# РЗИ 1-4

## РЗИ.1 (О-О-Т)

> Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в п. 6.2 ГОСТ Р 57570.1, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах).
>
> Уровень защиты информации 3-О, 2-О, 1-Т.

<details>

<summary>Пояснение</summary>

Направление РЗИ устанавливает требования ко всем процессам ГОСТ Р 57580. РЗИ.1 направлена на учет всех объектов и ресурсов доступа рассматриваемых в области процесса защиты информации в организациях, для всех уровнях инфраструктуры указанных в п. 6.2 ГОСТ Р 57580 включая общедоступные (банкоматы, платежные терминалы). В данной мере необходимо описать как реализуется система учета всех систем защиты информации из направления планирования.&#x20;

</details>

#### Реализация - О

Может реализовываться  IT-отделом, при плановом учете объектов и ресурсов доступа, таких как сервера виртуальных машин, самих виртуальных машин и так далее.

Процесс 1 "Обеспечение защиты информации при управлении доступом".

* уровень аппаратного обеспечения - HSM (!ch разобраться чем можно их учитывать) (ведение журнала Администраторами или назначенными ответственными IT/ИБ)
* уровень сетевого оборудования - Маршрутизаторы, коммутаторы, CheckPoint, Межсетевые экраны (!ch разобраться чем можно их учитывать) (!ch Zabbix почитать, консоль управления)
* уровень сетевых приложений и сервисов - Checkpoint VPN, DNS сервера, Key Cloak (!ch почитать про Key Clock, и как учитывать)
* уровень серверных компонентов виртуализации, программных инфраструктурных сервисов - Гипервизор, AD, Технические средства и ПО взаимодействия с Гипервизором, Cubernetis (!ch почитать про все это, изучить чем можно учитывать)
* уровень операционных систем, систем управления базами данных, серверов приложений -&#x20;
* уровень АС и приложений, эксплуатируемых для оказания финансовых услуг в рамках бизнес-процессов или технологических процессов финансовой организации.

#### Реализация - Т

Для технической реализации могут использоваться установленные средства управления доступом такие как AD для учета АС, серверов, АРМ и так далее. Или же средствами инвентаризации  (например, Total Inventory и другими системами инвентаризации) систем защиты информации.

#### Проверочные процедуры (свидетельства)

Свидетельством выполнение меры являются списки учета объектов и ресурсов доступа.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## РЗИ.2 (О-О-Т)

> Размещение и настройка (конфигурирование) технических мер защиты информации в информационной инфраструктуре финансовой организации.
>
> Уровень защиты информации 3-О, 2-О, 1-Т.

<details>

<summary>Пояснение</summary>

Данная мера требует, чтобы выбранные в направление планирование средства защиты информации были установлены и настроены на всех учтенных объектах и ресурсах доступа в рассматриваемой области. Все настройки должны быть выполнены согласно запланированным в ПЗИ.5.

</details>

#### Реализация - О

Размещение технических мер должно реализовываться согласно запланированным политикам и с заранее определенными настройками для каждой меры защиты информации.&#x20;

#### Реализация - Т

Реализуется с помощью размещения заготовленных образов и заготовленных конфигураций через системы по типу NtLite, RedCheck и других, когда заранее настроенный и заготовленный образ устанавливается на все АРМ пользователей, администраторов, серверов и так далее.

#### Проверочные процедуры (свидетельства)

Подтверждение фактов соответствия запланированных и прописанных настроек с фактическими для каждого процесса.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## РЗИ.3 (О-О-О)

> Контроль (тестирование) полноты реализации технических мер защиты информации.
>
> Уровень защиты информации 3-О, 2-О, 1-О.

<details>

<summary>Пояснение</summary>

</details>

#### Реализация - О

Для реализации.

#### Проверочные процедуры (свидетельства)

Для процедур.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

## РЗИ.4 (О-О-О)

> Назначение работникам финансовой организации ролей, связанных с применением мер защиты информации, и установление обязанности и ответственности за их выполнение.
>
> Уровень защиты информации 3-О, 2-О, 1-О.

<details>

<summary>Пояснение</summary>

</details>

#### Реализация - О

Для реализации.

#### Проверочные процедуры (свидетельства)

Для процедур.

#### Типичные недостатки

Не выявлены.

#### Компенсационные меры

Не выявлены.

#### Выявленные коллизии

Не выявлены.

##

####