Действующий
- на системных уровнях информационной инфраструктуры (определенных в 6.2 настоящего стандарта). Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на системных уровнях, установлены в настоящем разделе;
- на этапах жизненного цикла АС и приложений, используемых для обработки, передачи и (или) хранения защищаемой информации в рамках выполнения и (или) обеспечения выполнения бизнес-процессов или технологических процессов финансовой организации. Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на этапах жизненного цикла АС и приложений, установлены в разделе 9 настоящего стандарта.
8.1.3 Меры системы организации и управления защитой информации на системных уровнях применяются для каждого отдельного процесса (направления) защиты информации из числа мер, определенных в разделе 7 настоящего стандарта.
8.1.4 Меры системы организации и управления защитой информации на системных уровнях применяются в рамках следующих направлений защиты информации:
8.2.1 В рамках направления "Планирование" финансовая организация обеспечивает определение (пересмотр):
- состава применяемых (а также не применяемых) мер защиты информации из числа мер, определенных в разделах 7, 8 и 9 настоящего стандарта;
- состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определенных в разделах 7, 8 и 9 настоящего стандарта, определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
Реализация деятельности в рамках направления "Планирование" осуществляется на основе политики финансовой организации в отношении целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации, а также при необходимости на основе результатов деятельности в рамках направления "Совершенствование".
Примечание - Рекомендации по документированию деятельности в области обеспечения информационной безопасности приведены в [17].
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ПЗИ.1 | Документарное определение области применения процесса системы защиты информации* для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта | О | О | О |
ПЗИ.2 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.3 | Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.4 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.5 | Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего:- правила размещения технических мер защиты информации в информационной инфраструктуре;- параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации**;- руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации);- состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации) | О | О | О |
| * Область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России.** Параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости. | ||||
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации;
- обучение, практическую подготовку (переподготовку) работников финансовой организации, ответственных за применение мер защиты информации;
- повышение осведомленности (инструктаж) работников финансовой организации в области защиты информации.
Примечание - Рекомендации по определению потребностей организации банковской системы Российской Федерации в ресурсах, необходимых для реализации процессов информационной безопасности, и по проведению контроля эффективности использования этих ресурсов приведены в [6].
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
РЗИ.1 | Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах) | О | О | Т |
РЗИ.2 | Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации | О | О | Т |
РЗИ.3 | Контроль (тестирование) полноты реализации технических мер защиты информации | О | О | О |
РЗИ.4 | Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение | О | О | О |
РЗИ.5 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры | О | О | О |
РЗИ.6 | Реализация эксплуатации, использования по назначению технических мер защиты информации | О | О | О |
РЗИ.7 | Реализация применения организационных мер защиты информации | О | О | О |
РЗИ.8 | Реализация централизованного управления техническими мерами защиты информации* | Н | Н | Т |
РЗИ.9 | Обеспечение доступности технических мер защиты информации:- применение отказоустойчивых технических решений;- резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации;- осуществление контроля безотказного функционирования технических мер защиты информации;- принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования | Н | Н | Т |
РЗИ.10 | Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования | Н | О | О |
РЗИ.11 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса** | Н | Н | Т |
РЗИ.12 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса** | Н | Т | Н |
РЗИ.13 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса** | Т | Н | Н |
РЗИ.14 | Применение СКЗИ, имеющих класс не ниже КС2** | Н | Н | Т |
РЗИ.15 | Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации | О | О | О |
РЗИ.16 | Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации | О | О | О |
| * Централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала.** В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации. | ||||
8.4.1 Деятельность в рамках направления "Контроль" должна обеспечивать достаточную уверенность в том, что применение мер защиты информации осуществляется надлежащим образом и соответствует политике финансовой организации в отношении целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации.
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
КЗИ.1 | Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1 таблицы 49 | О | О | Т |
КЗИ.2 | Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:- контроль фактического размещения технических мер защиты информации в информационной инфраструктуре финансовой организации;- контроль фактических параметров настроек технических мер защиты информации и компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации | О | О | Т |
КЗИ.3 | Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:- контроль назначения ролей, связанных с эксплуатацией и использованием по назначению технических мер защиты информации;- контроль выполнения руководств по эксплуатации и использованию по назначению технических мер защиты информации | О | О | О |
КЗИ.4 | Периодический контроль (тестирование) полноты реализации технических мер защиты информации | О | Т | Т |
КЗИ.5 | Контроль применения организационных мер защиты информации | О | О | О |
КЗИ.6 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | О | Т | Т |
КЗИ.7 | Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации | О | О | О |
КЗИ.8 | Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса системы защиты информации, проводимых в соответствии с мерами КЗИ.1-КЗИ.7 настоящей таблицы | О | О | О |
8.4.3 Базовый состав мер контроля процесса системы защиты информации в части регистрации событий защиты информации приведен в таблице 51.
Таблица 51 - Базовый состав мер контроля процесса системы защиты информации в части регистрации событий защиты информации
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
КЗИ.9 | Регистрация операций по установке и (или) обновлению ПО технических средств защиты информации | Н | Т | Т |
КЗИ.10 | Регистрация операций по обновлению сигнатурных баз технических средств защиты информации (в случае их использования) | Н | Т | Т |
КЗИ.11 | Регистрация операций по изменению параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации | Н | Т | Т |
КЗИ.12 | Регистрация сбоев (отказов) технических мер защиты информации | Н | Т | Т |
8.5.1 Деятельность в рамках направления "Совершенствование" выполняется на основе результатов проведения мероприятий по обнаружению инцидентов защиты информации и реагированию на них, обнаружению недостатков в обеспечении защиты информации в рамках направления "Контроль", а также в случаях изменения политики финансовой организации в отношении принципов и приоритетов в реализации системы защиты информации, целевых показателей величины допустимого остаточного операционного риска (риск-аппетита).
Применяемые финансовой организацией меры в рамках направления "Совершенствование" должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер защиты информации. При этом непосредственная деятельность по совершенствованию процесса защиты информации выполняется в рамках направления "Реализация" и при необходимости направления "Планирование".
8.5.2 Базовый состав мер по совершенствованию процесса системы защиты информации приведен в таблице 52.