Чеклист мер по приказу ФСТЭК №21
109 мер в 15 группах для защиты ИСПДн. Выберите уровень защищённости — увидите обязательные меры.
Выберите уровень
Третий уровень защищённости ПДн
Прогресс проверки
0%
УЗ-3 — ИСПДн (информационные системы персональных данных)
Выполнено: 0 из 41 мер
Осталось 41 мер. Отметьте выполненные — прогресс сохраняется автоматически.
Автоматизировать в КиберОсноваКонтроль мер + доказательная база + отчёт
Полный перечень мер
| Код | Мера | УЗ-4 | УЗ-3 | УЗ-2 | УЗ-1 |
|---|---|---|---|---|---|
| ИАФ — Идентификация и аутентификация субъектов доступа и объектов доступа | |||||
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + | + | + | + |
| ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | — | — | + | + |
| ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + | + | + | + |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование | + | + | + | + |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | + |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + | + | + | + |
| УПД — Управление доступом субъектов доступа к объектам доступа | |||||
| УПД.1 | Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей | + | + | + | + |
| УПД.2 | Реализация необходимых методов, типов и правил разграничения доступа | + | + | + | + |
| УПД.3 | Управление информационными потоками между устройствами, сегментами ИС, а также между ИС | + | + | + | + |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС | + | + | + | + |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям, администраторам | + | + | + | + |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему | + | + | + | + |
| УПД.7 | Предупреждение пользователя при входе в ИС о реализованных мерах по обеспечению безопасности ПДн | — | — | — | — |
| УПД.8 | Оповещение пользователя после успешного входа в ИС о его предыдущем входе | — | — | — | — |
| УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя | — | — | — | — |
| УПД.10 | Блокирование сеанса доступа в ИС после установленного времени бездействия пользователя или по его запросу | — | + | + | + |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | — | + | + | + |
| УПД.12 | Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией | — | — | — | — |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние сети | + | + | + | + |
| УПД.14 | Регламентация и контроль использования в ИС технологий беспроводного доступа | + | + | + | + |
| УПД.15 | Регламентация и контроль использования в ИС мобильных технических средств | + | + | + | + |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций | + | + | + | + |
| УПД.17 | Обеспечение доверенной загрузки средств вычислительной техники | — | — | + | + |
| ОПС — Ограничение программной среды | |||||
| ОПС.1 | Управление запуском (обращениями) компонентов программного обеспечения | — | — | — | — |
| ОПС.2 | Управление установкой (инсталляцией) компонентов программного обеспечения | — | — | + | + |
| ОПС.3 | Установка (инсталляция) только разрешенного к использованию ПО и (или) его компонентов | — | — | — | + |
| ОПС.4 | Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление | — | — | — | — |
| ЗНИ — Защита машинных носителей персональных данных | |||||
| ЗНИ.1 | Учет машинных носителей персональных данных | — | — | + | + |
| ЗНИ.2 | Управление доступом к машинным носителям персональных данных | — | — | + | + |
| ЗНИ.3 | Контроль перемещения машинных носителей ПДн за пределы контролируемой зоны | — | — | — | — |
| ЗНИ.4 | Исключение возможности несанкционированного ознакомления с содержанием ПДн на машинных носителях | — | — | — | — |
| ЗНИ.5 | Контроль использования интерфейсов ввода (вывода) информации на машинные носители ПДн | — | — | — | — |
| ЗНИ.6 | Контроль ввода (вывода) информации на машинные носители персональных данных | — | — | — | — |
| ЗНИ.7 | Контроль подключения машинных носителей персональных данных | — | — | — | — |
| ЗНИ.8 | Уничтожение (стирание) или обезличивание ПДн на машинных носителях при их передаче между пользователями, в сторонние организации | — | + | + | + |
| РСБ — Регистрация событий безопасности | |||||
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + | + | + |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + | + | + |
| РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + | + | + | + |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности | — | — | — | — |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | — | — | + | + |
| РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в ИС | — | — | — | — |
| РСБ.7 | Защита информации о событиях безопасности | + | + | + | + |
| АВЗ — Антивирусная защита | |||||
| АВЗ.1 | Реализация антивирусной защиты | + | + | + | + |
| АВЗ.2 | Обновление базы данных признаков вредоносных компьютерных программ (вирусов) | + | + | + | + |
| СОВ — Обнаружение вторжений | |||||
| СОВ.1 | Обнаружение вторжений | — | — | + | + |
| СОВ.2 | Обновление базы решающих правил | — | — | + | + |
| АНЗ — Контроль (анализ) защищенности персональных данных | |||||
| АНЗ.1 | Выявление, анализ уязвимостей ИС и оперативное устранение вновь выявленных уязвимостей | — | + | + | + |
| АНЗ.2 | Контроль установки обновлений ПО, включая обновление ПО средств защиты информации | + | + | + | + |
| АНЗ.3 | Контроль работоспособности, параметров настройки и правильности функционирования ПО и средств защиты информации | — | + | + | + |
| АНЗ.4 | Контроль состава технических средств, программного обеспечения и средств защиты информации | — | + | + | + |
| АНЗ.5 | Контроль правил генерации и смены паролей, заведения и удаления учетных записей, правил разграничения доступа | — | — | + | + |
| ОЦЛ — Обеспечение целостности информационной системы и персональных данных | |||||
| ОЦЛ.1 | Контроль целостности программного обеспечения, включая ПО средств защиты информации | — | — | + | + |
| ОЦЛ.2 | Контроль целостности персональных данных, содержащихся в базах данных ИС | — | — | — | — |
| ОЦЛ.3 | Обеспечение возможности восстановления ПО, включая ПО средств защиты информации, при нештатных ситуациях | — | — | — | — |
| ОЦЛ.4 | Обнаружение и реагирование на поступление в ИС незапрашиваемых электронных сообщений (защита от спама) | — | — | + | + |
| ОЦЛ.5 | Контроль содержания информации, передаваемой из ИС, и исключение неправомерной передачи информации | — | — | — | — |
| ОЦЛ.6 | Ограничение прав пользователей по вводу информации в информационную систему | — | — | — | — |
| ОЦЛ.7 | Контроль точности, полноты и правильности данных, вводимых в информационную систему | — | — | — | — |
| ОЦЛ.8 | Контроль ошибочных действий пользователей по вводу и (или) передаче ПДн | — | — | — | — |
| ОДТ — Обеспечение доступности персональных данных | |||||
| ОДТ.1 | Использование отказоустойчивых технических средств | — | — | — | — |
| ОДТ.2 | Резервирование технических средств, ПО, каналов передачи информации, средств обеспечения функционирования ИС | — | — | — | — |
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов | — | — | — | + |
| ОДТ.4 | Периодическое резервное копирование ПДн на резервные машинные носители | — | — | + | + |
| ОДТ.5 | Обеспечение возможности восстановления ПДн с резервных копий в течение установленного временного интервала | — | — | + | + |
| ЗСВ — Защита среды виртуализации | |||||
| ЗСВ.1 | Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре | + | + | + | + |
| ЗСВ.2 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре | + | + | + | + |
| ЗСВ.3 | Регистрация событий безопасности в виртуальной инфраструктуре | — | + | + | + |
| ЗСВ.4 | Управление (фильтрация, маршрутизация, контроль соединения) потоками информации между компонентами виртуальной инфраструктуры | — | — | — | — |
| ЗСВ.5 | Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией | — | — | — | — |
| ЗСВ.6 | Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных | — | — | + | + |
| ЗСВ.7 | Контроль целостности виртуальной инфраструктуры и ее конфигураций | — | — | + | + |
| ЗСВ.8 | Резервное копирование данных, резервирование технических средств, ПО виртуальной инфраструктуры | — | — | + | + |
| ЗСВ.9 | Реализация и управление антивирусной защитой в виртуальной инфраструктуре | — | + | + | + |
| ЗСВ.10 | Разбиение виртуальной инфраструктуры на сегменты для обработки ПДн отдельным пользователем и (или) группой | — | + | + | + |
| ЗТС — Защита технических средств | |||||
| ЗТС.1 | Защита информации, обрабатываемой техническими средствами, от утечки по техническим каналам | — | — | — | — |
| ЗТС.2 | Организация контролируемой зоны, в пределах которой размещаются стационарные технические средства | — | — | — | — |
| ЗТС.3 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования | + | + | + | + |
| ЗТС.4 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр | + | + | + | + |
| ЗТС.5 | Защита от внешних воздействий (окружающей среды, нестабильности электроснабжения, кондиционирования) | — | — | — | — |
| ЗИС — Защита информационной системы, ее средств, систем связи и передачи данных | |||||
| ЗИС.1 | Разделение в ИС функций по управлению ИС, управлению системой защиты ПДн, функций по обработке ПДн | — | — | — | + |
| ЗИС.2 | Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом | — | — | — | — |
| ЗИС.3 | Обеспечение защиты ПДн от раскрытия, модификации и навязывания при передаче по каналам связи за пределы контролируемой зоны | + | + | + | + |
| ЗИС.4 | Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации | — | — | — | — |
| ЗИС.5 | Запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств | — | — | — | — |
| ЗИС.6 | Передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с ПДн | — | — | — | — |
| ЗИС.7 | Контроль санкционированного и исключение несанкционированного использования технологий мобильного кода | — | — | — | — |
| ЗИС.8 | Контроль санкционированного и исключение несанкционированного использования технологий передачи речи | — | — | — | — |
| ЗИС.9 | Контроль санкционированной и исключение несанкционированной передачи видеоинформации | — | — | — | — |
| ЗИС.10 | Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов | — | — | — | — |
| ЗИС.11 | Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств | — | — | + | + |
| ЗИС.12 | Исключение возможности отрицания пользователем факта отправки ПДн другому пользователю | — | — | — | — |
| ЗИС.13 | Исключение возможности отрицания пользователем факта получения ПДн от другого пользователя | — | — | — | — |
| ЗИС.14 | Использование устройств терминального доступа для обработки персональных данных | — | — | — | — |
| ЗИС.15 | Защита архивных файлов, параметров настройки средств защиты информации и иных данных, не подлежащих изменению | — | — | + | + |
| ЗИС.16 | Выявление, анализ и блокирование скрытых каналов передачи информации в обход реализованных мер | — | — | — | — |
| ЗИС.17 | Разбиение ИС на сегменты (сегментирование) и обеспечение защиты периметров сегментов | — | — | + | + |
| ЗИС.18 | Обеспечение загрузки и исполнения ПО с машинных носителей ПДн, доступных только для чтения | — | — | — | — |
| ЗИС.19 | Изоляция процессов (выполнение программ) в выделенной области памяти | — | — | — | — |
| ЗИС.20 | Защита беспроводных соединений, применяемых в информационной системе | — | + | + | + |
| ИНЦ — Выявление инцидентов и реагирование на них | |||||
| ИНЦ.1 | Определение лиц, ответственных за выявление инцидентов и реагирование на них | — | — | + | + |
| ИНЦ.2 | Обнаружение, идентификация и регистрация инцидентов | — | — | + | + |
| ИНЦ.3 | Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них | — | — | + | + |
| ИНЦ.4 | Анализ инцидентов, в том числе определение источников и причин возникновения, а также оценка последствий | — | — | + | + |
| ИНЦ.5 | Принятие мер по устранению последствий инцидентов | — | — | + | + |
| ИНЦ.6 | Планирование и принятие мер по предотвращению повторного возникновения инцидентов | — | — | + | + |
| УКФ — Управление конфигурацией информационной системы и системы защиты персональных данных | |||||
| УКФ.1 | Определение лиц, которым разрешены действия по внесению изменений в конфигурацию ИС и системы защиты ПДн | — | + | + | + |
| УКФ.2 | Управление изменениями конфигурации ИС и системы защиты персональных данных | — | + | + | + |
| УКФ.3 | Анализ потенциального воздействия планируемых изменений в конфигурации ИС и системы защиты ПДн на обеспечение защиты ПДн | — | + | + | + |
| УКФ.4 | Документирование информации (данных) об изменениях в конфигурации ИС и системы защиты ПДн | — | + | + | + |
Автоматизируйте контроль 109 мер в КиберОснова
Все меры №21 с привязкой к УЗ, ответственными и доказательной базой