Действующий
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ПЗИ.1 | Документарное определение области применения процесса системы защиты информации* для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта | О | О | О |
ПЗИ.2 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.3 | Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.4 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
ПЗИ.5 | Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего:- правила размещения технических мер защиты информации в информационной инфраструктуре;- параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации**;- руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации);- состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации) | О | О | О |
| * Область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России.** Параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости. | ||||
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации;
- обучение, практическую подготовку (переподготовку) работников финансовой организации, ответственных за применение мер защиты информации;
- повышение осведомленности (инструктаж) работников финансовой организации в области защиты информации.
Примечание - Рекомендации по определению потребностей организации банковской системы Российской Федерации в ресурсах, необходимых для реализации процессов информационной безопасности, и по проведению контроля эффективности использования этих ресурсов приведены в [6].
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
РЗИ.1 | Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах) | О | О | Т |
РЗИ.2 | Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации | О | О | Т |
РЗИ.3 | Контроль (тестирование) полноты реализации технических мер защиты информации | О | О | О |
РЗИ.4 | Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение | О | О | О |
РЗИ.5 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры | О | О | О |
РЗИ.6 | Реализация эксплуатации, использования по назначению технических мер защиты информации | О | О | О |
РЗИ.7 | Реализация применения организационных мер защиты информации | О | О | О |
РЗИ.8 | Реализация централизованного управления техническими мерами защиты информации* | Н | Н | Т |
РЗИ.9 | Обеспечение доступности технических мер защиты информации:- применение отказоустойчивых технических решений;- резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации;- осуществление контроля безотказного функционирования технических мер защиты информации;- принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования | Н | Н | Т |
РЗИ.10 | Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования | Н | О | О |
РЗИ.11 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса** | Н | Н | Т |
РЗИ.12 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса** | Н | Т | Н |
РЗИ.13 | Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса** | Т | Н | Н |
РЗИ.14 | Применение СКЗИ, имеющих класс не ниже КС2** | Н | Н | Т |
РЗИ.15 | Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации | О | О | О |
РЗИ.16 | Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации | О | О | О |
| * Централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала.** В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации. | ||||
8.4.1 Деятельность в рамках направления "Контроль" должна обеспечивать достаточную уверенность в том, что применение мер защиты информации осуществляется надлежащим образом и соответствует политике финансовой организации в отношении целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации.
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
КЗИ.1 | Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1 таблицы 49 | О | О | Т |
КЗИ.2 | Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:- контроль фактического размещения технических мер защиты информации в информационной инфраструктуре финансовой организации;- контроль фактических параметров настроек технических мер защиты информации и компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации | О | О | Т |
КЗИ.3 | Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:- контроль назначения ролей, связанных с эксплуатацией и использованием по назначению технических мер защиты информации;- контроль выполнения руководств по эксплуатации и использованию по назначению технических мер защиты информации | О | О | О |
КЗИ.4 | Периодический контроль (тестирование) полноты реализации технических мер защиты информации | О | Т | Т |
КЗИ.5 | Контроль применения организационных мер защиты информации | О | О | О |
КЗИ.6 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | О | Т | Т |
КЗИ.7 | Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации | О | О | О |
КЗИ.8 | Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса системы защиты информации, проводимых в соответствии с мерами КЗИ.1-КЗИ.7 настоящей таблицы | О | О | О |
8.4.3 Базовый состав мер контроля процесса системы защиты информации в части регистрации событий защиты информации приведен в таблице 51.
Таблица 51 - Базовый состав мер контроля процесса системы защиты информации в части регистрации событий защиты информации
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
КЗИ.9 | Регистрация операций по установке и (или) обновлению ПО технических средств защиты информации | Н | Т | Т |
КЗИ.10 | Регистрация операций по обновлению сигнатурных баз технических средств защиты информации (в случае их использования) | Н | Т | Т |
КЗИ.11 | Регистрация операций по изменению параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации | Н | Т | Т |
КЗИ.12 | Регистрация сбоев (отказов) технических мер защиты информации | Н | Т | Т |
8.5.1 Деятельность в рамках направления "Совершенствование" выполняется на основе результатов проведения мероприятий по обнаружению инцидентов защиты информации и реагированию на них, обнаружению недостатков в обеспечении защиты информации в рамках направления "Контроль", а также в случаях изменения политики финансовой организации в отношении принципов и приоритетов в реализации системы защиты информации, целевых показателей величины допустимого остаточного операционного риска (риск-аппетита).
Применяемые финансовой организацией меры в рамках направления "Совершенствование" должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер защиты информации. При этом непосредственная деятельность по совершенствованию процесса защиты информации выполняется в рамках направления "Реализация" и при необходимости направления "Планирование".
8.5.2 Базовый состав мер по совершенствованию процесса системы защиты информации приведен в таблице 52.
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
СЗИ.1 | Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:- обнаружения инцидентов защиты информации;- обнаружения недостатков в рамках контроля системы защиты информации | О | О | О |
СЗИ.2 | Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении:- области применения процесса системы защиты информации;- основных принципов и приоритетов в реализации процесса системы защиты информации;- целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации | О | О | О |
СЗИ.3 | Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:- изменений требований к защите информации, определенных правилами платежной системы*;- изменений, внесенных в законодательство Российской Федерации, в том числе нормативные акты Банка России | О | О | О |
СЗИ.4 | Фиксация решений о проведении совершенствования процесса системы защиты информации в виде корректирующих или превентивных действий, например:- пересмотр области применения процесса системы защиты информации;- пересмотр состава и содержания организационных мер защиты информации, применяемых в рамках процесса системы защиты информации;- пересмотр состава технических мер защиты информации, применяемых в рамках процесса системы защиты информации | О | О | О |
| * Применяется только для участников платежных систем. | ||||
9.1 Настоящий раздел устанавливает требования к содержанию базового состава мер защиты информации на этапах жизненного цикла АС и приложений, эксплуатируемых в рамках предоставления бизнес-процессов и (или) технологических процессов финансовой организации (далее при совместном упоминании - АС).
- размещения компонентов АС в защищенной информационной инфраструктуре, для которой на системных уровнях реализованы процессы системы защиты информации, определенные в разделе 7 настоящего стандарта;
- создания и обеспечения применения системы защиты информации для конкретной АС, реализующей отдельные дополнительные (по отношению к требованиям раздела 8 настоящего стандарта) функции защиты информации для АС, не реализованные на системных уровнях.
- контроль отсутствия уязвимостей защиты информации в прикладном ПО АС и информационной инфраструктуре, предназначенной для размещения АС;
Примечание - Рекомендации по обеспечению информационной безопасности на стадиях жизненного цикла АС приведены в [18].
9.5 Базовый состав мер защиты информации на этапе "Создание (модернизация) АС" приведен в таблице 53.
Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
3 | 2 | 1 | ||
ЖЦ.1 | Документарное определение перечня защищаемой информации, планируемой к обработке в АС | О | О | О |
ЖЦ.2 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС) | О | О | О |
ЖЦ.3 | Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС:- состава и порядка применения технических и (или) организационных мер системы защиты информации АС;- параметров настроек технических мер системы защиты информации АС и компонентов информационной инфраструктуры, предназначенных для размещения указанных технических мер*(1) | О | О | О |
ЖЦ.4 | Реализация управления версиями (сборками) и изменениями создаваемого (модернизируемого), в том числе тестируемого, прикладного ПО АС, осуществляемого для цели:- контроля реализации функций защиты информации в определенной версии (сборке) прикладного ПО;- принятия мер, препятствующих несанкционированному внесению изменений в версии (сборки) прикладного ПО | Н | О | О |
ЖЦ.5 | Использование (контроль использования) сегментов разработки и тестирования, выделенных в соответствии с мерой СМЭ.6 таблицы 13, при создании (модернизации), включая тестирование, АС | Н | О | О |
ЖЦ.6 | Контроль предоставления и обеспечение разграничения доступа в сегментах разработки и тестирования | О | О | О |
ЖЦ.7 | Реализация запрета использования защищаемой информации в сегментах разработки и тестирования*(2) | О | О | О |
ЖЦ.8 | Применение прикладного ПО АС, сертифицированного на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3*(3) | Н | О | О |
ЖЦ.9 | Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС) | О | О | О |
ЖЦ.10 | Проведение модернизации АС при изменении требований к составу и содержанию мер системы защиты информации АС (функционально-технические требований к системе защиты информации АС) | О | О | О |
ЖЦ.11 | Документарное определение в проектной и эксплуатационной документации на систему защиты информации АС*(4):- состава и порядка применения клиентами финансовой организации прикладного ПО и (или) технических и (или) организационных мер защиты информации (далее при совместном упоминании - клиентские компоненты);- параметров настроек клиентских компонентов и информационной инфраструктуры клиентов финансовой организации, предназначенной для размещения клиентских компонентов;- описания мер по обеспечению использования клиентом определенных доверенных версий (сборок) прикладного ПО | О | О | О |
| *(1) Параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости.*(2) За исключением конфигурационной информации, определяющей параметры работы АС.*(3) В случаях, предусмотренных нормативными актами Банка России, и (или) если в соответствии с моделью угроз и нарушителей безопасности информации финансовой организации, угрозы, связанные с наличием уязвимостей и недеклалированных возможностей в прикладном ПО АС, признаны актуальными.*(4) Документарное определение в соответствии с мерой ЖЦ.11 выполняется в случае необходимости. | ||||