Соответствие требованиям

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 7 п. 11

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

7.11. Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные

7.11.1. СИБ банковского платежного технологического процесса, в рамках которого обрабатываются персональные данные, должна соответствовать требованиям пункта 7.8 настоящего стандарта.
СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные, должна соответствовать требованиям пункта 7.9 и 7.11 настоящего стандарта

7.11.2. Реализация требований по обеспечению ИБ, установленных в разделе 7 и разделе 8 настоящего стандарта, рекомендуется для обеспечения выполнения требований к защите персональных данных для третьего и четвертого уровня защищенности ПДн при их обработке в ИСПДн, установленных Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

7.11.3. Требования по обеспечению информационной безопасности, установленные в разделе 7 и разделе 8 настоящего стандарта, направлены на нейтрализацию актуальных (применительно к большинству организаций БС РФ, актуальными являются те угрозы, риск реализации которых в организации БС РФ является недопустимым) угроз безопасности персональных данных.
7.11.4. С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными для организаций БС РФ.
7.11.5. Результатом оценки рисков нарушения безопасности персональных данных является Модель угроз безопасности персональных данных, содержащая актуальные для организации БС РФ угрозы безопасности персональных данных, на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в конкретной организации БС РФ и расширяющие требования разделов 7 и 8 настоящего стандарта.
7.11.6. Для выполнения требований к защите персональных данных для второго уровня защищенности ПДн при их обработке в ИСПДн, установленного Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, рекомендуется реализовывать следующие меры: в части обеспечения ИБ АБС на стадиях жизненного цикла:

определение, выполнение и регистрация процедур контроля целостности и обеспечения доверенной загрузки программного обеспечения, в том числе программного обеспечения технических защитных мер, на средствах вычислительной техники, входящих в ИСПДн;
определение, выполнение, регистрация и контроль процедур доступа к эксплуатационной документации и архивным файлам, содержащим параметры настройки ИСПДн, в том числе настройки применяемых технических защитных мер;
определение, выполнение, регистрация и контроль процедур резервного копирования и обеспечения возможности восстановления ПДн;
определение, выполнение, регистрация и контроль процедур резервного копирования и обеспечения возможности восстановления программного обеспечения, в том числе программного обеспечения технических защитных мер, входящего в состав ИСПДн;

в части обеспечения ИБ при управлении доступом и регистрации:

идентификация и аутентификация устройств, используемых для осуществления доступа;
размещение технических средств, предназначенных для администрирования ИСПДн, автоматизированных мест пользователей и серверных компонент ИСПДн в отдельных выделенных сегментах вычислительных сетей;
мониторинг сетевого трафика, выявление вторжений и сетевых атак и реагирование на них;
определение, выполнение, регистрация и контроль процедур обновления сигнатурных баз технических защитных мер, мониторинг сетевого трафика, выявление вторжений и сетевых атак; в части обеспечения ИБ банковских информационных технологических процессов:
определение, выполнение, регистрация и контроль процедур использования коммуникационных портов, устройств ввода-вывода информации, съемных машинных носителей и внешних накопителей информации;
определение, выполнение, регистрация и контроль процедур доступа к архивам ПДн.

7.11.7. В организации БС РФ должны быть реализованы защита периметров сегментов вычислительной сети, в которых расположены ИСПДн, и контроль информационного взаимодействия между сегментами вычислительных сетей.
В организации БС РФ должны быть определены и контролироваться правила информационного взаимодействия ИСПДн с иными АБС.

7.11.8. Использование в ИСПДн сертифицированных по требованиям безопасности информации средств защиты информации осуществляется в соответствии с требованиями приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных”.

7.11.9. Для каждой ИСПДн должен быть назначен работник организации БС РФ, ответственный за обеспечение безопасности персональных данных в ИСПДн.

Связанные защитные меры

	Название	Дата	Влияние
Community 9 25 / 45	Выделение ключевых систем в отдельную сеть (сегментация сети) Разово Вручную Техническая Превентивная 03.05.2022	03.05.2022	9 25 / 45
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне. Размещение ключевых систем в отдельных безопасных зонах / контурах безопасности и ограничение доступа в эти выделенные сегменты позволяет защитить наиболее критичные системы в случае компрометации основных сегментов сети компании. В зависимости от особенностей компании в отдельные сегменты выделяют: Технологические, производственные сети Банковские системы Инфраструктуру SWIFT ПК руководства Ключевые бизнес-системы Системы персональных данных Способы сегментации: Логический, с помощью технологий VLAN на сетевом оборудовании Логический, на уровне управления виртуальной инфраструктурой Физический, путем создания отдельных ЛВС для ключевых сегментов Сегментирование предполагает ограничение/контроль доступа между сегментами на базовом уровне. Использование расширенного контроля средствами межсетевого экранирования выделено в отдельную защитную меру. *Рекомендации к заполнению карточки:* Указать перечень сегментов и их назначение Пояснить способы/технологии сегментации Описать как настроено ограничение доступа (ACL) Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).