27. Для оценки показателя защищенности КЗИ определяются значения частных показателей безопасности kji, где j - номер группы частных показателей безопасности, i - номер частного показателя в соответствующей группе показателей безопасности.
Частные показатели безопасности kji характеризуют реализацию в органе (организации) отдельных мер по защите информации (обеспечению безопасности объектов КИИ) от актуальных угроз безопасности информации, а также их соответствие целям обеспечения безопасности в органе (организации).
28. Определение значений частных показателей безопасности kji осуществляется специалистами, проводившими сбор и анализ исходных данных.
29. Перечень используемых частных показателей безопасности kji, их наименования и максимальные значения приведены в таблице 1.
30. Частные показатели безопасности kji определяются для всех информационных систем, подлежащих защите в соответствии с нормативными правовыми актами Российской Федерации, находящихся в распоряжении органа (организации).
31. Определение значений частных показателей безопасности kji предусматривает присвоение им значений на основе результатов анализа материалов, подтверждающих выводы о достаточности реализованных мер по защите информации (обеспечению безопасности объектов КИИ) для блокирования (нейтрализации) актуальных угроз безопасности информации.
32. Если по результатам проведенного анализа материалов сделаны выводы, что меры по защите информации (обеспечению безопасности объектов КИИ) в органе (организации) реализованы, соответствующему частному показателю присваивается значение, установленное для него в таблице 1.
Если по результатам проведенного анализа материалов сделаны выводы, что соответствующая мера не реализована или реализована неэффективно (не в полном объеме), соответствующему частному показателю присваивается значение 0.
|
(j) |
||||
|
1. На заместителя руководителя органа (организации) возложены <3> полномочия ответственного лица за обеспечение информационной безопасности органа (организации) и определены его обязанности |
||||
|
2. Определены функции (обязанности) структурного подразделения (или отдельных работников), ответственного за обеспечение информационной безопасности органа (организации) |
||||
|
3. К подрядным организациям, имеющим доступ к информационным системам с привилегированными правами, в договорах установлены требования о реализации мер по защите от угроз через информационную инфраструктуру подрядчика <4> |
||||
|
1. Отсутствуют учетные записи с паролем, сложность которого не соответствует установленным требованиям к парольной политике. В случае отсутствия технической возможности обеспечения требуемой сложности паролей реализованы компенсирующие меры |
||||
|
2. Реализована многофакторная аутентификация привилегированных пользователей (при аутентификации не менее 50% администраторов, разработчиков или иных привилегированных пользователей используется второй фактор) <5> |
||||
|
3. Отсутствуют учетные записи разработчиков и сервисные учетные записи с паролями, установленными ими по умолчанию |
||||
|
4. Отсутствуют активные учетные записи работников органа (организации) и работников, привлекаемых на договорной основе, с которыми прекращены трудовые или иные отношения |
||||
|
1. На сетевом периметре информационных систем установлены межсетевые экраны уровня L3/L4 (доступ к 100% интерфейсов, доступных из сети Интернет <6>, контролируется межсетевыми экранами уровня L3/L4) |
||||
|
2. На устройствах и интерфейсах, доступных из сети Интернет, отсутствуют уязвимости критического уровня опасности с датой публикации обновлений (компенсирующих мер по устранению) в банке данных угроз ФСТЭК России, на официальных сайтах разработчиков, иных открытых источниках более 30 дней или в отношении таких уязвимостей реализованы компенсирующие меры |
||||
|
3. На пользовательских устройствах и серверах отсутствуют уязвимости критического уровня с датой публикации обновления (компенсирующих мер по устранению) более 90 дней (не менее 90% устройств и серверов) или в отношении таких уязвимостей реализованы компенсирующие меры |
||||
|
4. Обеспечен документальный или автоматизированный учет пользовательских устройств, серверов и сетевых устройств (не менее 80% устройств и серверов учтено в документах (ведомостях, паспортах, эксплуатационной документации) или в автоматизированных системах (CMDB)) |
||||
|
5. Обеспечена проверка вложений в электронных письмах электронной почты <7> на наличие вредоносного программного обеспечения (проверяются вложения не менее чем на 80% пользовательских устройств) |
||||
|
6. Обеспечено централизованное управление средствами антивирусной защиты <8> (не менее чем 80% пользовательских устройств <9> контролируются средствами антивирусной защиты с централизованным управлением). При этом обеспечены контроль и установка обновлений баз данных признаков вредоносного программного обеспечения не реже чем 1 раз в месяц |
||||
|
7. Реализована очистка входящего из сети Интернет сетевого трафика от аномалий на уровне <10> L3/L4 (заключен договор с провайдером) |
||||
|
1. Реализован централизованный сбор событий безопасности и оповещение о неудачных попытках входа для привилегированных учетных записей |
||||
|
2. Реализован централизованный сбор и анализ событий безопасности на всех устройствах, взаимодействующих с сетью Интернет |
||||
|
3. Утвержден документ, определяющий порядок реагирования на компьютерные инциденты |
--------------------------------
<3> Возложение полномочий и (или) определение структурного подразделения (работников) в органе (организации) подтверждается изданием соответствующего локального правового акта.
<4> В случае если подрядные организации не привлекаются, частному показателю безопасности k13 присваивается значение из таблицы 1.
<5> В случае отсутствия технической возможности реализации в информационной системе или в технических средствах двухфакторной аутентификации соответствующему показателю безопасности присваивается значение из таблицы 1.
<6> В случае отсутствия в информационных системах устройств, интерфейсов, взаимодействующих с сетью Интернет, соответствующим показателям безопасности присваиваются значения из таблицы 1.
<7> В случае если в информационных системах органа (организации) не используется электронная почта, частному показателю безопасности k35 присваиваются значение из таблицы 1.
<8> Если в органе (организации) используются автономные рабочие места, на них должны быть установлены автономные средства антивирусной защиты (тип "Г"). В этом случае частному показателю безопасности k36 присваивается значение из таблицы 1.
<9> Если информационные системы содержат пользовательские устройства, в которых конструктивно отсутствуют интерфейсы для возможного внедрения вредоносного программного обеспечения, частному показателю безопасности k36 присваивается значение из таблицы 1.
<10> Если в информационных системах отсутствуют веб-сайт или иные сервисы, подверженные DDos-атакам, частному показателю безопасности k37 присваивается значение из таблицы 1.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей