Информационная безопасность

Здесь Вы найдете только нужную информацию.

Маппинг Приказа ОАЦ № 66 и ISO/IEC 27001:2013

Сопоставление требований Положения о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66) и международного стандарта ISO/IEC 27001:2013

Требование

ISO/IEC 27001:2013

1 Аудит безопасности

 

1.1 Определение состава информации о событиях информационной безопасности, подлежащих регистрации (идентификация и аутентификация пользователей, нарушения прав доступа пользователей, выявленные нарушения информационной безопасности и другое)

А 12.4.1, А 12.4.3

1.2 Обеспечение сбора и хранения информации о событиях информационной безопасности в течение установленного срока хранения, но не менее одного года

А 12.4.2

1.3 Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности в течение установленного срока хранения, но не менее одного года

А 12.4.2

1.4 Определение способа и периодичности мониторинга (просмотра, анализа) событий информационной безопасности уполномоченными на это пользователями информационной системы

А 12.4.1

 

1.5 Обеспечение сбора и хранения информации о функционировании средств вычислительной техники, сетевого оборудования и средств защиты информации в течение установленного срока хранения, но не менее одного года

А 12.4.1, А 12.4.2

2 Требования по обеспечению защиты данных

 

2.1 Регламентация порядка использования в информационной системе съемных носителей информации, мобильных технических средств и контроля за таким использованием

А 6.2.1, А 8.3.1

2.2 Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования средств вычислительной техники, сетевого оборудования, системного программного обеспечения и средств защиты информации

А 8.1.3, А 12.1.2, А 18.2.3

2.3 Обеспечение защиты от несанкционированного доступа к резервным копиям, параметрам настройки сетевого оборудования, системного программного обеспечения, средств защиты информации и событиям безопасности

А 9.1.1, А 9.1.2

3 Требования по обеспечению идентификации и аутентификации

 

3.1 Обеспечение разграничения доступа пользователей к средствам вычислительной техники, сетевому оборудованию, системному программному обеспечению и средствам защиты информации

А 9.1.1

3.2 Обеспечение идентификации и аутентификации пользователей информационной системы

А 9.4.1

3.3 Обеспечение защиты обратной связи при вводе аутентификационной информации

А 9.2.4

3.4 Обеспечение полномочного управления (создание, активация, блокировка и уничтожение) учетными записями пользователей информационной системы

А 9.1.1, А 9.2.1, А 9.2.2, А 9.2.5, А 9.2.6

3.5 Обеспечение контроля за соблюдением правил генерации и смены паролей пользователей информационной системы

А 9.2.4, А 9.4.3

3.6 Обеспечение централизованного управления учетными записями пользователей информационной системы и контроль за соблюдением правил генерации и смены паролей пользователей информационной системы

А 9.1.1, А 9.2.1, А 9.2.2, А 9.2.4, А 9.2.5, А 9.2.6, А 9.4.3

3.7 Обеспечение блокировки доступа к объектам информационной системы после истечения установленного времени бездействия (неактивности) пользователя информационной системы или по его запросу

А 11.2.9

4 Требования по защите системы защиты информации информационной системы

 

4.1 Обеспечение изменения атрибутов безопасности сетевого оборудования, системного программного обеспечения и средств защиты информации, установленных по умолчанию

А 12.5.1

4.2 Обеспечение обновления объектов информационной системы

А 12.6.1

4.3 Обеспечение контроля и управления физическим доступом в помещения, в которых постоянно размещаются объекты информационной системы

А 11.1.1, А 11.1.2, А 11.1.3

4.4 Обеспечение синхронизации временных меток и (или) системного времени в информационной системе и системе защиты информации

А 12.4.4

5 Обеспечение криптографической защиты информации

 

5.1 Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного или предварительного шифрования)

А 10.1.1

5.2 Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования)

А 10.1.1

5.3 Обеспечение подлинности и контроля целостности электронных документов в информационной системе (средства выработки электронной цифровой подписи, средства проверки электронной цифровой подписи, средства выработки личного ключа или открытого ключа электронной цифровой подписи)

А 10.1.1

5.4 Обеспечение контроля целостности данных в информационной системе (средства контроля целостности)

А 10.1.1

5.5 Обеспечение конфиденциальности и контроля целостности личных ключей, используемых при выработке электронной цифровой подписи (криптографические токены)

А 10.1.2

5.6 Обеспечение идентификации и аутентификации в информационной системе (криптографические токены)

А 10.1.1

6 Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре

 

6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг

А 17.1.1, А 17.1.2, А 17.2.1

6.2 Обеспечение защиты виртуальной инфраструктуры от несанкционированного доступа и сетевых атак из виртуальной и физической сети, а также виртуальных машин

А 13.1.1, А 13.1.2

6.3 Обеспечение безопасного перемещения виртуальных машин и обрабатываемых на них данных

А 13.1.1, А 13.1.2, А 13.2.1

6.4 Обеспечение резервного копирования пользовательских виртуальных машин

А 12.3.1

6.5 Обеспечение резервирования сетевого оборудования по схеме N+1

А 17.2.1

6.6 Физическая изоляция сегмента виртуальной инфраструктуры (системы хранения и обработки данных), предназначенного для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам

А 13.1.3

7 Иные требования

 

7.1 Определение перечня разрешенного программного обеспечения и регламентация порядка его установки и использования

А 12.5.1, А 12.6.2

7.2 Обеспечение контроля за составом объектов информационной системы

А 8.1.1, А 18.2.3

7.3 Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования

А 8.1.1, А 18.2.3

7.4 Использование объектов информационной системы под пользовательскими учетными записями (использование административных учетных записей только в случае настройки объектов информационной системы или особенностей объектов информационной системы)

А 9.2.3, А 9.4.4

7.5 Определение состава и содержания информации, подлежащей резервированию

А 12.3.1

7.6 Обеспечение резервирования информации, подлежащей резервированию

А 12.3.1

7.7 Обеспечение резервирования конфигурационных файлов сетевого оборудования

А 12.3.1

7.8 Обеспечение обновления программного обеспечения объектов информационной системы и контроля за своевременностью такого обновления

А 12.6.1

7.9 Обеспечение сегментирования (изоляции) сети управления объектами информационной системы от сети передачи данных

А 13.1.3

7.10 Обеспечение защиты средств вычислительной техники от вредоносных программ

А 12.2.1

7.11 Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ

А 12.2.1, А 13.1.2

7.12 Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ

А 12.2.1

7.13 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Использование маршрутизатора (коммутатора маршрутизирующего)

А 13.1.1, А 13.1.2, А 13.1.3

7.14 Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, и (или) сетевом, и (или) транспортном, и (или) сеансовом, и (или) прикладном уровнях

А 13.1.1, А 13.1.2, А 13.1.3

7.15 Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях

А 13.1.1, А 13.1.2, А 13.1.3

7.16 Обеспечение обнаружения и предотвращения вторжений в информационной системе. Использование сетевых, и (или) поведенческих, и (или) узловых систем обнаружения и предотвращения вторжений

А 13.1.1, А 13.1.2

7.17 Обеспечение обнаружения и предотвращения вторжений в информационной системе при использовании в ней беспроводных каналов передачи данных (Wi-Fi и тому подобное). Использование беспроводных систем обнаружения и предотвращения вторжений

А 13.1.1, А 13.1.2

7.18 Обеспечение обнаружения и предотвращения утечек информации из информационной системы. Использование системы обнаружения и предотвращения утечек информации из информационной системы

А 13.2.1

7.19 Определение перечня внешних подключений к информационной системе и порядка такого подключения

А 13.1.1, А 13.1.2

7.20 Обеспечение контроля за внешними подключениями к информационной системе

А 13.1.1, А 13.1.2

7.21 Ежегодное проведение внешней и внутренней проверки отсутствия либо невозможности использования нарушителем свойств программных, программно-аппаратных и аппаратных средств, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих объектов информационной системы

А 12.6.1