции и оценить результативность предпринятых действий;
- d) хранить соответствующую документированную информацию в качестве доказательства компетентности.
Примечание — Применимые действия могут включать, например, предоставление обучения, наставничество или переназначение работающих сотрудников, наем или заключение контракта с компетентными лицами.
Р. 6 п. 2 пп. 1
6.2.1 Установление целей в области обеспечения непрерывности деятельности
Организация должна установить цели в области обеспечения непрерывности деятельности для соответствующих уровней и подразделений.
Цели в области обеспечения непрерывности деятельности должны:
Организация должна установить цели в области обеспечения непрерывности деятельности для соответствующих уровней и подразделений.
Цели в области обеспечения непрерывности деятельности должны:
- а) соответствовать политике в области обеспечения непрерывности деятельности;
- b) быть измеримыми (если применимо);
- с) учитывать применимые требования (см. 4.1 и 4.2);
- d) быть объектом постоянного мониторинга;
- е) быть объектом обмена информацией с заинтересованными сторонами;
- f) актуализироваться по мере необходимости.
Организация должна хранить документированную информацию о целях в области обеспечения непрерывности деятельности.
Р. 10 п. 1 пп. 3
10.1.3 Организация должна хранить документированную информацию в качестве объективных свидетельств, включающую:
- а) описание несоответствий и последующих предпринятых действий;
- b) результаты корректирующих действий.
Р. 9 п. 3 пп. 3 ппп.2
9.3.3.2 Организация должна хранить документированную информацию в качестве объективных свидетельств результатов анализа со стороны руководства, включая:
- а) обмен информацией о результатах анализа со стороны руководства с заинтересованными сторонами;
- b) выполнение соответствующих действий в отношении полученных результатов.
NIST Cybersecurity Framework (RU):
PR.IP-4
PR.IP-4: Резервные копии данных создаются, хранятся и периодически проверяются
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ОДТ.4
ОДТ.4 Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных
ОДТ.5
ОДТ.5 Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
11.2
11.2 Выполняется автоматическое резервное копирование
Резервные копии создаются раз в неделю или чаще, в зависимости от важности информации.
Резервные копии создаются раз в неделю или чаще, в зависимости от важности информации.
11.5
11.5 Проводится регулярное тестирование процедур восстановления
Тесты проводятся раз в квартал или чаще.
Тесты проводятся раз в квартал или чаще.
Guideline for a healthy information system v.2.0 (EN):
14 STRENGTHENED
/STRENGTHENED
Data vital to the proper business of the organization that is held on users’ devices and servers must be subject to regular backups and stored on disconnected devices, and its restoration must be tested periodically. An increasing number of small organisations are subject to attacks which make their data unavailable (for example demanding, in exchange for returning the data, the payment of a significant amount of money (ransomware)).
Data vital to the proper business of the organization that is held on users’ devices and servers must be subject to regular backups and stored on disconnected devices, and its restoration must be tested periodically. An increasing number of small organisations are subject to attacks which make their data unavailable (for example demanding, in exchange for returning the data, the payment of a significant amount of money (ransomware)).
37 STANDARD
/STANDARD
Following an exploitation incident or in the context of managing an intrusion, the availability of backups, saved in a safe place, is essential to continue the activity. Formalising a regularly updated backup policy is therefore highly recommended. This aims to define the requirements in terms of backing up information, software and systems.
This policy must, at least, integrate the following elements:
Following an exploitation incident or in the context of managing an intrusion, the availability of backups, saved in a safe place, is essential to continue the activity. Formalising a regularly updated backup policy is therefore highly recommended. This aims to define the requirements in terms of backing up information, software and systems.
This policy must, at least, integrate the following elements:
- the list of data judged vital for the organization and the servers concerned;
- the different types of backup (for example the offline mode);
- the frequency of backups;
- the administration and backup execution procedure;
- the storage information and the access restrictions to backups;
- the testing and restoration procedures; > the destruction of media that contained backups.
The restoration tests may be carried out in several ways:
- systematic, through a task scheduler for important applications;
- one-off, in the event of an error in files;
- general, for complete backup and restoration of the information system.
37 STRENGTHENED
/STRENGTHENED
Once this backup policy has been established, it is desirable to plan, at least once per year, a data restoration exercise and to keep a technical log of the results.
Once this backup policy has been established, it is desirable to plan, at least once per year, a data restoration exercise and to keep a technical log of the results.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.17.1.2
A.17.1.2 Реализация непрерывности информационной безопасности
Мера обеспечения информационной безопасности: Организация должна устанавливать, документировать, реализовывать и поддерживать процессы, процедуры, а также меры обеспечения требуемого уровня непрерывности информационной безопасности при неблагоприятных ситуациях
Мера обеспечения информационной безопасности: Организация должна устанавливать, документировать, реализовывать и поддерживать процессы, процедуры, а также меры обеспечения требуемого уровня непрерывности информационной безопасности при неблагоприятных ситуациях
A.12.3.1
A.12.3.1 Резервное копирование информации
Мера обеспечения информационной безопасности: В соответствии с политикой резервирования следует регулярно создавать и проверять резервные копии информации, программного обеспечения и образов системы
Мера обеспечения информационной безопасности: В соответствии с политикой резервирования следует регулярно создавать и проверять резервные копии информации, программного обеспечения и образов системы
A.17.1.3
A.17.1.3 Проверка, анализ и оценивание непрерывности информационной безопасности
Мера обеспечения информационной безопасности: Организация должна регулярно проверять установленные и реализованные меры обеспечения непрерывности информационной безопасности, чтобы обеспечить уверенность в их актуальности и эффективности при возникновении неблагоприятных ситуаций
Мера обеспечения информационной безопасности: Организация должна регулярно проверять установленные и реализованные меры обеспечения непрерывности информационной безопасности, чтобы обеспечить уверенность в их актуальности и эффективности при возникновении неблагоприятных ситуаций
A.18.1.3
A.18.1.3 Защита записей
Мера обеспечения информационной безопасности: Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа и разглашения, в соответствии с правовыми, регулятивными, договорными и бизнес-требованиями
Мера обеспечения информационной безопасности: Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа и разглашения, в соответствии с правовыми, регулятивными, договорными и бизнес-требованиями
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 10.3
CSC 10.3 Test Data on Backup Media
CSC 10.1
CSC 10.1 Ensure Regular Automated BackUps
Ensure that all system data is automatically backed up on a regular basis.
Ensure that all system data is automatically backed up on a regular basis.
CSC 10.2
CSC 10.2 Perform Complete System Backups
Ensure that all of the organization's key systems are backed up as a complete system, through processes such as imaging, to enable the quick recovery of an entire system.
Ensure that all of the organization's key systems are backed up as a complete system, through processes such as imaging, to enable the quick recovery of an entire system.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ОДТ.4
ОДТ.4 Периодическое резервное копирование информации на резервные машинные носители информации
ОДТ.5
ОДТ.5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала
Strategies to Mitigate Cyber Security Incidents (EN):
4.1.
Regular backups of important new/changed data, software and configuration settings, stored disconnected, retained for at least three months. Test restoration initially, annually and when IT infrastructure changes.
Relative Security Effectiveness: Essential | Potential User Resistance: Low | Upfront Cost: High | Ongoing Maintenance Cost: High
Relative Security Effectiveness: Essential | Potential User Resistance: Low | Upfront Cost: High | Ongoing Maintenance Cost: High
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.13
А.8.13 Резервное копирование информации
Резервные копии информации, программного обеспечения и систем должны поддерживаться и регулярно тестироваться в соответствии с согласованной специфической тематической политикой по резервному копированию.
Резервные копии информации, программного обеспечения и систем должны поддерживаться и регулярно тестироваться в соответствии с согласованной специфической тематической политикой по резервному копированию.
Положение Банка России № 808-П от 17.10.2022 "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций":
Глава 2 Пункт 10
2.10. Бюро кредитных историй должны:
- хранить защищаемую информацию, информацию о регистрации данных, указанных в пункте 2.7 настоящего Положения, и информацию об инцидентах защиты информации;
- обеспечивать целостность и доступность защищаемой информации, информации о регистрации данных, указанных в пункте 2.7 настоящего Положения, и информации об инцидентах защиты информации в течение пяти лет с даты ее формирования бюро кредитных историй (даты поступления в бюро кредитных историй), а в случае если законодательством Российской Федерации, регулирующим деятельность бюро кредитных историй, установлен иной срок - на срок, установленный законодательством Российской Федерации, регулирующим деятельность бюро кредитных историй.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОДТ.4
ОДТ.4 Резервное копирование информации
ОДТ.5
ОДТ.5 Обеспечение возможности восстановления информации
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОДТ.4
ОДТ.4 Резервное копирование информации
ОДТ.5
ОДТ.5 Обеспечение возможности восстановления информации
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.13
А.8.13 Information backup
Backup copies of information, software and systems shall be maintained and regularly tested in accordance with the agreed topic-specific policy on backup.
Backup copies of information, software and systems shall be maintained and regularly tested in accordance with the agreed topic-specific policy on backup.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 8.3
8.8.3. Регулярное (не реже одного раза в день) резервное копирование данных критически важных процессов на резервные технические средства, размещенные не в тех зданиях, в которых размещены действующие технические средства, обеспечивающие функционирование информационных систем в текущем рабочем режиме. Кредитная организация (головная кредитная организация банковской группы) обеспечивает надежность функционирования резервных технических средств, в том числе соблюдение требования подпункта 8.8.2 настоящего пункта, режима охраны и доступа.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
1
13 / 43
|
Резервное копирование документов с ПК
Автоматически
Техническая
Восстановительная
Компенсирующая
20.06.2022
|
20.06.2022 | 1 13 / 43 | |
|
Community
2
18 / 53
|
Дополнительное автономное (оффлайн) хранилище резервных копий
Вручную
Техническая
Физическая
Восстановительная
23.08.2021
|
23.08.2021 | 2 18 / 53 | |
|
Community
1
9 / 70
|
Резервное копирование и архивирование конфигураций сетевого оборудования
Автоматически
Восстановительная
26.07.2021
|
26.07.2021 | 1 9 / 70 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.