8. Требования к организации и управлению защитой информации

8.1 Общие положения

8.1.1 Разделы 8 и 9 настоящего стандарта (ГОСТ Р 57580.1-2017) устанавливают требования к содержанию базового состава мер защиты информации, входящих в состав системы организации и управления защитой информации, направленных на обеспечение должной полноты и качества реализации системы защиты информации.

8.1.2 Меры системы организации и управления защитой информации применяются:

  • на системных уровнях информационной инфраструктуры (определенных в 6.2 настоящего стандарта ГОСТ Р 57580.1-2017). Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на системных уровнях, установлены в настоящем разделе;
  • на этапах жизненного цикла АС и приложений, используемых для обработки, передачи и (или) хранения защищаемой информации в рамках выполнения и (или) обеспечения выполнения бизнес-процессов или технологических процессов финансовой организации. Требования к содержанию базового состава мер системы организации и управления защитой информации, применяемых на этапах жизненного цикла АС и приложений, установлены в разделе 9 настоящего стандарта (ГОСТ Р 57580.1-2017).

8.1.3  Меры системы организации и управления защитой информации на системных уровнях применяются для каждого отдельного процесса (направления) защиты информации из числа мер, определенных в разделе 7 настоящего стандарта (ГОСТ Р 57580.1-2017).

8.1.4  Меры системы организации и управления защитой информации на системных уровнях применяются в рамках следующих направлений защиты информации:

8.1.5  Способы реализации мер системы организации и управления защитой информации, установленные в таблицах раздела 8 настоящего стандарта, обозначены как в 7.1.6.



8.2 Направление 1: «Планирование процесса системы защиты информации»

8.2.1 В рамках направления «Планирование» финансовая организация обеспечивает определение (пересмотр):

  • области применения процесса системы защиты информации;
  • состава применяемых (а также не применяемых) мер защиты информации из числа мер, определенных в разделах 7,8 и 9 настоящего стандарта (ГОСТ Р 57580.1-2017);
  • состава и содержания мер защиты информации, являющихся дополнительными к базовому составу мер, определенных в разделах 7,8 и 9 настоящего стандарта (ГОСТ Р 57580.1-2017), определяемых на основе актуальных угроз защиты информации, требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности и защиты информации;
  • порядка применения мер защиты информации в рамках процесса системы защиты информации.
Реализация деятельности в рамках направления «Планирование» осуществляется на основе политики финансовой организации в отношении целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации, а также при необходимости на основе результатов деятельности в рамках направления «Совершенствование».
Примечание. Рекомендации по документированию деятельности в области обеспечения информационной безопасности приведены в [17]

8.2.2 Базовый состав мер планирования процесса системы защиты информации приведен в таблице 48.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
ПЗИ.1 Документарное определение области применения процесса системы защиты информации* для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта ГОСТ Р 57580.1-2017ООО
ПЗИ.2 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания организационных мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информацииООО
ПЗИ.3 Документарное определение порядка применения организационных мер защиты информации, реализуемых в рамках процесса системы защиты информацииООО
ПЗИ.4 Документарное определение состава (с указанием соответствия настоящему стандарту) и содержания технических мер защиты информации, выбранных финансовой организацией и реализуемых в рамках процесса системы защиты информацииООО
ПЗИ.5 Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего:
  • правила размещения технических мер защиты информации в информационной инфраструктуре;
  • параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации**;
  • руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации);
  • состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации)
ООО
* Область применения процесса системы защиты информации определяется в соответствии с положениями нормативных актов Банка России.
** Параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости.
Таблица 48. Базовый состав мер планирования процесса системы защиты информации.



8.3 Направление 2: «Реализация процесса системы защиты информации»

8.3.1 Деятельность в рамках направления «Реализация» выполняется по результатам выполнения направлений «Планирование» и (или) «Совершенствование» (см. 8.2 и 8.5 настоящего стандарта ГОСТ Р 57580.1-2017 соответственно).
В рамках направления «Реализация» финансовая организация обеспечивает: 

  • должное применение мер защиты информации;
  • определение ролей защиты информации, связанных с применением мер защиты информации;
  • назначение ответственных лиц за выполнение ролей защиты информации;
  • доступность реализации технических мер защиты информации; 
  • применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия [в  том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности], в случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации; 
  • обучение, практическую подготовку (переподготовку) работников финансовой организации, ответственных за применение мер защиты информации;
  • повышение осведомленности (инструктаж) работников финансовой организации в области защиты информации.
Примечание. Рекомендации по определению потребностей организации банковской системы Российской Федерации в ресурсах, необходимых для реализации процессов информационной безопасности, и по проведению контроля эффективности использования этих ресурсов приведены в [6]

8.3.2 Базовый состав мер по реализации процесса системы защиты информации приведен в таблице 49.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
РЗИ.1 Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта ГОСТ Р 57580.1-2017, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах) ООТ
РЗИ.2 Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации ООТ
РЗИ.3 Контроль (тестирование) полноты реализации технических мер защиты информации ООО
РЗИ.4 Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение ООО
РЗИ.5 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры ООО
РЗИ.6 Реализация эксплуатации, использования по назначению технических мер защиты информации ООО
РЗИ.7 Реализация применения организационных мер защиты информацииООО
РЗИ.8 Реализация централизованного управления техническими мерами защиты информации* ННТ
РЗИ.9 Обеспечение доступности технических мер защиты информации:
  • применение отказоустойчивых технических решений;
  • резервирование информационной инфраструктуры, необходимой для функционирования технических мер защиты информации;
  • осуществление контроля безотказного функционирования технических мер защиты информации;
  • принятие регламентированных мер по восстановлению отказавших технических мер защиты информации информационной инфраструктуры, необходимых для их функционирования.
ННТ
РЗИ.10 Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использованияНОО
РЗИ.11 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса** ННТ
РЗИ.12 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса** НТН
РЗИ.13 Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса** ТНН
РЗИ.14 Применение СКЗИ, имеющих класс не ниже КС2**ННТ
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации OOO
РЗИ.16 Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информацииOOO
* Централизованное управление реализуется для технических мер защиты информации, множественно размещаемых на АРМ пользователей и эксплуатационного персонала.
** В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.
Таблица 49. Базовый состав мер по реализации процесса системы защиты информации.



8.4 Направление 3: «Контроль процесса системы защиты информации»

8.4.1 Деятельность в рамках направления «Контроль» должна обеспечивать достаточную уверенность в том, что применение мер защиты информации осуществляется надлежащим образом и соответствует политике финансовой организации в отношении целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации.
Применяемые финансовой организацией меры защиты информации должны обеспечивать контроль:

  • области применения процесса системы защиты информации;
  • должного применения мер защиты информации в рамках процесса системы защиты информации;
  • знаний работников финансовой организации в части применения мер защиты информации.

8.4.2 Базовый состав мер контроля процесса системы защиты информации приведен в таблице 50.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
КЗИ.1 Контроль фактического состава объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, на соответствие учетным данным, формируемым в рамках выполнения меры РЗИ.1 таблицы 49OOТ
КЗИ.2 Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:
  • контроль фактического размещения технических мер защиты информации в информационной инфраструктуре финансовой организации;
  • контроль фактических параметров настроек технических мер защиты информации и компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации.
OOO
КЗИ.3 Контроль эксплуатации и использования по назначению технических мер защиты информации, включающий:
  • контроль назначения ролей, связанных с эксплуатацией и использованием по назначению технических мер защиты информации;
  • контроль выполнения руководств по эксплуатации и использованию по назначению технических мер защиты информации.
OOТ
КЗИ.4 Периодический контроль (тестирование) полноты реализации технических мер защиты информацииOТТ
КЗИ.5 Контроль применения организационных мер защиты информацииOOO
КЗИ.6 Контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер по восстановлению отказавших средств и их тестированиеOТТ
КЗИ.7 Проведение проверок знаний работников финансовой организации в части применения мер защиты информации в рамках процесса системы защиты информации OOO
КЗИ.8 Фиксация результатов (свидетельств) проведения мероприятий по контролю реализации процесса системы защиты информации, проводимых в соответствии с мерами КЗИ.1 — КЗИ.7 настоящей таблицыOOO
Таблица 50. Базовый состав мер контроля процесса системы защиты информации.



8.4.3 Базовый состав мер контроля процесса системы защиты информации в части регистрации событий защиты информации приведен в таблице 51.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
КЗИ.9 Регистрация операций по установке и (или) обновлению ПО технических средств защиты информацииНТТ
КЗИ.10 Регистрация операций по обновлению сигнатурных баз технических средств защиты информации (в случае их использования)НТТ
КЗИ.11 Регистрация операций по изменению параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информацииНТТ
КЗИ.12 Регистрация сбоев (отказов) технических мер защиты информацииНТТ
Таблица 51. Базовый состав мер контроля процесса системы защиты информации в части регистрации событий защиты информации



8.5 Направление 4: «Совершенствование процесса системы защиты информации»

8.5.1  Деятельность в рамках направления «Совершенствование» выполняется на основе результатов проведения мероприятий по обнаружению инцидентов защиты информации и реагированию на них, обнаружению недостатков в обеспечении защиты информации в рамках направления «Контроль», а также в случаях изменения политики финансовой организации в отношении принципов и приоритетов в реализации системы защиты информации, целевых показателей величины допустимого остаточного операционного риска (риск-аппетита).

Применяемые финансовой организацией меры в рамках направления «Совершенствование» должны обеспечивать формирование и фиксацию решений о необходимости выполнения корректирующих или превентивных действий, в частности пересмотр применяемых мер защиты информации. При этом непосредственная деятельность по совершенствованию процесса защиты информации выполняется в рамках направления «Реализация» и при необходимости направления «Планирование».

8.5.2 Базовый состав мер по совершенствованию процесса системы защиты информации приведен в таблице 52.

Условное обозначение и номер меры Содержание мер системы защиты информацииУровень защиты информации
321
СЗИ.1 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:
  • обнаружения инцидентов защиты информации;
  • обнаружения недостатков в рамках контроля системы защиты информации,
OOO
СЗИ.2 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях изменения политики финансовой организации в отношении:
  • области применения процесса системы защиты информации;
  • основных принципов и приоритетов в реализации процесса системы защиты информации;
  • целевых показателей величины допустимого остаточного операционного риска (риск-аппетита), связанного с обеспечением безопасности информации.
OOO
СЗИ.3 Проведение и фиксация результатов (свидетельств) анализа необходимости совершенствования процесса системы защиты информации в случаях:
  • изменений требований к защите информации, определенных правилами платежной системы*;
  • изменений, внесенных в законодательство Российской Федерации, в том числе нормативные акты Банка России.
OOO
СЗИ.4 Фиксация решений о проведении совершенствования процесса системы защиты информации в виде корректирующих или превентивных действий, например:
  • пересмотр области применения процесса системы защиты информации;
  • пересмотр состава и содержания организационных мер защиты информации, применяемых в рамках процесса системы защиты информации;
  • пересмотр состава технических мер защиты информации, применяемых в рамках процесса системы защиты информации
OOO
* Применяется только для участников платежных систем.
Таблица 52. Базовый состав мер по совершенствованию процесса системы защиты информации


к Оглавлению ГОСТ 57580.1-2017 | Назад | Вперед


Рейтинг@Mail.ru Яндекс.Метрика