Russian Unified Cyber Security Framework (на основе The 18 CIS CSC)

1.1 Создан и поддерживается детальный реестр устройств предприятия
Список включает все оборудование, которое может хранить или обрабатывать корпоративные данные: конечные пользовательские устройства, включая мобильные и портативные, сетевое оборудование, устройства IoT и серверы, в том числе облачные. 
В реестр записаны все устройства, которые регулярно подключаются к корпоративной сетевой инфраструктуре физически, удаленно или виртуально, даже если они не контролируются организацией. 
Записи реестра содержат сетевой адрес (если он статический), аппаратный адрес, имя машины, ее владельца, подразделение и разрешение на подключение к сети. Для мобильных конечных устройств собрать эту информацию помогают инструменты типа MDM.
Реестр пересматривается и обновляется каждые полгода или чаще.

1.2 Регулярно устраняются неавторизованные устройства
Есть регламентированная процедура для обращения с неавторизованными устройствами.
Процедура запускается не реже 1 раза в неделю. 
Есть правила, как поступать с неавторизованными устройствами, например: удалять из сети, запрещать удаленное подключение к сети или помещать устройство в карантин.

1.3 Применяются инструменты для активного обнаружения устройств
Обнаружение подключенных к сети устройств запускается по расписанию не реже раза в день.

1.4 Используется DHCP для обновления реестра устройств предприятия
На всех DHCP-серверах ведутся журналы. Данные в реестре обновляются раз в неделю или чаще.

1.5 Применяются инструменты для пассивного обнаружения устройств
Результаты сканирования используются для обновления реестра устройств раз в неделю или чаще.

2.1 Создан и поддерживается реестр программного обеспечения
Реестр содержит название ПО, разработчика, дату установки/начала использования и бизнес-задачу ПО. При необходимости указаны версия, механизм развертывания и дата вывода из эксплуатации. Для программ с веб- и мобильным доступом указаны их URL, магазин приложений. 
Реестр пересматривается и обновляется каждые полгода или чаще.

2.2 Проверяется, что разрешенное программное обеспечение из реестра поддерживается разработчиком
В реестре авторизованного ПО содержатся только программы, которые поддерживаются производителем.
Если ПО не поддерживается, но все еще используется, для него продуманы компенсирующие меры.
Наличие поддержки от вендора проверяется для всего ПО раз в месяц или чаще.

2.3 Регулярно устраняется неразрешенное программное обеспечение
Для всех неавторизованных программ своевременно принимается решение: запретить использование или прописать исключение с анализом возможных рисков.

2.4 Применяются инструменты для автоматического учета программного обеспечения
Использовать инструменты для автоматического учета программного обеспечения

Пользователи могут запускать ПО только из списка авторизованных программ. Список такого ПО пересматривается раз в полгода или чаще.

2.6 Применяются белые списки разрешенных библиотек
Можно запускать процессы только с использованием библиотек из белого списка, с указанием конкретных файлов .dll, .ocx, .so и так далее.
Неавторизованные библиотеки блокируются.
Список пересматривается раз в полгода или чаще.

2.7 Применяются белые списки разрешенных скриптов
Используются механизмы контроля версий и другие инструменты для использования только авторизованных скриптов в виде списка конкретных файлов .ps1, .py и так далее. 
Неавторизованные скрипты блокируются.
Список пересматривается раз в полгода или чаще.

3.1 Реализован и поддерживается процесс управления данными
В описании процесса учтены конфиденциальность данных, указаны ответственные, требования к хранению данных в зависимости от типа и прописаны процедуры уничтожения в зависимости от конфиденциальности и требований к хранению. 
Процесс пересматривается раз в год или при наступлении серьезных организационных изменений

3.2 Реализован и поддерживается реестр данных
Как минимум, создан реестр конфиденциальных документов.
Реестр пересматривается раз в год или чаще.

3.3 Созданы списки разрешений для управления доступом к данным
Настроены списки управления доступом к данным в зависимости от потребностей. Применяйте списки управления доступом к данным, также известные как разрешения доступа, к локальным и удаленным файловым системам, базам данных и приложениям.

3.4 Обеспечена сохранность данных (резервное копирование)
Сохраняйте данные в соответствии с процессом управления данными предприятия. Хранение данных должно включать как минимальные, так и максимальные сроки.

3.5 Реализовано гарантированное уничтожение данных
Процедура уничтожения данных учитывает уровень их конфиденциальности

3.6 Реализовано шифрование данных на устройствах конечных пользователей
Примеры решений: Windows BitLocker​, Apple FileVault​, Linux​ dm-crypt.

3.7 Создана и поддерживается система классификации/категоризации данных
Создана система меток для документов, например: “конфиденциально”, “секретно”, “разрешено для публикации”. 
Процессы обработки документов учитывают классификацию.
Система классификации пересматривается раз в год или чаще.

3.8 Документированы потоки информации
Документация также фиксирует процесс обмена информацией с сервис-провайдерами. 
Процесс пересматривается раз в год или чаще.

3.9 Реализовано шифрование данных на съемных носителях
Шифровать данные на съемных носителях 

3.10 Реализовано шифрование чувствительных данных при передаче
Примеры решений: Transport Layer Security (TLS), Open Secure Shell (OpenSSH).

3.11 Реализовано шифрование чувствительных данных при хранении
Шифрование используется на серверах, в прикладном ПО и базах данных с конфиденциальными данными.
Как минимум, используется шифрование на стороне сервера (SSE).
Дополнительно может использоваться шифрование на стороне клиента.

3.12 Реализовано разделение обработки и хранения данных в соответствии с классом/категорией информации
Сегментировать обработку и хранение данных в зависимости от уровня конфиденциальности

3.13 Развернуты решения для предотвращения утечки данных (например, DLP)
Развернуть DLP-решение

3.14 Ведется журнал доступа к чувствительным данным
В том числе ведется история изменений и уничтожения конфиденциальных документов.

4.1 Реализован и поддерживается процесс конфигурирования мер защиты
Описание процесса анализируется и обновляется раз в год или чаще.

4.2 Реализован и поддерживается процесс конфигурирования мер защиты для сетевой инфраструктуры
Описание процесса анализируется и обновляется раз в год или чаще

4.3 Настроена автоматическая блокировка сеансов на корпоративных ресурсах
Для ОС общего назначения время блокировки не превышает 15 минут.
Для мобильных устройств время блокировки не превышает 2 минут.

4.4 Внедрен и управляется брандмауэр на серверах
Установить и настроить брандмауэрэкран на серверах

4.5 Внедрен и управляется брандмауэр на конечных пользовательских устройствах
По умолчанию межсетевой экран блокирует трафик, кроме явно разрешенных сервисов и портов.

4.6 Применяются лучшие практики безопасности в области управления активами и программным обеспечением предприятия
Пример практики: для доступа к интерфейсам управления используются защищенные протоколы SSH, HTTPS

4.7 Реализовано управление учетными записями по умолчанию на устройствах и в программном обеспечении
Пересмотрены и обновлены настройки всех предварительно настроенных учетных записей, например, root, administrator и так далее.

4.8 Удалены или отключены неиспользуемые службы/сервисы на ресурсах и в программном обеспечении предприятия
Удалить или заблокировать неиспользуемые сервисы и модули на корпоративных устройствах и программном обеспечении

4.9 Используются доверенные DNS-серверы на устройствах предприятия
Настроить доверенные DNS-серверы на корпоративных устройствах

4.10 Реализована принудительная автоматическая блокировка на портативных устройствах конечных пользователей
Настроена блокировка на случай нескольких неудачных попыток аутентификации подряд.
Для ноутбуков настроено не больше 20 попыток аутентификации.
Для планшетов и смартфонов — не больше 10.
Примеры решений: Microsoft​ InTune Device Lock, Apple​ Configuration Profile maxFailedAttempts.

4.11 Реализована возможность удаленного удаления данных на портативных устройствах конечных пользователей
Удаление корпоративных данных запускается в случае кражи или потери устройства. 

4.12 Созданы корпоративные рабочие области (профили) на мобильных устройствах пользователей
Примеры решений: Apple​ Configuration Profile, Android​ Work Profile

5.1 Создан и поддерживается реестр учетных записей
Реестр включает учетные данные рядовых пользователей и администраторов.
Реестр содержит имя, фамилию, подразделение, дату создания/закрытия учетной записи.
Проверка авторизованных учетных записей осуществляется каждый квартал или чаще.

5.2 Используются уникальные пароли
Для учетных записей с многофакторной аутентификацией задан пароль длиной не менее 8 символов.
Для учетных записей без многофакторной аутентификации задан пароль длиной не менее 14 символов.

5.3 Отключены неактивные учетные записи
Учетная запись закрывается, если прошло 45 дней с момента последней активности.

5.4 Ограничены административные привилегии до выделенных учетных записей администраторов
Стандартные офисные задачи, вроде почтовой переписки и поиска в интернете, решаются с помощью непривилегированных учетных записей.

5.5 Создан и поддерживается реестр сервисных учетных записей
Для каждой служебной записи указано подразделение-владелец, цели учетной записи и дата пересмотра.

5.6 Внедрено централизованное управление учетными записями
Для централизации используется служба каталогов или служба идентификации. 

6.1 Реализован процесс предоставления доступа
Процесс запускается при приеме нового сотрудника, изменении должности или роли (желательно автоматически).

6.2 Реализован процесс отзыва прав доступа
Блокирование учетных записей используется вместо удаления, чтобы сохранить журналы аудита.

6.3 Требуется многофакторная аутентификация для приложений, доступных извне 
Для реализации требования может использоваться служба каталогов или технологии единого входа (SSO). 

6.4 Требуется многофакторная аутентификация для удаленного доступа к сети
Запрашивать многофакторную аутентификацию для удаленного доступа к сети.

6.5 Требуется многофакторная аутентификация для доступа с использованием прав администратора
Запрашивать многофакторную аутентификацию для доступа с правами администратора.

6.6 Создан и поддерживается реестр систем аутентификации и авторизации
В реестре учтены системы на своей площадке и на сторонних площадках провайдеров.

6.7 Внедрен централизованный контроль доступа
Для реализации может использоваться служба каталогов или технологии единого входа (SSO).

6.8 Определено и поддерживается управление доступом на основе ролей (RBAC)
Для каждой роли определены и прописаны необходимые права доступа.
Документ пересматривается раз в год или чаще.

7.1 Реализован и поддерживается процесс управления уязвимостями
Есть отдельный документ по управлению уязвимостями, который пересматривается ежегодно.

7.2 Реализован и поддерживается процесс управления обнаруженными проблемами безопасности
Документ с описанием процесса пересматривается раз в месяц или чаще. 

7.3 Применяется автоматизированное управление исправлениями операционных систем
Применять автоматическое управление патчами операционной системы

7.4 Применяется автоматизированное управление исправлениями прикладного программного обеспечения
Применять автоматическое управление патчами прикладного программного обеспечения

7.5 Выполняется автоматизированное сканирование на уязвимости внутренних устройств и программного обеспечения предприятия
Используется совместимый со SCAP (Протокол автоматизации управления данными безопасности) сканер.
Сканирование проводится раз в квартал.
Используется сканирование без аутентификации и с аутентификацией.

7.6 Выполняется автоматизированное сканирование на уязвимости внутренних устройств и программного обеспечения предприятия, доступных извне
Используется совместимый со SCAP (Протокол автоматизации управления данными безопасности) сканер. 
Сканирование проводится раз в месяц.

7.7 Реализовано устранение обнаруженных уязвимостей
Решение обнаруженных проблем раз в месяц или чаще.

8.1 Реализован и поддерживается процесс управления журналами регистрации собитий
Есть отдельный документ по управлению журналами, который пересматривается ежегодно.

8.2 Реализован сбор журналов регистрации событий
Логирование включено для всех корпоративных устройств и ПО.

8.3 Обеспечено надлежащее хранение журналов регистрации событий
Использовать надежное хранилище для журналов аудита.

8.4 Реализована унифицированная синхронизация времени
Стандартизировать синхронизацию времени

8.5 Собираются детализированные журналы регистрации событий
Подробные журналы ведутся для конфиденциальных данных.
Журналы содержат источник события, дату, имя пользователя, временную метку, исходный и конечный адрес передачи информации.

8.6 Собираются журналы DNS-запросов
Собирать журналы DNS-запросов

8.7 Собираются журналы URL-запросов
Собирать журналы URL-запросов

8.8 Собираются журналы командной строки
Журналы ведутся для PowerShell​, BASH​, терминалов доступа и так далее.

8.9 Реализовано централизованное управление журналами регистрации событий
Централизовать ведение журналов аудита

8.10 Реализовано хранение журналов регистрации событий
Срок хранения составляет не менее 90 дней.

8.11 Реализован анализ журналов регистрации событий
Проводить проверку и анализ журналов аудита

8.12 Реализован сбор журналов регистрации событий от поставщика услуг
Журналы могут включать события аутентификации и авторизации, даты создания и удаления объектов, события управления пользователями. 

9.1 Реализовано использование браузеров и почтовых клиентов только с полной поддержкой разработчика
Использовать только браузеры и почтовые клиенты последних версий с полной поддержкой вендора.

9.2 Используются сервисы фильтрации DNS-запросов
Использовать сервисы фильтрации DNS 

9.3 Реализована и поддерживается фильтрация URL-запросов на уровне сети
Варианты реализации: фильтрация по категории, репутации домена или с помощью черных списков адресов. 

9.4 Ограничено применение неиспользуемых или неавторизованных расширений браузера и почтовых клиентов
Запрещать неавторизованные расширения браузера и почтовых клиентов

9.5 Внедрено использование DMARC-протокола
Внедрены стандарты Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM).

9.6 Блокируются неавторизованные типы файлов во вложении
Блокировать неавторизованные типы файлов во вложении 

9.7 Внедрены и поддерживаются средства защиты почтового сервера от вредоносного программного обеспечения
Проводится сканирование вложений, используются “песочницы”. 

10.1 Внедрены и поддерживаются средства защиты от вредоносного программного кода 
Внедрять и поддерживать решения для защиты от вредоносных программ. 

10.2 Реализовано автоматическое обновление сигнатур вредоносного программного кода
Настроить автоматическое обновление сигнатур защиты от вредоносных программ. 

10.3 Реализован запрет автоматического запуска для съемных носителей информации
Запретить автозапуск для съемных носителей. 

10.4 Автоматически проводится проверка на наличие вредоносного программного кода для съемных носителей информации
Настроить автоматическое сканирование на вредоносное программное обеспечение для съемных носителей

10.5 Включена защита от эксплуатации уязвимостей
Примеры решений: Microsoft​ Data Execution Prevention (DEP), Windows​ Defender Exploit Guard (WDEG), Apple​ System Integrity Protection (SIP), Gatekeeper​.

10.6 Реализовано централизованное управление средствами защиты от вредоносного программного кода
Внедрить централизованное управление защитой от вредоносного программного обеспечения

10.7 Используются средства защиты от вредоносного программного обеспечения на основе поведенческого анализа
Использовать защиту от вредоносного программного обеспечения на базе поведенческого анализа. 

11.1 Реализован и поддерживается процесс восстановления данных
Создан документ, в котором прописана область применения процедур восстановления данных, указаны приоритеты и меры защиты для резервных копий.
Документ пересматривается раз в год или чаще.

11.2 Выполняется автоматическое резервное копирование
Резервные копии создаются раз в неделю или чаще, в зависимости от важности информации.

11.3 Реализована защита резервных копий
Используется шифрование и разделение копий на разные площадки для хранения.

11.4 Создана и поддерживается выделенная область для хранения резервных копий данных
Резервные копии хранятся в облаке или на сторонней площадке. 

11.5 Проводится регулярное тестирование процедур восстановления
Тесты проводятся раз в квартал или чаще. 

12.1 Обеспечена актуальность программного обеспечения узлов сетевой инфраструктуры
Пересмотр последних версий ПО проводится раз в месяц или чаще.

12.2 Создана и поддерживается безопасная сетевая архитектура
В сетевой архитектуре продумана сегментация сети, разграничение привилегий и доступность инфраструктуры. 

12.3 Реализовано управление безопасной сетевой инфраструктурой
Внедрить лучшие практики безопасного управления сетевой инфраструктурой 

12.4 Созданы и поддерживаются схемы архитектуры сети
Документация пересматривается ежегодно или чаще.

12.5 Реализована централизованная аутентификация, авторизация и аудит/контроль (AAA) на уровне сети
Внедрить централизованную сетевую аутентификацию, авторизацию и аудит (AAA)

12.6 Реализовано использование защищенных протоколов для управления сетью и обмена информацией
Например: 802.1X, Wi-Fi Protected Access 2 (WPA2) Enterprise.

12.7 Обеспечено подключение удаленных устройств с использованием VPN и они подключаются с использованием инфраструктцры аутентификации, авторизации и аудита/контроля (AAA) предприятия
Пользователям необходимо сначала подключиться к VPN и сервисам ААА, чтобы получить доступ к корпоративной инфраструктуре и конечным устройствам. 

12.8 Реализовано и поддерживается выделение отдельных вычислительных ресурсов для любых задач администрирования
Ресурсы для работы под учетной записью администратора находятся в отдельном сетевом сегменте, физически или логически. 

13.1 Реализовано централизованное оповещение о событиях безопасности
Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.

13.2 Внедрена узловая (host-based) система обнаружения вторжений (IDS, Intrusion Detection System)
Внедрить IDS (Intrusion Detection System, система обнаружения вторжений) на стороне сервера

13.3 Внедрена сетевая (network) система обнаружения вторжений (IDS, Intrusion Detection System)
Внедрить сетевое IDS-решение.

13.4 Реализована фильтрация трафика между сегментами сети 
Фильтровать трафик между сетевыми сегментами

13.5 Реализовано управление доступом к удаленным ресурсам
Подключенные устройства проверяются на соответствие политикам безопасности.
Сервисы и устройства для удаленного подключения используют ПО последней версии с установленными обновлениями. 

13.6 Реализован собор журналов сетевого трафика
Собирать журналы потоков сетевого трафика

13.7 Внедрена узловая (host-based) система предотвращения вторжений (IPS, Intrusion Prevention Solution)
Внедрить IPS (Intrusion Prevention Solution, система предотвращения вторжений) на стороне сервера.

13.8 Внедрена сетевая (network) система предотвращения вторжений (IPS, Intrusion Prevention Solution)
Внедрить сетевое IPS-решение.

13.9 Реализован контроль доступа на уровне сетевых портов
На уровне портов для подключения используется протокол 802.1x или проверка сертификатов.

13.10 Реализована фильтрация трафика на прикладном уровне (7 уровень, модель OSI)
Внедрить фильтрацию на уровне прикладного программного обеспечения.

13.11 Реализована настройка пороговых значений для событий безопасности
Настроить пороги срабатывания систем в ответ на события безопасности.

14.1 Создана и поддерживается программа повышения осведомленности в области ИБ
Инструктаж по информационной безопасности проводится при приеме на работу и повторяется раз в год или чаще. 

Учебные материалы пересматриваются раз в год или чаще.

14.2 Реализовано обучение работников распознаванию атак с использованием социальной инженерии
Обучить сотрудников распознавать атаки с использованием социальной инженерии. 

14.3 Реализовано обучение работников лучшим практикам аутентификации
Сотрудники получают знания о многофакторной аутентификации, создании сильных паролей и управлении учетными записями.

14.4 Реализовано обучение работников лучшим практикам обращения с данными предприятия
Сотрудники обучаются блокировать рабочие станции, стирать информацию с флипчартов и виртуальных досок после совещаний и хранить данные в защищенном месте.

14.5 Реализовано информирование работников о причинах непреднамеренной утечки данных
Сотрудники разбирают ситуации ошибочной отправки и публикации конфиденциальных данных, потери рабочих устройств и съемных носителей.

14.6 Реализовано обучение работников распознаванию инцидентов безопасности и сообщению о них
Обучить сотрудников распознавать инциденты безопасности и сообщать о них.

14.7 Реализовано обучение работников определению наличия важных обновлений безопасности на устройствах предприятия и сообщению об их отсутствии
Обучить сотрудников, как проверить наличие важных обновлений безопасности на собственных рабочих устройствах

14.8 Реализовано информирование работников о рисках использования незащищенных сетей для обмена данными предприятия
Для удаленных сотрудников тренинг включает обучение настройке безопасности своей домашней сети.

14.9 Реализовано проведение обучения в области информационной безопасности в соответствии с ролями на предприятии
Отдельные тренинги проводятся для ИТ-специалистов, разработчиков, менеджеров среднего и высшего звена. 

15.1 Создан и поддерживается реестр поставщиков услуг
Список включает контакты с каждым провайдером и обновляется ежегодно или чаще. 

15.2 Создана и поддерживается политика управления поставщиками услуг
Создать и поддерживать политику контроля безопасности сервис-провайдера 

15.3 Реализована классификация поставщиков услуг
Классификация может включать уровень конфиденциальности хранимых данных, объем ресурсов, требования к доступности, известные риски, корректирующие и предупреждающие меры защиты от рисков.

15.4 Обеспечено включение требований ИБ в контракты с поставщиками услуг
Соглашение может включать порядок оповещения о событиях безопасности и порядок решения инцидентов, требования к шифрованию данных и уничтожению информации. 
Соглашение пересматривается ежегодно. 

15.5 Проводится оценка поставщиков услуг
Как инструмент оценки можно использовать соответствие стандартам SOC 2, PCI DSS и другим подобным. 

15.6 Проводится контроль поставщиков услуг
Внедрить мониторинг работы сервис-провайдеров. 

15.7 Обеспечен безопасный отказ/переход от поставщика услуг
План миграции включает договоренности о деактивации учетных записей, остановке потоков данных, безопасном удалении корпоративной информации из систем провайдера.

16.1 Реализован и поддерживается процесс безопасной разработки программного обеспечения
Описание процесса включает стандарты безопасного проектирования ПО, стандарты безопасного написания кода, регулярное обучение разработчиков, управление уязвимостями, контроль сторонней разработки и процедуры тестирования ПО. 

16.2 Реализован и поддерживается процесс обнаружения и устранения уязвимостей в программном обеспечении
Определен порядок фиксации замечаний по безопасности и последующего исправления багов с указанием ответственных.
Используется система обнаружения уязвимостей с рейтингом критичности и отслеживанием метрик: сколько времени требуется на обнаружение, анализ и устранение уязвимостей.  

16.3 Реализовано выполнение анализа первопричин уязвимостей прикладного программного обеспечения
Найдены глубинные причины уязвимостей, которые позволяют уменьшить количество критичных замечаний по безопасности. 

16.4 Создан и поддерживается реестр сторонних программных компонентов
Обновления и свежие версии компонентов в реестре отслеживаются раз в месяц или чаще.  

16.5 Реализовано использование актуальных и доверенных компонентов программного обеспечения от сторонних производителей
Компоненты ПО скачиваются из проверенных источников и проверяются на безопасность перед установкой.

16.6 Реализован и поддерживается процесс классификации уязвимостей программного обеспечения по степени критичности
Наиболее критичные замечания исправляются в первую очередь.
Определен минимально допустимый уровень уязвимостей, без соблюдения которого релиз не выходит. 

16.7 Используются стандартные шаблоны конфигураций усиления защиты для инфраструктуры программного обеспечения
Используются лучшие практики для конфигураций аппаратной защиты, в том числе серверов, баз данных, контейнеров.

16.8 Реализовано разделение производственных и непроизводственных систем
Окружение систем, находящихся в эксплуатации отделено от окружения тестовых/испытываемых систем.

16.9 Проводится обучение разработчиков практикам безопасной разработки программного обеспечения
Разработчики проходят обучение по информационной безопасности раз в год или чаще.
В командах поддерживается культура безопасной разработки.

16.10 Используются принципы безопасного проектирования в архитектуре приложений
Используются лучшие практики, такие как: валидация полей ввода, минимизация площади атаки, контроль стандартных учетных записей на сервере. 
Проверки безопасности проводятся для любого пользовательского ввода.

16.11 Используются проверенные модули или службы в приложениях для компонентов обеспечения безопасности
Используются проверенные модули для шифрования, ведения журналов и управления идентификацией пользователей.

Для обеспечения критичных компонентов безопасности используются платформенные функции.

16.12 Реализована проверка безопасности на уровне кода
Инструменты статического и динамического анализа встроены в жизненный цикл разработки.

16.13 Проводится тестирование на проникновение (Penetration Testing) для приложений
Для поиска уязвимостей в бизнес-логике критичных приложений вместо сканирования кода или автоматических тестов безопасности используется тестирование на проникновение с аутентификацией.

16.14 Реализовано моделирование угроз
Проводить моделирование угроз 

17.1 Назначен работник, ответственный за обработку инцидентов
Назначены минимум 1 ответственный и 1 замещающий среди сотрудников или от сторонней компании-аутсорсера. 

В случае передачи инцидентов безопасности на аутсорсинг от организации назначен ответственный за коммуникацию с аутсорсером.
Передана ответственность за координацию процесса работы с инцидентами и документирование результатов в процессе решения инцидента.

17.2 Определена и актуализируется контактная информация для сообщения об инцидентах безопасности
Составлен список заинтересованных лиц, которые должны получить уведомление об инциденте.
Список пересматривается раз в год или чаще.

17.3 Реализован и поддерживается процесс приема и обработки сообщений об инцидентах безопасности
Процесс включает временные рамки реагирования на инцидент, механизм обращения, минимальную информацию для создания инцидента.
Процедура известна всем сотрудникам компании.

17.4 Реализован и поддерживается процесс ответа на сообщения об инцидентах
Процесс включает роли и обязанности, показатели работы и план коммуникации по поводу инцидента.

17.5 Утверждены ключевые роли и их обязанности
План регулирования инцидентов включает сценарии с привлечением юристов, специалистов по ИТ и ИБ, служб PR, HR и аналитиков, если необходимо.

17.6 Определены механизмы коммуникации в процессе реагирования на инциденты
План учитывает, какое средство коммуникации в разных случаях является приоритетным: мессенджер, электронная почта, телефон. 

17.7 Реализовано регулярное проведение учений по реагированию на инциденты
Учебные сценарии включают взаимодействие заинтересованных лиц и позволяют тестировать постановку задач, процессы коммуникации и принятия решений. 

17.8 Реализовано проведение проверок после инцидента
Проводить разбор и анализ решений инцидентов.

17.9 Определены и поддерживаются пороговые значения для инцидентов безопасности
Сценарий реагирования разработан для разных событий безопасности: подозрительной активности, обнаруженной уязвимости, утечки информации и так далее.

18.1 Создана и поддерживается программа тестирования на проникновение
Разработать и поддерживать в рабочем состоянии программу тестирования на проникновение, соответствующую размеру, сложности и зрелости предприятия. Характеристики программы тестирования на проникновение включают область применения, такую как сеть, веб-приложение, интерфейс прикладного программирования (API), размещенные службы и средства контроля физического помещения; частоту; ограничения, такие как допустимые часы работы и исключенные типы атак; контактную информацию; меры по исправлению положения, такие как способ внутренней передачи результатов; и ретроспективные требования.

18.2 Реализовано регулярное проведение внешнего тестирования на проникновение
Проводить периодические внешние тесты на проникновение в соответствии с требованиями программы, не реже одного раза в год. Внешнее тестирование на проникновение должно включать в себя разведку предприятия и окружающей среды для обнаружения информации, пригодной для использования. Тестирование на проникновение требует специальных навыков и опыта и должно проводиться квалифицированной стороной. Тестирование может проводиться в прозрачной или непрозрачной коробке.

18.3 Реализовано устранение уязвимостей по результатам тестов на проникновение
Исправить результаты теста на проникновение, основываясь на политике предприятия в отношении объема исправлений и расстановки приоритетов.

18.4 Реализовано проведение проверки эффективности мер обеспечения безопасности
Проверять меры безопасности после каждого теста на проникновение. Если сочтете необходимым, измените наборы правил и возможности, чтобы определить методы, используемые во время тестирования.

18.5 Реализовано регулярное проведение внутреннего тестирования на проникновение
Проводить периодические внутренние тесты на проникновение в соответствии с требованиями программы, не реже одного раза в год. Тестирование может проводиться в прозрачной или непрозрачной коробке.