Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Р. 7 п. 4 п.п. 1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ИКА.5 Организация и выполнение деятельности по классификации субъектов доступа по принадлежности работников к группе повышенного риска, обладающих привилегированным доступом к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов.
ИКА.2 Организация и выполнение деятельности по классификации технологических операций (участков) бизнес- и технологического процессов, значимых в контексте необходимости применения технологических мер защиты информации в соответствии с Приложением А.
ИКА.4 Организация и выполнение деятельности по классификации объектов информатизации прикладного уровня (прикладного программного обеспечения автоматизированных систем и приложений), значимых в контексте отсутствия уязвимостей как минимум по следующим типам:
  • прикладное ПО автоматизированных систем и приложения финансовой организации, отвечающие критериям доступности из внешней сети «Интернет»;
  • прикладное ПО автоматизированных систем и приложения, передаваемые клиентам финансовой организации для установки на их технические средства.
ИКА.8.1 Объектов информатизации;
ИКА.6 Организация и выполнение деятельности по учету сервисов поставщика облачных услуг и применяемых мер защиты информации в зависимости от модели предоставления сервиса:
  • SaaS (Software as a service) – программное обеспечение как услуга;
  • PaaS (Platform as a service) – платформа как услуга;
  • IaaS (Infrastructure as a service) – инфраструктура как услуга.
ИКА.8.2 Субъектов доступа;
ИКА.3 Организация и выполнение деятельности по классификации объектов информатизации инфраструктурного уровня как минимум по следующим системным уровням:
  • уровень аппаратного обеспечения;
  • уровень сетевого оборудования;
  • уровень сетевых приложений и сервисов;
  • уровень серверных компонентов виртуализации, программных инфраструктурных сервисов;
  • уровень операционных систем, систем управления базами данных, серверов приложений.
РВН.3.2 Проведение проверок на регулярной основе с учетом полномочий работников по доступу к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов.
ИКА.8.3 Каналов передачи (информационных потоков) защищаемой информации как внутри финансовой организации, так при взаимодействии с причастными сторонами.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.2
Defined Approach Requirements: 
All media with cardholder data is classified in accordance with the sensitivity of the data 

Customized Approach Objective:
Media are classified and protected appropriately. 

Defined Approach Testing Procedures:
  • 9.4.2.a Examine documentation to verify that procedures are defined for classifying media with cardholder data in accordance with the sensitivity of the data. 
  • 9.4.2.b Examine media logs or other documentation to verify that all media is classified in accordance with the sensitivity of the data. 
Media not identified as confidential may not be adequately protected or may be lost or stolen. 

Good Practice:
It is important that media be identified such that its classification status is apparent. This does not mean however that the media needs to have a “confidential” label. 
Guideline for a healthy information system v.2.0 (EN):
Some of the system’s resources can be a source of invaluable information from the hacher’s point of view (folders containing sensitive data, databases, mailboxes, etc.). It is therefore essential to establish an accurate list of these resources and for each of them:
  • define which group can have access to them;
  • strictly control access, by ensuring that users are authenticated and are part of the target group;
  • avoid their circulation and duplication to uncontrolled areas or areas subject to a less strict access control. 
For example, the folders of administrators bringing together various pieces of sensitive information must be subject to specific access control. The same goes for sensitive information present on network shares: exports of configuration files, information system technical documentation, business databases, etc. A regular review of the access rights must, moreover, be carried out, in order to identify any unauthorised access 
The use of an obsolete system or software package significantly increases the possibilities of a cyberattack. Systems become vulnerable when corrective measures are no longer proposed. Malicious tools exploiting these vulnerabilities can be spread quickly online while the publisher is not offering a security corrective measure. 

To anticipate obsolescence, a certain number of precautions exist:
  • establish an inventory of the information system applications and systems and keep it up to date;
  • choose solutions with support that is ensured for a time period corresponding to their use;
  • ensure monitoring of updates and end of support dates for software;
  • keep an homogeneous software stock (the co-existence of different versions of the same product increases the risks and makes monitoring more complicated);
  • reduce software reliance, in other words, dependency on the operating of a software package compared to another, in particular when its support comes to an end;
  • include in contracts with service providers and suppliers clauses guaranteeing the monitoring of corrective security measures and the management of obsolescence;
  • identify the time periods and resources necessary (material, human, budgetary) for the migration of each software package at the end of its life (non-regression tests, backup procedure, data migration procedure, etc.). 
 Each organization has sensitive data. This data can be on its own activity (intellectual property, expertise, etc.) or its customers, individuals or users (personal data, contracts, etc.). In order to effectively protect your data, identifying it is essential. 

From this list of sensitive data, it will be possible to determine in which areas of the information system it is located (databases, file sharing, workstations, etc.). These components correspond to the servers and critical devices of the organization. To this end, they must be subject to specific security measures that may concern backup, logging, access, etc. 

Therefore, this involves creating and maintaining a simplified network diagram (or mapping) representing the different IP areas and the associated addressing plan, the routing and security devices (firewall, application relays, etc.) and the networks with the outside (Internet, private networks, etc.) and partners. This diagram must also be able to locate the servers holding the entity’s sensitive information. 
New flaws are regularly discovered at the heart of systems and software. These are generally access doors that a hacker can exploit for a successful intrusion into the information system. It is, therefore, vital to stay informed of new vulnerabilities (follow CERT- FR alerts) and to apply the corrective security actions over all of the components of the system within the month following their publication. An update policy must therefore be defined and be a part of operational procedures. 

These must specify:
  • the way in which the inventory of the information system components is carried out;
  • the sources of information relating to the publication of updates; 
  • the tools to deploy the corrective actions over the stock (for examples WSUS for updates for Microsoft components, free or paid tools for third party components and other operating systems);
  • the possible qualification of corrective measure and their gradual deployement over the stock. 
The obsolete components which are no longer supported by their manufacturers must be isolated from the rest of the system. This recommendation applies as much on the network level, by strict filtering of flows, as it does as regards the authentication secrets which must be dedicated to these systems. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.2.2 Маркировка информации 
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации 
A.8.2.1 Категорирование информации 
Мера обеспечения информационной безопасности: Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации 
А.9.1.1 Политика управления доступом 
Мера обеспечения информационной безопасности: Политика управления доступом должна быть разработана, документирована и должна пересматриваться с учетом требований бизнеса и информационной безопасности 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.2
Определенные Требования к Подходу:
Все носители с данными о держателях карт классифицируются в соответствии с конфиденциальностью данных

Цель Индивидуального подхода:
Носители классифицируются и защищаются надлежащим образом.

Определенные Процедуры Тестирования Подхода:
  • 9.4.2.a Изучите документацию, чтобы убедиться, что определены процедуры классификации носителей с данными о держателях карт в соответствии с конфиденциальностью данных.
  • 9.4.2.b Изучите журналы носителей или другую документацию, чтобы убедиться, что все носители классифицированы в соответствии с конфиденциальностью данных.
Носители, не идентифицированные как конфиденциальные, могут быть недостаточно защищены или могут быть утеряны или украдены.

Надлежащая практика:
Важно, чтобы носитель был идентифицирован таким образом, чтобы его классификационный статус был очевиден. Однако это не означает, что средства массовой информации должны иметь ярлык “конфиденциально”.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.13 Маркировка информации
В соответствии с принятой в организации схемой категорирования информации должен быть разработан и внедрен соответствующий набор процедур для маркировки информации.
А.5.12 Категорирование информации
Информация должна быть категорирована в соответствии с потребностями ИБ организации на основе требований к ней по конфиденциальности, целостности, доступности, а также соответствующих требований заинтересованных сторон.
А.5.15 Контроль доступа
На основании требований бизнеса и ИБ должны быть установлены и внедрены правила контроля физического и логического доступа к информационным и иным связанным с ними активам.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.13 Labelling of information
An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.
А.5.15 Access control
Rules to control physical and logical access to information and other associated assets shall be established and implemented based on business and information security requirements.
А.5.12 Classification of information
Information shall be classified according to the information security needs of the organization based on confidentiality, integrity, availability and relevant interested party requirements.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 7.5
8.7.5. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах методику обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающую следующие элементы:
  • классификатор возможных источников и причин образования в информационных системах данных, не соответствующих требованиям к качеству данных в информационных системах;
  • показатели (индикаторы) качества данных для оценки характеристик качества данных, разрабатываемые кредитной организацией (головной кредитной организацией банковской группы) для различных информационных систем;
  • методы и алгоритмы расчета, правила измерения показателей качества данных, в том числе с использованием контрольных выборок данных;
  • критерии оценки качества данных.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах другие элементы методики обеспечения качества данных в информационных системах.

Кредитная организация (головная кредитная организация банковской группы) применяет элементы методики обеспечения качества данных с учетом особенностей конкретных данных, в том числе методов и процедур их фиксирования, хранения и преобразования, а также их типов и форматов.