LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • ЦЗИ.1 (Н-Т-Т)
  • ЦЗИ.2 (О-Т-Т)
  • ЦЗИ.3 (О-Т-Т)
  • ЦЗИ.4 (О-Т-Т)
  • ЦЗИ.5 (О-Т-Т)
  • ЦЗИ.6 (Н-Т-Т)
  • ЦЗИ.7 (Н-Т-Т)
  • ЦЗИ.8 (Н-Т-Т)
  • ЦЗИ.9 (Н-Т-Т)
  • ЦЗИ.10 (Н-Т-Т)
  • ЦЗИ.11 (Н-О-О)
  1. Процессы
  2. 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры

ЦЗИ 1-11

Базовый состав мер по контролю отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации применительно к уровням защиты информации

Previous3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктурыNextЦЗИ 12-19

Last updated 10 months ago

ЦЗИ.1 (Н-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированное (неконтролируемое) информационное взаимодействие между сегментами контуров безопасности и иными внутренними сетями финансовой организации.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Пояснение

В соответствии с требованиями данной меры, необходимо реализовать периодическую процедуру выявления и устранения уязвимостей защиты информации, которые могут позволить осуществить несанкционированное (неконтролируемое) информационное взаимодействие между сегментами контуров безопасности и иными внутренними сетями финансовой организации.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации, использование которых может позволить осуществить несанкционированное информационное взаимодействие между сегментами контуров безопасности и иными внутренними сетями финансовой организации может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение.

Результатом контроля отсутствия указанных уязвимостей будет являться составление отчета о выявленных уязвимостей с рекомендациями по их устранению (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Оперативное устранение указанных уязвимостей осуществляется на основании сформированных отчетов о выявленных уязвимостях, путем составления плана мероприятий по устранению уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Проверочные процедуры (свидетельства)

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.2 (О-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированное (неконтролируемое) информационное взаимодействие между внутренними вычислительными сетями финансовой организации и сетью Интернет.

Уровень защиты информации: 3-О, 2-Т, 1-Т.

Пояснение

В соответствии с требованиями данной меры, необходимо реализовать периодическую процедуру выявления и устранения уязвимостей защиты информации, которые могут позволить осуществить несанкционированное (неконтролируемое) информационное взаимодействие между внутренними вычислительными сетями финансовой организации и сетью Интернет.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации, использование которых может позволить осуществить несанкционированное информационное взаимодействие между внутренними вычислительными сетями финансовой организации и сетью Интернет может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение.

Результатом контроля отсутствия указанных уязвимостей будет являться составление отчета о выявленных уязвимостей с рекомендациями по их устранению (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Оперативное устранение указанных уязвимостей осуществляется на основании сформированных отчетов о выявленных уязвимостях, путем составления плана мероприятий по устранению уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Реализация - О

Требование контроля отсутствия и обеспечения оперативного устранения известных (описанных) уязвимостей защиты информации должно быть указано во внутреннем документе. Контроль может выполняться вручную, проверкой текущих версий ресурсов доступа и проверкой наличия записей об уязвимостях для данной версии в публичных базах уязвимостей, Результаты контроля должны оформляться актами и распоряжениями по устранению уязвимостей с указанием срока устранения, критичности уязвимости. Уязвимость должна быть устранена, а факт зафиксирован в акте устранения и проверен ответственным работником.

Проверочные процедуры (свидетельства) - Т

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Проверочные процедуры (свидетельства) - О

Акты проверки версий ПО на наличие уязвимостей в базах данных уязвимостей. Акты результатов устранения уязвимостей ПО.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.3 (О-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированное (неконтролируемое) информационное взаимодействие между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет.

Уровень защиты информации: 3-О, 2-Т, 1-Т.

Пояснение

В соответствии с требованиями данной меры, необходимо реализовать периодическую процедуру выявления и устранения уязвимостей защиты информации, которые могут позволить осуществить несанкционированное (неконтролируемое) информационное взаимодействие между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации, использование которых может позволить осуществить несанкционированное информационное взаимодействие между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение.

Результатом контроля отсутствия указанных уязвимостей будет являться составление отчета о выявленных уязвимостей с рекомендациями по их устранению (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Оперативное устранение указанных уязвимостей осуществляется на основании сформированных отчетов о выявленных уязвимостях, путем составления плана мероприятий по устранению уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Реализация - О

Требование контроля отсутствия и обеспечения оперативного устранения известных (описанных) уязвимостей защиты информации должно быть указано во внутреннем документе. Контроль может выполняться вручную, проверкой текущих версий ресурсов доступа и проверкой наличия записей об уязвимостях для данной версии в публичных базах уязвимостей, Результаты контроля должны оформляться актами и распоряжениями по устранению уязвимостей с указанием срока устранения, критичности уязвимости. Уязвимость должна быть устранена, а факт зафиксирован в акте устранения и проверен ответственным работником.

Проверочные процедуры (свидетельства) - Т

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Проверочные процедуры (свидетельства) - О

Акты проверки версий ПО на наличие уязвимостей в базах данных уязвимостей. Акты результатов устранения уязвимостей ПО.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.4 (О-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный логический доступ к ресурсам доступа, размещенным в вычислительных сетях финансовой организации, подключенных к сети Интернет.

Уровень защиты информации: 3-О, 2-Т, 1-Т.

Пояснение

В соответствии с требованиями данной меры, необходимо реализовать периодическую процедуру выявления и устранения уязвимостей защиты информации, которые могут позволить осуществить несанкционированный логический доступ к ресурсам доступа, размещенным в вычислительных сетях финансовой организации, подключенных к сети Интернет.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный логический доступ к ресурсам доступа, размещенным в вычислительных сетях финансовой организации, подключенных к сети Интернет может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение.

Результатом контроля отсутствия указанных уязвимостей будет являться составление отчета о выявленных уязвимостей с рекомендациями по их устранению (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Оперативное устранение указанных уязвимостей осуществляется на основании сформированных отчетов о выявленных уязвимостях, путем составления плана мероприятий по устранению уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Реализация - О

Требование контроля отсутствия и обеспечения оперативного устранения известных (описанных) уязвимостей защиты информации должно быть указано во внутреннем документе. Контроль может выполняться вручную, проверкой текущих версий ресурсов доступа и проверкой наличия записей об уязвимостях для данной версии в публичных базах уязвимостей, Результаты контроля должны оформляться актами и распоряжениями по устранению уязвимостей с указанием срока устранения, критичности уязвимости. Уязвимость должна быть устранена, а факт зафиксирован в акте устранения и проверен ответственным работником.

Проверочные процедуры (свидетельства) - Т

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Проверочные процедуры (свидетельства) - О

Акты проверки версий ПО на наличие уязвимостей в базах данных уязвимостей. Акты результатов устранения уязвимостей ПО.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.5 (О-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный удаленный доступ.

Уровень защиты информации: 3-О, 2-Т, 1-Т.

Пояснение

В соответствии с требованиями данной меры, необходимо реализовать периодическую процедуру выявления и устранения уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный удаленный доступ.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный удаленный доступ может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение.

Результатом контроля отсутствия указанных уязвимостей будет являться составление отчета о выявленных уязвимостей с рекомендациями по их устранению (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Оперативное устранение указанных уязвимостей осуществляется на основании сформированных отчетов о выявленных уязвимостях, путем составления плана мероприятий по устранению уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Реализация - О

Требование контроля отсутствия и обеспечения оперативного устранения известных (описанных) уязвимостей защиты информации должно быть указано во внутреннем документе. Контроль может выполняться вручную, проверкой текущих версий ресурсов доступа и проверкой наличия записей об уязвимостях для данной версии в публичных базах уязвимостей, Результаты контроля должны оформляться актами и распоряжениями по устранению уязвимостей с указанием срока устранения, критичности уязвимости. Уязвимость должна быть устранена, а факт зафиксирован в акте устранения и проверен ответственным работником.

Проверочные процедуры (свидетельства) - Т

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Проверочные процедуры (свидетельства) - О

Акты проверки версий ПО на наличие уязвимостей в базах данных уязвимостей. Акты результатов устранения уязвимостей ПО.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.6 (Н-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный логический доступ к ресурсам доступа, размещенным во внутренних вычислительных сетях финансовой организации.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Пояснение

В соответствии с требованиями данной меры, необходимо реализовать периодическую процедуру выявления и устранения уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный логический доступ к ресурсам доступа, размещенным во внутренних вычислительных сетях финансовой организации.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный логический доступ к ресурсам доступа, размещенным во внутренних вычислительных сетях финансовой организации может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение.

Результатом контроля отсутствия указанных уязвимостей будет являться составление отчета о выявленных уязвимостей с рекомендациями по их устранению (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Оперативное устранение указанных уязвимостей осуществляется на основании сформированных отчетов о выявленных уязвимостях, путем составления плана мероприятий по устранению уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Проверочные процедуры (свидетельства)

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.7 (Н-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей, предусмотренных мерами ЦЗИ.1 — ЦЗИ.6 настоящей таблицы, путем сканирования и анализа параметров настроек серверного и сетевого оборудования.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Пояснение

В соответствии с требованиями данной меры, уязвимости защиты информации описанные в мерах ЦЗИ.1-ЦЗИ.6, должны быть выявлены и устранены в следствии сканирования и анализа параметров настроек серверного и сетевого оборудования.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации предусмотренных мерами ЦЗИ.1-ЦЗИ.6 может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение. При этом, должно осуществляться сканирование и анализ настроек используемого серверного и сетевого оборудования.

Результатом контроля отсутствия указанных уязвимостей будет являться составление отчета о выявленных уязвимостей с рекомендациями по их устранению (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Оперативное устранение указанных уязвимостей осуществляется на основании сформированных отчетов о выявленных уязвимостях, путем составления плана мероприятий по устранению уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Проверочные процедуры (свидетельства)

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

* Отчет должен содержать результаты сканирования и анализа параметров настроек серверного и сетевого оборудования.

Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.8 (Н-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей, указанных в пунктах ЦЗИ.1 — ЦЗИ.6 настоящей таблицы, путем сканирования и анализа состава, версий и параметров настроек прикладного ПО, ПО АС и системного ПО, реализующего функции обеспечения защиты информации и (или) влияющего на обеспечение защиты информации (далее в настоящем разделе — системное ПО)*, установленного на серверном и сетевом оборудовании.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Пояснение

В соответствии с требованиями данной меры, уязвимости защиты информации описанные в мерах ЦЗИ.1-ЦЗИ.6, должны быть выявлены и устранены в следствии сканирования и анализа состава, версий и параметров настроек системного ПО, установленного на серверном и сетевом оборудовании.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации предусмотренных мерами ЦЗИ.1-ЦЗИ.6 может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение. При этом, должно осуществляться сканирование и анализ состава, версий и параметров настроек прикладного ПО, ПО АС и системного ПО, реализующего функции обеспечения защиты информации и (или) влияющего на обеспечение защиты информации, установленного на серверном и сетевом оборудовании.

Результатом контроля отсутствия указанных уязвимостей будет являться составление отчета о выявленных уязвимостей с рекомендациями по их устранению (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Оперативное устранение указанных уязвимостей осуществляется на основании сформированных отчетов о выявленных уязвимостях, путем составления плана мероприятий по устранению уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Проверочные процедуры (свидетельства)

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

* Отчет должен содержать результаты сканирования и анализа состава, версий и параметров настроек прикладного ПО, ПО АС и системного ПО, реализующего функции обеспечения защиты информации и (или) влияющего на обеспечение защиты информации, установленного на серверном и сетевом оборудовании.

Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.9 (Н-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей, предусмотренных мерами ЦЗИ.1 — ЦЗИ.6 настоящей таблицы, путем сканирования и анализа состава, версий и параметров настроек прикладного ПО, ПО АС и (или) системного ПО, установленного на АРМ пользователей и эксплуатационного персонала.

Уровень защиты информации: 3-Н, 2-Т, 1-Т.

Пояснение

В соответствии с требованиями данной меры, уязвимости защиты информации описанные в мерах ЦЗИ.1-ЦЗИ.6, должны быть выявлены и устранены в следствии сканирования и анализа состава, версий и параметров настроек прикладного ПО, ПО АС и (или) системного ПО, установленного на АРМ пользователей и эксплуатационного персонала.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации предусмотренных мерами ЦЗИ.1-ЦЗИ.6 может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение. При этом, должно осуществляться сканирование и анализ состава, версий и параметров настроек прикладного ПО, ПО АС и (или) системного ПО, установленного на АРМ пользователей и эксплуатационного персонала.

Результатом контроля отсутствия указанных уязвимостей будет являться составление отчета о выявленных уязвимостей с рекомендациями по их устранению (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Оперативное устранение указанных уязвимостей осуществляется на основании сформированных отчетов о выявленных уязвимостях, путем составления плана мероприятий по устранению уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Проверочные процедуры (свидетельства)

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

* Отчет должен содержать результаты сканирования и анализа состава, версий и параметров настроек прикладного ПО, ПО АС и (или) системного ПО, установленного на АРМ пользователей и эксплуатационного персонала.

Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.10 (Н-Т-Т)

Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей, предусмотренных мерами ЦЗИ.1 — ЦЗИ.6 настоящей таблицы, путем сканирования и анализа состава, версий и параметров настроек средств и систем защиты информации.

Уровень защиты информации: 3-Н, 2-Т, 1-Т

Пояснение

В соответствии с требованиями данной меры, уязвимости защиты информации описанные в мерах ЦЗИ.1-ЦЗИ.6, должны быть выявлены и устранены в следствии сканирования и анализа состава, версий и параметров настроек средств и систем защиты информации.

Реализация - Т

Контроль отсутствия уязвимостей защиты информации предусмотренных мерами ЦЗИ.1-ЦЗИ.6 может быть реализован как за счет применения внедренных средств защиты информации – сканеров уязвимостей (например xSpider, OpenVAS и пр.), так и за счет привлечения внешних подрядчиков проводящих работы по анализу уязвимостей и тестированию на проникновение. При этом, должно осуществляться сканирование и анализ состава, версий и параметров настроек средств и систем защиты информации.

Результатом контроля отсутствия указанных уязвимостей будет являться составление отчета о выявленных уязвимостей с рекомендациями по их устранению (отчет может быть сформирован как за счет встроенного функционала используемых сканеров уязвимостей, так и сотрудниками внешних подрядчиков, проводящих работы по анализу уязвимостей и тестированию на проникновение).

Оперативное устранение указанных уязвимостей осуществляется на основании сформированных отчетов о выявленных уязвимостях, путем составления плана мероприятий по устранению уязвимостей, с указанием ответственных за устранение лиц и сроков реализации плана.

Проверочные процедуры (свидетельства)

В зависимости от применимого варианта реализации контроля отсутствия указанных уязвимостей необходимо предоставить:

А. Отчет о выявленных уязвимостях, сформированный внедренными сканерами уязвимостей;

Б. Отчет о выявленных уязвимостях, сформированный внешними подрядчиками.

* Отчет должен содержать результаты сканирования и анализа состава, версий и параметров настроек средств и систем защиты информации.

Также необходимо предоставить свидетельства оперативного устранения указанных уязвимостей – планы мероприятий по устранению уязвимостей (утвержденные планы в формате внутреннего документа; соответствующие служебные записки и пр.).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЦЗИ.11 (Н-О-О)

Ограничение (запрет) использования на АРМ пользователей и эксплуатационного персонала, задействованных в выполнении бизнес-процессов финансовой организации, ПО, реализующего функции по разработке, отладке и (или) тестированию ПО.

Уровень защиты информации: 3-Н, 2-О, 1-О

Пояснение

Мера предназначена для недопущения воздействия на АС и иное ПО, используемых для выполнения бизнес-функций, в промышленном сетевом сегменте средствами отладки, тестирования, разработки.

Реализация - О

Данная мера должна быть регламентирована в документе, определяющем процедуры управления установкой программного обеспечения на объектах доступа. В документе указывается запрет использования на АРМ, используемом для бизнес-процессов для субъектов, кроме участвующих в тестировании, отладке, разработке ПО, систем тестирования, отладки, разработки ПО.

Проверочные процедуры (свидетельства)

Выгрузка состава ПО с АРМ, участвующих в выполнении бизнес-процессов.

Паспорт рабочего места.

Отчеты систем управления конфигурациями АРМ (инвентаризацией ПО).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

В небольших финансовых организациях эксплуатационный персонал использует свои основные АРМ промышленного сегмента для целей тестирования АС, в том числе решения срочных задач поддержки в ходе выполнения бизнес-процессов, хотя формулировка меры это запрещает.