8.1 Общие положения
8.1.1 Разделы 8 и 9 настоящего стандарта (ГОСТ Р 57580.1-2017) устанавливают требования к содержанию базового состава мер защиты информации, входящих в состав системы организации и управления защитой информации, направленных на обеспечение должной полноты и качества реализации системы защиты информации.
8.1.2 Меры системы организации и управления защитой информации применяются:
- на системных уровнях информационной инфраструктуры (определенных в 6.2 настоящего стандарта ГОСТ Р 57580.1-2017). Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на системных уровнях, установлены в настоящем разделе;
- на этапах жизненного цикла АС и приложений, используемых для обработки, передачи и (или) хранения защищаемой информации в рамках выполнения и (или) обеспечения выполнения бизнес-процессов или технологических процессов финансовой организации. Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на этапах жизненного цикла АС и приложений, установлены в разделе 9 настоящего стандарта (ГОСТ Р 57580.1-2017).
8.1.3 Меры системы организации и управления защитой информации на системных уровнях применяются для каждого отдельного процесса (направления) защиты информации из числа мер, определенных в разделе 7 настоящего стандарта (ГОСТ Р 57580.1-2017).
8.1.4 Меры системы организации и управления защитой информации на системных уровнях применяются в рамках следующих направлений защиты информации:
- направление 1 «Планирование процесса системы защиты информации» («Планирование»);
- направление 2 «Реализация процесса системы защиты информации» («Реализация»);
- направление 3 «Контроль процесса системы защиты информации» («Контроль»);
- направление 4 «Совершенствование процесса системы защиты информации» («Совершенствование»).
8.1.5 Способы реализации мер системы организации и управления защитой информации, установленные в таблицах раздела 8 настоящего стандарта, обозначены как в 7.1.6.
8.2 Направление 1: «Планирование процесса системы защиты информации»
8.2.1 В рамках направления «Планирование» финансовая организация обеспечивает определение (пересмотр):
- области применения процесса системы защиты информации;
- состава применяемых (а также не применяемых) мер защиты информации из числа мер, определенных в разделах 7,8 и 9 настоящего стандарта (ГОСТ Р 57580.1-2017);
- состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определенных в разделах 7,8 и 9 настоящего стандарта (ГОСТ Р 57580.1-2017), определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
- порядка применения мер защиты информации в рамках процесса системы защиты информации.
Примечание. Рекомендации по документированию деятельности в области обеспечения информационной безопасности приведены в [17]
8.2.2 Базовый состав мер планирования процесса системы защиты информации приведен в таблице 48.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| ПЗИ.1 | Документарное определение области применения процесса системы защиты информации* для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта ГОСТ Р 57580.1-2017 | О | О | О |
| ПЗИ.2 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
| ПЗИ.3 | Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информации | О | О | О |
| ПЗИ.4 | Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информации | О | О | О |
| ПЗИ.5 | Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего:
| О | О | О |
| * Область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России. ** Параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости. | ||||
8.3 Направление 2: «Реализация процесса системы защиты информации»
8.3.1 Деятельность в рамках направления «Реализация» выполняется по результатам выполнения направлений «Планирование» и (или) «Совершенствование» (см. 8.2 и 8.5 настоящего стандарта ГОСТ Р 57580.1-2017 соответственно).
В рамках направления «Реализация» финансовая организация обеспечивает:
- должное применение мер защиты информации;
- определение ролей защиты информации, связанных с применением мер защиты информации;
- назначение ответственных лиц за выполнение ролей защиты информации;
- доступность реализации технических мер защиты информации;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации;
- обучение, практическую подготовку (переподготовку) работников финансовой организации, ответственных за применение мер защиты информации;
- повышение осведомленности (инструктаж) работников финансовой организации в области защиты информации.
Примечание. Рекомендации по определению потребностей организации банковской системы Российской Федерации в ресурсах, необходимых для реализации процессов информационной безопасности, и по проведению контроля эффективности использования этих ресурсов приведены в [6]
8.3.2 Базовый состав мер по реализации процесса системы защиты информации приведен в таблице 49.
Таблица 49. Базовый состав мер по реализации процесса системы защиты информации.
Условное обозначение и номер меры Содержание мер системы защиты информации Уровень защиты информации
3 2 1
РЗИ.1 Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта ГОСТ Р 57580.1-2017, в том числе объектов доступа, расположенных в публичных (общедоступных)
местах (в том числе банкоматах, платежных терминалах) О О Т
РЗИ.2 Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации О О Т
РЗИ.3 Контроль (тестирование) полноты реализации технических мер защиты информации О О О
РЗИ.4 Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение О О О
РЗИ.5 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры О О О
РЗИ.6 Реализация эксплуатации, использования по назначению технических мер защиты информации О О О
РЗИ.7 Реализация применения организационных мер защиты информации О О О
РЗИ.8 Реализация централизованного управления техническими мерами защиты информации* Н Н Т
РЗИ.9 Обеспечение доступности технических мер защиты информации:
Н Н Т
РЗИ.10 Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования Н О О
РЗИ.11 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса** Н Н Т
РЗИ.12 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса** Н Т Н
РЗИ.13 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса** Т Н Н
РЗИ.14 Применение СКЗИ, имеющих класс не ниже КС2** Н Н Т
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации O O O
РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации O O O
* Централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала.
** В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.
8.4 Направление 3: «Контроль процесса системы защиты информации»
8.4.1 Деятельность в рамках направления «Контроль» должна обеспечивать достаточную уверенность в том, что применение мер защиты информации осуществляется надлежащим образом и соответствует политике финансовой организации в отношении целевых показателей величины допустимого остаточного
операционного риска (риск-аппетита), связанного с обеспечением безопасности информации.
Применяемые финансовой организацией меры защиты информации должны обеспечивать контроль:
- области применения процесса системы защиты информации;
- должного применения мер защиты информации в рамках процесса системы защиты информации;
- знаний работников финансовой организации в части применения мер защиты информации.
8.4.2 Базовый состав мер контроля процесса системы защиты информации приведен в таблице 50.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| КЗИ.1 | Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1 таблицы 49 | O | O | Т |
| КЗИ.2 | Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:
| O | O | O |
| КЗИ.3 | Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:
| O | O | Т |
| КЗИ.4 | Периодический контроль (тестирование) полноты реализации технических мер защиты информации | O | Т | Т |
| КЗИ.5 | Контроль применения организационных мер защиты информации | O | O | O |
| КЗИ.6 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестирование | O | Т | Т |
| КЗИ.7 | Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации | O | O | O |
| КЗИ.8 | Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса системы защиты информации, проводимых в соответствии с мерами КЗИ.1 — КЗИ.7 настоящей таблицы | O | O | O |
8.4.3 Базовый состав мер контроля процесса системы защиты информации в части регистрации событий защиты информации приведен в таблице 51.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| КЗИ.9 | Регистрация операций по установке и (или) обновлению ПО технических средств защиты информации | Н | Т | Т |
| КЗИ.10 | Регистрация операций по обновлению сигнатурных баз технических средств защиты информации (в случае их использования) | Н | Т | Т |
| КЗИ.11 | Регистрация операций по изменению параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации | Н | Т | Т |
| КЗИ.12 | Регистрация сбоев (отказов) технических мер защиты информации | Н | Т | Т |
8.5 Направление 4: «Совершенствование процесса системы защиты информации»
8.5.1 Деятельность в рамках направления «Совершенствование» выполняется на основе результатов проведения мероприятий по обнаружению инцидентов защиты информации и реагированию на них, обнаружению недостатков в обеспечении защиты информации в рамках направления «Контроль», а также в случаях изменения политики финансовой организации в отношении принципов и приоритетов в реализации системы защиты информации, целевых показателей величины допустимого остаточного операционного риска (риск-аппетита).
Применяемые финансовой организацией меры в рамках направления «Совершенствование» должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер защиты информации. При этом непосредственная деятельность по совершенствованию процесса защиты информации выполняется в рамках направления «Реализация» и при необходимости направления «Планирование».
8.5.2 Базовый состав мер по совершенствованию процесса системы защиты информации приведен в таблице 52.
| Условное обозначение и номер меры | Содержание мер системы защиты информации | Уровень защиты информации | ||
|---|---|---|---|---|
| 3 | 2 | 1 | ||
| СЗИ.1 | Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:
| O | O | O |
| СЗИ.2 | Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении:
| O | O | O |
| СЗИ.3 | Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:
| O | O | O |
| СЗИ.4 | Фиксация решений о проведении совершенствования процесса системы защиты информации в виде корректирующих или превентивных действий, например:
| O | O | O |
| * Применяется только для участников платежных систем. | ||||
к Оглавлению ГОСТ 57580.1-2017 | Назад | Вперед