Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

NIST Cybersecurity Framework (RU)

Framework

PR.DS-4

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.4
РОН.4  Обеспечение доступности технических мер обеспечения операционной надежности: 
  • применение отказоустойчивых технических решений; 
  • резервирование аппаратных, программных, аппаратно-программных средств и (или) систем, необходимых для функционирования технических мер обеспечения операционной надежности; 
  • осуществление контроля безотказного функционирования аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности; 
  • принятие регламентированных мер по восстановлению отказавших аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности. 
КОН.5
КОН.5 Контроль безотказного функционирования аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих, реализующих технические меры обеспечения операционной надежности, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и систем, а также их тестирование (проверка). 
КОН.2
 КОН.2 Контроль эксплуатации (в том числе использования по назначению) аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности, включая:
  • контроль назначения ролей, связанных с эксплуатацией аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности;
  • контроль выполнения руководства и (или) порядка по эксплуатации аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности. 
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 7 п. 5 пп. 3 ппп. 1
 7.5.3.1 Организация должна управлять документированной информацией, соответствующей требованиям СМНД и настоящему стандарту для обеспечения: 
  • а) доступности и пригодности ее использования, где и когда это необходимо; 
  • b) надлежащей защиты (например, от потери конфиденциальности, ненадлежащего использования или утраты целостности). 
Р. 10 п. 1 пп. 1
 10.1.1 Организация должна определить возможности улучшения СМНД и осуществить необходимые действия для достижения ожидаемых результатов. 
Р. 7 п. 5 пп. 3 ппп. 2
 7.5.3.2 Для управления документированной информацией организация должка рассмотреть следующие виды действий с документацией: 
  • а) распространение, доступ, поиск и использование; 
  • b) хранение и сохранение, в том числе сохранение разборчивости; 
  • с) управление изменениями (например, управление версиями); 
  • d) хранение и распоряжение (в том числе утилизация). 
Документированная информация внешнего происхождения, необходимая организации для планирования и эксплуатации СМНД должна быть идентифицирована, и при необходимости должна контролироваться.

Примечание — Доступ может подразумевать решение относительно разрешения только на просмотр документированной информации или на просмотр и изменение документированной информации. 
Р. 4 п. 2 пп. 2
 4.2.2 Законодательные и обязательные требования 
Организация должна: 
  • а) разработать и поддерживать процесс идентификации, получения доступа и оценки применимых законодательных и обязательных требований, связанных с непрерывностью производства и поставки продукции и оказания услуг, видов деятельности и ресурсов организации; 
  • b) обеспечить учет при внедрении и функционировании в организации СМНД применимых законодательных. обязательных и других требований; 
  • с) документировать данную информацию и поддерживать ее в актуализированном состоянии. 
Р. 8 п. 4 пп. 3 ппп. 1
 8.4.3.1 Организация должна документировать и поддерживать процедуры: 
  • а) обмена информацией с внутренними и внешними соответствующими заинтересованными сторонами, в том числе о вопросах, сроках и участниках обмена информацией;
 Примечание — Организация может документировать и поддерживать процедуры о способах и условиях обмена информацией с сотрудниками по аварийным контактам. 

  • b) получения, документирования и ответа при обмене информацией с заинтересованными сторонами. включая все государственные или региональные системы консультирования по риску или аналогичные структуры; 
  • с) обеспечения доступности средств связи при нарушении деятельности организации; 
  • d) облегчения структурированного обмена информацией с аварийными службами; 
  • е) предоставления подробной информации об ответных действиях организации в СМИ после инцидента. включая стратегию обмена информацией; 
  • f) записи деталей нарушения деятельности организации, предпринятых действий и принятых решений. 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ОДТ.1 ОДТ.1 Использование отказоустойчивых технических средств
ОДТ.2 ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
ОДТ.3 ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование
ОДТ.4 ОДТ.4 Периодическое резервное копирование персональных данных на резервные машинные носители персональных данных
ОДТ.5 ОДТ.5 Обеспечение возможности восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.17.2.1
A.17.2.1 Доступность средств обработки информации 
Мера обеспечения информационной безопасности: Средства обработки информации должны быть внедрены с учетом резервирования, достаточного для выполнения требований доступности 
A.12.1.3
A.12.1.3 Управление производительностью 
Мера обеспечения информационной безопасности: Необходимо осуществлять мониторинг, корректировку и прогнозирование использования ресурсов, исходя из будущих требований к производительности, для обеспечения требуемой производительности системы 
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ОДТ.2 ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
ОДТ.3 ОДТ.3 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование
ОДТ.6 ОДТ.6 Кластеризация информационной системы и (или) ее сегментов
ОДТ.1 ОДТ.1 Использование отказоустойчивых технических средств
ОДТ.4 ОДТ.4 Периодическое резервное копирование информации на резервные машинные носители информации
ОДТ.5 ОДТ.5 Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течении установленного временного интервала
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.30
А.5.30 Готовность ИКТ к непрерывности бизнеса
Доступность ИКТ должна планироваться, внедряться, поддерживаться и тестироваться на основании целей обеспечения непрерывности бизнеса, а также требований к обеспечению непрерывности ИКТ.
А.8.6
А.8.6 Управление нагрузкой
Использование ресурсов должно быть объектом мониторинга и корректироваться в соответствии с текущими и ожидаемыми потребностями в нагрузке.
А.8.14
А.8.14 Избыточность средств обработки информации
Средства обработки информации должны быть внедрены в избыточном размере, достаточном для удовлетворения требований обеспечения доступности.
Положение Банка России № 808-П от 17.10.2022 "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций":
Глава 2 Пункт 6 Подпункт 1
2.6.1. Технология обработки защищаемой информации, применяемая бюро кредитных историй на всех технологических участках, должна обеспечивать целостность и неизменность защищаемой информации, в том числе путем взаимной (двухсторонней) аутентификации с субъектами взаимодействия средствами вычислительной техники бюро кредитных историй и субъектов взаимодействия.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОДТ.3 ОДТ.3 Контроль безотказного функционирования средств и систем
ОДТ.4 ОДТ.4 Резервное копирование информации
ОДТ.5 ОДТ.5 Обеспечение возможности восстановления информации
ОДТ.2 ОДТ.2 Резервирование средств и систем
ОДТ.6 ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях
ОДТ.7 ОДТ.7 Кластеризация информационной (автоматизированной) системы
ОДТ.1 ОДТ.1 Использование отказоустойчивых технических средств
ОДТ.8 ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи
NIST Cybersecurity Framework (EN):
PR.DS-4 PR.DS-4: Adequate capacity to ensure availability is maintained
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОДТ.1 ОДТ.1 Использование отказоустойчивых технических средств
ОДТ.2
ОДТ.2 Резервирование средств и систем
ОДТ.8
ОДТ.8 Контроль предоставляемых вычислительных ресурсов и каналов связи
ОДТ.7
ОДТ.7 Кластеризация информационной (автоматизированной) системы
ОДТ.4
ОДТ.4 Резервное копирование информации
ОДТ.6
ОДТ.6 Обеспечение возможности восстановления программного обеспечения при нештатных ситуациях
ОДТ.3
ОДТ.3 Контроль безотказного функционирования средств и систем
ОДТ.5
ОДТ.5 Обеспечение возможности восстановления информации
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.6
А.8.6 Capacity management
The use of resources shall be monitored and adjusted in line with current and expected capacity requirements.
А.8.14
А.8.14 Redundancy of information processing facilities
Information processing facilities shall be implemented with redundancy sufficient to meet availability requirements.
А.5.30
А.5.30 ICT readiness for business continuity
ICT readiness shall be planned, implemented, maintained and tested based on business continuity objectives and ICT continuity requirements.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 8.2
8.8.2. Обеспечение условий эксплуатации технических средств элементов информационных систем, а также устройств бесперебойного электропитания, пожаротушения, вентиляции и кондиционирования, резервных цифровых каналов и устройств связи, резервных носителей данных.

Связанные защитные меры

Ничего не найдено