№ п/п
|
Наименование процессов
|
Требование к содержанию процессов обеспечения информационной безопасности
|
1
|
2
|
3
|
1
|
Управление активами, связанными с информационно-коммуникационными технологиями
|
1. Идентификация активов в соответствии с порядком идентификации активов, определенном в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.
2. Классификация информации в соответствии с системой классификации, определенной в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.
3. Проверка класса, определенного для объекта испытаний на соответствие требованиям правил классификации объектов информатизации.
4. Маркировка активов в соответствии с принципами маркировки, определенными в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.
5. Закрепление ответственных лиц за идентифицированными активами.
6. Ведение и актуализация реестра активов в соответствии с принятой формой реестра.
7. Определение, документирование и реализация процедур обращения с активами (выдача, использование, хранение, внос/вынос и возврат) в соответствии с системой классификации, определенной в Правилах идентификации, классификации и маркировки активов, связанных со средствами обработки информации.
8. Паспортизация средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения.
9. Безопасная организация работ при приеме/отгрузке активов, связанных с информационно-коммуникационными технологиями.
10. Безопасная утилизация (повторное использование) серверного и телекоммуникационного оборудования, систем хранения данных, рабочих станций, носителей информации.
|
2
|
Организация информационной безопасности
|
1. Наличие подразделения информационной безопасности или сотрудника, ответственного за информационную безопасность, обособленного от подразделения информационных технологий, подчиняющегося непосредственно высшему руководству.
2. Функционирование рабочих групп и проведение совещаний по вопросам координации работ и обеспечения информационной безопасности.
3. Разработка (актуализация), утверждение, одобрение руководством технической документации по информационной безопасности, доведение их содержимого до сотрудников и привлекаемых со стороны исполнителей.
4. Поддержание контактов с полномочными органами, профессиональными сообществами, профессиональными ассоциациями или форумами специалистов по информационной безопасности.
5. Определение и документирование процедур обеспечения информационной безопасности, в том числе, при привлечении сторонних организаций.
6. Разработка (пересмотр) соглашения о конфиденциальности или неразглашении, отражающие потребности в защите информации.
7. Определение и включение в соглашения со сторонними организациями требований по информационной безопасности и уровня обслуживания. Контроль за реализации положений соглашения.
|
3
|
Безопасность, связанная с персоналом
|
1. Предварительная проверка кандидатов при приеме на работу.
2. Определение, назначение и отражение в должностных инструкциях и (или) условиях трудового договора сотрудников и привлекаемых со стороны исполнителей ролей, обязанностей и ответственности, связанных с информационной безопасностью в период занятости, изменения или прекращения трудовых отношений и обязательств владельца объекта испытаний.
3. Определение и документирование процедур увольнения сотрудников, имеющих обязательства в области обеспечения информационной безопасности.
4. Определение и регламентирование действий, которые будут предприняты к нарушителям правил информационной безопасности.
5. Извещение сотрудников об изменениях в политиках, правилах и процедурах обеспечения информационной безопасности, затрагивающих исполнение их служебных обязанностей.
6. Осведомленность и исполнение сотрудниками и привлекаемыми со стороны исполнителями об обязанностях и ответственности, связанными с обеспечением информационной безопасности в период занятости, изменения или прекращения трудовых отношений.
7. Обучение и подготовка сотрудников в сфере информационной безопасности.
8. Ответственность руководства за обеспечение возможности выполнения сотрудниками и привлекаемыми со стороны исполнителями обязательств в отношении информационной безопасности.
|
4
|
Мониторинг событий ИБ и управление инцидентами ИБ
|
1. Регистрация действий пользователей, операторов, администратор и событий операционных систем, систем управления базой данных, антивирусного программного обеспечения (далее – ПО), прикладного ПО, телекоммуникационного оборудования, систем обнаружения и предотвращения атак, системы управления контентом.
2. Ведение, хранение и защита журналов регистрации событий.
3. Осуществление анализа журналов регистрации событий.
4. Мониторинг зарегистрированных событий и оповещение о событиях высокой и критичной степени важности для информационной безопасности.
5. Оценка и принятие решения по событию информационной безопасности.
6. Разработка, документирование, доведение до сведения сотрудников и привлекаемых со стороны исполнителей, выполнение процедур реагирования на инциденты информационной безопасности.
7. Проведение анализа инцидентов информационной безопасности.
|
5
|
Управление непрерывностью ИБ
|
1. Планирование непрерывности информационной безопасности.
2. Идентификация событий, которые являются возможной причиной нарушения непрерывности процесса обеспечения информационной безопасности или бизнес процессов.
3. Разработка (актуализация), внедрение процессов и процедур поддержания необходимого уровня непрерывности информационной безопасности во внештатных (кризисных) ситуациях.
4. Определение, документирование, доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение процедур во внештатных (кризисных ситуациях).
5. Проверка (тестирование), анализ и оценка процессов и процедур обеспечения непрерывности информационной безопасности.
6. Резервирование средств обработки информации, объекта информатизации с учетом требований законодательства.
|
6
|
Управление сетевой безопасностью
|
1. Определение, документирование и доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение процедур управления сетевым оборудованием.
2. Определение и включение в соглашения по обслуживанию сетей и передаче информации механизмов обеспечения безопасности, уровней доступности для всех сетевых услуг и сервисов.
3. Определение, документирование, доведение до сведений сотрудников и привлекаемых со стороны исполнителей, выполнение политик и процедур использования сетей и сетевых услуг, передачи информации, подключения к Интернету, сетям телекоммуникаций и связи и использования беспроводного доступа к сетевым ресурсам.
4. Определение, документирование и выполнение процедур по применению средств защиты информации, передаваемой по сети и электронных сообщений.
5. Способы подключения и взаимодействия сетей, учитывающие требования законодательства.
|
7
|
Криптографические методы защиты
|
1. Регламентация управления криптографическими ключами, включающая вопросы изготовления, учета, хранения, передачи, использования, возврата (уничтожения), защиты криптографических ключей, учитывающая требования законодательства.
2. Применение криптографических средств при хранении и передаче информации, включая аутентификационные данные.
|
8
|
Управление рисками информационной безопасности
|
1. Выбор методики оценки рисков.
2. Идентификация угроз (рисков) для идентифицированных и классифицированных активов и формирование (актуализация) каталога угроз (рисков) информационной безопасности. Отражение в каталоге угроз (рисков), рисков связанных с процессами обеспечения информационной безопасности.
3. Оценка (переоценка) идентифицированных рисков.
4. Обработка рисков, формирование и утверждение (актуализация) плана обработки рисков.
5. Мониторинг и пересмотр рисков.
|
9
|
Управление доступом
|
1. Разработка (актуализация), документирование, ознакомление пользователей с правилами разграничения прав доступа к информации, функциям прикладных систем, услугам, системному ПО, сетям и сетевым сервисам.
2. Применяемые методы и процедуры идентификации, аутентификации и авторизации пользователей.
3. Реализация правил разграничения прав доступа, установленных в Правилах разграничения прав доступа к электронным информационным ресурсам.
4. Процедуры регистрации и отмены регистрации (блокировки) пользователей.
5. Управление учетными записями с привилегированными правами доступа.
6. Использование и управление криптографическими методами в процедурах аутентификации пользователей.
7. Управление изменениями правами доступа.
8. Управление паролями.
9. Использование привилегированных утилит.
10. Управление доступом к исходному коду объекта испытаний.
|
10
|
Физическая безопасность и защита от природных угроз
|
1. Размещение серверного, телекоммуникационного оборудования, систем хранения данных с учетом требования законодательства.
2. Физическая защита периметра безопасности помещений, в которых размещены активы, связанные с информационно-коммуникационными технологиями.
3. Организация основного и резервного серверных помещений, учитывающая требования законодательства.
4. Оснащение основного и резервных серверных помещений системами обеспечения, учитывающее требования законодательства.
5. Организация контролируемого доступа в серверные помещения.
6. Организация работ в серверном помещении.
7. Организация работ по техническому сопровождению и обслуживанию серверного и телекоммуникационного оборудования, систем хранения данных и систем обеспечения.
8. Способы защиты оборудования от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб.
9. Обеспечение безопасности кабельной системы.
10. Обеспечение безопасности кроссовых помещений.
|
11
|
Эксплуатационные процедуры обеспечения ИБ
|
1. Разработка (актуализация), документирование, ознакомление пользователей с инструкциями, регламентирующими эксплуатационные процедуры обеспечения информационной безопасности.
2. Применение средств и систем обеспечения информационной безопасности.
3. Процедуры резервного копирования информации и тестирование результатов копирования. Безопасность мест хранения резервных копий.
4. Синхронизация времени журналов регистрации событий с единым источником времени.
5. Процедуры управления изменениями при установке новых версий прикладного и системного ПО в эксплуатируемых системах.
6. Контроль и управление уязвимостями ПО.
7. Ознакомление сотрудников и реализация положений Правил использования мобильных устройств и носителей информации.
8. Разработка (актуализация), ознакомление сотрудников, реализация положений инструкции по организации удаленной работы.
9. Мониторинг работоспособности объекта испытаний.
10. Разделение сред разработки, тестирования и эксплуатации.
11. Обеспечение конфиденциальности при передаче сообщений электронной почты и информации посредством Интернет.
12. Способа предоставления Интернета и взаимодействия с внешними электронными почтовыми системами в соответствии с требованиями законодательства.
13. Ограничения и порядок фильтрации при доступе к ресурсам Интернета.
|
12
|
Соответствие законодательным и договорным требованиям
|
1. Определение (актуализация), документирование законодательных, нормативных, иных обязательных, договорных требований для объекта испытаний.
2. Внедрение процедур, реализующих соответствие законодательным, нормативным и договорным требованиям, связанным с правами на интеллектуальную собственность.
3. Разработка и реализация политик защиты конфиденциальных и персональных данных, соответствующих нормам законодательства.
4. Соответствие применяемых криптографических методов и средств требованиям законодательства и соглашениям (договорам).
5. Проведение аудита информационной безопасности.
6. Проведение анализа объекта испытаний на предмет соответствия требованиям законодательства, стандартов и технической документации по информационной безопасности.
7. Защита записей от потери, повреждения, фальсификации, несанкционированного доступа и несанкционированного выпуска в соответствии с законодательными, нормативными, договорными требованиями.
|
13
|
Приобретение, разработка и обслуживание систем
|
1. Включение (актуализация) требований, связанных с информационной безопасностью и соответствующих действующему законодательству и стандартам в состав технической документации на объект испытаний.
2. Определение и применение безопасных процедур управления изменениями ПО (системного и прикладного) для эксплуатируемых систем.
3. Контроль процесса разработки ПО объекта испытаний, в том числе, осуществляемой сторонней организацией.
4. Контроль процесса технического сопровождения системы, осуществляемого сторонней организацией.
5. Тестирование функций безопасности системы.
|