Куда я попал?
Положение Банка России № 779-П от 15.11.2021
Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"
п. 1.11.
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 7
7. Кредитные организации должны обеспечить нейтрализацию информационных угроз в отношении возникновения зависимости обеспечения операционной надежности от субъектов доступа, являющихся работниками кредитной организации, обладающими уникальными знаниями, опытом и компетенцией в области разработки технологических процессов, поддержания их выполнения, реализации технологических процессов, которые отсутствуют у иных работников указанной кредитной организации.
Кредитные организации должны обеспечить защиту критичной архитектуры от возможной реализации информационных угроз в условиях дистанционной (удаленной) работы работников кредитной организации.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
7.9.1
7.9.1 Применяемые финансовой организацией меры по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) устройств должны обеспечивать:
- защиту информации от раскрытия и модификации при осуществлении удаленного доступа;
- защиту внутренних вычислительных сетей при осуществлении удаленного доступа;
- защиту информации от раскрытия и модификации при ее обработке и хранении на мобильных (переносных) устройствах.
NIST Cybersecurity Framework (RU):
PR.AC-3
PR.AC-3: Управляется процесс предоставления удаленного доступа
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.13
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ЗУР.2
ЗУР.2 Планирование и управление пропускной способностью средств защиты информации, реализующих защищенный удаленный логический доступ при переводе работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»).
ЗУР.1
ЗУР.1 Разработка отдельного плана или соответствующих положений в рамках плана ОНиВД* по переводу, в случае необходимости, работников финансовой организации (значительной части сотрудников) на дистанционный формат работы вне основных офисов финансовой организации, в частности из дома («удаленная работа»), в том числе на длительный срок.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.6.2.2
A.6.2.2 Дистанционная работа
Мера обеспечения информационной безопасности: Следует определить политику и реализовать поддерживающие меры безопасности для защиты информации, доступ к которой, обработка или хранение осуществляются в местах дистанционной работы
Мера обеспечения информационной безопасности: Следует определить политику и реализовать поддерживающие меры безопасности для защиты информации, доступ к которой, обработка или хранение осуществляются в местах дистанционной работы
A.7.2.2
A.7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.13
УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети
Strategies to Mitigate Cyber Security Incidents (EN):
1.15.
User education. Avoid phishing emails (e.g. with links to login to fake websites), weak passphrases, passphrase reuse, as well as unapproved: removable storage media, connected devices and cloud services.
Relative Security Effectiveness: Good | Potential User Resistance: Medium | Upfront Cost: High | Ongoing Maintenance Cost: Medium
Relative Security Effectiveness: Good | Potential User Resistance: Medium | Upfront Cost: High | Ongoing Maintenance Cost: Medium
ГОСТ Р № 59547-2021 от 01.04.2022 "Защита информации. Мониторинг информационной безопасности. Общие положения":
Р. 6 п. 5 п.п. 4
6.5.4 Для осуществления мероприятий по мониторингу информационной безопасности должно быть обеспечено наличие штатных обученных категорий персонала (ответственных лиц, дежурных смен), основной деятельностью которых является постоянный мониторинг информационной безопасности. Выделяют следующие роли для персонала мониторинга информационной безопасности и их функции:
- руководитель – выполняет функции, связанные с управлением персоналом, обеспечивающим функционирование процесса мониторинга информационной безопасности;
- системный администратор – выполняет функции, связанные с обеспечением работоспособности программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности, разработкой запросов на представление информации, а также развитием форм представления и визуализации информации;
- администратор безопасности – выполняет функции, связанные с организацией настройки параметров функционирования программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности;
- специалист по взаимодействию с персоналом и пользователями – выполняет функции, связанные с приемом и регистрацией сообщений персонала и пользователей о выявленных нарушениях безопасности информации;
- оператор – выполняет функции, связанные с анализом результатов мониторинга информационной безопасности (событий безопасности) и подготовкой аналитической информации;
- специалист по оценке защищенности – выполняет функции, связанные с:
контролем состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной (автоматизированной) системе (инвентаризация данных); выявлением угроз безопасности информации и уязвимостей информационных (автоматизированных) систем; контролем соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности); развитием методов и инструментальных средств сбора данных;
- аналитик – выполняет функции, связанные с анализом результатов мониторинга информационной безопасности (событий безопасности) и разработкой правил агрегации и корреляции событий безопасности и определением критериев нарушений безопасности. По решению оператора на одно должностное лицо могут быть возложены функции, относящиеся к разным ролям персонала мониторинга информационной безопасности
- руководитель – выполняет функции, связанные с управлением персоналом, обеспечивающим функционирование процесса мониторинга информационной безопасности;
- системный администратор – выполняет функции, связанные с обеспечением работоспособности программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности, разработкой запросов на представление информации, а также развитием форм представления и визуализации информации;
- администратор безопасности – выполняет функции, связанные с организацией настройки параметров функционирования программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности;
- специалист по взаимодействию с персоналом и пользователями – выполняет функции, связанные с приемом и регистрацией сообщений персонала и пользователей о выявленных нарушениях безопасности информации;
- оператор – выполняет функции, связанные с анализом результатов мониторинга информационной безопасности (событий безопасности) и подготовкой аналитической информации;
- специалист по оценке защищенности – выполняет функции, связанные с:
контролем состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной (автоматизированной) системе (инвентаризация данных); выявлением угроз безопасности информации и уязвимостей информационных (автоматизированных) систем; контролем соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности); развитием методов и инструментальных средств сбора данных;
- аналитик – выполняет функции, связанные с анализом результатов мониторинга информационной безопасности (событий безопасности) и разработкой правил агрегации и корреляции событий безопасности и определением критериев нарушений безопасности. По решению оператора на одно должностное лицо могут быть возложены функции, относящиеся к разным ролям персонала мониторинга информационной безопасности
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.3
А.6.3 Осведомленность, образование и обучение в области ИБ
Персонал организации и релевантные заинтересованные стороны, соответственно их рабочим обязанностям, должны получать соответствующие информацию, повышение осведомленности, образование и обучение в области ИБ, а также регулярные обновления политики ИБ организации, специфических тематических политик и процедур.
Персонал организации и релевантные заинтересованные стороны, соответственно их рабочим обязанностям, должны получать соответствующие информацию, повышение осведомленности, образование и обучение в области ИБ, а также регулярные обновления политики ИБ организации, специфических тематических политик и процедур.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.13
УПД.13 Реализация защищенного удаленного доступа
ИПО.0
ИПО.0 Разработка политики информирования и обучения персонала
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава III п. 17
17. Для выполнения требования, указанного в пункте 16 настоящего документа, необходимо назначение обладающего достаточными навыками должностного лица (работника) оператора ответственным за обеспечение безопасности персональных данных в информационной системе.
NIST Cybersecurity Framework (EN):
PR.AC-3
PR.AC-3: Remote access is managed
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.13
УПД.13 Реализация защищенного удаленного доступа
ИПО.0
ИПО.0 Регламентация правил и процедур информирования и обучения персонала
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.3
А.6.3 Information security awareness, education and training
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization's information security policy, topic-specific policies and procedures, as relevant for their job function.
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization's information security policy, topic-specific policies and procedures, as relevant for their job function.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
1
12 / 128
|
Блокировка возможности удаленного завершения работы в ОС Windows
Автоматически
Техническая
Превентивная
25.02.2022
|
25.02.2022 | 1 12 / 128 | |
|
Community
1
8 / 29
|
Блокировка аудио и видео каналов при удаленном подключении к ОС Windows по RDP
Автоматически
Техническая
Превентивная
16.02.2022
|
16.02.2022 | 1 8 / 29 | |
|
Community
1
3 / 46
|
Блокировка возможности удаленного подключения к ПК через RDP Shadow
Автоматически
Техническая
Превентивная
22.06.2021
|
22.06.2021 | 1 3 / 46 | |
|
Community
1
3 / 46
|
Включение принудительной проверки подлинности на уровне сети для RDP серверов
Вручную
Техническая
Превентивная
17.05.2020
|
06.05.2021 | 1 3 / 46 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.