РЗИ 11-16

Базовый состав мер по реализации процесса системы защиты информации

РЗИ.11 (Н-Н-Т)

Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса*.
Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

*В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.

Реализация - Т

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РЗИ.12(Н-Т-Н)

Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса*.
Уровень защиты информации 3-Н, 2-Т, 1-Н.

Пояснение

Реализация - Т

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РЗИ.13 (Т-Н-Н)

Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса*.
Уровень защиты информации 3-Т, 2-Н, 1-Н.

Пояснение

Реализация - Т

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РЗИ.14 (Н-Н-Т)

Применение СКЗИ, имеющих класс не ниже КС2*.
Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Реализация - Т

Для реализации.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РЗИ.15 (О-О-О)

Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации.
Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Мера защиты информации направлена на необходимость повышения квалификации и переподготовки работников, участвующих в реализации процессов защиты информации.

Реализация - О

Проводить повышения квалификации и переподготовки работников, участвующих в реализации процессов защиты информации.

При этом, рекомендуется, проводить такую переподготовку как минимум раз в 5 лет.

Проверочные процедуры (свидетельства)

Сертификаты работников, ответственных как за инфраструктурную поддержку контура безопасности (например, повышение классификации в части администрирования AD), так и за конкретные СЗИ (например, повышение квалификации в области администрирования САЗ);
Договоры и иные свидетельства проведения переобучения работников организации самим вендором используемых АС, СЗИ или инфраструктурных сервисов.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РЗИ.16(О-О-О)

Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации.
Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Первое, что стоит отметить для данного требование — это то, что оно распространяется на всех работников Организации, входящих в контур безопасности. Т.е. на пользователей, администраторов ИБ и ИТ, разработчиков, сетевых инженеров и т.д.
Второе - данное требование находится в направлении «Реализация», которое идет после направления «Планирование». В рамках направления «Планирование», для выполнения требований ПЗИ.3 и ПЗИ.5 Организацией во ВНД должны быть создан и определен порядок применения организационных и технических мер защиты информации, т.е. должны быть разработаны документы, которые отражают применение/выполнение выбранных мер защиты в соответствии с ПЗИ.2 и ПЗИ.4.

Реализация - О

Проведение мероприятий по ознакомлению с мерами защиты информации и их применением, фиксация их в ВНД Организации (Политика защиты от вредоносного кода, Политика управления логическим доступом и т.д.). Также, стоит отметить, что для определенных сотрудников рекомендуется проводить ознакомление только с той документацией, которая для них будет актуальна, например, для пользователей АС, которые осуществляют реализацию бизнес-процессов - парольная политика, политика физического доступа, инструкция по осуществлению удаленного доступа, политика информационной безопасности и т.д. Для администраторов ИТ-инфраструктуры и сотрудников отдела ИБ (в зависимости от специфики деятельности работника) - политика защиты среды виртуализации, политика защиты удаленного доступа, политика реагирования на инциденты ЗИ, стандарты конфигурации на СЗИ и/или АС и т.д. Проведение регулярных анализов актуальных угроз и введение новых мер защиты в действие с занесением их в ВНД. Напоминание о необходимости выполнения существующий требований и лучших практик: - Для пользователей - периодические рассылки по ИБ при помощи электронной почты или иными способом, тестирование на знание основ ИБ и требований, зафиксированных в ВНД Организации - Для администраторов - лучшие практики в рамках их специфики деятельности или технические/организационные требования, зафиксированные в ВНД Организации.

Проверочные процедуры (свидетельства)

Документы, подтверждающие проведения мероприятий по ознакомлению с мерами защиты информации и их применением, зафиксированных в ВНД Организации (например, роспись в самом документе или в рамках используемых внутренних вики-систем типа Confluence);
Периодические оповещения от работников отдела ИБ об изменении ВНД и введении новых мер защиты информации в действие (как для пользователей, так и для администраторов ИТ-инфраструктуры, например, при помощи рассылки по электронной почте или иным способом);
Свидетельства, подтверждающие периодические напоминания о необходимости выполнения существующих требований и лучших практик.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousРЗИ 5-10 Next3-Н. КЗИ - Контроль процесса системы защиты информации

Last updated 10 months ago