Информационная безопасность

Здесь Вы найдете только нужную информацию.

Маппинг Приказа ОАЦ № 151 и ISO/IEC 27001:2013

Приказ ОАЦ №151 ISO/IEC 27001:2013
3. Для выполнения мероприятий по обеспечению безопасности КВОИ владельцем КВОИ назначается подразделение и (или) должностное лицо (работник), имеющее высшее образование в области технической и (или) криптографической защиты информации либо высшее или профессионально-техническое образование и прошедшее переподготовку или повышение квалификации по вопросам технической и (или) криптографической защиты информации в порядке, установленном законодательством (далее – служба безопасности (уполномоченный работник)). А.6.1.1
4. Владельцы КВОИ разрабатывают и принимают (издают) локальные нормативные правовые акты, в которых определяются задачи и функции службы безопасности (уполномоченного работника) по вопросам обеспечения безопасности КВОИ, а также устанавливается порядок:  
взаимодействия службы безопасности (уполномоченного работника) с иными работниками владельца КВОИ по вопросам обеспечения безопасности КВОИ; А.6.1.1
согласования со службой безопасности (уполномоченным работником) приема, увольнения, перевода, перемещения работников, трудовые обязанности которых предусматривают эксплуатацию КВОИ, по вопросам обеспечения безопасности КВОИ; А.6.1.2, А.7
проведения инструктажей, мероприятий по информированию и выработке практических навыков действий по обеспечению безопасности КВОИ; А.7.2.2
защиты сведений, содержащихся в эксплуатационной документации на КВОИ, документации на систему безопасности КВОИ, иной информации, распространение и (или) предоставление которой ограничено, от ее разглашения или несанкционированного доступа к ней со стороны третьих лиц; А.18.1.1, А.14.1
взаимодействия владельца КВОИ с иными юридическими и физическими лицами, в том числе при заключении и исполнении договоров, по вопросам обеспечения безопасности КВОИ. А.13.2, А.14.2, А.15.1
5. Для обеспечения безопасности КВОИ создается система безопасности КВОИ, включающая комплекс мероприятий правового, организационного и технического характера, в том числе мероприятий по мониторингу угроз безопасности КВОИ и реагированию на такие угрозы. 4.4
6. Система безопасности КВОИ:  
разрабатывается в целях оценки рисков безопасности КВОИ, обеспечения правильного выбора и последующей актуализации средств управления безопасностью КВОИ на всех стадиях его жизненного цикла, а также эффективности внутреннего контроля; 6.1.1, 6.1.2, 6.1.3
документально оформляется в виде формализованных правил и процедур управления безопасностью КВОИ. 7.5
7. В ходе создания системы безопасности КВОИ осуществляются:  
7.1. определение главных и вспомогательных процессов основной деятельности владельца КВОИ; 4.3
7.2. определение внутренних (организационная структура, информационные системы, информационные потоки и процессы) и внешних аспектов (взаимосвязи с контрагентами и другое), оказывающих влияние на обеспечение безопасности КВОИ; 4.2, A.6.1
7.3. определение целей обеспечения безопасности КВОИ, совместимых с процессами деятельности владельца КВОИ и стратегией (концепцией, планом) развития; 4.1
7.4. разработка политики информационной безопасности, содержащей:
цели и процессы информационной безопасности; перечень требований информационной безопасности и обязательства сотрудников по их выполнению;
организационную структуру системы безопасности; обязательства по постоянному совершенствованию системы безопасности;
приоритетные направления информационной безопасности;
ссылки на нормы актов законодательства, в том числе технических нормативных правовых актов, а также на локальные нормативные правовые акты;
5.2, А.5
7.5. определение физических и логических границ области применения системы безопасности (формуляр, паспорт) с использованием структурной и логической схем КВОИ. Структурная схема отражает расположение физических устройств с номерами портов, а также физических линий связи, соединяющих физические интерфейсы технических, программно-аппаратных средств обработки информации. В логической схеме отражаются информационные системы, направления потоков данных, а также спецификация используемых технологий и протоколов, списки VLAN, IP-адреса устройств; 4.3, А.8
7.6. инвентаризация (выявление и учет), а также определение степени важности (исходя из конфиденциальности, целостности и доступности) следующих активов КВОИ:
программно-аппаратных средств и физических устройств;
программного обеспечения (прикладного и системного);
средств защиты информации;
информационных систем и информационных сетей;
средств обработки информации (потоков информации), средств коммуникации;
информации, обрабатываемой на КВОИ, в том числе информации о настройках оборудования;
6.1.2, А.8
7.7. определение работников, ответственных за использование активов КВОИ; 6.1.2, А.8.1.2
7.8. определение угроз безопасности КВОИ; 6.1.2
7.9. классификация (категорирование) активов КВОИ по степени их значимости для основной деятельности владельца КВОИ; 6.1.2, А.8.2
7.10. классификация КВОИ в соответствии с СТБ 34.101.52-2016 «Информационные технологии. Методы и средства безопасности. Критически важные объекты информатизации. Классификация»; 6.1.2, А.8.2
7.11. разработка методологии оценки рисков безопасности КВОИ (методики оценки рисков). Владельцы КВОИ вправе разрабатывать методику оценки рисков в соответствии с СТБ 34.101.70-2016 «Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах»; 6.1.2
7.12. оценка рисков безопасности КВОИ; 6.1.2
7.13. определение средств управления, необходимых для реализации выбранного варианта обработки рисков безопасности КВОИ (план обработки рисков); 6.1.3
7.14. согласование плана обработки рисков с руководством владельца КВОИ. 6.1.3
8. При создании системы безопасности КВОИ владельцы КВОИ вправе применять требования, предъявляемые к системе менеджмента информационной безопасности в соответствии с СТБ ISO/IEC 27001-2016 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». all requirements
9. По результатам создания системы безопасности владельцем КВОИ проводится оценка полноты и качества выполненных мероприятий на предмет того, что:  
определена политика информационной безопасности; 5.2, А.5.1.1
определены приоритетные цели, задачи и направления деятельности организации; 6.2
распределены и согласованы обязанности работников и их ответственность по вопросам обеспечения безопасности КВОИ; 5.3, А.6.1.1, А.6.1.2
разработаны, приняты (изданы) локальные нормативные правовые акты, определяющие направления информационной безопасности КВОИ (политика информационной безопасности, формуляр (паспорт), реестр активов КВОИ, методика оценки рисков, план обработки рисков и другие), и доведены до сведения сотрудников, имеющих отношение к активам КВОИ, и третьих лиц, с которыми осуществляется взаимодействие; 4.3, А.5.1.1, А.8.1.1
определены условия конфиденциальности для обслуживающего персонала и третьих лиц; A.13.2.4, A.15.1
представители службы безопасности (уполномоченный работник), должностные лица, ответственные за использование активов КВОИ, прошли обучение и осведомлены о правилах работы на КВОИ; 7.2, 7.3
идентифицированы активы КВОИ, определены важные активы, необходимые для выполнения основных задач КВОИ; A.8.1.1
контроль активов КВОИ осуществляется на всех этапах их жизненного цикла; A.12.1, A.14
ведется учет и актуализированы схемы взаимодействия с внешними информационными системами; A.13.1
обеспечено резервирование технических, программных, программно-аппаратных активов КВОИ, каналов связи (передачи данных), средств защиты информации; A.17.2
определено максимальное допустимое время простоя КВОИ; A.17.1.1
определены и задокументированы угрозы безопасности КВОИ, уязвимости его активов; 6.1.2, A.12.6
разработана методика оценки рисков; 6.1.2
разработан и согласован с руководством владельца КВОИ план обработки рисков. При этом должны быть определены критерии принятия рисков с учетом отраслевой принадлежности владельца КВОИ; 6.1.3
определены средства управления системой безопасности КВОИ и контролируется их функционирование и актуальность; 6.1.3, A.18.2
контролируется привлечение третьих лиц к разработке программного обеспечения; A.14.2.7
доступ к активам КВОИ предоставляется только заранее определенному кругу лиц; A.9.2
определен порядок физического доступа к активам КВОИ; A.11.1.3
удаленный доступ к активам КВОИ допускается только в исключительных случаях (в целях выполнения технологических процессов на КВОИ, оперативного реагирования на возникновение угроз безопасности КВОИ) при условии обеспечения защиты передаваемых (получаемых) данных; A.6.2.2
осуществляется контроль удаленного доступа к активам КВОИ, хранение сведений об изменении прав доступа и совершенных действиях; A.6.2.2
определен порядок перемещения активов КВОИ через физические границы КВОИ; A.11.2.5, A.11.2.6
контролируется целостность информационной сети (контроль за оборудованием и информационными потоками, настройками коммутационного оборудования и средств защиты информации); A.13
задокументированы конфигурации активов КВОИ и осуществляется контроль изменений этих конфигураций; A.12.1.2
внедрены процедуры резервного копирования и восстановления из резервных копий, резервные данные защищены в процессе их хранения; A.12.3.1
определены правила уничтожения информации; A.8.3.2
определен порядок получения разрешения службы безопасности (уполномоченного работника) на использование новых средств обработки информации; A.8
ограничивается и контролируется порядок обращения с носителями информации; A.8.3
силовые и коммуникационные сети, по которым передается информация или оказываются услуги, защищены от несанкционированного доступа и воздействия; A.11.2.3, A.13.1
используются средства защиты информации от вредоносного программного обеспечения; A.12.2
обеспечена защита информации, распространение и (или) предоставление которой ограничено, в соответствии с законодательством. A.18.1
10. В целях проведения мониторинга угроз безопасности КВОИ и реагирования на эти угрозы владелец КВОИ:  
осуществляет постоянный контроль состояния активов КВОИ в целях выявления потенциальных событий информационной безопасности КВОИ; A.12.4
разрабатывает политику хранения журналов событий безопасности КВОИ, включая порядок и срок хранения журналов; A.12.4.2
проводит анализ и оценку угроз безопасности КВОИ; 8.2
обеспечивает синхронизацию времени с единым источником; A.12.4.4
разрабатывает план реагирования на события, которые могут стать причиной прерывания основных технологических процессов, оказания информационных услуг (далее – план реагирования), и проводит актуализацию плана реагирования не реже одного раз в год, а также в случае изменения нормативных правовых актов, структуры КВОИ, появления новых угроз безопасности КВОИ; A.16.1, A.17.1
определяет периодичность проведения мероприятий по оповещению и отработке действий работников владельца КВОИ в случае реализации угроз безопасности КВОИ в соответствии с планом реагирования; A.17.1.3
разрабатывает и внедряет методологию реагирования на события безопасности КВОИ, обеспечивающую реагирование в сроки, определенные эксплуатационной документацией на КВОИ и локальными нормативными правовыми актами, в целях исключения (снижения до приемлемого уровня) ущерба владельцу КВОИ. Методология реагирования на события безопасности КВОИ включает процедуры оповещения, реагирования и восстановления; A.16.1.1
осуществляет регистрацию и обработку событий безопасности КВОИ; A.16.1.2
разрабатывает план восстановления КВОИ, в котором учтены события безопасности КВОИ; A.16.1.5, A.16.1.6
представляет в Оперативно-аналитический центр при Президенте Республики Беларусь сведения о событиях безопасности КВОИ; A.6.1.3, A.18.1
осуществляет техническое обслуживание и ремонт активов КВОИ. A.11.2.4
11. В целях определения соответствия функциональных характеристик КВОИ требованиям, установленным эксплуатационной документацией на КВОИ и техническими нормативными правовыми актами, осуществляется внутренний контроль.
Внутренний контроль осуществляется владельцем КВОИ не реже одного раза в год.
Результаты внутреннего контроля оформляются актом, который составляется в десятидневный срок с момента завершения мероприятий внутреннего контроля в двух экземплярах, один из которых в течение трех рабочих дней направляется в Оперативно-аналитический центр при Президенте Республики Беларусь.
9.2, A.18.2
12. Контроль проводится службой безопасности (уполномоченным работником) во взаимодействии с работниками, ответственными за использование активов КВОИ. 9.2, A.18.2
13. Внутренний контроль проводится при изменении условий, оказывающих влияние на функционирование КВОИ либо системы безопасности, и включает в себя следующие этапы:
анализ соответствия системы безопасности КВОИ требованиям, предусмотренным в пункте 9 настоящего Положения;
формирование замечаний (недостатков), выявленных в процессе контроля, и предложений по их устранению;
оформление акта по результатам контроля.
9.2, A.18.2