Куда я попал?
Положение Банка России № 787-П от 12.01.2022
Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг
п. 6. п.п. 1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
6.1. Кредитные организации должны обеспечивать организацию учета и контроля состава следующих элементов (далее при совместном упоминании - критичная архитектура):
- технологических процессов, реализуемых непосредственно кредитной организацией;
- подразделений (работников) кредитной организации, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов (далее - подразделения кредитной организации);
- объектов информационной инфраструктуры кредитной организации, задействованных при выполнении каждого технологического процесса;
- технологических участков технологических процессов, установленных в абзацах втором - шестом подпункта 5.2 пункта 5 Положения Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее соответственно - Положение Банка России N 683-П, технологические участки технологических процессов);
- технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий;
- работников кредитных организаций или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса;
- взаимосвязей и взаимозависимостей кредитной организации с иными кредитными организациями, некредитными финансовыми организациями, поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов (далее при совместном упоминании - участники технологического процесса);
- каналов передачи защищаемой информации, установленной в абзацах первом - пятом пункта 1 Положения Банка России N 683-П, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.
В целях организации учета и контроля состава технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации должны обеспечивать ведение отдельного реестра в соответствии с внутренними документами.Кредитные организации в отношении элементов, указанных в подпункте 6.1 настоящего пункта, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон от 26 июля 2017 года N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ 7.
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
ПОН.7
ПОН.7 Определение состава, подходов и требований к организации ресурсного обеспечения процесса обеспечения операционной надежности, в том числе технологического, технического и кадрового обеспечения*.
CIS Critical Security Controls v8 (The 18 CIS CSC):
1.1
1.1 Establish and Maintain Detailed Enterprise Asset Inventory
Establish and maintain an accurate, detailed, and up-to-date inventory of all enterprise assets with the potential to store or process data, to include: end-user devices (including portable and mobile), network devices, noncomputing/IoT devices, and servers. Ensure the inventory records the network address (if static), hardware address, machine name, enterprise asset owner, department for each asset, and whether the asset has been approved to connect to the network. For mobile end-user devices, MDM type tools can support this process, where appropriate. This inventory includes assets connected to the infrastructure physically, virtually, remotely, and those within cloud environments. Additionally, it includes assets that are regularly connected to the enterprise’s network infrastructure, even if they are not under control of the enterprise. Review and update the inventory of all enterprise assets bi-annually, or more frequently.
Establish and maintain an accurate, detailed, and up-to-date inventory of all enterprise assets with the potential to store or process data, to include: end-user devices (including portable and mobile), network devices, noncomputing/IoT devices, and servers. Ensure the inventory records the network address (if static), hardware address, machine name, enterprise asset owner, department for each asset, and whether the asset has been approved to connect to the network. For mobile end-user devices, MDM type tools can support this process, where appropriate. This inventory includes assets connected to the infrastructure physically, virtually, remotely, and those within cloud environments. Additionally, it includes assets that are regularly connected to the enterprise’s network infrastructure, even if they are not under control of the enterprise. Review and update the inventory of all enterprise assets bi-annually, or more frequently.
NIST Cybersecurity Framework (RU):
ID.AM-1
ID.AM-1: В организации инвентаризированы системы и физическое оборудование
ID.AM-2
ID.AM-2: В организации инвентаризированы программные платформы и приложения
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
УИ.8
УИ.8 Определение субъектов доступа, обладающих полномочиями для внесения изменений в критичную архитектуру в целях предоставления соответствующих прав доступа к объектам информатизации.
ИКА.1.6
ИКА.1.6 Субъектов доступа, задействованных при выполнении каждого бизнес- и технологического процесса;
ИКА.1.3
ИКА.1.3 Подразделений финансовой организации, ответственных за разработку бизнес- и технологических процессов, поддержание их реализации бизнес- и технологических процессов;
ИКА.1.1
ИКА.1.1 Бизнес- и технологических процессов**, реализуемых непосредственно финансовой организацией;
ИКА.1.5
ИКА.1.5 Объектов информатизации (прикладного и инфраструктурного уровней) финансовой организации, задействованных при выполнении каждого бизнес- и технологического процесса, в том числе их конфигураций;
ИКА.12.2
ИКА.12.2 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.4 и ИКА.1.7.
УИ.13
УИ.13 Определение области применения процесса управления изменениями в части управления конфигурациями, включающей определение:
- настраиваемых объектов информатизации* и устанавливаемых настроек**;
- настраиваемых функций, портов, протоколов (включая протоколы удаленного доступа), служб (сервисов) для настраиваемых объектов информатизации;
- состава ПО (в том числе прикладного ПО и приложений) на автоматизированных рабочих местах работников финансовой организации;
- объектов информатизации, для которых невозможно обеспечить централизованную установку, применение и контроль внутренних стандартов конфигурирования объектов информатизации (стандартов конфигурирования);
- состава используемых сервисов поставщиков облачных услуг (в случае наличия возможности определить состав таких сервисов).
ИКА.12.4
ИКА.12.4 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерой ИКА.1.8.
ИКА.12.1
ИКА.12.1 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.1- ИКА.1.3.
ИКА.1.7
ИКА.1.7 Взаимосвязей и взаимозависимостей между финансовой организацией и причастными сторонами (за исключением клиентов финансовой организации) в рамках выполнения бизнес- и технологических процессов, в том числе взаимосвязей и взаимозависимостей между задействованными при этом объектами информатизации;
ИКА.1.4
ИКА.1.4 Технологических операций (участков) в рамках каждого бизнес- и технологического процесса;
ИКА.12.3
ИКА.12.3 Контроль состава критичных активов (элементов критичной архитектуры), учет которых предусмотрен мерами ИКА.1.5 и ИКА.1.6.
ИКА.1.2
ИКА.1.2 Бизнес- и технологических процессов, технологических операций (участков), реализуемых поставщиками услуг (переданных на аутсорсинг и (или) выполняемых с применением сторонних информационных сервисов, предоставляемых поставщиками услуг);
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
1.1
1.1 Создан и поддерживается детальный реестр устройств предприятия
Список включает все оборудование, которое может хранить или обрабатывать корпоративные данные: конечные пользовательские устройства, включая мобильные и портативные, сетевое оборудование, устройства IoT и серверы, в том числе облачные.
В реестр записаны все устройства, которые регулярно подключаются к корпоративной сетевой инфраструктуре физически, удаленно или виртуально, даже если они не контролируются организацией.
Записи реестра содержат сетевой адрес (если он статический), аппаратный адрес, имя машины, ее владельца, подразделение и разрешение на подключение к сети. Для мобильных конечных устройств собрать эту информацию помогают инструменты типа MDM.
Реестр пересматривается и обновляется каждые полгода или чаще.
Список включает все оборудование, которое может хранить или обрабатывать корпоративные данные: конечные пользовательские устройства, включая мобильные и портативные, сетевое оборудование, устройства IoT и серверы, в том числе облачные.
В реестр записаны все устройства, которые регулярно подключаются к корпоративной сетевой инфраструктуре физически, удаленно или виртуально, даже если они не контролируются организацией.
Записи реестра содержат сетевой адрес (если он статический), аппаратный адрес, имя машины, ее владельца, подразделение и разрешение на подключение к сети. Для мобильных конечных устройств собрать эту информацию помогают инструменты типа MDM.
Реестр пересматривается и обновляется каждые полгода или чаще.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.5.1
12.5.1
Defined Approach Requirements:
An inventory of system components that are in scope for PCI DSS, including a description of function/use, is maintained and kept current.
Customized Approach Objective:
All system components in scope for PCI DSS are identified and known.
Defined Approach Testing Procedures:
Defined Approach Requirements:
An inventory of system components that are in scope for PCI DSS, including a description of function/use, is maintained and kept current.
Customized Approach Objective:
All system components in scope for PCI DSS are identified and known.
Defined Approach Testing Procedures:
- 12.5.1.a Examine the inventory to verify it includes all in-scope system components and a description of function/use for each. 12.5.1.b Interview personnel to verify the inventory is kept current.
Purpose:
Maintaining a current list of all system components will enable an organization to define the scope of its environment and implement PCI DSS requirements accurately and efficiently. Without an inventory, some system components could be overlooked and be inadvertently excluded from the organization’s configuration standards
Good Practice:
If an entity keeps an inventory of all assets, those system components in scope for PCI DSS should be clearly identifiable among the other assets.
Inventories should include containers or images that may be instantiated.
Assigning an owner to the inventory helps to ensure the inventory stays current.
Examples:
Methods to maintain an inventory include as a database, as a series of files, or in an inventorymanagement tool.
Maintaining a current list of all system components will enable an organization to define the scope of its environment and implement PCI DSS requirements accurately and efficiently. Without an inventory, some system components could be overlooked and be inadvertently excluded from the organization’s configuration standards
Good Practice:
If an entity keeps an inventory of all assets, those system components in scope for PCI DSS should be clearly identifiable among the other assets.
Inventories should include containers or images that may be instantiated.
Assigning an owner to the inventory helps to ensure the inventory stays current.
Examples:
Methods to maintain an inventory include as a database, as a series of files, or in an inventorymanagement tool.
Requirement 9.4.5
9.4.5
Defined Approach Requirements:
Inventory logs of all electronic media with cardholder data are maintained.
Customized Approach Objective:
Accurate inventories of stored electronic media are maintained.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Inventory logs of all electronic media with cardholder data are maintained.
Customized Approach Objective:
Accurate inventories of stored electronic media are maintained.
Defined Approach Testing Procedures:
- 9.4.5.a Examine documentation to verify that procedures are defined to maintain electronic media inventory logs.
- 9.4.5.b Examine electronic media inventory logs and interview responsible personnel to verify that logs are maintained.
Purpose:
Without careful inventory methods and storage controls, stolen or missing electronic media could go unnoticed for an indefinite amount of time.
Without careful inventory methods and storage controls, stolen or missing electronic media could go unnoticed for an indefinite amount of time.
Requirement 9.4.5.1
9.4.5.1
Defined Approach Requirements:
Inventories of electronic media with cardholder data are conducted at least once every 12 months.
Customized Approach Objective:
Media inventories are verified periodically.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Inventories of electronic media with cardholder data are conducted at least once every 12 months.
Customized Approach Objective:
Media inventories are verified periodically.
Defined Approach Testing Procedures:
- 9.4.5.1.a Examine documentation to verify that procedures are defined to conduct inventories of electronic media with cardholder data at least once every 12 months.
- 9.4.5.1.b Examine electronic media inventory logs and interview personnel to verify that electronic media inventories are performed at least once every 12 months.
Purpose:
Without careful inventory methods and storage controls, stolen or missing electronic media could go unnoticed for an indefinite amount of time.
Without careful inventory methods and storage controls, stolen or missing electronic media could go unnoticed for an indefinite amount of time.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.1.1
A.8.1.1 Инвентаризация активов
Мера обеспечения информационной безопасности: Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов (Пункт А.8.1.1 приведен с учетом технической правки 1 к ISO/IEC 27001:2013)
Мера обеспечения информационной безопасности: Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов (Пункт А.8.1.1 приведен с учетом технической правки 1 к ISO/IEC 27001:2013)
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 1.4
CSC 1.4 Maintain Detailed Asset Inventory
Maintain an accurate and up-to-date inventory of all technology assets with the potential to store or process information. This inventory shall include all hardware assets, whether connected to the organization's network or not.
Maintain an accurate and up-to-date inventory of all technology assets with the potential to store or process information. This inventory shall include all hardware assets, whether connected to the organization's network or not.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.5.1
12.5.1
Определенные Требования к Подходу:
Ведется и поддерживается в актуальном состоянии перечень системных компонентов, подпадающих под действие стандарта PCI DSS, включая описание функций/использования.
Цель Индивидуального подхода:
Все системные компоненты, подпадающие под действие стандарта PCI DSS, идентифицированы и известны.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Ведется и поддерживается в актуальном состоянии перечень системных компонентов, подпадающих под действие стандарта PCI DSS, включая описание функций/использования.
Цель Индивидуального подхода:
Все системные компоненты, подпадающие под действие стандарта PCI DSS, идентифицированы и известны.
Определенные Процедуры Тестирования Подхода:
- 12.5.1.a Изучите перечень, чтобы убедиться, что он включает все компоненты системы, входящие в комплект поставки, и описание функций/использования для каждого из них. 12.5.1.b Опросите персонал, чтобы убедиться, что инвентаризация ведется в актуальном состоянии.
Цель:
Ведение текущего списка всех компонентов системы позволит организации определить область применения своей среды и точно и эффективно выполнять требования PCI DSS. Без инвентаризации некоторые компоненты системы могут быть упущены из виду и непреднамеренно исключены из стандартов конфигурации организации
Надлежащая практика:
Если организация ведет инвентаризацию всех активов, те системные компоненты, которые подпадают под действие стандарта PCI DSS, должны быть четко идентифицированы среди других активов.
Описи должны включать контейнеры или изображения, которые могут быть созданы.
Назначение владельца инвентарю помогает обеспечить актуальность инвентаря.
Примеры:
Методы ведения инвентаризации включают в себя в виде базы данных, в виде серии файлов или в инструменте управления запасами.
Ведение текущего списка всех компонентов системы позволит организации определить область применения своей среды и точно и эффективно выполнять требования PCI DSS. Без инвентаризации некоторые компоненты системы могут быть упущены из виду и непреднамеренно исключены из стандартов конфигурации организации
Надлежащая практика:
Если организация ведет инвентаризацию всех активов, те системные компоненты, которые подпадают под действие стандарта PCI DSS, должны быть четко идентифицированы среди других активов.
Описи должны включать контейнеры или изображения, которые могут быть созданы.
Назначение владельца инвентарю помогает обеспечить актуальность инвентаря.
Примеры:
Методы ведения инвентаризации включают в себя в виде базы данных, в виде серии файлов или в инструменте управления запасами.
Requirement 9.4.5
9.4.5
Определенные Требования к Подходу:
Ведутся журналы инвентаризации всех электронных носителей с данными о держателях карт.
Цель Индивидуального подхода:
Ведется точный учет хранящихся электронных носителей.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Ведутся журналы инвентаризации всех электронных носителей с данными о держателях карт.
Цель Индивидуального подхода:
Ведется точный учет хранящихся электронных носителей.
Определенные Процедуры Тестирования Подхода:
- 9.4.5.a Изучите документацию, чтобы убедиться, что определены процедуры ведения журналов инвентаризации электронных носителей.
- 9.4.5.b Изучите журналы инвентаризации электронных носителей и опросите ответственный персонал, чтобы убедиться, что журналы ведутся.
Цель:
Без тщательных методов инвентаризации и контроля за хранением украденные или пропавшие электронные носители могут оставаться незамеченными в течение неопределенного периода времени.
Без тщательных методов инвентаризации и контроля за хранением украденные или пропавшие электронные носители могут оставаться незамеченными в течение неопределенного периода времени.
Requirement 9.4.5.1
9.4.5.1
Определенные Требования к Подходу:
Инвентаризация электронных носителей с данными о держателях карт проводится не реже одного раза в 12 месяцев.
Цель Индивидуального подхода:
Инвентаризация средств массовой информации периодически проверяется.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Инвентаризация электронных носителей с данными о держателях карт проводится не реже одного раза в 12 месяцев.
Цель Индивидуального подхода:
Инвентаризация средств массовой информации периодически проверяется.
Определенные Процедуры Тестирования Подхода:
- 9.4.5.1.a Изучает документацию, чтобы убедиться в том, что определены процедуры для проведения инвентаризации электронных носителей с данными о держателях карт не реже одного раза в 12 месяцев.
- 9.4.5.1.b Изучите журналы инвентаризации электронных носителей и опросите персонал, чтобы убедиться, что инвентаризация электронных носителей проводится не реже одного раза в 12 месяцев.
Цель:
Без тщательных методов инвентаризации и контроля за хранением украденные или пропавшие электронные носители могут оставаться незамеченными в течение неопределенного периода времени.
Без тщательных методов инвентаризации и контроля за хранением украденные или пропавшие электронные носители могут оставаться незамеченными в течение неопределенного периода времени.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.9
А.5.9 Инвентаризации информационных и иных связанных с ними активов
Должен быть разработан и поддерживаться реестр информационных и иных, связанных с ними активов, а также их владельцев.
Должен быть разработан и поддерживаться реестр информационных и иных, связанных с ними активов, а также их владельцев.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АУД.1
АУД.1 Инвентаризация информационных ресурсов
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.4.
1.4. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать организацию учета и контроля следующих элементов (при их наличии) (далее при совместном упоминании - критичная архитектура):
- технологических процессов, указанных в приложении к настоящему Положению, реализуемых непосредственно некредитной финансовой организацией;
- подразделений (работников) некредитной финансовой организации, ответственных за разработку технологических процессов, указанных в приложении к настоящему Положению, поддержание их выполнения, их реализацию;
- объектов информационной инфраструктуры некредитной финансовой организации, задействованных при выполнении каждого технологического процесса, указанного в приложении к настоящему Положению, реализуемого непосредственно некредитной финансовой организацией;
- технологических участков предусмотренных приложением к настоящему Положению технологических процессов, указанных в пункте 1.10 Положения Банка России от 20 апреля 2021 года N 757-П (далее - технологические участки технологических процессов), реализуемых непосредственно некредитной финансовой организацией;
- технологических процессов, указанных в приложении к настоящему Положению, технологических участков технологических процессов, реализуемых внешними контрагентами, оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг);
- работников некредитной финансовой организации или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры некредитной финансовой организации (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса, указанного в приложении к настоящему Положению;
- взаимосвязей и взаимозависимостей между некредитной финансовой организацией и иными некредитными финансовыми организациями, кредитными организациями и поставщиками услуг в рамках выполнения технологических процессов, указанных в приложении к настоящему Положению (далее при совместном упоминании - участники технологического процесса);
- каналов передачи защищаемой информации, указанной в пункте 1.1 Положения Банка России от 20 апреля 2021 года N 757-П, обрабатываемой и передаваемой в рамках технологических процессов, указанных в приложении к настоящему Положению, участниками технологического процесса.
Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в отношении своих элементов критичной архитектуры, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) (далее - Федеральный закон от 26 июля 2017 года N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736).
В целях организации учета и контроля состава технологических процессов, указанных в приложении к настоящему Положению, технологических участков технологических процессов, реализуемых поставщиками услуг, некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечивать ведение реестра указанных технологических процессов и технологических участков технологических процессов в соответствии со своими внутренними документами.
NIST Cybersecurity Framework (EN):
ID.AM-1
ID.AM-1: Physical devices and systems within the organization are inventoried
ID.AM-2
ID.AM-2: Software platforms and applications within the organization are inventoried
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.1
АУД.1 Инвентаризация информационных ресурсов
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
8.1.1
8.1.1 Инвентаризация активов
Мера обеспечения ИБ
Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов. (Внесена техническая поправка Cor.1:2014).
Руководство по применению
Организация должна идентифицировать активы, относящиеся к жизненному циклу информации, и задокументировать их значимость. Жизненный цикл информации должен включать в себя создание, обработку, хранение, передачу, удаление и уничтожение. Документация должна храниться в специально созданных или уже существующих перечнях, в зависимости от ситуации.
Перечень активов должен быть точным, актуальным, полным и согласованным с другими инвентаризационными перечнями.
Для каждого актива, включенного в перечень, должен быть определен его владелец (см. 8.1.2) и проведено категорирование (см. 8.2).
Дополнительная информация
Инвентаризация активов помогает обеспечить эффективную защиту и может также потребоваться для других целей, таких как здоровье и безопасность, страхование или финансы (управление активами).
ИСО/МЭК 27005 [11] предоставляет примеры активов, которые могут быть приняты во внимание организацией в процессе идентификации активов. Процесс составления перечня активов является важной предпосылкой управления рисками (см. также ИСО/МЭК 27001 [10] и ИСО/МЭК 27005 [11]).
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.9
А.5.9 Inventory of information and other associated assets
An inventory of information and other associated assets, including owners, shall be developed and maintained
An inventory of information and other associated assets, including owners, shall be developed and maintained
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
27 / 131
|
Ведение реестра информационных активов
Вручную
Организационная
16.03.2022
|
16.03.2022 | 27 / 131 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.