Информационная безопасность

Регуляторы безопасности для минимального уровня ИБ


На минимальном уровне информационной безопасности целесообразно применять следующие административные регуляторы безопасности.

Рисунок 4. Регуляторы безопасности по уровням ИБ

Регуляторы безопасности для минимального уровня ИБ

  • Оценка рисков: политика и процедуры. Разработка, распространение, периодический пересмотр и изменение:

    • официальной документированной политики оценки рисков, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов оценки рисков.
  • Оценка рисков: категорирование по требованиям безопасности. Категорирование данных и информационной системы, документирование результатов, включая обоснование установленных категорий; документ заверяется руководством.
  • Оценка рисков: проведение. Оценка рисков и возможного ущерба от несанкционированного доступа, использования, раскрытия, нарушения работы, модификации и/или разрушения данных и/или информационной системы, включая ресурсы, управляемые внешними организациями.
  • Оценка рисков: пересмотр результатов. Пересмотр результатов оценки рисков проводится либо с заданной частотой, либо после существенных изменений в ИС или поддерживающей инфраструктуре, либо после иных событий, способных заметно повлиять на уровень безопасности ИС или ее статус аккредитации.
  • Планирование безопасности: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:

    • официальной документированной политики планирования безопасности, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов планирования безопасности.
  • Планирование безопасности: план безопасности ИС. Разработка и реализация для информационной системы плана, в котором описаны требования безопасности для ИС и имеющиеся и планируемые регуляторы безопасности, служащие для выполнения этих требований; документ заверяется руководством.
  • Планирование безопасности: изменение плана безопасности ИС. С заданной частотой пересматривается план безопасности ИС.
    В него вносятся изменения, отражающие изменения в компании и в ее информационной системе либо проблемы, выявленные при реализации плана или при оценке регуляторов безопасности.
  • Планирование безопасности: правила поведения. В организации устанавливается и доводится до сведения пользователей ИС набор правил, описывающих обязанности и ожидаемое поведение по отношению к использованию информации и информационной системы. Прежде чем получить доступ к ИС и ее информационным ресурсам, пользователи подписывают подтверждение того, что они прочитали, поняли и согласны выполнять предписанные правила поведения.
  • Планирование безопасности: оценка приватности. В компании проводится оценка выполнения в ИС требований приватности.
  • Закупка систем и сервисов: политика и процедуры. Разрабатываются, распространяются, периодически пересматриваются и изменяются:

    • официальная документированная политика закупки систем и сервисов, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов закупки систем и сервисов.
  • Закупка систем и сервисов: выделение ресурсов. Определение, документирование и выделение ресурсов, необходимых для адекватной защиты информационной системы в компании, являются частью процессов капитального планирования и управления инвестициями.
  • Закупка систем и сервисов: поддержка жизненного цикла. Организация управляет информационной системой, применяя методологию поддержки жизненного цикла с учетом аспектов информационной безопасности.
  • Закупка систем и сервисов: закупки. В контракты на закупку включаются требования и/или спецификации безопасности, основанные на результатах оценки рисков.
  • Закупка систем и сервисов: документация. Необходимо обеспечить наличие, защиту и распределение авторизованным должностным лицам компании адекватной документации на информационную систему и ее составные части.
  • Закупка систем и сервисов: ограничения на использование программного обеспечения. Организация обеспечивает выполнение существующих ограничений на использование программного обеспечения.
  • Закупка систем и сервисов: программное обеспечение, устанавливаемое пользователями. Необходимо проводить в жизнь явно сформулированные правила, касающиеся загрузки и установки пользователями программного обеспечения.
  • Закупка систем и сервисов: аутсорсинг информационных сервисов. Необходимо следить, чтобы внешние организации, предоставляющие информационные сервисы, применяли адекватные регуляторы безопасности, соответствующие действующему законодательству и условиям контракта, а также отслеживать адекватность регуляторов безопасности.
  • Сертификация, аккредитация и оценка безопасности: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:



    • официальной документированной политики оценки безопасности, сертификации и аккредитации, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов оценки безопасности, сертификации и аккредитации.
  • Сертификация, аккредитация и оценка безопасности: соединения с другими ИС. Авторизация компанией всех соединений своей информационной системы с другими ИС, находящимися вне границ аккредитации, и постоянное отслеживание/контроль этих соединений; подписание уполномоченными должностными лицами соглашения об установлении соединений между системами.
  • Сертификация, аккредитация и оценка безопасности: сертификация по требованиям безопасности. Организация проводит оценку применяемых в ИС регуляторов безопасности, чтобы проверить, насколько корректно они реализованы, функционируют в соответствии со спецификациями и дают ожидаемые результаты с точки зрения выполнения предъявляемых к ИС требований информационной безопасности.
  • Сертификация, аккредитация и оценка безопасности: календарный план мероприятий. В организации разрабатывается и с заданной частотой изменяется календарный план мероприятий. В нем описаны запланированные, реализованные и оцененные корректирующие действия, направленные на устранение всех недостатков, выявленных в процессе оценки регуляторов безопасности, и на уменьшение или устранение известных уязвимостей ИС.
  • Сертификация, аккредитация и оценка безопасности: аккредитация. Компания явным образом санкционирует (осуществляет аккредитацию) ввод информационной системы в эксплуатацию и с заданной частотой, но не реже, чем раз в три года, проводит повторную аккредитацию.
  • Сертификация, аккредитация и оценка безопасности: постоянный мониторинг. Постоянный мониторинг регуляторов безопасности в ИС.


Рисунок 5. Поддержание необходимого уровня безопасности

Регуляторы безопасности для минимального уровня ИБ




На минимальном уровне информационной безопасности рекомендуется применение следующих процедурных регуляторов безопасности.

  • Кадровая безопасность: политика и процедуры. Разработка, распространение, периодический пересмотр и изменение:

    • официальной документированной политики кадровой безопасности, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов кадровой безопасности.
  • Кадровая безопасность: категорирование должностей. С каждой должностью ассоциируется определенный уровень риска и устанавливаются критерии отбора кандидатов на эти должности. Целесообразно с заданной частотой пересматривать установленные уровни риска.
  • Кадровая безопасность: отбор персонала. Прежде чем предоставить доступ к информации и информационной системе, проводится проверка лиц, нуждающихся в подобном доступе.
  • Кадровая безопасность: увольнение. Увольняемый сотрудник лишается доступа к ИС, с ним проводят заключительную беседу, проверяют сдачу всего казенного имущества, в том числе ключей, идентификационных карт, пропусков, и убеждаются, что соответствующие должностные лица имеют доступ к официальным данным, созданным увольняемым сотрудником и хранящимся в информационной системе.
  • Кадровая безопасность: перемещение персонала. При переходе сотрудника на другую должность организация пересматривает предоставленные ему права доступа к ИС и ее ресурсам, и осуществляет соответствующие действия, такие как изготовление новых ключей, идентификационных карт, пропусков, закрытие старых и заведение новых системных счетов, а также смена прав доступа.
  • Кадровая безопасность: соглашения о доступе. Прежде чем предоставить доступ к информации и информационной системе сотруднику, нуждающемуся в подобном доступе, составляются соответствующие соглашения (например, о неразглашении информации, о надлежащем использовании ИС), а также правила поведения, компания обеспечивает подписание этих соглашений сторонами и с заданной частотой пересматривает их.
  • Кадровая безопасность: требования безопасности к сотрудникам сторонних организаций. Организация устанавливает требования безопасности, в том числе роли и обязанности, к сотрудникам сторонних организаций (сервисных служб, подрядчиков, разработчиков, поставщиков информационных услуг и услуг управления системами и сетями) и отслеживает обеспечение сторонними организациями адекватного уровня информационной безопасности.
  • Кадровая безопасность: санкции. В компании применяется формализованный процесс наказания сотрудников, нарушивших установленные политику и процедуры безопасности.
  • Физическая защита: политика и процедуры. Разрабатываются, распространяются, периодически пересматриваются и изменяются:



    • официальная документированная политика физической защиты, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов физической защиты.
  • Физическая защита: авторизация физического доступа. В организации составляются и поддерживаются в актуальном состоянии списки сотрудников, имеющих доступ в помещения, в которых расположены компоненты информационной системы (кроме помещений, официально считающихся общедоступными), выпускаются соответствующие удостоверения (бэйджи, идентификационные карты, интеллектуальные карты); соответствующие должностные лица с заданной частотой пересматривают и утверждают списки и удостоверения.
  • Физическая защита: управление физическим доступом. Необходимо контролировать точки физического доступа, в том числе официально определенные точки входа/выхода, в помещения, в которых расположены компоненты информационной системы (кроме помещений, официально считающихся общедоступными). Следует проверять предоставленные сотрудникам права, прежде чем разрешить им доступ. Кроме того, контролируется доступ в помещения, официально считающиеся общедоступными, в соответствии с проведенной оценкой рисков.
  • Физическая защита: мониторинг физического доступа. Отслеживается физический доступ к системе с целью выявления и реагирования на нарушения.
  • Физическая защита: контроль посетителей. Физический доступ к информационной системе контролируется аутентификацией посетителей перед разрешением войти в помещения, где расположены компоненты ИС (кроме помещений, официально считающихся общедоступными).
  • Физическая защита: протоколирование доступа. В компании поддерживаются журналы посещений помещений (кроме тех, что официально считаются общедоступными), где фиксируются:

    • фамилия, имя посетителя и название организации;
    • подпись посетителя;
    • представленные документы (форму идентификации);
    • дата и время доступа (входа и выхода);
    • цель посещения;
    • фамилия, имя посещаемого лица и его организационная принадлежность; соответствующие должностные лица с заданной частотой просматривают журналы посещений.
  • Физическая защита: аварийное освещение. В компании необходимо применять и поддерживать автоматические системы аварийного освещения, которые включаются при перебоях электропитания и покрывают аварийные выходы и пути эвакуации.
  • Физическая защита: противопожарная защита. Применяются и поддерживаются устройства/системы пожаротушения и обнаружения возгораний.
  • Физическая защита: средства контроля температуры и влажности. Отслеживаются и поддерживаются в допустимых пределах температура и влажность в помещениях, содержащих компоненты ИС.
  • Физическая защита: защита от затопления. Необходимо защищать ИС от затопления и протечек, возникающих из-за повреждения водопровода или в силу иных причин, обеспечивая доступность и исправность кранов, перекрывающих воду, и информируя соответствующих должностных лиц о расположении этих кранов.
  • Физическая защита: доставка и вывоз. В организации контролируются доставка и вывоз компонентов информационной системы (аппаратное и программное обеспечения) и поддерживается информация о месте нахождения этих компонентов.
  • Планирование бесперебойной работы: политика и процедуры. Разрабатываются, распространяются, периодически пересматриваются и изменяются:



    • официальная документированная политика планирования бесперебойной работы, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов планирования бесперебойной работы.
  • Планирование бесперебойной работы: план обеспечения бесперебойной работы. Разрабатывается и реализуется план обеспечения бесперебойной работы информационной системы, в котором описываются роли, обязанности ответственных должностных лиц, указываются их контактные координаты. Кроме того, в плане прописываются действия, выполняемые при восстановлении ИС после повреждений и аварий. Соответствующие должностные лица пересматривают и утверждают этот план и доводят его до сведения сотрудников, ответственных за бесперебойную работу.
  • Планирование бесперебойной работы: изменение плана обеспечения бесперебойной работы. С заданной частотой, но не реже одного раза в год, в организации пересматривается план обеспечения бесперебойной работы информационной системы, чтобы отразить изменения в структуре ИС или организации и/или устранить проблемы, выявленные при реализации, выполнении и/или тестировании плана.
  • Планирование бесперебойной работы: резервное копирование. С заданной частотой проводится резервное копирование содержащихся в информационной системе пользовательских и системных данных (включая данные о состоянии ИС), резервные копии хранятся в местах, защищенных должным образом.
  • Планирование бесперебойной работы: восстановление информационной системы. В организации применяются механизмы и поддерживающие процедуры, позволяющие восстановить информационную систему после повреждений или аварий.
  • Управление конфигурацией: политика и процедуры. Разрабатываются, распространяются, периодически пересматриваются и изменяются:

    • официальная документированная политика управления конфигурацией, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов управления конфигурацией.
  • Управление конфигурацией: базовая конфигурация и опись компонентов информационной системы. В компании разрабатываются, документируются и поддерживаются актуальная базовая конфигурация информационной системы, опись компонентов ИС и соответствующие данные об их владельцах.
  • Управление конфигурацией: настройки. В компании:



    • утверждаются обязательные настройки для продуктов информационных технологий, применяемых в ИС;
    • устанавливаются настройки безопасности продуктов информационных технологий в наиболее ограничительный режим, совместимый с эксплуатационными требованиями;
    • документируются настройки;
    • обеспечиваются должные настройки всех компонентов информационной системы.
    • Сопровождение: политика и процедуры. Разрабатываются, распространяются, периодически пересматриваются и изменяются:
    • официальная документированная политика сопровождения, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальные документированные процедуры, способствующие проведению в жизнь политики и ассоциированных регуляторов сопровождения.
  • Сопровождение: периодическое сопровождение. Планирование, осуществление и документирование повседневного, профилактического и регулярного сопровождения компонентов информационной системы в соответствии со спецификациями изготовителя или поставщика и/или организационными требованиями.
  • Сопровождение: удаленное сопровождение. Организация санкционирует, контролирует и отслеживает удаленно осуществляемую деятельность по сопровождению и диагностике.
  • Сопровождение: персонал сопровождения. Необходимо поддерживать список лиц, авторизованных для осуществления сопровождения информационной системы. Только авторизованный персонал осуществляет сопровождение ИС.
  • Целостность систем и данных: политика и процедуры. Разработка, распространение, периодический пересмотр и изменение:

    • официальной документированной политики целостности систем и данных, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов целостности систем и данных.
  • Целостность систем и данных: устранение дефектов. Идентификация дефектов информационной системы, информирование о них и исправление.
  • Целостность систем и данных: защита от вредоносного программного обеспечения. В компании реализуется в информационной системе защита от вредоносного программного обеспечения, включая возможность автоматических обновлений.
  • Целостность систем и данных: сигналы о нарушениях безопасности и сообщения о новых угрозах. Необходимо регулярно отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для ИС, доводить их до сведения соответствующих должностных лиц и должным образом реагировать на них.
  • Защита носителей: политика и процедуры. Разработка, распространение, периодический пересмотр и изменение:



    • официальной документированной политики защиты носителей, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов защиты носителей.
  • Защита носителей: доступ к носителям. Необходимо обеспечить, чтобы только авторизованные пользователи имели доступ к информации в печатной форме или на цифровых носителях, изъятых из информационной системы.
  • Защита носителей: санация и вывод из эксплуатации. Организация:

    • санирует носители (как бумажные, так и цифровые) перед выводом из эксплуатации или передачей для повторного использования;
    • прослеживает, документирует и верифицирует деятельность по санации носителей;
    • периодически тестирует санирующее оборудование и процедуры, чтобы убедиться в корректности их функционирования.
  • Реагирование на нарушения информационной безопасности: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:

    • официальной документированной политики реагирования на нарушения информационной безопасности, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов реагирования на нарушения информационной безопасности.
  • Реагирование на нарушения информационной безопасности: реагирование. В компании формируются структуры для реагирования на нарушения информационной безопасности (группа реагирования), включая подготовку, выявление и анализ, локализацию, ликвидацию воздействия и восстановление после нарушений.
  • Реагирование на нарушения информационной безопасности: доклады о нарушениях. Необходимо своевременно доводить информацию о нарушениях ИБ до сведения уполномоченных должностных лиц.
  • Реагирование на нарушения информационной безопасности: помощь. Формирование структуры для выдачи рекомендаций и оказания помощи пользователям ИС при реагировании на нарушения ИБ и докладах о них; эта структура является неотъемлемой составной частью группы реагирования.
  • Информирование и обучение: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:



    • официальной документированной политики информирования и обучения сотрудников, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов информирования и обучения сотрудников.
  • Информирование и обучение: информирование о проблемах ИБ. Следует обеспечить, чтобы до всех пользователей, включая руководителей, доводилась основная информация по проблематике ИБ, прежде чем этим пользователям будет предоставлен доступ к ИС; подобное информирование должно продолжаться и дальше с заданной частотой, но не реже, чем раз в год.
  • Информирование и обучение: обучение по проблематике ИБ. Необходимо определить должностных лиц, играющих важную роль и имеющих ответственные обязанности по обеспечению информационной безопасности ИС, документировать эти роли и обязанности и обеспечить соответствующее обучение указанных лиц, прежде чем предоставить им доступ к ИС. Подобное обучение должно продолжаться и дальше с заданной частотой.
  • Информирование и обучение: документирование обучения по проблематике ИБ. В компании документируется и отслеживается ход обучения каждого сотрудника по проблематике ИБ, включая вводный курс и курсы, специфичные для ИС.
  • Информирование и обучение: контакты с группами и ассоциациями информационной безопасности. Целесообразно установить и поддерживать контакты с группами, форумами и ассоциациями, специализирующимися в области информационной безопасности, чтобы быть в курсе современного состояния ИБ, передовых рекомендуемых защитных средств, методов и технологий.


На минимальном уровне информационной безопасности рекомендуется применение следующих программно-технических регуляторов безопасности.

  • Идентификация и аутентификация: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:

    • официальной документированной политики идентификации и аутентификации, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов идентификации и аутентификации.
  • Идентификация и аутентификация: идентификация и аутентификация пользователей. Информационная система однозначно идентифицирует и аутентифицирует пользователей (или процессы, действующие от имени пользователей).
  • Идентификация и аутентификация: управление идентификаторами. Организация управляет идентификаторами пользователей посредством:



    • уникальной идентификации каждого пользователя;
    • верификации идентификатора каждого пользователя;
    • получения официальной санкции от уполномоченных должностных лиц на выпуск идентификатора пользователя;
    • обеспечения выпуска идентификатора для нужного пользователя;
    • прекращения действия идентификатора пользователя после заданного периода отсутствия активности;
    • архивирования идентификаторов пользователей.
  • Идентификация и аутентификация: управление аутентификаторами. Компания управляет аутентификаторами в информационной системе (токенами, сертификатами в инфраструктуре открытых ключей, биометрическими данными, паролями, ключевыми картами и т.п.) посредством:

    • определения начального содержимого аутентификаторов;
    • регламентацией административных процедур начального распространения аутентификаторов, замещения утерянных, скомпрометированных или поврежденных аутентификаторов, а также отзыва аутентификаторов;
    • изменения подразумеваемых аутентификаторов после установки информационной системы.
  • Идентификация и аутентификация: отклик аутентификаторов. Информационная система скрывает эхо-отображение аутентификационной информации в процессе аутентификации, чтобы защитить эту информацию от возможного использования неавторизованными лицами.
  • Идентификация и аутентификация: аутентификация по отношению к криптографическим модулям. Для аутентификации по отношению к криптографическим модулям информационная система применяет методы, удовлетворяющие требованиям стандартов на подобные модули.
  • Управление доступом: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:

    • официальной документированной политики управления доступом, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов управления доступом.
  • Управление доступом: управление счетами. Организация управляет счетами в информационной системе, включая их создание, активацию, модификацию, пересмотр (с заданной частотой), отключение и удаление.
  • Управление доступом: проведение в жизнь. Информационная система проводит в жизнь присвоенные привилегии для управления доступом к системе в соответствии с применимой политикой.
  • Управление доступом: неудачные попытки входа. Информационная система проводит в жизнь заданное ограничение на число последовательных неудачных попыток доступа со стороны пользователя в течение заданного промежутка времени, автоматически запирая счет или задерживая по заданному алгоритму выдачу приглашения на вход на заданное время при превышении максимально допустимого числа неудачных попыток.
  • Управление доступом: предупреждение об использовании системы. Информационная система отображает официально одобренное предупреждающее сообщение об использовании системы, прежде чем предоставить доступ к ней, информируя потенциальных пользователей:



    • об организационной принадлежности системы;
    • о возможном мониторинге, протоколировании и аудите использования системы;
    • о запрете и возможном наказании за несанкционированное использование системы;
    • о согласии пользователя на мониторинг и протоколирование в случае использования системы; предупреждающее сообщение содержит соответствующие положения политики безопасности и остается на экране, пока пользователь не предпримет явных действий для входа в ИС.
  • Управление доступом: надзор и просмотр. Организация надзирает и проверяет действия пользователей в отношении проведения в жизнь и использования имеющихся в ИС регуляторов доступа.
  • Управление доступом: действия, разрешенные без идентификации и аутентификации. Определение конкретных действий пользователей, которые могут быть выполнены в информационной системе без идентификации и аутентификации.
  • Управление доступом: удаленный доступ. Документирование, отслеживание и контроль всех видов удаленного доступа к ИС (например, через модемные входы или через Интернет), включая удаленный доступ для выполнения привилегированных действий; соответствующие должностные лица санкционируют применение каждого вида удаленного доступа и авторизуют для его применения только тех пользователей, которым он необходим.
  • Управление доступом: ограничения на беспроводной доступ. Организация:

    • устанавливает ограничения на использование и руководит реализацией беспроводных технологий;
    • документирует, отслеживает и контролирует беспроводной доступ к ИС; соответствующие должностные лица санкционируют применение беспроводных технологий.
  • Управление доступом: персональные информационные системы. Ограничение применения персональных информационных систем для производственных нужд, включая обработку, хранение и передачу производственной информации.
  • Протоколирование и аудит: политика и процедуры. Разработка, распространение, периодический пересмотр и изменения:

    • официальной документированной политики протоколирования и аудита, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов протоколирования и аудита.
  • Протоколирование и аудит: протоколируемые события. Информационная система генерирует регистрационные записи для заданных событий.
  • Протоколирование и аудит: содержимое регистрационных записей. Информационная система сохраняет в регистрационных записях достаточно информации, чтобы установить, какое событие произошло, что послужило источником события, каким оказался исход события.
  • Протоколирование и аудит: ресурсы для хранения регистрационной информации. Необходимо выделять достаточный объем ресурсов для хранения регистрационной информации и конфигурировать протоколирование так, чтобы не допустить исчерпания этих ресурсов.
  • Протоколирование и аудит: обработка регистрационной информации. В случае сбоя протоколирования или исчерпания ресурсов хранения регистрационной информации информационная система предупреждает соответствующих должностных лиц и предпринимает заданные дополнительные действия.
  • Протоколирование и аудит: защита регистрационной информации. Информационная система защищает регистрационную информацию и средства протоколирования/аудита от несанкционированного доступа, модификации и удаления.
  • Протоколирование и аудит: сохранение регистрационной информации. Следует сохранять регистрационную информацию в течение заданного времени, чтобы обеспечить поддержку расследований ранее произошедших нарушений информационной безопасности и выполнение требований действующего законодательства и организационных требований сохранения информации.
  • Защита систем и коммуникаций: политика и процедуры. Разработка, распространение, периодический пересмотр и изменение:



    • официальной документированной политики защиты систем и коммуникаций, в которой представлены цель, охват, роли, обязанности, поддержка руководства, координация среди организационных структур и соответствие действующему законодательству;
    • формальных документированных процедур, способствующих проведению в жизнь политики и ассоциированных регуляторов защиты систем и коммуникаций.
  • Защита систем и коммуникаций: защита от атак на доступность. Информационная система защищает от атак на доступность заданных видов или ограничивает их воздействие.
  • Защита систем и коммуникаций: защита границ. Информационная система отслеживает и контролирует коммуникации на своих внешних и ключевых внутренних границах ИС.
  • Защита систем и коммуникаций: применение узаконенной криптографии. Если в информационной системе применяются криптографические средства, они должны удовлетворять требованиям действующего законодательства, технических регламентов, стандартов, руководящих и нормативных документов, отраслевых и организационных стандартов.
  • Защита систем и коммуникаций: защита общедоступных систем. Информационная система обеспечивает целостность данных и приложений для общедоступных систем.



Содержание раздела






Главная сайта