Информационная безопасность

Здесь Вы найдете только нужную информацию.

Маппинг Положения о порядке ТЗИ и КЗИ КВОИ (Приказ ОАЦ № 66) и ISO/IEC 27001:2013

Сопоставление требований Положения о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации (Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66) и международного стандарта ISO/IEC 27001:2013

Требования положения

ISO/IEC 27001:2013

3. Системы информационной безопасности создаются владельцами критически важных объектов информатизации и включают совокупность правовых, организационных и технических мер, направленных на обеспечение информационной безопасности критически важных объектов информатизации.

4.4

4. Система информационной безопасности должна обеспечивать:

предотвращение неправомерного доступа к информации, обрабатываемой на критически важном объекте информатизации, уничтожения такой информации, ее модификации, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации;

обнаружение и предупреждение угроз информационной безопасности критически важного объекта информатизации и принятие мер по предупреждению и уменьшению рисков информационной безопасности;

недопущение реализации угроз информационной безопасности в отношении активов критически важного объекта информатизации, а также восстановление функционирования критически важного объекта информатизации в случае такого воздействия, в том числе за счет создания и хранения резервных копий информации.

4.2

5. Владелец критически важного объекта информатизации организует и контролирует функционирование системы информационной безопасности, определяет ее состав и структуру, функции ее участников при обеспечении информационной безопасности критически важного объекта информатизации в зависимости от количества таких объектов и (или) особенностей деятельности владельца критически важного объекта информатизации.

4.3

6. Для проведения работ по технической и криптографической защите информации, обрабатываемой на критически важном объекте информатизации, владелец такого объекта создает подразделение защиты информации или назначает уполномоченное должностное лицо (далее – подразделение защиты информации (должностное лицо). Работники такого подразделения (должностное лицо) должны иметь высшее образование в области защиты информации либо высшее или профессионально-техническое образование и пройти переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации в порядке, установленном законодательством.

7.2, А 6.1.1

7. В случае невозможности выполнения работ по технической и криптографической защите информации, обрабатываемой на критически важном объекте информатизации, силами подразделения защиты информации (должностным лицом) руководителем организации могут привлекаться организации, имеющие специальные разрешения (лицензии) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ.

7.1

8. Подразделение защиты информации (должностное лицо):

разрабатывает проекты локальных правовых актов по созданию и совершенствованию системы информационной безопасности;

проводит анализ угроз и расчет рисков информационной безопасности критически важного объекта информатизации;

обеспечивает в соответствии с требованиями по информационной безопасности критически важного объекта информатизации реализацию необходимых организационных и технических мер, а также применение и эксплуатацию средств защиты информации;

осуществляет мониторинг и реагирование на возникновение рисков информационной безопасности критически важного объекта информатизации;

организует проведение аудита системы информационной безопасности;

согласовывает прием на работу, увольнение, перевод, перемещение работников, трудовые обязанности которых предусматривают эксплуатацию активов критически важного объекта информатизации, с учетом требований по информационной безопасности критически важного объекта информатизации;

проводит инструктажи, мероприятия по информированию и выработке практических навыков действий по обеспечению информационной безопасности критически важного объекта информатизации;

обеспечивает защиту сведений, содержащихся в эксплуатационной документации на критически важный объект информатизации, документации на систему информационной безопасности, иной информации, распространение и (или) предоставление которой ограничено, от ее разглашения или несанкционированного доступа к ней со стороны третьих лиц;

обеспечивает взаимодействие владельца критически важного объекта информатизации с юридическими и физическими лицами при заключении и исполнении договоров по вопросам обеспечения информационной безопасности критически важного объекта информатизации.

А 6.1.1

Обязанности, возлагаемые на подразделение защиты информации (должностное лицо), должны быть определены в локальных правовых актах владельца критически важного объекта информатизации. Не допускается возложение на подразделение защиты информации (должностное лицо) функций, не связанных с обеспечением информационной безопасности критически важного объекта информатизации.

А 6.1.1, А 6.1.2

9. Подразделение защиты информации (должностное лицо) реализует функции, предусмотренные в части первой пункта 8 настоящего Положения, во взаимодействии с иными подразделениями (работниками), обеспечивающими функционирование и эксплуатацию активов критически важного объекта информатизации.

А 6.1.1

Объем задач, возлагаемых на подразделения (работников), обеспечивающие функционирование и эксплуатацию активов критически важного объекта информатизации, определяется владельцем критически важного объекта информатизации в локальных правовых актах по вопросам технической и криптографической защиты информации, обрабатываемой на критически важном объекте информатизации.

А 6.1.1

Положения локальных правовых актов по вопросам технической и криптографической защиты информации, обрабатываемой на критически важном объекте информатизации, доводятся до сведения работников, обеспечивающих функционирование и эксплуатацию активов критически важного объекта информатизации, в части, их касающейся.

7.3, А 5.1.1

10. Владельцы критически важных объектов информатизации не реже одного раза в год обеспечивают проведение мероприятий, направленных на повышение уровня знаний работников по вопросам информационной безопасности критически важных объектов информатизации, информирование о возможных рисках и угрозах информационной безопасности критически важных объектов информатизации.

7.2, 7.3

11. Представители организаций, привлекаемых владельцем критически важного объекта информатизации для выполнения работ на таких объектах, должны быть ознакомлены с требованиями локальных правовых актов по вопросам технической и криптографической защиты информации, обрабатываемой на критически важном объекте информатизации, в части, их касающейся.

7.3, A 15

12. При осуществлении технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации, используются средства технической и криптографической защиты информации, имеющие сертификат соответствия Национальной системы подтверждения соответствия Республики Беларусь или положительное экспертное заключение по результатам государственной экспертизы, проводимой Оперативно-аналитическим центром при Президенте Республики Беларусь.

A 14.2

Параметры и характеристики применяемых средств защиты информации должны реализовывать технические меры по обеспечению информационной безопасности критически важного объекта информатизации.

A 14.2

Применяемые средства защиты информации должны быть обеспечены гарантийной и технической поддержкой со стороны изготовителей (разработчиков) этих средств. При выборе средств защиты информации должно учитываться возможное наличие ограничений со стороны изготовителей (разработчиков) или иных лиц на применение этих средств на любом из критически важных объектов информатизации, принадлежащих владельцу данных объектов.

A 15

Порядок применения средств защиты информации определяется в локальных правовых актах по вопросам технической и криптографической защиты информации, обрабатываемой на критически важном объекте информатизации.

A 12.1.1

13. В локальных правовых актах по вопросам технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации, должны быть также определены порядок и правила функционирования системы информационной безопасности, в том числе:

цели и задачи обеспечения информационной безопасности критически важных объектов информатизации, перечень основных угроз и нарушителей информационной безопасности критически важных объектов информатизации, основные организационные и технические меры, проводимые владельцем критически важного объекта информатизации, состав и структура системы информационной безопасности, функции ее участников, порядок применения, форма и порядок проведения аудита;

направления информационной безопасности критически важного объекта информатизации (политика информационной безопасности, формуляр, реестр активов критически важного объекта информатизации, методика оценки рисков, план обработки рисков и другое);

план мероприятий, направленных на повышение уровня знаний работников по вопросам обеспечения информационной безопасности критически важного объекта информатизации и информирование о возможных рисках и угрозах информационной безопасности критически важного объекта информатизации;

порядок реализации организационных и технических мер по обеспечению информационной безопасности критически важного объекта информатизации;

порядок реагирования на возникновение рисков информационной безопасности критически важного объекта информатизации;

порядок взаимодействия подразделений (работников) владельца критически важного объекта информатизации при решении задач обеспечения информационной безопасности критически важного объекта информатизации.

Состав и виды локальных правовых актов по вопросам технической и криптографической защиты информации, обрабатываемой на критически важном объекте информатизации, определяются его владельцем с учетом особенностей его деятельности.

A 5.1.1, A 12.1.1

14. Комплекс мероприятий по технической и криптографической защите информации, обрабатываемой на критически важном объекте информатизации, включает проектирование, создание и аудит системы информационной безопасности.

4.4

15. На этапе проектирования системы информационной безопасности осуществляются:

 

15.1. определение внутренних (организационная структура, информационные системы, информационные потоки и процессы) и внешних (взаимосвязи с контрагентами и другое) границ, оказывающих влияние на обеспечение информационной безопасности критически важного объекта информатизации;

4.1

15.2. определение целей обеспечения информационной безопасности критически важного объекта информатизации, совместимых с процессами деятельности владельца критически важного объекта информатизации и прогнозными документами организации;

5.2b, 6.2

15.3. инвентаризация (выявление и учет), а также определение степени важности для основной деятельности владельца критически важного объекта информатизации (исходя из конфиденциальности, целостности и доступности) следующих активов критически важного объекта информатизации:

программно-аппаратных средств и физических устройств;

программного обеспечения (прикладного и системного);

средств защиты информации;

информационных систем и информационных сетей;

средств обработки информации (потоков информации), средств коммуникации, администрирования и конфигурирования;

6.1.2, A 8.1.1

15.4. определение работников, ответственных за использование активов критически важного объекта информатизации;

6.1.2, А 6.1.1, A 8.1.2

15.5. определение физических и логических границ области применения системы информационной безопасности (формуляр критически важного объекта информатизации) с использованием структурной и логической схем критически важного объекта информатизации. При этом структурная схема должна содержать расположение физических устройств с номерами портов, а также физических линий связи, соединяющих физические интерфейсы технических, программно-аппаратных средств обработки информации, средств защиты информации, автоматизированных рабочих мест администратора (оператора). В логической схеме должны быть отображены информационные системы, направления потоков данных, а также спецификация используемых технологий и протоколов, списки VLAN, IP-адреса устройств;

4.3, A 8.1.1

15.6. определение угроз информационной безопасности критически важного объекта информатизации;

6.1.2, 8.3

15.7. разработка методологии (методики) оценки рисков информационной безопасности критически важного объекта информатизации и оценка таких рисков;

6.1.2

15.8. определение требований к параметрам настройки программных и программноаппаратных средств, включая средства защиты информации, по обеспечению информационной безопасности критически важного объекта информатизации, блокированию (нейтрализации) угроз информационной безопасности критически важного объекта информатизации;

A 12.1

15.9. определение средств управления, необходимых для реализации выбранного варианта обработки рисков информационной безопасности критически важного объекта информатизации (план обработки рисков).

6.1.3, 8.3

16. При создании системы информационной безопасности учитывается ее информационное взаимодействие с иными информационными системами, автоматизированными системами управления технологическими процессами или информационно-телекоммуникационными сетями.

4.3

17. Обеспечение информационной безопасности критически важного объекта информатизации достигается путем выполнения совокупности правовых, организационных и технических мер, направленных на блокирование (нейтрализацию) угроз информационной безопасности критически важного объекта информатизации, реализация которых может привести к прекращению или нарушению функционирования этого объекта, обеспечиваемого (управляемого, контролируемого) им процесса, нарушению конфиденциальности, целостности, доступности обрабатываемой информации.

4.4

18. Меры по обеспечению информационной безопасности критически важного объекта информатизации определяются и реализуются с учетом угроз информационной безопасности критически важного объекта информатизации на аппаратном, системном, прикладном и сетевом уровнях, в том числе в среде виртуализации.

6.1.3

19. В ходе создания системы информационной безопасности осуществляется разработка политики информационной безопасности критически важного объекта информатизации, содержащая:

приоритетные направления информационной безопасности критически важного объекта информатизации;

перечень требований по информационной безопасности критически важного объекта информатизации и обязательства сотрудников по их выполнению;

организационную структуру системы информационной безопасности;

обязательства по постоянному совершенствованию системы информационной безопасности и выполнению актов законодательства по вопросам технической и криптографической защиты информации, локальных правовых актов.

5.2, А 5

20. В системе информационной безопасности в зависимости от угроз информационной безопасности критически важного объекта информатизации реализуются следующие организационные и технические меры:

 

20.1. идентификация и аутентификация:

 

определение политик и процедур идентификации и аутентификации;

А 9.1.1

идентификация и аутентификация пользователей и инициируемых ими процессов;

А 9.4.1

инвентаризация и контроль за активами критически важного объекта информатизации;

A 8.1.1

20.2. управление доступом к активам критически важного объекта информатизации:

 

определение политик и процедур управления доступом;

A 9.1.1

разделение прав доступа пользователей;

A 6.1.2, A 9.2.3

управление учетными записями и паролями пользователей;

A 9.2

управление привилегированными правами доступа;

A 9.2.3, A 9.4.4

ограничение неуспешных попыток доступа к активам критически важного объекта информатизации;

A 9.4

оповещение пользователя при входе о предыдущем доступе к активам критически важного объекта информатизации;

A 9.4

ограничение числа параллельных сеансов доступа;

A 9.4

блокирование сеанса доступа пользователя при неактивности;

A 9.4

ограничение защищенного удаленного доступа к активам критически важного объекта информатизации;

A 9.4

контроль доступа из внешних информационных (автоматизированных) систем;

A 9.4

использование выделенного автоматизированного рабочего места для администрирования, требующего привилегированного доступа, не имеющего доступа к внешним информационным сетям;

A 9.2.3

управление запуском, установкой (инсталляцией) компонентов программного обеспечения (приложений);

A 12.1.2, A 12.5.1

20.3. обращение с носителями информации:

 

определение политик и процедур обращения со съемными носителями информации;

A 8.3.1

учет съемных носителей информации;

A 8.3.1

управление физическим доступом к съемным носителям информации;

A 8.3.1

контроль за перемещением съемных носителей информации за пределы контролируемой зоны;

A 8.3.3

ограничение ввода (вывода) информации на периферийные устройства, в том числе съемные носители информации;

A 8.3.1

регистрация и контроль за подключением съемных носителей информации;

A 8.3.1

уничтожение (удаление) информации со съемных носителей информации;

A 8.3.2

20.4. аудит информационной безопасности:

 

определение политик и процедур аудита информационной безопасности;

A 12.4.1

поиск уязвимостей активов критически важного объекта информатизации и их устранение;

A 12.6

генерирование временных меток и (или) синхронизация системного времени;

A 12.4.4

защита информации о событиях информационной безопасности;

A 12.4.2

аудит информации о действиях пользователей;

A 12.4.3

регистрация и мониторинг событий информационной безопасности;

A 12.4.1

хранение результатов аудита безопасности;

A 12.3.1

20.5. защита от вредоносного программного обеспечения:

 

определение политик и процедур защиты от вредоносного программного обеспечения;

A 12.2.1

реализация защиты от вредоносного программного обеспечения;

A 12.2.1

обновление механизмов сканирования и базы данных сигнатур вредоносного программного обеспечения;

A 12.2.1

регистрация событий обнаружения вредоносных программ;

A 12.4.1

20.6. управление процедурами резервирования:

 

определение политик и процедур резервирования;

A 17.1.1, A 17.2.1

резервирование программных и программно-аппаратных средств и систем;

A 17.1.1, A 17.2.1

резервное копирование информации, программного обеспечения и обеспечение возможности восстановления из резервных копий;

A 12.3.1

резервное копирование конфигурационных файлов и журналов аудита;

A 12.3.1

обеспечение защиты резервных копий;

A 12.3.1

20.7. обеспечение информационной безопасности критически важного объекта информатизации и его элементов:

 

определение политик и процедур защиты информационной (автоматизированной) системы и ее элементов;

A 5.1.1

разделение функций по управлению активами критически важного объекта информатизации с другими функциями;

A 6.1.2

сегментирование сети критически важного объекта информатизации;

A 13.1.3

управление сетевыми потоками;

A 13.1

использование межсетевых экранов;

A 13.1

сокрытие архитектуры и конфигурации критически важного объекта информатизации;

A 13.1

управление безопасной настройкой сетевых устройств (средств защиты информации);

A 13.1

отключение беспроводных соединений и интерфейсов;

A 13.1

исключение доступа через общие ресурсы;

A 13.1

защита от угроз отказа в обслуживании;

A 13.1, A.17.1

ограничение использования мобильных устройств;

A 6.2.1

управление перемещением виртуальных машин и обрабатываемых на них данных;

A 13.1

20.8. управление конфигурацией:

 

определение политик и процедур управления конфигурацией информационной (автоматизированной) системы;

A 12.1.1, A 12.1.2

идентификация объектов управления конфигурацией;

A 12.1.1, A 12.1.2

управление изменениями конфигурации;

A 12.1.1, A 12.1.2

установка (инсталляция) только разрешенного к использованию программного обеспечения;

A 12.6.2

контроль за действиями по изменению конфигурации;

A 18.2.3

20.9. обновление программного обеспечения:

 

определение политик и процедур управления обновлениями программного обеспечения;

A 12.6

обновление программного обеспечения из доверенного источника;

A 12.6

20.10. планирование мероприятий по обеспечению информационной безопасности критически важного объекта информатизации:

 

определение политик и процедур планирования мероприятий по обеспечению информационной безопасности критически важного объекта информатизации;

6, 8.1

разработка, утверждение и актуализация плана мероприятий по обеспечению информационной безопасности критически важного объекта информатизации;

6.2

контроль за выполнением мероприятий по обеспечению информационной безопасности критически важного объекта информатизации;

9.1

20.11. реагирование на события информационной безопасности критически важного объекта информатизации и управление ими:

 

разработка плана реагирования на события информационной безопасности и его актуализация не реже одного раза в год;

A 16.1.1, A 17.1.1

определение периодичности проведения мероприятий по оповещению и отработке действий работников в случае реализации угроз информационной безопасности критически важного объекта информатизации в соответствии с планом реагирования;

A 17.1.3

разработка и внедрение методологии реагирования на события информационной безопасности, обеспечивающей реагирование в сроки, определенные эксплуатационной документацией на критически важный объект информатизации и локальными правовыми актами, в целях исключения (снижения до приемлемого уровня) вероятного ущерба;

A 16.1, A 17.1.1

обучение и отработка действий персонала при возникновении событий информационной безопасности;

A 17.1.3

создание альтернативных мест хранения и обработки информации в случае возникновения событий информационной безопасности;

A 17.1.1

анализ возникших событий информационной безопасности и принятие мер по недопущению их повторного возникновения;

A 16.1.6

20.12. информирование и обучение персонала:

 

определение политик и процедур информирования и обучения персонала, ответственности за нарушение требований по информационной безопасности критически важного объекта информатизации;

7.2, 7.3

информирование персонала об угрозах информационной безопасности критически важного объекта информатизации, правилах безопасной работы с активами критически важного объекта информатизации;

7.3, A 7.2.2

проведение практических занятий с персоналом по правилам безопасной работы;

7.3, A 7.2.2

контроль осведомленности персонала об угрозах информационной безопасности критически важного объекта информатизации и о правилах безопасной работы.

7.3

21. В целях постоянного мониторинга угроз безопасности критически важного объекта информатизации владелец этого объекта:

 

осуществляет постоянный контроль за состоянием активов критически важного объекта информатизации для выявления потенциальных событий информационной безопасности критически важного объекта информатизации;

A 12.4

проводит анализ и оценку угроз информационной безопасности критически важного объекта информатизации;

A 16.1

разрабатывает план восстановления критически важного объекта информатизации, учитывающий события информационной безопасности.

A 17.1

22. В целях определения соответствия системы информационной безопасности требованиям законодательства, в том числе обязательных для соблюдения требований технических нормативных правовых актов в сфере технической и криптографической защиты информации, проводится ее аудит.

Аудит системы информационной безопасности проводится владельцем критически важного объекта информатизации не позднее чем через год после завершения мероприятий по созданию системы информационной безопасности и далее ежегодно.

9.2, А 18

 

23. Аудит системы информационной безопасности включает следующие этапы:

анализ и оценку соответствия системы информационной безопасности требованиям настоящего Положения;

проведение контроля эффективности защищенности системы информационной безопасности;

формирование замечаний (недостатков), выявленных в процессе аудита, и предложений по их устранению;

составление акта по форме согласно приложению и рекомендаций по результатам аудита.

9.2, А 18

24. Акт аудита системы информационной безопасности утверждается:

руководителем владельца критически важного объекта информатизации – в случае проведения аудита системы информационной безопасности подразделением защиты информации (должностным лицом);

руководителем организации, имеющей специальное разрешение (лицензию) на деятельность по технической и (или) криптографической защите информации в части соответствующих составляющих данный вид деятельности работ, – в случае проведения аудита данной организацией.

9.2, А 18