# РЗИ 11-16
## РЗИ.11 (Н-Н-Т)
> Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 4 класса\*.
>
> Уровень защиты информации 3-Н, 2-Н, 1-Т.
Пояснение
\*В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.
#### Реализация - Т
Для реализации.
#### Проверочные процедуры (свидетельства)
Для процедур.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## РЗИ.12(Н-Т-Н)
> Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 5 класса\*.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Н.
Пояснение
\*В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.
#### Реализация - Т
Для реализации.
#### Проверочные процедуры (свидетельства)
Для процедур.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## РЗИ.13 (Т-Н-Н)
> Применение сертифицированных по требованиям безопасности информации средств защиты информации не ниже 6 класса\*.
>
> Уровень защиты информации 3-Т, 2-Н, 1-Н.
Пояснение
\*В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.
#### Реализация - Т
Для реализации.
#### Проверочные процедуры (свидетельства)
Для процедур.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## РЗИ.14 (Н-Н-Т)
> Применение СКЗИ, имеющих класс не ниже КС2\*.
>
> Уровень защиты информации 3-Н, 2-Н, 1-Т.
Пояснение
\*В случаях, когда применение таких средств необходимо для нейтрализации угроз безопасности, определенных в модели угроз и нарушителей безопасности информации финансовой организации.
#### Реализация - Т
Для реализации.
#### Проверочные процедуры (свидетельства)
Для процедур.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## РЗИ.15 (О-О-О)
> Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации.
>
> Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Мера защиты информации направлена на необходимость повышения квалификации и переподготовки работников, участвующих в реализации процессов защиты информации.
#### Реализация - О
Проводить повышения квалификации и переподготовки работников, участвующих в реализации процессов защиты информации.
При этом, рекомендуется, проводить такую переподготовку как минимум раз в 5 лет.
#### Проверочные процедуры (свидетельства)
* Сертификаты работников, ответственных как за инфраструктурную поддержку контура безопасности (например, повышение классификации в части администрирования AD), так и за конкретные СЗИ (например, повышение квалификации в области администрирования САЗ);
* Договоры и иные свидетельства проведения переобучения работников организации самим вендором используемых АС, СЗИ или инфраструктурных сервисов.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## РЗИ.16(О-О-О)
> Повышение осведомленности (инструктаж) работников финансовой организации в области реализации процесса защиты информации, применения организационных мер защиты информации, использования по назначению технических мер защиты информации.
>
> Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
* Первое, что стоит отметить для данного требование — это то, что оно распространяется на всех работников Организации, входящих в контур безопасности. Т.е. на пользователей, администраторов ИБ и ИТ, разработчиков, сетевых инженеров и т.д.
* Второе - данное требование находится в направлении «Реализация», которое идет после направления «Планирование». В рамках направления «Планирование», для выполнения требований ПЗИ.3 и ПЗИ.5 Организацией во ВНД должны быть создан и определен порядок применения организационных и технических мер защиты информации, т.е. должны быть разработаны документы, которые отражают применение/выполнение выбранных мер защиты в соответствии с ПЗИ.2 и ПЗИ.4.
#### Реализация - О
Проведение мероприятий по ознакомлению с мерами защиты информации и их применением, фиксация их в ВНД Организации (Политика защиты от вредоносного кода, Политика управления логическим доступом и т.д.). \
Также, стоит отметить, что для определенных сотрудников рекомендуется проводить ознакомление только с той документацией, которая для них будет актуальна, например, для пользователей АС, которые осуществляют реализацию бизнес-процессов - парольная политика, политика физического доступа, инструкция по осуществлению удаленного доступа, политика информационной безопасности и т.д. \
Для администраторов ИТ-инфраструктуры и сотрудников отдела ИБ (в зависимости от специфики деятельности работника) - политика защиты среды виртуализации, политика защиты удаленного доступа, политика реагирования на инциденты ЗИ, стандарты конфигурации на СЗИ и/или АС и т.д.\
Проведение регулярных анализов актуальных угроз и введение новых мер защиты в действие с занесением их в ВНД. \
Напоминание о необходимости выполнения существующий требований и лучших практик: - Для пользователей - периодические рассылки по ИБ при помощи электронной почты или иными способом, тестирование на знание основ ИБ и требований, зафиксированных в ВНД Организации\
\- Для администраторов - лучшие практики в рамках их специфики деятельности или технические/организационные требования, зафиксированные в ВНД Организации.
#### Проверочные процедуры (свидетельства)
* Документы, подтверждающие проведения мероприятий по ознакомлению с мерами защиты информации и их применением, зафиксированных в ВНД Организации (например, роспись в самом документе или в рамках используемых внутренних вики-систем типа Confluence);
* Периодические оповещения от работников отдела ИБ об изменении ВНД и введении новых мер защиты информации в действие (как для пользователей, так и для администраторов ИТ-инфраструктуры, например, при помощи рассылки по электронной почте или иным способом);
* Свидетельства, подтверждающие периодические напоминания о необходимости выполнения существующих требований и лучших практик.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://57580.radcop.online/napravleniya/2-n.-rzi-realizaciya-processa-sistemy-zashity-informacii/rzi-11-16.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.