Информационная безопасность

Здесь Вы найдете только нужную информацию.

Маппинг Приказа ОАЦ № 66 и ISO/IEC 27701:2019

Сопоставление требований Положения о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено (Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66) и международного стандарта ISO/IEC 27701:2019

Требование

ISO/IEC 27701:2019

 

1 Аудит безопасности

 

 

1.1 Определение состава информации о событиях информационной безопасности, подлежащих регистрации (идентификация и аутентификация пользователей, нарушения прав доступа пользователей, выявленные нарушения информационной безопасности и другое)

6.9.4.1;

6.9.4.3

 

1.2 Обеспечение сбора и хранения информации о событиях информационной безопасности в течение установленного срока хранения, но не менее одного года

6.9.4.2

 

1.3 Обеспечение централизованного сбора и хранения информации о событиях информационной безопасности в течение установленного срока хранения, но не менее одного года

6.9.4.2

 

1.4 Определение способа и периодичности мониторинга (просмотра, анализа) событий информационной безопасности уполномоченными на это пользователями информационной системы

6.9.4.1

 
 

1.5 Обеспечение сбора и хранения информации о функционировании средств вычислительной техники, сетевого оборудования и средств защиты информации в течение установленного срока хранения, но не менее одного года

6.9.4.1;

6.9.4.2

 

2 Требования по обеспечению защиты данных

 

 

2.1 Регламентация порядка использования в информационной системе съемных носителей информации, мобильных технических средств и контроля за таким использованием

6.3.2.1;

6.5.3.1

 

2.2 Обеспечение контроля за работоспособностью, параметрами настройки и правильностью функционирования средств вычислительной техники, сетевого оборудования, системного программного обеспечения и средств защиты информации

6.5.1.3;

6.9.1.2;

6.15.2.3

 

2.3 Обеспечение защиты от несанкционированного доступа к резервным копиям, параметрам настройки сетевого оборудования, системного программного обеспечения, средств защиты информации и событиям безопасности

6.6.1.1;

6.6.1.2

 

3 Требования по обеспечению идентификации и аутентификации

 

 

3.1 Обеспечение разграничения доступа пользователей к средствам вычислительной техники, сетевому оборудованию, системному программному обеспечению и средствам защиты информации

6.6.1.1

 

3.2 Обеспечение идентификации и аутентификации пользователей информационной системы

6.6.4.1

 

3.3 Обеспечение защиты обратной связи при вводе аутентификационной информации

6.6.2.4

 

3.4 Обеспечение полномочного управления (создание, активация, блокировка и уничтожение) учетными записями пользователей информационной системы

6.6.1.1;

6.6.2.1;

6.6.2.2;

6.6.2.5;

6.6.2.6

 

3.5 Обеспечение контроля за соблюдением правил генерации и смены паролей пользователей информационной системы

6.6.2.4;

6.6.4.3

 

3.6 Обеспечение централизованного управления учетными записями пользователей информационной системы и контроль за соблюдением правил генерации и смены паролей пользователей информационной системы

6.6.1.1;

6.6.2.1;

6.6.2.2;

6.6.2.4;

6.6.2.5;

6.6.2.6;

6.6.4.3

 

3.7 Обеспечение блокировки доступа к объектам информационной системы после истечения установленного времени бездействия (неактивности) пользователя информационной системы или по его запросу

6.8.2.9

 

4 Требования по защите системы защиты информации информационной системы

 

 

4.1 Обеспечение изменения атрибутов безопасности сетевого оборудования, системного программного обеспечения и средств защиты информации, установленных по умолчанию

6.9.5.1

 

4.2 Обеспечение обновления объектов информационной системы

6.9.6.1

 

4.3 Обеспечение контроля и управления физическим доступом в помещения, в которых постоянно размещаются объекты информационной системы

6.8.1.1;

6.8.1.2;

6.8.1.3

 

4.4 Обеспечение синхронизации временных меток и (или) системного времени в информационной системе и системе защиты информации

6.9.4.4

 

5 Обеспечение криптографической защиты информации

 

 

5.1 Обеспечение конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования (средства линейного или предварительного шифрования)

6.7.1.1

 

5.2 Обеспечение конфиденциальности и контроля целостности информации при ее хранении в информационной системе (средства предварительного шифрования)

6.7.1.1

 

5.3 Обеспечение подлинности и контроля целостности электронных документов в информационной системе (средства выработки электронной цифровой подписи, средства проверки электронной цифровой подписи, средства выработки личного ключа или открытого ключа электронной цифровой подписи)

6.7.1.1

 

5.4 Обеспечение контроля целостности данных в информационной системе (средства контроля целостности)

6.7.1.1

 

5.5 Обеспечение конфиденциальности и контроля целостности личных ключей, используемых при выработке электронной цифровой подписи (криптографические токены)

6.7.1.2

 

5.6 Обеспечение идентификации и аутентификации в информационной системе (криптографические токены)

6.7.1.1

 

6 Дополнительные требования по обеспечению защиты информации в виртуальной инфраструктуре

 

 

6.1 Обеспечение защиты от агрессивного использования ресурсов виртуальной инфраструктуры потребителями услуг

6.14.1.1;

6.14.1.2;

6.14.2.1

 

6.2 Обеспечение защиты виртуальной инфраструктуры от несанкционированного доступа и сетевых атак из виртуальной и физической сети, а также виртуальных машин

6.10.1.1;

6.10.1.2

 

6.3 Обеспечение безопасного перемещения виртуальных машин и обрабатываемых на них данных

6.10.1.1;

6.10.1.2;

6.10.2.1

 

6.4 Обеспечение резервного копирования пользовательских виртуальных машин

6.9.3.1

 

6.5 Обеспечение резервирования сетевого оборудования по схеме N+1

6.14.2.1

 

6.6 Физическая изоляция сегмента виртуальной инфраструктуры (системы хранения и обработки данных), предназначенного для обработки информации, распространение и (или) предоставление которой ограничено, не отнесенной к государственным секретам

6.10.1.3

 

7 Иные требования

 

 

7.1 Определение перечня разрешенного программного обеспечения и регламентация порядка его установки и использования

6.9.5.1;

6.9.6.2

 

7.2 Обеспечение контроля за составом объектов информационной системы

6.5.1.1;

6.15.2.3

 

7.3 Автоматизированный контроль за составом средств вычислительной техники и сетевого оборудования

6.5.1.1;

6.15.2.3

 

7.4 Использование объектов информационной системы под пользовательскими учетными записями (использование административных учетных записей только в случае настройки объектов информационной системы или особенностей объектов информационной системы)

6.6.2.3;

6.6.4.4

 

7.5 Определение состава и содержания информации, подлежащей резервированию

6.9.3.1

 

7.6 Обеспечение резервирования информации, подлежащей резервированию

6.9.3.1

 

7.7 Обеспечение резервирования конфигурационных файлов сетевого оборудования

6.9.3.1

 

7.8 Обеспечение обновления программного обеспечения объектов информационной системы и контроля за своевременностью такого обновления

6.9.6.1

 

7.9 Обеспечение сегментирования (изоляции) сети управления объектами информационной системы от сети передачи данных

6.10.1.3

 

7.10 Обеспечение защиты средств вычислительной техники от вредоносных программ

6.9.2.1

 

7.11 Обеспечение в реальном масштабе времени автоматической проверки пакетов сетевого трафика и файлов данных, передаваемых по сети, и обезвреживание обнаруженных вредоносных программ

6.9.2.1;

6.10.1.2

 

7.12 Обеспечение в реальном масштабе времени автоматической проверки файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ

6.9.2.1

 

7.13 Обеспечение управления внешними информационными потоками (маршрутизация) между информационными системами. Использование маршрутизатора (коммутатора маршрутизирующего)

6.10.1.1;

6.10.1.2;

6.10.1.3

 

7.14 Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, и (или) сетевом, и (или) транспортном, и (или) сеансовом, и (или) прикладном уровнях

6.10.1.1;

6.10.1.2;

6.10.1.3

 

7.15 Обеспечение ограничений входящего и исходящего трафика (фильтрация) информационной системы только необходимыми соединениями. Использование межсетевого экрана, функционирующего на канальном, сетевом и прикладном уровнях

6.10.1.1;

6.10.1.2;

6.10.1.3

 

7.16 Обеспечение обнаружения и предотвращения вторжений в информационной системе. Использование сетевых, и (или) поведенческих, и (или) узловых систем обнаружения и предотвращения вторжений

6.10.1.1;

6.10.1.2

 

7.17 Обеспечение обнаружения и предотвращения вторжений в информационной системе при использовании в ней беспроводных каналов передачи данных (Wi-Fi и тому подобное). Использование беспроводных систем обнаружения и предотвращения вторжений

6.10.1.1;

6.10.1.2

 

7.18 Обеспечение обнаружения и предотвращения утечек информации из информационной системы. Использование системы обнаружения и предотвращения утечек информации из информационной системы

6.10.2.1

 

7.19 Определение перечня внешних подключений к информационной системе и порядка такого подключения

6.10.1.1;

6.10.1.2

 

7.20 Обеспечение контроля за внешними подключениями к информационной системе

6.10.1.1;

6.10.1.2

 

7.21 Ежегодное проведение внешней и внутренней проверки отсутствия либо невозможности использования нарушителем свойств программных, программно-аппаратных и аппаратных средств, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих объектов информационной системы

6.9.6.1