Информационная безопасность

Здесь Вы найдете только нужную информацию.

Маппинг Положения о порядке ТЗИ и КЗИ КВОИ (Приказ ОАЦ № 66) и NIST Framework for Improving Critical Infrastructure Cybersecurity

Сопоставление требований Положения о порядке технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации (Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66) и NIST Framework for Improving Critical Infrastructure Cybersecurity (version 1.1)

Требования положения

NIST Framework for Improving Critical Infrastructure Cybersecurity. Version 1.1.

11. Представители организаций, привлекаемых владельцем критически важного объекта информатизации для выполнения работ на таких объектах, должны быть ознакомлены с требованиями локальных правовых актов по вопросам технической и криптографической защиты информации, обрабатываемой на критически важном объекте информатизации, в части, их касающейся.

ID.SC-3, PR.AT-3

13. В локальных правовых актах по вопросам технической и криптографической защиты информации, обрабатываемой на критически важных объектах информатизации, должны быть также определены порядок и правила функционирования системы информационной безопасности, в том числе…

ID.GV-1, PR.AT-4, PR.AT-5

15. На этапе проектирования системы информационной безопасности осуществляются:

 

15.1. определение внутренних (организационная структура, информационные системы, информационные потоки и процессы) и внешних (взаимосвязи с контрагентами и другое) границ, оказывающих влияние на обеспечение информационной безопасности критически важного объекта информатизации;

 

15.2. определение целей обеспечения информационной безопасности критически важного объекта информатизации, совместимых с процессами деятельности владельца критически важного объекта информатизации и прогнозными документами организации;

 

15.3. инвентаризация (выявление и учет), а также определение степени важности для основной деятельности владельца критически важного объекта информатизации (исходя из конфиденциальности, целостности и доступности) следующих активов критически важного объекта информатизации…

ID.AM-1, ID.AM-2, ID.AM-3, ID.AM-4, ID.AM-5

15.4. определение работников, ответственных за использование активов критически важного объекта информатизации;

ID.AM-1, ID.AM-2, ID.AM-6

15.5. определение физических и логических границ области применения системы информационной безопасности (формуляр критически важного объекта информатизации) с использованием структурной и логической схем критически важного объекта информатизации. При этом структурная схема должна содержать расположение физических устройств с номерами портов, а также физических линий связи, соединяющих физические интерфейсы технических, программно-аппаратных средств обработки информации, средств защиты информации, автоматизированных рабочих мест администратора (оператора). В логической схеме должны быть отображены информационные системы, направления потоков данных, а также спецификация используемых технологий и протоколов, списки VLAN, IP-адреса устройств;

ID.AM-1, ID.AM-2, ID.AM-3, ID.AM-4

15.6. определение угроз информационной безопасности критически важного объекта информатизации;

ID.RA-3, ID.RA-5

15.7. разработка методологии (методики) оценки рисков информационной безопасности критически важного объекта информатизации и оценка таких рисков;

ID.RA-4, ID.RM-1

15.8. определение требований к параметрам настройки программных и программноаппаратных средств, включая средства защиты информации, по обеспечению информационной безопасности критически важного объекта информатизации, блокированию (нейтрализации) угроз информационной безопасности критически важного объекта информатизации;

 

15.9. определение средств управления, необходимых для реализации выбранного варианта обработки рисков информационной безопасности критически важного объекта информатизации (план обработки рисков).

ID.RA-6

19. В ходе создания системы информационной безопасности осуществляется разработка политики информационной безопасности критически важного объекта информатизации, содержащая…

PR.IP-7

20. В системе информационной безопасности в зависимости от угроз информационной безопасности критически важного объекта информатизации реализуются следующие организационные и технические меры:

 

20.1. идентификация и аутентификация:

 

определение политик и процедур идентификации и аутентификации;

PR.AC-1, PR.AC-6

идентификация и аутентификация пользователей и инициируемых ими процессов;

PR.AC-1

инвентаризация и контроль за активами критически важного объекта информатизации;

ID.AM-1, ID.AM-2, ID.AM-3, PR.DS-6

20.2. управление доступом к активам критически важного объекта информатизации:

 

определение политик и процедур управления доступом;

PR.AC-4

разделение прав доступа пользователей;

ID.GV-2, PR.AC-4

управление учетными записями и паролями пользователей;

 

управление привилегированными правами доступа;

PR.AC-4

ограничение неуспешных попыток доступа к активам критически важного объекта информатизации;

 

оповещение пользователя при входе о предыдущем доступе к активам критически важного объекта информатизации;

 

ограничение числа параллельных сеансов доступа;

 

блокирование сеанса доступа пользователя при неактивности;

 

ограничение защищенного удаленного доступа к активам критически важного объекта информатизации;

PR.AC-3, PR.DS-2, PR.MA-2

контроль доступа из внешних информационных (автоматизированных) систем;

PR.AC-4, PR.MA-2

использование выделенного автоматизированного рабочего места для администрирования, требующего привилегированного доступа, не имеющего доступа к внешним информационным сетям;

PR.DS-2

управление запуском, установкой (инсталляцией) компонентов программного обеспечения (приложений);

 

20.3. обращение с носителями информации:

 

определение политик и процедур обращения со съемными носителями информации;

PR.DS-3, PR.DS-5, PR.PT-2

учет съемных носителей информации;

PR.DS-3, PR.DS-5, PR.PT-2

управление физическим доступом к съемным носителям информации;

PR.AC-2, PR.DS-5, PR.IP-5, PR.PT-2

контроль за перемещением съемных носителей информации за пределы контролируемой зоны;

PR.DS-3, PR.DS-5, PR.PT-2

ограничение ввода (вывода) информации на периферийные устройства, в том числе съемные носители информации;

PR.DS-5, PR.PT-2

регистрация и контроль за подключением съемных носителей информации;

PR.DS-5, PR.PT-2

уничтожение (удаление) информации со съемных носителей информации;

PR.DS-3, PR.IP-6

20.4. аудит информационной безопасности:

 

определение политик и процедур аудита информационной безопасности;

PR.PT-1

поиск уязвимостей активов критически важного объекта информатизации и их устранение;

ID.RA-1, PR.IP-12

генерирование временных меток и (или) синхронизация системного времени;

 

защита информации о событиях информационной безопасности;

PR.PT-1

аудит информации о действиях пользователей;

PR.PT-1, DE.CM-3

регистрация и мониторинг событий информационной безопасности;

PR.PT-1

хранение результатов аудита безопасности;

PR.PT-1

20.5. защита от вредоносного программного обеспечения:

 

определение политик и процедур защиты от вредоносного программного обеспечения;

DE.CM-4

реализация защиты от вредоносного программного обеспечения;

DE.CM-4

обновление механизмов сканирования и базы данных сигнатур вредоносного программного обеспечения;

DE.CM-4

регистрация событий обнаружения вредоносных программ;

DE.CM-4

20.6. управление процедурами резервирования:

 

определение политик и процедур резервирования;

ID.BE-5

резервирование программных и программно-аппаратных средств и систем;

ID.BE-5

резервное копирование информации, программного обеспечения и обеспечение возможности восстановления из резервных копий;

PR.IP-4

резервное копирование конфигурационных файлов и журналов аудита;

PR.DS-4

обеспечение защиты резервных копий;

PR.DS-4, PR.IP-4

20.7. обеспечение информационной безопасности критически важного объекта информатизации и его элементов:

 

определение политик и процедур защиты информационной (автоматизированной) системы и ее элементов;

ID.GV-1

разделение функций по управлению активами критически важного объекта информатизации с другими функциями;

ID.GV-2

сегментирование сети критически важного объекта информатизации;

PR.AC-5, PR.DS-2, PR.PT-4

управление сетевыми потоками;

PR.DS-2, PR.DS-5, PR.PT-4, DE.AE-1

использование межсетевых экранов;

PR.DS-2, PR.PT-4

сокрытие архитектуры и конфигурации критически важного объекта информатизации;

PR.PT-4

управление безопасной настройкой сетевых устройств (средств защиты информации);

PR.AC-5, PR.PT-4

отключение беспроводных соединений и интерфейсов;

PR.PT-4

исключение доступа через общие ресурсы;

PR.DS-5

защита от угроз отказа в обслуживании;

PR.DS-4

ограничение использования мобильных устройств;

 

управление перемещением виртуальных машин и обрабатываемых на них данных;

PR.DS-2

20.8. управление конфигурацией:

 

определение политик и процедур управления конфигурацией информационной (автоматизированной) системы;

PR.IP-3

идентификация объектов управления конфигурацией;

PR.IP-3

управление изменениями конфигурации;

 

установка (инсталляция) только разрешенного к использованию программного обеспечения;

 

контроль за действиями по изменению конфигурации;

ID.RA-1, PR.DS-6, PR.IP-3

20.9. обновление программного обеспечения:

 

определение политик и процедур управления обновлениями программного обеспечения;

 

обновление программного обеспечения из доверенного источника;

 

20.10. планирование мероприятий по обеспечению информационной безопасности критически важного объекта информатизации:

 

определение политик и процедур планирования мероприятий по обеспечению информационной безопасности критически важного объекта информатизации;

 

разработка, утверждение и актуализация плана мероприятий по обеспечению информационной безопасности критически важного объекта информатизации;

 

контроль за выполнением мероприятий по обеспечению информационной безопасности критически важного объекта информатизации;

 

20.11. реагирование на события информационной безопасности критически важного объекта информатизации и управление ими:

 

разработка плана реагирования на события информационной безопасности и его актуализация не реже одного раза в год;

ID.BE-5, PR.IP-9, RS.RP-1, RS.IM-2, RC.IM-2

определение периодичности проведения мероприятий по оповещению и отработке действий работников в случае реализации угроз информационной безопасности критически важного объекта информатизации в соответствии с планом реагирования;

PR.IP-9

разработка и внедрение методологии реагирования на события информационной безопасности, обеспечивающей реагирование в сроки, определенные эксплуатационной документацией на критически важный объект информатизации и локальными правовыми актами, в целях исключения (снижения до приемлемого уровня) вероятного ущерба;

ID.BE-5, DE.AE-4, DE.AE-5, RS.AN-4, RS.MI-1, RS.MI-2, RS.MI-3, RC.RP-1

обучение и отработка действий персонала при возникновении событий информационной безопасности;

PR.IP-10, RS.CO-1

создание альтернативных мест хранения и обработки информации в случае возникновения событий информационной безопасности;

ID.BE-5

анализ возникших событий информационной безопасности и принятие мер по недопущению их повторного возникновения;

DE.AE-2, RS.IM-1, RC.IM-1

20.12. информирование и обучение персонала:

 

определение политик и процедур информирования и обучения персонала, ответственности за нарушение требований по информационной безопасности критически важного объекта информатизации;

PR.AT-4, PR.AT-5

информирование персонала об угрозах информационной безопасности критически важного объекта информатизации, правилах безопасной работы с активами критически важного объекта информатизации;

PR.AT-1, PR.AT-2, PR.AT-4, PR.AT-5

проведение практических занятий с персоналом по правилам безопасной работы;

PR.AT-1, PR.AT-4, PR.AT-5

контроль осведомленности персонала об угрозах информационной безопасности критически важного объекта информатизации и о правилах безопасной работы.

PR.AT-1, PR.AT-2, PR.AT-5, RS.CO-1

21. В целях постоянного мониторинга угроз безопасности критически важного объекта информатизации владелец этого объекта:

 

осуществляет постоянный контроль за состоянием активов критически важного объекта информатизации для выявления потенциальных событий информационной безопасности критически важного объекта информатизации;

PR.DS-6

проводит анализ и оценку угроз информационной безопасности критически важного объекта информатизации;

 

разрабатывает план восстановления критически важного объекта информатизации, учитывающий события информационной безопасности.

ID.BE-5, PR.IP-9