Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014
Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Р. 7 п. 4 п.п. 1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ИКА.5
ИКА.5 Организация и выполнение деятельности по классификации субъектов доступа по принадлежности работников к группе повышенного риска, обладающих привилегированным доступом к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов.
ИКА.2
ИКА.2 Организация и выполнение деятельности по классификации технологических операций (участков) бизнес- и технологического процессов, значимых в контексте необходимости применения технологических мер защиты информации в соответствии с Приложением А.
ИКА.4
ИКА.4 Организация и выполнение деятельности по классификации объектов информатизации прикладного уровня (прикладного программного обеспечения автоматизированных систем и приложений), значимых в контексте отсутствия уязвимостей как минимум по следующим типам:
- прикладное ПО автоматизированных систем и приложения финансовой организации, отвечающие критериям доступности из внешней сети «Интернет»;
- прикладное ПО автоматизированных систем и приложения, передаваемые клиентам финансовой организации для установки на их технические средства.
ИКА.8.1
ИКА.8.1 Объектов информатизации;
ИКА.6
ИКА.6 Организация и выполнение деятельности по учету сервисов поставщика облачных услуг и применяемых мер защиты информации в зависимости от модели предоставления сервиса:
- SaaS (Software as a service) – программное обеспечение как услуга;
- PaaS (Platform as a service) – платформа как услуга;
- IaaS (Infrastructure as a service) – инфраструктура как услуга.
ИКА.8.2
ИКА.8.2 Субъектов доступа;
ИКА.3
ИКА.3 Организация и выполнение деятельности по классификации объектов информатизации инфраструктурного уровня как минимум по следующим системным уровням:
- уровень аппаратного обеспечения;
- уровень сетевого оборудования;
- уровень сетевых приложений и сервисов;
- уровень серверных компонентов виртуализации, программных инфраструктурных сервисов;
- уровень операционных систем, систем управления базами данных, серверов приложений.
РВН.3.2
РВН.3.2 Проведение проверок на регулярной основе с учетом полномочий работников по доступу к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов.
ИКА.8.3
ИКА.8.3 Каналов передачи (информационных потоков) защищаемой информации как внутри финансовой организации, так при взаимодействии с причастными сторонами.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.2
9.4.2
Defined Approach Requirements:
All media with cardholder data is classified in accordance with the sensitivity of the data
Customized Approach Objective:
Media are classified and protected appropriately.
Defined Approach Testing Procedures:
Defined Approach Requirements:
All media with cardholder data is classified in accordance with the sensitivity of the data
Customized Approach Objective:
Media are classified and protected appropriately.
Defined Approach Testing Procedures:
- 9.4.2.a Examine documentation to verify that procedures are defined for classifying media with cardholder data in accordance with the sensitivity of the data.
- 9.4.2.b Examine media logs or other documentation to verify that all media is classified in accordance with the sensitivity of the data.
Purpose:
Media not identified as confidential may not be adequately protected or may be lost or stolen.
Good Practice:
It is important that media be identified such that its classification status is apparent. This does not mean however that the media needs to have a “confidential” label.
Media not identified as confidential may not be adequately protected or may be lost or stolen.
Good Practice:
It is important that media be identified such that its classification status is apparent. This does not mean however that the media needs to have a “confidential” label.
Guideline for a healthy information system v.2.0 (EN):
9 STANDARD
/STANDARD
Some of the system’s resources can be a source of invaluable information from the hacher’s point of view (folders containing sensitive data, databases, mailboxes, etc.). It is therefore essential to establish an accurate list of these resources and for each of them:
Some of the system’s resources can be a source of invaluable information from the hacher’s point of view (folders containing sensitive data, databases, mailboxes, etc.). It is therefore essential to establish an accurate list of these resources and for each of them:
- define which group can have access to them;
- strictly control access, by ensuring that users are authenticated and are part of the target group;
- avoid their circulation and duplication to uncontrolled areas or areas subject to a less strict access control.
For example, the folders of administrators bringing together various pieces of sensitive information must be subject to specific access control. The same goes for sensitive information present on network shares: exports of configuration files, information system technical documentation, business databases, etc. A regular review of the access rights must, moreover, be carried out, in order to identify any unauthorised access
35 STANDARD
/STANDARD
The use of an obsolete system or software package significantly increases the possibilities of a cyberattack. Systems become vulnerable when corrective measures are no longer proposed. Malicious tools exploiting these vulnerabilities can be spread quickly online while the publisher is not offering a security corrective measure.
To anticipate obsolescence, a certain number of precautions exist:
The use of an obsolete system or software package significantly increases the possibilities of a cyberattack. Systems become vulnerable when corrective measures are no longer proposed. Malicious tools exploiting these vulnerabilities can be spread quickly online while the publisher is not offering a security corrective measure.
To anticipate obsolescence, a certain number of precautions exist:
- establish an inventory of the information system applications and systems and keep it up to date;
- choose solutions with support that is ensured for a time period corresponding to their use;
- ensure monitoring of updates and end of support dates for software;
- keep an homogeneous software stock (the co-existence of different versions of the same product increases the risks and makes monitoring more complicated);
- reduce software reliance, in other words, dependency on the operating of a software package compared to another, in particular when its support comes to an end;
- include in contracts with service providers and suppliers clauses guaranteeing the monitoring of corrective security measures and the management of obsolescence;
- identify the time periods and resources necessary (material, human, budgetary) for the migration of each software package at the end of its life (non-regression tests, backup procedure, data migration procedure, etc.).
4 STANDARD
/STANDARD
Each organization has sensitive data. This data can be on its own activity (intellectual property, expertise, etc.) or its customers, individuals or users (personal data, contracts, etc.). In order to effectively protect your data, identifying it is essential.
From this list of sensitive data, it will be possible to determine in which areas of the information system it is located (databases, file sharing, workstations, etc.). These components correspond to the servers and critical devices of the organization. To this end, they must be subject to specific security measures that may concern backup, logging, access, etc.
Therefore, this involves creating and maintaining a simplified network diagram (or mapping) representing the different IP areas and the associated addressing plan, the routing and security devices (firewall, application relays, etc.) and the networks with the outside (Internet, private networks, etc.) and partners. This diagram must also be able to locate the servers holding the entity’s sensitive information.
Each organization has sensitive data. This data can be on its own activity (intellectual property, expertise, etc.) or its customers, individuals or users (personal data, contracts, etc.). In order to effectively protect your data, identifying it is essential.
From this list of sensitive data, it will be possible to determine in which areas of the information system it is located (databases, file sharing, workstations, etc.). These components correspond to the servers and critical devices of the organization. To this end, they must be subject to specific security measures that may concern backup, logging, access, etc.
Therefore, this involves creating and maintaining a simplified network diagram (or mapping) representing the different IP areas and the associated addressing plan, the routing and security devices (firewall, application relays, etc.) and the networks with the outside (Internet, private networks, etc.) and partners. This diagram must also be able to locate the servers holding the entity’s sensitive information.
34 STANDARD
/STANDARD
New flaws are regularly discovered at the heart of systems and software. These are generally access doors that a hacker can exploit for a successful intrusion into the information system. It is, therefore, vital to stay informed of new vulnerabilities (follow CERT- FR alerts) and to apply the corrective security actions over all of the components of the system within the month following their publication. An update policy must therefore be defined and be a part of operational procedures.
These must specify:
New flaws are regularly discovered at the heart of systems and software. These are generally access doors that a hacker can exploit for a successful intrusion into the information system. It is, therefore, vital to stay informed of new vulnerabilities (follow CERT- FR alerts) and to apply the corrective security actions over all of the components of the system within the month following their publication. An update policy must therefore be defined and be a part of operational procedures.
These must specify:
- the way in which the inventory of the information system components is carried out;
- the sources of information relating to the publication of updates;
- the tools to deploy the corrective actions over the stock (for examples WSUS for updates for Microsoft components, free or paid tools for third party components and other operating systems);
- the possible qualification of corrective measure and their gradual deployement over the stock.
The obsolete components which are no longer supported by their manufacturers must be isolated from the rest of the system. This recommendation applies as much on the network level, by strict filtering of flows, as it does as regards the authentication secrets which must be dedicated to these systems.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.2.2
A.8.2.2 Маркировка информации
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации
A.8.2.1
A.8.2.1 Категорирование информации
Мера обеспечения информационной безопасности: Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации
Мера обеспечения информационной безопасности: Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации
A.9.1.1
А.9.1.1 Политика управления доступом
Мера обеспечения информационной безопасности: Политика управления доступом должна быть разработана, документирована и должна пересматриваться с учетом требований бизнеса и информационной безопасности
Мера обеспечения информационной безопасности: Политика управления доступом должна быть разработана, документирована и должна пересматриваться с учетом требований бизнеса и информационной безопасности
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.2
9.4.2
Определенные Требования к Подходу:
Все носители с данными о держателях карт классифицируются в соответствии с конфиденциальностью данных
Цель Индивидуального подхода:
Носители классифицируются и защищаются надлежащим образом.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Все носители с данными о держателях карт классифицируются в соответствии с конфиденциальностью данных
Цель Индивидуального подхода:
Носители классифицируются и защищаются надлежащим образом.
Определенные Процедуры Тестирования Подхода:
- 9.4.2.a Изучите документацию, чтобы убедиться, что определены процедуры классификации носителей с данными о держателях карт в соответствии с конфиденциальностью данных.
- 9.4.2.b Изучите журналы носителей или другую документацию, чтобы убедиться, что все носители классифицированы в соответствии с конфиденциальностью данных.
Цель:
Носители, не идентифицированные как конфиденциальные, могут быть недостаточно защищены или могут быть утеряны или украдены.
Надлежащая практика:
Важно, чтобы носитель был идентифицирован таким образом, чтобы его классификационный статус был очевиден. Однако это не означает, что средства массовой информации должны иметь ярлык “конфиденциально”.
Носители, не идентифицированные как конфиденциальные, могут быть недостаточно защищены или могут быть утеряны или украдены.
Надлежащая практика:
Важно, чтобы носитель был идентифицирован таким образом, чтобы его классификационный статус был очевиден. Однако это не означает, что средства массовой информации должны иметь ярлык “конфиденциально”.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.13
А.5.13 Маркировка информации
В соответствии с принятой в организации схемой категорирования информации должен быть разработан и внедрен соответствующий набор процедур для маркировки информации.
В соответствии с принятой в организации схемой категорирования информации должен быть разработан и внедрен соответствующий набор процедур для маркировки информации.
А.5.12
А.5.12 Категорирование информации
Информация должна быть категорирована в соответствии с потребностями ИБ организации на основе требований к ней по конфиденциальности, целостности, доступности, а также соответствующих требований заинтересованных сторон.
Информация должна быть категорирована в соответствии с потребностями ИБ организации на основе требований к ней по конфиденциальности, целостности, доступности, а также соответствующих требований заинтересованных сторон.
А.5.15
А.5.15 Контроль доступа
На основании требований бизнеса и ИБ должны быть установлены и внедрены правила контроля физического и логического доступа к информационным и иным связанным с ними активам.
На основании требований бизнеса и ИБ должны быть установлены и внедрены правила контроля физического и логического доступа к информационным и иным связанным с ними активам.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
2.3.1.1.
Все новые активы проходят классификацию на этапе ввода в эксплуатацию
2.3.1.
Осуществляется классификация и приоритизация активов с учетом результатов анализа недопустимых событий / оценки ключевых рисков КБ
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.13
А.5.13 Labelling of information
An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.
An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.
А.5.15
А.5.15 Access control
Rules to control physical and logical access to information and other associated assets shall be established and implemented based on business and information security requirements.
Rules to control physical and logical access to information and other associated assets shall be established and implemented based on business and information security requirements.
А.5.12
А.5.12 Classification of information
Information shall be classified according to the information security needs of the organization based on confidentiality, integrity, availability and relevant interested party requirements.
Information shall be classified according to the information security needs of the organization based on confidentiality, integrity, availability and relevant interested party requirements.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 7.5
8.7.5. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах методику обеспечения качества данных в информационных системах, обеспечивающих критически важные процессы, включающую следующие элементы:
- классификатор возможных источников и причин образования в информационных системах данных, не соответствующих требованиям к качеству данных в информационных системах;
- показатели (индикаторы) качества данных для оценки характеристик качества данных, разрабатываемые кредитной организацией (головной кредитной организацией банковской группы) для различных информационных систем;
- методы и алгоритмы расчета, правила измерения показателей качества данных, в том числе с использованием контрольных выборок данных;
- критерии оценки качества данных.
Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах другие элементы методики обеспечения качества данных в информационных системах.
Кредитная организация (головная кредитная организация банковской группы) применяет элементы методики обеспечения качества данных с учетом особенностей конкретных данных, в том числе методов и процедур их фиксирования, хранения и преобразования, а также их типов и форматов.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
1
13 / 108
|
Нанесение грифа конфиденциальности на файлы (маркировка)
Вручную
Организационная
Техническая
Удерживающая
24.05.2022
|
24.05.2022 | 1 13 / 108 | |
|
Community
27 / 124
|
Ведение реестра информационных активов
Вручную
Организационная
16.03.2022
|
16.03.2022 | 27 / 124 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.