Приложение В (обязательное). Функциональные требования безопасности автоматизированных систем. Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 19791-2008 "Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 525-ст)

Приложение В
(обязательное)

Функциональные требования
безопасности автоматизированных систем

В.1 Введение

В данном приложении определены функциональные требования к мерам обеспечения безопасности автоматизированных систем, охватывающие аспекты управления и процедурные аспекты СОО. Описанные ниже требования используются в сочетании с техническими функциональными требованиями по ИСО/МЭК 15408-2 для удовлетворения целей безопасности для СОО. ИСО/МЭК 15408-2 используется в качестве основы для структуры этих компонентов.

Функциональные требования к мерам обеспечения безопасности автоматизированных систем классифицируются по рассматриваемым объектам, функциональным областям и действиям.

Объект - непосредственный объект применения мер обеспечения безопасности, такой как бизнес-данные, средства обработки информации или системы ИТ. Функциональная область - объект для таких определенных операций, как политика, менеджмент рисков или регистрация/запись. Каждая функциональная область образует в рамках класса семейство.

Действие - операция в определенной функциональной области; действие образует компонент в рамках семейства. Элементами являются конкретные определения правил и процедур для мер обеспечения безопасности.

В данном приложении определены новые классы организационных мер безопасности. Они включают в себя:

a) администрирование (FOD); специфицирует требования к организационным мерам, связанным с администрированием;

b) системы ИТ (FOS); специфицирует требования к организационным мерам, поддерживающие использование систем ИТ и оборудования;

c) активы пользователей (FOA); специфицирует требования к организационным мерам, связанные с управлением активами пользователей;

d) бизнес (FOB); специфицирует требования к организационным мерам, связанные с бизнес-процессами и функциями;

e) аппаратура и оборудование (FOP); специфицирует требования к организационным мерам, связанные с бизнес-оборудованием, аппаратурой и зданиями (сооружениями);

f) третьи стороны (FOT); специфицирует требования к организационным мерам, связанные с третьими сторонами;

g) управление (FOM); специфицирует требования к организационным мерам, связанные с деятельностью го менеджменту безопасности.

Семейства функций организационного управления в рамках этих классов приведены в таблице В.1.

Таблица В.1 - Семейства функций организационного управления

Класс	Семейство
Администрирование (FOD)	Администрирование политик (FOD_POL)
	Администрирование по отношению к персоналу (FODPSN)
	Администрирование управления рисками (FOD_RSM)
	Администрирование управления инцидентами (FODJNC)
	Администрирование организации безопасности (FOD_ORG)
	Администрирование соглашений об услугах (FOD_SER)
Системы ИТ (FOS)	Политика для систем ИТ (FOS_POL)
	Конфигурация систем ИТ (FOS_CNF)
	Сетевая безопасность систем ИТ (FOS_NET)
	Мониторинг систем ИТ (FOS_MON)
Системы ИТ (FOS)	Управление персоналом систем ИТ (FOS_PSN)
	Активы систем ИТ в автоматизированных системах (FOS_OAS)
	Протоколирование в системах ИТ (FOS_RCD)
Активы пользователей (FOA)	Защита приватных данных (FOAPRO)
	Защита информации в активах пользователей (FOAJNF)
Бизнес (FOB)	Бизнес-политики (FOBPOL)
	Непрерывность бизнеса (FOB_BCN)
Оборудование и аппаратура(FOP)	Передвижное оборудование (FOP_MOB)
	Съемное оборудование (FOP_RMM)
	Дистанционное оборудование (FOP_RMT)
	Системное оборудование (FOP_SYS)
	Управление аппаратурой (FOP_MNG)
Третьи стороны (FOT)	Обязательства третьих сторон (FOT_COM)
	Управление взаимодействием с третьей стороной (FOT_MNG)
Управление (FOM)	Управление параметрами безопасности (FOM_PRM)
	Управление классификацией активов (FOM_CLS)
	Управление обязанностями персонала, связанными с безопасностью (FOM_PSN)
	Управление организацией безопасности (FOM_ORG)
	Управление отчетами о безопасности (FOM_INC)

Зависимости между компонентами этих семейств показаны в таблице В.2. Для каждого из компонентов, от которого зависит какой-либо функциональный компонент, выделена колонка таблицы В.2. Знак "X" в таблице В.2 указывает на наличие зависимости между рассматриваемыми компонентами этих семейств.

Таблица В.2 - Зависимости между компонентами организационного управления

Компоненты семейств

FOD_PSN.1

FOD_PSN.3

FOD_PSN.5

FOD_PSM.1

FOD_ORG.1

FOD_ORG.2

FOS_POL.1

FOS_POL.4

FOS_NET.1

FOA_POL.3

FOM_PRM.2

FOM_JNC.1

FOD_INC.1

X

X

FDS_SER.1

X

FOS_POL.1

X

FOS_PSN.1

X

X

X

FOS_OAS.1

X

FOA_INF.1

X

FOB_POL.1

X

FOB_BCN.1

X

FOP_MNG.1

X

FOT_MNG.1

X

FOM_PRM.1

X

FOM_PSN.1

X

FOM_ORG.1

X

FOM_ORG.2

X

Некоторые требования для организационных мер обеспечения безопасности всегда реализуются как организационные требования и, следовательно, определяются как ОФБ. Другие требования могут быть организационными или техническими и, следовательно, описываться как ФБС.

По сравнению с требованиями ИСО/МЭК 15408-2 в настоящем стандарте имеется четыре различия в представлении. Иерархические компоненты организационных мер отсутствуют, так что соответствующие подзаголовки отсутствуют. Все действия по управлению регулируются явными компонентами, поэтому подзаголовки для действий по управлению не требуются. Подзаголовок аудита заменен на записи, которые лучше отражают процесс сбора необходимых свидетельств для организационных мер безопасности. Разрешенная заданием организация безопасности осуществляется более гибко, чем в ИСО/МЭК 15408-2. Идентификацию документов, описывающих сопутствующие политику, процедуры, правила, требования безопасности и другие меры обеспечения безопасности, можно определить как задание безопасности.

В.2 Класс FOD: Администрирование

Данный класс определяет требования к организационным мерам для администрирования автоматизированной системы.

В.2.1 Администрирование политик (FOD_POL)

В.2.1.1 Характеристика семейства

Данное семейство определяет политики безопасности автоматизированной системы для управления и включает в себя детализацию политик безопасности, собрания руководства, проверку руководством и управленческие меры обспечения безопасности при нарушении безопасности.

В.2.1.2 Ранжирование компонентов

FOD_POL.1 Политика безопасности

Определены управленческие меры безопасности, цели и объекты политики безопасности, проверка руководством и управленческие меры безопасности при ее нарушении.

FOD_POL.2 Политика защиты данных и приватности

Определяется политика защиты данных и приватности.

В.2.1.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOD_POL.1: описание обязательств руководства, политики безопасности, проверки руководством и управленческие меры безопасности при нарушении безопасности с конкретными действиями и спецификациями.

Для FOD_POL.2: описание политики защиты данных и приватности.

В.2.1.4 Политика безопасности FOD_POL.1

Зависимости: зависимости отсутствуют.

FOD_POL.1.1 ОФБ должны определять [назначение: обязательства руководства] по активному поддержанию безопасности в организации посредством четкого управления, продемонстрированной приверженности, назначения и признания обязанностей по обеспечению информационной безопасности.

FOD_POL.1.2 ОФБ должны определять политику информационной безопасности, включая задачи, цели, область применения, соответствие законодательству, требования договора и стандартов, оценку риска и менеджмент риска, обучение безопасности, подготовку и требования к осведомленности, управление непрерывностью бизнес-процессов, последствия нарушения информационной безопасности, обязательства организации и ее подход к менеджменту информационной безопасности.

FOD_POL.1.3 ОФБ должны определять формальные процедуры проверок руководством, включая информацию о способе независимых проверок, результатах предыдущих проверок руководством, изменения, могущие повлиять на подход организации к менеджменту информационной безопасности, рекомендации, предоставляемые соответствующими органами, тенденции, связанные с угрозами и уязвимостями, и зарегистрированные инциденты безопасности в качестве входных данных.

FOD_POL.1.4 ОФБ должны определять политику в отношении персонала, определяющую порядок прохождения персоналом переподготовки в части нарушения организационных мер безопасности.

FOD_POL.1.5 ОФБ должны определять требования безопасности для средств передачи сообщений о действиях при нарушении организационных мер безопасности, которые осуществляются до предоставления персоналу доступа к активам системы.

FOD_POL.1.6 ОФБ должны определять политику в отношении персонала, обеспечивающую меры наложения санкций, таких, например, как денежный штраф, лишение привилегий, дисквалификация или другое наказание за нарушение организационных мер безопасности.

FOD_POL.1.7 ОФБ должны определять требования безопасности, по которым нарушитель лишается доступа к активам системы, ограничивается его доступ к ним или инициируются другие подобные действия, до восстановления его прав.

FOD_POL.1.8 ОФБ должны определять политику в отношении персонала, обеспечивая меры, разрешенные законом по увольнению персонала при нарушении правил и процедур.

FOD_POL.1.9 ОФБ должны определять требования безопасности для всех соответствующих требований закона, обязательных требований и требований контракта и подход организации к выполнению этих требований и поддержанию их актуальности для каждой информационной системы и организации.

FOD_POL.1.10 ОФБ должны определять политику информационной безопасности, которая предусматривает разработку и внедрение соответствующего набора процедур маркирования и обработки информации в соответствии с классификационной схемой, принятой организацией.

FOD_POL.1.11 ОФБ должны определять политику информационной безопасности, которая предусматривает независимый пересмотр подхода организации к менеджменту информационной безопасности и его реализацию (т.е. пересмотр целей обеспечения безопасности, политики, процессов и процедур обеспечения информационной безопасности) через запланированные периоды времени или при внесении значительных изменений в процесс реализации безопасности.

FOD_POL.1.12 ОФБ должны определять политику информационной безопасности в части учета определенных требований безопасности перед предоставлением пользователям доступа к информации или активам организации.

FOD_POL/1.13 ОФБ должны определять политику информационной безопасности в части одобрения документа политики безопасности руководством, его опубликования и передачи документа всем служащим и соответствующим внешним сторонам.

В.2.1.5 FOD_POL.2 Политика защиты данных и приватности

Зависимости: зависимости отсутствуют.

FOD_POL2.1 OSF должны разрабатывать и реализовывать политику защиты данных и приватности.

В.2.2 Администрирование по отношению к персоналу (FOD_PSN)

В.2.2.1 Характеристика семейства

Данное семейство определяет администрирование по отношению к персоналу, связанное с безопасностью, в автоматизированной системе, а также включает в себя подробное изложение должностей и обязанностей персонала, административные взыскания, содержание договоров с персоналом, управление идентификацией пользователей, контроль за активами и осведомленность, обучение и подготовку персонала.

В.2.2.2 Ранжирование компонентов

FOD_PSN.1 Должности и обязанности персонала

Определены обязанности руководства, обязанности по осуществлению процесса выхода, правовые обязательства и меры обеспечения безопасности для персонала, работающего на охраняемых участках. Определены условия договора о передаче и правила подписания соглашения о конфиденциальности или неразглашения. Определены правила соблюдения точных границ области разрешенного доступа. Определены правила наблюдения за посетителями и их удаления. Определены правила, касающиеся приемлемого применения и возврата активов организации.

FOD_PSN.2 Обеспечение осведомленности об информационной безопасности, обучения и профессиональной подготовки

Определены требования по обеспечению осведомленности об информационной безопасности, обучению и профессиональной подготовке.

В.2.2.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOD_PSN.1: описание обязанностей руководства, обязанностей по осуществлению процесса выхода, правовых обязательств и мер обеспечения безопасности для персонала, работающего на охраняемых участках, официального дисциплинарного процесса с конкретными действиями, детализацией и записями о наложении дисциплинарных взысканий, условий договора о передаче и правил подписания договора, правил подписания соглашения о конфиденциальности или неразглашении, правил проведения идентификации пользователей, правил соблюдения точных границ области разрешенного доступа и правил, касающихся приемлемого примененения и возврата активов организации с конкретными действиями и детализацией, и записей об осуществлении контроля.

Для FOD_PSN.2: записи об обеспечении осведомленности об информационной безопасности, обучению и профессиональной подготовке.

В.2.2.4 FOD_PSN.1 Должности и обязанности персонала

Зависимости:

FOD_PSN.1 Политика безопасности;

FOD_RSM.1 Менеджмент рисков внутри организации.

FOD_PSN.1.1 ОФБ должны разработать и документировать должности и обязанности служащих, подрядчиков и пользователя третьей стороны в соответствии с политикой безопасности организации.

FOD_PSN.1.2 ОФБ должны определять обязанности по окончании работы по найму или при изменении вида деятельности.

FOD_PSN.1.3 ОФБ должны определять текущие требования безопасности, правовые обязанности, соглашения о конфиденциальности и условия, сохраняющиеся в течение определенного периода после выполнения задания служащим, подрядчиком или пользователем третьей стороны, по передаче обязанностей при увольнении.

FOD_PSN.1.4 ОФБ должны определять требования безопасности для персонала, работающего на охраняемых участках.

FOD_PSN.1.5 ОФБ должны определять требования безопасности при лишении прав доступа служащих, подрядчиков и пользователей третьей стороны к информации и средствам обработки информации по окончании их срока службы, прекращении действия контракта или соглашения или корректировки этих прав при изменении вида деятельности.

FOD_PSN.1.6 ОФБ должны определять требования безопасности по всем кандидатурам для кадров, подрядчиков и пользователей третьей стороны в соответствии с релевантными законами и положениями.

FOD_PSN.1.7 ОФБ должны определять процедуры, разработанные и выполняемые при сборе и предоставлении свидетельств для наложения дисциплинарного взыскания, внутри организации.

FOD_PSN.1.8 ОФБ должны определять требования безопасности по официальному дисциплинарному процессу в отношении служащих, подрядчиков и пользователей третьей стороны, нарушивших правила безопасности.

FOD_PSN.1.9 ОФБ должны определять требования безопасности по условиям договора о передаче, которые формулируют: правовые обязанности и права служащих, подрядчиков и пользователей третьей стороны, обязанности по классификации и управлению данными организации, используемыми служащими, подрядчиками пользователями третьей стороны, обязанности служащего по обработке персональной информации, включая персональную информацию, созданную в результате или в ходе выполнения задания организации, обязанности, выполняемые за пределами помещений организации и в сверхурочное время, и действия, предпринимаемые в случае игнорирования служащими, подрядчиками и пользователями третьей стороны требований безопасности, обязательных для всех работников организации, новых служащих, подрядчиков и пользователей третьей стороны. Обязанности, содержащиеся в условиях найма, должны оставаться в силе в течение определенного периода времени после завершения работы по найму.

FFOD_PSN.1.10 ОФБ должны определять правила, с которыми согласны служащие, подрядчики и пользователи третьей стороны и которые подписываются ими в качестве их договорного обязательства в отношении обязательств организации по обеспечению информационной безопасности.

FOD_PSN.1.11 ОФБ должны определять правила подписания соглашения о конфиденциальности или неразглашении как части начальных условий найма перед предоставлением права доступа к средствам обработки информации и то, что требования соглашений о конфиденциальности или неразглашении, отражающие потребность организации в защите информации, идентифицированы и регулярно пересматриваются.

FOD_PSN.1.12 ОФБ должны определять требования безопасности для соглашения о конфиденциальности при внесении изменений в условия задания или контракта, особенно в случае необходимости для работников покинуть организацию или в случае окончания контракта.

FOD_PSN.1.13 ОФБ должны определять правила ношения персоналом каких-либо знаков визуального распознавания.

FOD_PSN.1.14 ОФБ должны определять правила предотвращения допуска к оборудованию организации любых несанкционированных лиц.

FOD_PSN.1.15 ОФБ должны определять правила использования информации и активов организации.

Примечание - Активы организации включают в себя ранее выпущенное программное обеспечение, корпоративные документы, переносные вычислительные устройства, кредитные карточки, карточки доступа, программное обеспечение, руководства и хранимую на электронных носителях информацию.

FOD_PSN.1.16 ОФБ должны определять правила возврата всеми служащими, подрядчиками и пользователями третьей стороны всех активов организации, находящихся в их владении, по завершении их работы по найму, контракта или договора.

FOD_PSN.1.17 ОФБ должны определять правила предотвращения выноса активов организации служащими, подрядчиками и пользователями третьей стороны за территорию организации без разрешения.

FOD_PSN.1.18 ОФБ должны определять правила разделения обязанностей и доменов ответственности для уменьшения вероятности несанкционированного или непреднамеренного изменения или неправильного использования активов организации.

FOD_PSN.1.19 ОФБ должны определять требования безопасности по официальному процессу наложения дисциплинарных взысканий на работников, нарушивших правила безопасности.

В.2.2.5 FOD_PSN.2 Обеспечение осведомленности об информационной безопасности, обучении и профессиональной подготовке

Зависимости: зависимости отсутствуют.

FOD_PSN.2.1 ОФБ должны определять и документировать требования безопасности, по которым все служащие, подрядчики и пользователи третьей стороны получили соответствующую подготовку в отношении осведомленности о регулярных обновлениях политик и процедур организации соответственно своей должности.

FOD_PSN.2.2 ОФБ должны определять и документировать требования безопасности, по которым подготовка в отношении осведомленности должна начинаться с формального ознакомительного процесса, предназначенного для ознакомления с политиками безопасности и ожиданиями организации перед предоставлением доступа к информации или услугам.

FOD_PSN.2.3 ОФБ должны определять и документировать требования безопасности, по которым текущее обучение должно включать в себя знание требований безопасности, правовых обязанностей и мер обеспечения деловой деятельности, а также обучение правильному использованию средств обработки информации, пакетов программ и информации о процессе наложения дисциплинарных взысканий.

В.2.3 Администрирование менеджмента риска (FOD_RSM)

В.2.3.1 Характеристика семейства

Данное семейство определяет управления рисками для администрирования и включает в себя менеджмент рисков для организации и связанных с ней третьих сторон.

В.2.3.2 Распределение компонентов по уровню

FOD_RSM.1 Менеджмент рисков внутри организации

Определены процедуры менеджмента рисков.

FOD_RSM.2 Менеджмент рисков, связанных с доступом третьих сторон

Определены процедуры менеджмента рисков, связанных с доступом третьих сторон.

В.2.3.3 Записи

Для FOD_RSM.1: описание менеджмента рисков для организации с конкретными действиями и записями о проведении менеджмента рисков.

Для FOD_RSM1: описание менеджмента рисков, связанных с доступом третьих сторон, с конкретными действиями и детализацией и записями о проведении менеджмента рисков.

В.2.3.4 FOD_RSM.1 Менеджмент рисков внутри организации

Зависимости: зависимости отсутствуют.

FOD_RSM.1.1 ОФБ должны определять процедуры менеджмента рисков для списков информации и средств обработки информации, включая надомников и других удаленных или мобильных пользователей.

FOD_RSM.1.2 ОФБ должны определять требования безопасности проведения менеджмента рисков для автоматизированной системы с бизнес-процессом.

FOD_RSM.1.3. ОФБ должны определять требования безопасности, по которым получается своевременная информация о технических уязвимостях используемых информационных систем, оценивается подверженность организации таким уязвимостям и принимаются соответствующие действия по обработке рисков, связанных с этими уязвимостями.

В.2.3.5 FOD_RSM.2 Менеджмент рисков, связанных с доступом третьих сторон

Зависимости: зависимости отсутствуют.

FOD_RSM.2.1 ОФБ должны определять процедуры менеджмента рисков для перечней информации и средств обработки информации, к которым третьи стороны получат доступ с учетом перечней мер обеспечения безопасности, используемых третьими сторонами, правовые и нормативные требования, которые должна учитывать третья сторона, и договорные обязательства, которые должны учитывать организация и третья сторона.

FOD_RSM.2.2 ОФБ должны определять процедуры идентификации рисков для информации и средств обработки информации организации, исходящих от бизнес-процессов, включая внешние организации, и реализации соответствующих мер перед предоставлением доступа.

В.2.4 Администрирование управления инцидентами (FOD_JNC)

В.2.4.1 Характеристика семейства

Данное семейство определяет управление инцидентами для администрирования и включает в себя детализацию управления инцидентами.

В.2.4.2 Ранжирование компонентов

FOD_INC.1 Инциденты безопасности

Определены процедура сообщения об инцидентах безопасности, процедуры управления инцидентами и дйствия по восстановлению.

В.2.4.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOD_INC.1: описание формальной процедуры сообщения об инцидентах, процедур управления инцидентами и действий по восстановлению с конкретными действиями и спецификациями (детализацией) и записи сообщений об инцидентах безопасности и их управлении.

B.2.4.4 FOD_INC.1 Инциденты безопасности

Зависимости: FOM_INC.1 Сообщение об обнаруженных проблемах безопасности.

FOD_ORG.2 Обязанности собрания руководства.

FOD_INC.1.1 ОФБ должны определять процедуры формального сообщения об инцидентах безопасности совместно с процедурой реагирования на инциденты, намечая действия по принятию сообщения об инциденте.

FOD INC.1.2 ОФБ должны установить требования безопасности, контактный пункт, в который может обратиться лицо, желающее сообщить об инциденте.

FOD_INC.1.3 ОФБ должны определять процедуры управления инцидентами для обработки потенциальных типов инцидента безопасности, включая отказы системы и невыполненное обслуживание, вирусы и другие виды промышленного кода, отказ в обслуживании, ошибки в результате неполной или неточной деловой информации, нарушения конфиденциальности, целостности, подотчетности, аутентичности, надежности или частной жизни и неправильное использование информационных систем.

FOD_INC.1.4 ОФБ должны определять требования безопасности для действий по восстановлению после нарушений безопасности и устранению отказов системы.

FOD_INC.1.5 ОФБ должны определять требования безопасности по регистрации отказов, о которых сообщали пользователи, относительно проблем с обработкой информации и системами связи.

FOD_INC.1.6 ОФБ должны определять процедуры, посредством которых необходимо как можно скорее сообщать об инцидентах безопасности по соответствующим каналам управления.

FOD_INC.1.7 ОФБ должны определять правила обеспечения осведомленности всех служащих, подрядчиков и пользователей третьей стороны информационными системами и услугами о процедуре сообщения об инцидентах безопасности и точке контакта.

FOD_INC.1.8 ОФБ должны определять правила, по которым от всех служащих, подрядчиков и пользователей третьей стороны требуется сообщать о любых наблюдаемых или заподозренных слабых местах в системе безопасности различных систем или услуг.

FOD_INC.1.9 ОФБ должны определять обязанности и процедуры для руководства по обеспечению быстрого, эффективного и организованного реагирования на инциденты информационной безопасности.

FOD_INC.1.10 ОФБ должны определять механизмы, позволяющие определять число типов, масштабов инцидентов информационной безопасности и расходы на них, и контролировать их.

FOD_INC.1.11 ОФБ должны определять требования безопасности для случаев, когда дополнительное расследование, направленное против лица или организации после инцидента информационной безопасности, включает в себя правовое действие (гражданский или уголовный иск) и сбор свидетельств, которые сохраняются и предоставляются в соответствии с правилами для свидетельств, изложенными в соответствующей юрисдикции.

В.2.5 Администрирование организации безопасности (FOD_ORG)

В.2.5.1 Характеристика семейства

Данное семейство определяет администрирование организации безопасности и включает в себя подробное изложение заседания руководства.

В.2.5.2 Ранжирование компонентов

FOD_ORG.1 Обязанности по координации безопасности

Определены обязанности по координации безопасности.

FOD_ORG.2 Обязанности заседания руководства

Определены обязанности заседания руководства.

В.2.5.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOD_ORG.1: описание обязанностей по координации безопасности с конкретными действиями и детализацией.

Для FOD_ORG.2: описание обязанностей заседания руководства с конкретными действиями и детализацией.

B.2.5.4 FOD_ORG.1 Ответственность за координацию безопасности

Зависимости: зависимости отсутствуют.

FOD_ORG.1.1 ОФБ должны определять обязанности по координации действий по обеспечению информационной безопасности представителями различных подразделений организации с соответствующими должностными обязанностями.

FOD_ORG.1.2 ОФБ должны определять требования безопасности поддержания соответствующих контактов с релевантными органами управления (власти).

FOD_ORG.1.3 ОФБ должны определять требования безопасности поддержания соответствующих контактов со специальными группами по интересам или другими форумами специалистов по безопасности и профессиональными объединениями.

В.2.5.5 FOD_ORG.2 Обязанности заседания руководства

Зависимости: зависимости отсутствуют.

FOD_ORG.2.1 ОФБ должны определять обязанности заседания руководства, занимающегося вопросами безопасности.

FOD_ORG.2.2 ОФБ должны определять требования, предъявляемые к заседанию руководства по обеспечению выполнения действий, связанных с безопасностью, в соответствии с политикой информационной безопасности; по утверждению методологий и процессов, связанных с информационной безопасностью, идентификации изменений угроз и подверженности информации и средств обработки информации угрозам, оценке адекватности и координации средств обеспечения информационной безопасности.

В.2.6 Администрирование соглашений об услугах (FOD_SER)

В.2.6.1 Характеристика семейства

Данное семейство определяет соглашения об услугах относительно администрирования безопасности и включает в себя детализацию требований безопасности сетевых услуг.

В.2.6.2 Ранжирование компонентов

FOD_SER.1 Договоры по сетевым услугам. Определены характеристики безопасности, уровни безопасности и требования управления сетевыми услугами.

В.2.6.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOD_SER.1: описание характеристик безопасности, уровней безопасности и требований управления сетевыми услугами.

В.2.6.4 FOD_SER.1 Договоры по сетевым услугам

Зависимости: FOS_NET.1 Сетевые услуги.

FOD_SER.1.1 ОФБ должны определять требования безопасности по идентификации характеристик безопасности, уровней безопасности и требований управления всеми сетевыми услугами и включению их в договор по сетевым услугам.

FOD_SER.1.2 ОФБ должны определять требования безопасности в отношении способности провайдера сетевых услуг управлять согласованными услугами безопасным образом и соглашения о праве на аудит.

FOD_SER.1.2 ОФБ должны устанавливать соглашения по обмену информацией и программным обеспечением между организацией и внешними сторонами.

В.3 Системы ИТ: Класс FOS

Данный класс определяет требования к организационным мерам для систем ИТ в автоматизированной системе.

В.3.1 Политика для систем ИТ (FOS_POL)

В.3.1.1 Характеристика семейства

Данное семейство определяет политики безопасности для систем ИТ в автоматизированной системе и включает в себя детализацию требований безопасности, управление изменениями, контроль за вредоносными кодами и криптографию.

В.3.1.2 Ранжирование компонентов

FOS_POL.1 Требования безопасности

Определены процедуры управления обновлением и идентификацией изменений, управления изменениями и введения измененной системы.

FOS_POL.2 Политика вредоносных кодов

Определены процедуры управления при работе с вредоносными кодами.

FOS_POL.3 Политика мобильных кодов

Определены процедуры управления при работе с мобильными кодами.

FOS_POL.4 Криптографическая политика

Определены процедуры использования криптографических методов и процедуры назначения криптографических ключей.

FOS_POL.5 Общедоступные системы

Определены процедуры защиты общедоступных систем.

В.3.1.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOS_POL.1: описание требований безопасности и управленческих мер с изменениями с конкретными действиями, спецификациями и записями об осуществлении управления.

Для FOS_POL.2: описание процедур управления при работе с вредоносными кодами с конкретными действиями, спецификациями и записями об осуществлении контроля за вредоносными кодами.

Для FOS_POL.3: описание процедур управления при работе с мобильными кодами с конкретными действиями, спецификациями и записями об осуществлении контроля за мобильными кодами.

Для FOS_POL.4: описание политики использования криптографических методов и записей по проведению криптографического контроля.

Для FOS_POL.5: описание процедур защиты общедоступных систем с конкретными действиями, спецификациями и записями по проведению контроля.

B.3.1.4 FOS_POL.1 Требования безопасности

Зависимости: FOM_PRM.2 Разделение привилегий.

FOS_POL.1.1 ОФБ должны определять процедуры процесса управления обновлением программного обеспечения для обеспечения установки самых современных утвержденных патчей и приложений в санкционированное программное обеспечение.

FOS_POL.1.2 ОФБ должны определять процедуры идентификации изменений в средствах обработки информации и системах и оценки потенциальных воздействий.

FOS_POL.1.3 ОФБ должны определять процедуры формального контроля за изменениями для управления внедрением изменений в средства обработки информации и системы.

FOS_POL.1.4 ОФБ должны определять процедуры сохранения и копирования библиотек программных источников в соответствии с контролем за изменениями.

FOS_POL.1.5 ОФБ должны определять процедуры регулярных проверок информационных систем на соответствие стандартам внедрения безопасности.

FOS_POL.1.6 ОФБ должны излагать средства обеспечения безопасности в списках бизнес-требований для новых информационных систем или расширений имеющихся информационных систем.

FOS_POL.1.7 ОФБ должны определять процедуры управления установкой программного обеспечения в автоматизированные системы.

FOS_POL.1.8 ОФБ должны определять процедуры пересмотра и испытания критичных для бизнеса приложений при внесении изменений в операционные системы для обеспечения отсутствия отрицательного влияния на деятельность или безопасность организации.

FOS_POL.1.9 ОФБ должны определять правила препятствования модифицированию пакетов программ, ограничиваясь необходимыми изменениями при условии строгого контроля за ними.

FOS_POL.1.10 ОФБ должны документировать, сохранять и предоставлять процедуры всем нуждающимся в них пользователям.

В.3.1.5 FOS_POL.2. Политика защиты от вредоносных кодов

Зависимости: зависимости отсутствуют.

FOS_POL.2.1 ОФБ должны определять процедуры управления защитой систем от вредоносных кодов, сообщения об их восстановлении после атак вредоносных кодов.

FOS_POL.2.2 ОФБ должны определять процедуры обнаружения и защиты от вредоносных кодов, которые могут быть переданы посредством средств связи.

FOS_POL.2.3 ОФБ должны определять обязанности по защите систем от вредоносных кодов, обучению в их применении и восстановлению после атак вредоносных кодов.

FOS_POL.2.4 ОФБ должны определять процедуры реализации управленческих мер обнаружением, предотвращением и восстановлением для защиты от вредоносных кодов и осведомленности соответствующих пользователей.

В.3.1.6 FOS_POL.3 Политика защиты от мобильных кодов

Зависимости: зависимости отсутствуют.

FOS_POL.3.1 ОФБ должны определять процедуры управления санкционированием использования мобильного кода.

FOS_POL.3.2 ОФБ должны определять требования безопасности к конфигурации мобильного кода для обеспечения функционирования санкционированного мобильного крда в соответствии с четко определенной политикой безопасности и предотвращения реализации несанкционированного мобильного кода.

В.3.1.7 FOS_POL.4 Политика в области криптографии

Зависимости: зависимости отсутствуют.

FOS_POL.4.1 ОФБ должны определять криптографическую политику использования криптографических мер обеспечения безопасности для защиты информации в соответствии с релевантными соглашениями, законами и положениями.

FOS_POL.4.2 ОФБ должны определять криптографическую политику использования криптографических мер обеспечения безопасности для защиты информации.

FOS_POL.4.3 ОФБ должны определять процедуры назначения ключей для поддержки использования организацией криптографических методов.

FOS_POL.4.4 ОФБ должны определять требования безопасности к проведению юридической консультации перед перемещением зашифрованной информации или криптографических средств управления в другую страну.

FOS_POL.4.5 ФБС должны обеспечивать меры обеспечения безопасности хранения любых криптографических ключей, связанных с зашифрованными архивами или цифровыми подписями, и, при необходимости, предоставления их санкционированным лицам.

В.3.1.8 FOS_POL.5 Общественные системы

Зависимости: зависимости отсутствуют.

FOS_POL.5.1 ФБС должны обеспечивать меры безопасности для защиты программного обеспечения, данных и другой информации, требующей высокого уровня целостности при предоставлении в общедоступной системе.

FOS_POL.5.2 ОФБ должны обеспечивать требования безопасности по тестированию общедоступной системы на предмет наличия слабых мест и отказов перед предоставлением информации.

FOS_POL.5.3 ФБС должны обеспечивать требования безопасности по наличию формального процесса утверждения перед опубликованием информации.

FOS_POL.5.4 ФБС должны обеспечивать требования безопасности по проверке и утверждению всех входных данных.

В.3.2 Конфигурация систем ИТ (FOS_CNF)

В.3.2.1 Характеристика семейства

Данное семейство определяет конфигурацию системы ИТ и включает в себя разделение среды разработки и среды эксплуатации и конфигурацию системы.

В.3.2.2 Ранжирование компонентов

FOS_CNF.1 Разделение среды разработки и среды эксплуатации

Определены разделение среды разработки и среды эксплуатации и управление доступом.

FOS_CNF.2 Конфигурация системы

Определены управление разделяемыми ресурсами и конфигурация системы.

В.3.2.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOS_CNF.1: описание разделения среды разработки и среды эксплуатации с конкретными действиями, спецификациями и записями об осуществлении контроля.

Для FOS_CNF.2: описание управления разделяемыми ресурсами и конфигурации системы с конкретными действиями, спецификациями и записями об осуществлении контроля.

В.3.2.4 FOS_CNF.1 Разделение среды разработки и среды эксплуатации

Зависимости: зависимости отсутствуют.

FOS_CNF.1.1 ОФБ должны определять правила разделения по уровням, которые необходимы между средами эксплуатации, испытания и разработки для предотвращения проблем с эксплуатацией.

FOS_CNF.1.2 ОФБ должны определять [задача: правила] перевод программного обеспечения из состояния разработки в эксплуатационное состояние.

FOS_CNF.1.3 ФБС должны обеспечивать управленческие меры доступа, применимые к автоматизированным прикладным системам и тестовым прикладным системам с целью защиты эксплуатационных данных.

FOS_CNF.1.4 ФБС должны обеспечивать управленческие меры ограничениями для вспомогательного персонала, занимающегося ИТ, по доступу к библиотекам программных источников.

FOS_CNF.1.5 ОФБ должны определять правила для инструментального и системного программного обеспечения, работающего в различных системах или процессорах.

FOS_CNF.1.6 ОФБ должны определять правила копирования оперативной информации в тестовую прикладную систему.

В.3.2.5 FOS_CNF.2 Конфигурация системы

Зависимости: зависимости отсутствуют.

FOS_CNF.2.1 ОФБ должны определять правила разделения групп информационных услуг, пользователей и информационных систем на сети.

FOS_CNF.2.2 При необходимости применения конфиденциальной прикладной программы в совместно используемой среде ОФБ должны определить правила идентификации прикладных систем, с которыми она будет делить ресурсы с владельцем конфиденциальной прикладной программы.

FOS_CNF.2.3 ОФБ должны определять правила владения конфиденциальной системой специализированной (изолированной) вычислительной среды.

В.3.3 Сетевая безопасность систем ИТ (FOS_NET)

В.3.3.1 Характеристика семейства

Данное семейство определяет сетевую безопасность систем ИТ и включает в себя детализацию безопасности сетей и сетевых услуг.

В.3.3.2 Ранжирование компонентов

FOS_NET.1 Сетевые услуги

Определены сетевые услуги и доступ к ним.

FOS_NET.2 Безопасность сетей

Определены защита сетей, безопасность информации в сетях, конфиденциальности и целостности передаваемых данных.

В.3.3.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOS_NET.1: описание сетевых услуг с конкретными действиями и спецификациями и записи о доступе к сети.

Для FOS_NET.2: описание защиты сетей, безопасность информации в сетях с конкретными действиями и спецификациями и записи о контроле.

B.3.3.4 FOS_NET.1 Сетевые услуги

Зависимости: зависимости отсутствуют.

FOS_NET.1.1 ОФБ должны определять правила для сетей и сетевых услуг, к которым разрешен доступ, и правила процедур авторизации для определения, кому и к каким сетям и сетевым услугам разрешен доступ.

В.3.3.5 FOS_NET.2 Безопасность сетей

Зависимости: зависимости отсутствуют.

FOS_NET.2.1 ФБС должны обеспечить меры обеспечения безопасности для закрытия неактивных сеансов в местах высокого риска после определенного периода бездействия.

FOS_NET.2.2 ФБС должны обеспечить меры безопасности для очистки экрана терминала и закрытия как сеансов прикладных программ, так и сетевых сеансов после определенного периода бездействия простаивающего оборудования.

FOS_NET.2.3 ФБС должны обеспечить меры обеспечения безопасности для наложения ограничений на время соединения с целью дополнительной защиты приложений с высокой степенью риска.

FOS_NET.2.4 ФБС должны обеспечить меры связывания прав доступа к сетям с определенным временем или датами.

FOS_NET.2.5 ФБС должны обеспечить меры обеспечения безопасности для разделения групп информационных услуг, пользователей и информационных систем в сетях.

FOS_NET.2.6 ФБС должны обеспечить меры обеспечения безопасности по ограничению возможности пользователей подсоединяться к одной из совместно используемых сетей, особенно сетей, выходящих за пределы организации, параллельно с политикой управления доступом и требованиями бизнес-приложений.

FOS_NET.2.7 ФБС должны обеспечить меры обеспечения безопасности для маршрутизации сетей во избежания нарушения политики управления доступом бизнес-приложений компьютерными соединениями и информационными потоками.

В.3.4 Мониторинг систем ИТ (FOS_MON)

В.3.4.1 Характеристика семейства

Данное семейство определяет мониторинг систем ИТ и включает в себя детализацию требований к журналу аудита, юридической консультации, тревоге и мониторингу.

В.3.4.2 Ранжирование компонентов

FOS_MON.1 Журналы аудита

Определены требования к аудиту, управление аудитом, результаты аудита, информация, записанная в журнале, и регистрация системного администратора.

FOS_MON.2 Юридическая консультация

Определена юридическая консультация перед реализацией процедур мониторинга.

FOS_MON.3 Требования к тревоге

Определены установки параметров тревоги и реакция на тревогу.

FOS_MON.4 Определен мониторинг использования системы.

В.3.4.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOS_MON.1: подробное описание процедур ведения журналов аудита с конкретными действиями и спецификациями и записей журналов аудита.

Для FOS_MON.2: описание юридической консультации с конкретными действиями и спецификациями.

Для FOS_MON.3: описание установок параметров тревоги и записей о реакциях на тревогу с конкретными действиями и спецификациями и записи об осуществлении контроля.

Для FOS_MON.4: описание процедур проверки действий по мониторингу с конкретными действиями и спецификациями и записи об осуществлении проверок.

В.3.4.4 FOS_MON.1 Журналы аудита

Зависимости: зависимости отсутствуют.

FOS_MON.1.1 ОФБ должны планировать требования безопасности по аудиту и действиям, включающим в себя проверку автоматизированных систем, и согласовывать минимизацию риска прерывания бизнес-операций.

FOS_MON.1.2 ОФБ должны определять требования безопасности по аудиту соответствующим руководством.

FOS_MON.1.3 ОФБ должны осуществлять регистрацию системного администратора и действий системного оператора. Записи должны включать в себя время, когда произошло событие или отказ, информацию о событии или отказе, какой клиент и какой администратор или оператор принимали в этом участие, изменения, внесенные в оборудование, программное обеспечение или процедуры.

FOS_MON.1.4 ОФБ должны определять правила регистрации выхода и входа в оборудование после возвращения.

FOS_MON.1.5 ОФБ должны определять требования безопасности регистрации копирования и использования оперативной информации для обеспечения следов аудита.

FOS_MON.1.6 ОФБ должны определять процедуры сбора следов аудита и аналогичных свидетельств.

FOS_MON.1.7 ОФБ должны определять требования безопасности к регистрации удаления всех съемных носителей информации из организации для сохранения записи аудита.

FOS_MON.1.8 ОФБ должны устанавливать процедуры мониторинга использования средств обработки информации и для регулярного анализа результатов действий по мониторингу.

FOS_MON.1.9 ФБС должны обеспечивать меры обеспечения безопасности для защиты средств регистрации и информации в журнале от фальсификации и несанкционированного доступа.

FOS_MON.1.10 ФБС должны осуществлять процедуры регистрации отказов, их анализа и действий, предпринятых для их устранения.

В.3.4.5 FOS_MON.2 Юридическая консультация

Зависимости: зависимости отсутствуют.

FOS_MON.2.1 ОФБ должны определять правила принятия юридической консультации перед реализацией процедур мониторинга.

В.3.4.6 FOS_MON.3 Требования к объявлению тревоги

Зависимости: зависимости отсутствуют.

FOS_MON.3.1 ФБС должны обеспечивать меры объявления тревоги для автоматизированной системы.

FOS_MON.3.2 ФБС должны обеспечивать возможности установки параметров предупредительного сигнала, предварительного определения аварийного события и внесения изменений в настройки аварийной сигнализации автоматизированной системы.

FOS_MON.3.3 ОФБ должны определять правила и процедуры действий по получении предупредительных сигналов, а также необходимых действий, включая любые ограничения по времени, задействование ответственных лиц и отчетность.

В.3.4.7 FOS_MON.4 Использование системы мониторинга

Зависимости: зависимости отсутствуют.

FOS_MON.4.1 ОФБ должны определять процедуры применения мониторинга для средств обработки информации и анализа результатов действий по мониторингу.

FOS_MON.4.2 ОФБ должны определять требования безопасности к тому, что степень мониторинга, требуемая для отдельного оборудования, определяется посредством оценки риска.

В.3.5 Управление персоналом системам ИТ (FOS_PSN)

В.3.5.1 Характеристика семейства

Данное семейство определяет меры управления персоналом систем ИТ и включает в себя подробное изложение авторизации пользователя, вредоносных кодов и средств использования системы.

В.3.5.2 Ранжирование компонентов

FOS_PSN.1 Авторизация пользователя

Определены регистрация и аутентификация пользователя и такие правила хранения информации об аутентификации, как применение секретных паролей.

FOS_PSN.2 Использование системы

Определены процедуры завершения активных сеансов.

В.3.5.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOS_PSN.1: описание регистрации пользователя, аутентификации пользователя и правил хранения конфиденциальной информации об аутентификации с конкретными действиями, спецификациями и записей об осуществлении контроля.

Для FOS_PSN.2: описание процедур завершения активных сеансов с конкретными действиями, спецификациями и записей об осуществлении контроля.

В.3.5.4 FOS_PSN.1 Аутентификация пользователя

Зависимости:

FOM_PRM.1 Разделение привилегий;

FOM_PRM.2 Роли и обязанности персонала;

FOM_PRM.3 Соглашение с персоналом.

FOS_PSN.1.1 ОФБ должны определять процедуры формальной регистрации пользователя и удаления записи из журнала предоставления и аннулирования доступа ко всем информационным системам и услугам.

FOS_PSN.1.2 ОФБ должны определять процедуры, включающие в себя использование уникальных идентификаторов пользователей для связывания этих пользователей со своими действиями и возложения на них ответственности за эти действия (применение групповых идентификаторов допускается только в случае их пригодности для выполняемой работы), проверку авторизации пользователя владельцем системы на использование требуемой системы или услуги в процедуре управления доступом в пределах процесса регистрации и дерегистрации пользователя.

FOS_PSN.1.3 ОФБ должны определять процедуры выдачи временной аутентификационной информации после позитивной идентификации пользователя в случае, если пользователь забыл или утратил свою аутентифи-кационную информацию. Временная аутентификационная информация должна передаваться пользователям безопасным способом.

FOS_PSN.1.4 ОФБ должны определять правила предотвращения утраты или компрометации аутентификационной информации, например, для избежания необходимости хранения записи паролей, если только ее нельзя запомнить безопасным образом: выбирают качественные пароли достаточно минимальной длины, не основанные на том, о чем можно легко догадаться или которые можно легко получить с помощью связанной с личностью информацией, регулярно меняют пароли или на основе числа доступов; избегают повторного использования или чередования старых паролей; изменяют временные пароли при первом входе в систему; не включают пароли в автоматизированный процесс входа в систему и не используют совместно индивидуальные пароли пользователей.

FOS_PSN.1.5 ОФБ должны определять правила подписания утверждения (оператора) для предотвращения утраты, компрометации или неправильного использования аутентификационной информации, например, хранить секретные персональные пароли и пароли рабочей группы исключительно между членами группы (внутри группы).

FOS_PSN.1.6 ФБС должны предусматривать меры предоставления пользователям на начальной стадии надежной (защищенной) временной аутентификационной информации, которую они вынуждены изменить или подтвердить немедленно.

FOS_PSN.1.7 ОФБ должны определять правила постоянного хранения информации об аутентификации пользователя в защищенном виде.

FOS_PSN.1.8 ОФБ должны определять формальный процесс управления для контроля за назначением аутентификационных данных среди пользователей.

В.3.5.5 FOS_PSN.2 Использование системы

Зависимости: зависимости отсутствуют.

FOS_PSN.2.1 ОФБ должны определять процедуры прекращения активных сеансов после их окончания, если только их нельзя защитить соответствующим блокирующим механизмом.

FOS_PSN.2.2 ОФБ должны определять процедуры отключения универсальных ЭВМ, серверов или офисных ПК по завершении сеанса работы.

FOS_PSN.2.3 ОФБ должны определять правила применения различных профилей пользователей для автоматизированных и испытательных систем и меню.

FOS_PSN.2.4 ОФБ должны определять правила, предписывающие не оставлять персональные компьютеры, компьютерные терминалы и принтеры, подсоединенные к сети, без присмотра и защищать их при помощи фиксаторов клавиш, паролей или других средств защиты во время простоя этих устройств.

В.3.6 Активы систем информационных технологий в автоматизированных системах (FOS_OAS)

В.3.6.1 Характеристика семейства

Данное семейство определяет безопасность операционных активов систем ИТ и включает в себя подробное изложение защиты операционных активов, системных программ, вспомогательной и аутентификационной информации.

В.3.6.2 Ранжирование компонентов

FOS_OAS.1 Защита операционных активов

Определены стирание оперативной информации, управление доступом и безопасное хранение системной документации. Определены критерии приемки новых систем, правила использования обслуживающей программы, процедуры аутентификации обслуживающих программ, процедуры обновления системного программного обеспечения, правила неприменения несанкционированного программного обеспечения и ответственность за отслеживание выпуска поставщиком патчей.

FOS_OAS.2 Процедуры поддержки

Описаны процедуры резервного копирования информации и программного обеспечения.

В.3.6.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOS_OAS.1: описание стирания оперативной информации, управления доступом и безопасного хранения системной документации с конкретными действиями и спецификациями и записей о проведении контроля. Описание критериев приемки новых систем, правил использования обслуживающей программы, процедур аутентификации обслуживающих программ, процедур обновления системного программного обеспечения, правил неприменения несанкционированного программного обеспечения и ответственности за отслеживание выпуска поставщиком патчей с конкретными действиями и спецификациями и записей о проведении контроля.

Для FOS_OAS.2: описание процедур резервного копирования информации и программного обеспечения с конкретными действиями и спецификациями и записей о проведении контроля.

В.3.6.4 FOS OAS.1 Защита операционных активов

Зависимости: FOS_POL.1 Требования безопасности.

FOS_OAS.1.1 ОФБ должны определять правила стирания оперативной информации из испытательной прикладной системы сразу после завершения испытаний.

FOS_OAS.1.2 ОФБ должны определять требования безопасности для управления распечатками программ в безопасной среде.

FOS_OAS.1.3 ФБС должны обеспечивать меры защиты системной документации от несанкционированного доступа и меры ее безопасного хранения.

FOS_OAS.1.4 ФБС должны обеспечивать средства управления для предотвращения доступа к компилирующим программам, программам редактирования и другим средствам разработки из автоматизированных систем.

FOS_OAS.1.5 ОФБ должны определять критерии приемки для новых и модернизированных информационных систем и новых версий, предназначенных для приемки, а также соответствующих испытаний, проводимых во время разработки перед приемкой.

FOS_OAS.1.6 ОФБ должны определять требования безопасности для обнаружения, предупреждения и восстановления с целью защиты от вредоносных кодов и утечки информации.

FOS_OAS.1.7 ОФБ должны определять правила ограничения и управления применением обслуживающих программ, которые могут заменять управленческие меры системой и приложениями.

FOS_OAS. 1.8 ФБС должны обеспечивать управленческие меры аутентификацией обслуживающих программ системы, разделением обслуживающих программ системы от прикладного программного обеспечения, ограничением использования обслуживающих программ системы минимальным практическим числом доверенных санкционированных программ.

FOS_OAS.1.9 ОФБ должны определять процедуры обновления системного программного обеспечения, приложений и библиотек программ опытными администраторами, санкционированными соответствующим руководством.

FOS_OAS.1.10 ОФБ должны определять правила хранения в автоматизированной системе только исполнимого кода.

FOS_OAS.1.11 ОФБ должны определять правила внедрения приложений и программного обеспечения операционных систем после всесторонних и успешных испытаний.

FOS_OAS.1.12 ОФБ должны определять правила предоставления физического или логического доступа поставщикам только для вспомогательных целей, при необходимости и с разрешения руководства.

FOS_OAS.1.13 ОФБ должны определять правила неприменения несанкционированного программного обеспечения.

FOS_OAS.1.14 ОФБ должны определять ответственность за отслеживание выпуска поставщиком патчей и фиксаторов для прикладных программ.

FOS_OAS.1.15 ОФБ должны определять процедуры модернизации до получения нового варианта с учетом его безопасности, внедрения новых функций безопасности или числа и сложности проблем, влияющих на модернизируемый вариант.

FOS_OAS.1.16 ОФБ должны определять правила приемлемого использования информации и активов, связанных со средствами обработки информации, предназначенных для идентификации, документирования и внедрения.

В.3.6.5 FOS_OAS.2 Вспомогательные процедуры

Зависимости: зависимости отсутствуют.

FOS_OAS.2.1 ФБС должны обеспечивать процедуры регулярной проверки резервных копий информации и программного обеспечения в соответствии с согласованной политикой дублирования.

FOS_OAS.2.2 ОФБ должны определять процедуры выдачи необходимого уровня вспомогательной информации наряду с точными и полными записями резервных копий и документированных процедур восстановления.

FOS_OAS.2.3 ОФБ должны определять процедуры для выбора носителей резервных копий для обеспечения их надежности в случае аварийного использования.

FOS_OAS.2.4 ОФБ должны обеспечивать эффективность процедур и их завершение за время, отведенное в последовательности операций на восстановление.

FOS_OAS.2.5 ОФБ должны определять требования безопасности для резервной компоновки отдельных систем для обеспечения их соответствия требованиям планов обеспечения непрерывности деловой деятельности.

В.3.7 Протоколирование в системах ИТ (FOS_RCD)

В.3.7.1 Характеристика семейства

Данное семейство определяет записи, которые должны сохраняться для систем ИТ, и включает в себя подробное описание записей.

В.3.7.2 Ранжирование компонентов

FOS_RCD.1 Записи

Определена регистрация всех предполагаемых отказов.

В.3.7.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOS_RCD.1: описание всех предполагаемых отказов с конкретными действиями, спецификациями и записями по проведению контроля.

В.3.7.4 FOS_RCD.1 Записи

Зависимости: зависимости отсутствуют.

FOS_RCD.11 ФБС должны обеспечивать меры регистрации всех предполагаемых или фактических отказов и восстановительного ремонта оборудования.

В.4 Класс FOA: Активы пользователя

В данном классе представлены требования оперативного управления активами пользователя автоматизированной системы.

В.4.1 Защита приватных данных (FOA_PRO)

В.4.1.1 Характеристика семейства

Данное семейство определяет политику в отношении активов пользователей и включает в себя детальное изложение приватных данных, криптографию, управление активами, роли и обязанности пользователей.

В.4.1.2 Ранжирование компонентов

FOA_PRO.1 Персональные данные. Определены правила неприменения оперативных баз данных, содержащих персональную информацию, для испытаний, правила получения общедоступной информации в соответствии с законодательством о защите данных и обязанности владельца данных по информированию санкционированного должностного лица организации, ответственного за защиту данных.

В.4.1.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOA_PRO.1: описание правил неприменения баз персональных данных, содержащих персональную информацию, правила получения общедоступной информации в соответствии с политикой безопасности законодательства о защите данных, обязанности владельца данных по информированию санкционированного должностного лица организации, ответственного за защиту данных, с конкретными действиями и спецификациями и записями о проведении контроля.

В.4.1.4 FOA_PRO.1 Данные о частной жизни

Зависимости: зависимости отсутствуют.

FOA_PRO.1.1 ОФБ должны определять правила неприменения оперативных баз данных, содержащих персональную информацию, для испытательных целей.

FOA_PRO.1.2 ОФБ должны определять правила получения общедоступной информации в соответствии с законодательством о защите данных, полной, точной и своевременной обработки информации и для ее защиты в процессе сбора и при хранении.

FOA_PRO.1.3 ОФБ должны определять обязательства и правила для владельца данных по информированию санкционированного должностного лица организации, ответственного за защиту данных, о любых предложениях по хранению персональной информации и обеспечению осведомленности о принципах защиты данных, определенных в соответствующем законодательстве.

В.4.2 Защита информации в активах пользователей (FOA_INF)

В.4.2.1 Характеристика семейства

Данное семейство определяет защиту информации в активах пользователей и включает в себя защиту данных, процедуры и правила.

В.4.2.2 Ранжирование компонентов

FOA_INF.1: руководства по удержанию передаваемых данных, процедуры разрешения на соответствующее уничтожение записей и обеспечения безопасности для электронных коммуникаций с конкретными действиями и спецификациями. Описание процедур маркирования и обработки информации с конкретными действиями и спецификациями и записей о проведении контроля.

В.4.2.3 FOA_INF.1 Защита данных

Зависимости: FOS_POL.1 Требования безопасности.

FOA_INF.1.1 ОФБ должны определять руководства по удержанию, сохранению, обработке и ликвидации записей и информации.

FOA_INF.1.2 ОФБ должны определять правила планирования удержания, определяющего необходимые типы записей и период времени их удержания.

FOA_INF.1.3 ОФБ должны определять процедуры разрешения соответствующего уничтожения записей после этого периода, если они не нужны организации.

FOA_INF.1.4 ФБС должны обеспечивать меры обязательного уничтожения, стирания или перезаписи с помощью методов, утвержденных для устройств, содержащих секретную информацию.

FOA_INF.1.5 ФБС должны обеспечивать меры обеспечения электронной связи путем защиты сообщений от несанкционированного доступа, модификации или отказа в обслуживании, обеспечения правильной адресации и передачи сообщения, надежности и доступности услуг и юридической консультации.

FOA_INF.1.6 ОФБ должны определять процедуры маркировки и обработки информации, включая как физический, так и электронный форматы в соответствии со схемой классификации, принятой организацией.

FOA_INF.1.7 ОФБ должны определять правила определения привилегий, связанных с каждым продуктом системы и каждым приложением, и категорий персонала, к которому они должны быть отнесены.

FOA_INF.1.8 ОФБ должны определять правила назначения привилегий пользователям на основе "необходимости для использования" и по ходу возникновения событий в соответствии с политикой управления доступом.

FOA_INF.1.9 ОФБ должны определять требования безопасности по защите информации, задействованной в электронной коммерции, проходящей по общественным сетям, от мошенничества, споров по контракту, а также от несанкционированного раскрытия и модифицирования.

В.5 Класс FOB: деловая деятельность

В данном классе определяются требования оперативного управления для использования автоматизированной системы в деловой деятельности.

В.5.1 Бизнес-политики (FOD_POL)

В.5.1.1 Характеристика семейства

Данное семейство определяет политики деловой деятельности и включает в себя подробное изложение требований безопасности и проблем с интеллектуальной собственностью.

В.5.1.2 Ранжирование компонентов

FOD_POL.1 Требования безопасности

Определены ценность задействованных информационных активов для бизнеса, требования безопасности для отдельных коммерческих применений, идентификация всей информации, относящейся к коммерческим применениям и безопасности, роли и обязанности по внедрению и поддержанию политик безопасности. Определены соответствующие процедуры обеспечения соответствия правовым ограничениям на использование материала.

В.5.1.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOD_POL.1: описание ценности задействованных информационных активов для бизнеса, требований безопасности для отдельных коммерческих применений, идентификации всей информации, относящейся к коммерческим применениям и безопасности и ролей и обязанностей по внедрению и поддержанию политик безопасности, соответствующие процедуры обеспечения соответствия правовым ограничениям на использование материала с конкретными действиями и записями по проведению управления.

В.5.1.4 FOD_POL.1 Требования безопасности

Зависимости: FOS_POL.1 Требования безопасности

FOD_POL.1.1 ОФБ должны обозначить политику безопасности для определения ценности системы и информационных активов, которые образуют часть общей системы, для бизнеса.

FOD_POL.1.2 ОФБ должны обозначить требования безопасности для отдельных коммерческих применений, идентификации всей информации, относящейся к коммерческим применениям, и рисков для информации, политик распространения и авторизации информации, соответствия между политиками управления доступом и классификации информации различных систем и сетей, релевантного законодательства и любых контрактных обязательств, относящихся к защите доступа к данным или услугам, управления правами доступа в распределенной и сетевой среде, которая распознает все имеющиеся типы соединений.

FOD_POL.1.3 ОФБ должны обозначить роли и обязанности по внедрению и поддержанию политик безопасности и защите актива.

FOD_POL.1.4 ОФБ должны обозначить роли и обязанности и их передачу претендентам на должность перед назначением.

FOD_POL.1.5 ОФБ должны обозначить процедуры обеспечения соответствия законодательным, регулятивным и контрактным требованиям к использованию материала, для которого могут существовать права на собственность, и к использованию специализированных программных изделий.

FOD_POL.1.6 ОФБ должны разрабатывать и внедрять политики и процедуры защиты информации, связанной с межсоединениями коммерческих информационных систем.

В.5.2 Непрерывность бизнеса (FOB_BCN)

В.5.2.1 Характеристика семейства

Данное семейство определяет действия по обеспечению непрерывности деловой деятельности и включает в себя подробное описание анализа воздействия на бизнес, локализации неисправностей и планирования непрерывности деловой деятельности.

В.5.2.2 Ранжирование компонентов

FOB_BCN.1 Анализ воздействия

Определены анализ воздействия на непрерывность деловой деятельности, планы обеспечения непрерывности деловой деятельности для поддержания или восстановления деловых операций, локализация неисправностей и специальный доступ, предоставляемый во время сбоев при обеспечении безопасности.

В.5.2.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOB_BCN.1: описание анализа воздействия на непрерывность деловой деятельности, планов обеспечения непрерывности деловой деятельности для поддержания или восстановления деловых операций, локализации неисправностей и специального доступа, предоставляемого во время сбоев при обеспечении безопасности, с конкретными действиями и спецификациями.

B.5.2.4 FOB_BCN.1 Анализ воздействия

Зависимости: FOD_RSM.1 Менеджмент риска внутри организации.

FOB_BCN.1.1 ОФБ должны определять требования безопасности по проведению анализа воздействия на непрерывность деловой деятельности для идентификации событий, которые могут вызвать прерывания деловых процессов, наряду с анализом вероятности и воздействия таких прерываний и их последствий для информационной безопасности.

FOB_BCN.1.2 ОФБ должны определять требования безопасности к проведению анализа воздействия на непрерывность деловой деятельности с вовлечением владельцев бизнес-ресурсов и бизнес-процессов.

FOB_BCN.1.3 ОФБ должны определять требования безопасности к планам обеспечения непрерывности деловой деятельности для восстановления после атак вредоносных кодов, включая мероприятия по восстановлению и резервированию всех необходимых данных и программного обеспечения.

FOB_BCN.1.4 ОФБ должны определять требования безопасности к осознанию рисков, стоящих перед организацией, в отношении их вероятности и воздействия; пониманию влияния, которое прерывание может оказывать на деловую деятельность; формулированию и документированию стратегии обеспечения непрерывности деловой деятельности, согласующейся с установленными бизнес-целями и бизнес-приоритетами; формулированию и документированию планов обеспечения непрерывности деловой деятельности, соответствующих установленной стратегии, регулярному тестированию и обновлению текущих планов и процессов и к обеспечению включения управления непрерывностью бизнес-процессов организации, и к структуре ее обеспечения.

FOB_BCN.1.5 ОФБ должны определять требования безопасности к разработке и внедрению планов обеспечения непрерывности деловой деятельности для поддержания или восстановления операций и обеспечения доступности информации на необходимом уровне и в требуемых масштабах времени после прерывания или сбоя критически важных бизнес-процессов.

FOB_BCN.1.6 ОФБ должны определять процедуры хранения копии планов обеспечения непрерывности деловой деятельности в удаленном пункте на значительном удалении для избежания ущерба вследствие бедствия на главной территории организации. Необходимо обеспечить актуальность этих копий и их защиту на соот-ветсвующем уровне безопасности, аналогичном уровню безопасности, установленному и на главной территории.

FOB_BCN.1.7 ОФБ должны определять требования безопасности для условий ее активации, а также лиц, ответственных за выполнение каждого пункта каждого плана обеспечения непрерывности деловой деятельности.

FOB_BCN.1.8 ОФБ должны определять требования безопасности к проверке и обновлению планов обеспечения непрерывности деловой деятельности для обеспечения их современности и эффективности.

FOB_BCN.1.9 ОФБ должны определять требования безопасности к планам локализации сбоев в обеспечении безопасности с тем, чтобы сбой оказывал минимальное воздействие на непрерывность деловой деятельности при возникновении инцидентов безопасности.

FOB_BCN.1.10 ОФБ должны определять правила специального доступа к активам автоматизированной системы во время сбоев в обеспечении безопасности.

FOB_BCN.1.11 ОФБ должны определять требования безопасности к разработке и поддержанию управляемого процесса непрерывности деловой деятельности во всей организации, который учитывает требования безопасности, необходимые для сохранения непрерывности деловой деятельности организации.

FOB_BCN.1.12 ОФБ должны определять требования безопасности для единой схемы планов обеспечения непрерывности деловой деятельности с целью обеспечения последовательности всех планов, постоянного учета требований информационной безопасности и определения приоритетов для проверки и обслуживания.

В.6 Класс FOP: оборудование и аппаратура

В данном классе представлены требования к организационным мерам для оборудования, аппаратуры и помещений в пределах автоматизированной системы.

В.6.1 Передвижное оборудование (FOP_MOB)

В.6.1.1 Характеристика семейства

В данном семействе определены требования безопасности для передвижного оборудования и включают в себя подробное изложение требований безопасности, ролей и обязанностей.

В.6.1.2 Ранжирование компонентов

FOP_MOB.1 Требования безопасности для передвижного оборудования. Определены требования физической защиты и процедур принятия мер обеспечения безопасности при использовании передвижной вычислительной аппаратуры в общественных местах. Определены правила использования средств обработки персональной информации и информации частного пользования и правила применения полностью автоматизированного оборудования.

В.6.1.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOP_MOB.1: описание требований физической защиты и процедур принятия мер обеспечения безопасности при использовании передвижной вычислительной аппаратуры в общественных местах с конкретными действиями и спецификациями. Описание правила использования средств обработки персональной информации и информации частного пользования и правила применения полностью автоматизированного оборудования с конкретными действиями и спецификациями и записями о проведении контроля.

В.6.1.4 FOP_MOB.1 Требования безопасности для передвижного оборудования

FOP_MOB.1.1 ОФБ должны определять требования безопасности в политике для переносной вычислительной техники в отношении рисков работы с переносным вычислительным оборудованием в незащищенных средах.

FOP_MOB.1.2 ОФБ должны определять требования безопасности для физической защиты, управления доступом, криптографических методов и средств, резервного копирования и защиты от вирусов в политике для передвижной вычислительной техники.

FOP_MOB.1.3 ФБС должны обеспечить меры защиты от рисков при использовании передвижной вычислительной аппаратуры.

FOP_MOB.1.4 ОФБ должны определять процедуры принятия мер обеспечения безопасности при использовании передвижной вычислительной аппаратуры в общественных местах, совещательных комнатах и других незащищенных доменах за пределами помещений организации. ОФБ должны обеспечивать соответствующую защиту использованию передвижной вычислительной аппаратуры, подсоединенной к сетям.

FOP_MOB.1.5 ФБС должны обеспечивать меры защиты передвижной вычислительной аппаратуры, особенно оставленной без присмотра, от хищений.

FOP_MOB.1.6 ОФБ должны определять правила использования средств обработки персональных данных и приватной информации при обработке деловой информации.

FOP_MOB.1.7 ОФБ должны определять правила, предписывающие не оставлять оборудование и носители информации без присмотра в общественных местах, переноски портативных компьютеров в качестве ручного багажа и скрывать их при совершении переездов.

В.6.2 Съемное оборудование (FOP_RMM)

В.6.2.1 Характеристика семейства

Данное семейство определяет процедуры безопасности для сменного оборудования и включает в себя подробное изложение управления сменными носителями.

В.6.2.2 Ранжирование компонентов

FOP_RMM.1 Управление сменными носителями

Описаны процедуры управления сменными компьютерными носителями, процедуры авторизации для носителей, удаленных из организации, и процедуры стирания содержимого любых повторно используемых носителей.

В.6.2.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOP_RMM.1: описание процедур управления сменными компьютерными носителями, процедур авторизации для носителей, удаленных из организации, и процедур стирания содержимого любых повторно используемых носителей с конкретными действиями и спецификациями и записями о проведении контроля.

В.6.2.4 FOP_RMM.1 Управление сменными носителями

Зависимости: зависимости отсутствуют.

FOP_RMM.1.1 ОФБ должны определять процедуры управления сменными компьютерными носителями.

FOP_RMM.1.2 ОФБ должны определять процедуры авторизации для носителей, удаленных из организации.

FOP_RMM.1.3 ОФБ должны определять процедуры минимизации рисков, связанных с утечкой секретной информации несанкционированным лицам, установления формальных процедур безопасной ликвидации носителей.

FOP_RMM.1.4 ОФБ должны определять процедуры стирания, включая любые секретные данные и лицензионное программное обеспечение, любых повторно используемых носителей и оборудования, содержащего носители информации, которые должны быть удалены из организации в случае их ненадобности и проверены на выполнение стирания.

В.6.3 Дистанционное оборудование (FOP_RMT)

В.6.3.1 Характеристика семейства

Данное семейство определяет процедуры безопасности и включает в себя подробное изложение управления дистанционным оборудованием.

В.6.3.2 Ранжирование компонентов

FOP_RMT.1 Управление дистанционным оборудованием

Определены обязанности и процедуры управления и использования дистанционного оборудования и процедуры дистанционного доступа к деловой информации.

В.6.3.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOP_RMT.1: описание обязанностей и процедуры управления и использования дистанционного оборудования и процедур дистанционного доступа к деловой информации с конкретными действиями и спецификациями и записями о проведении контроля.

В.6.3.4 FOP_RMT.1 Управление дистанционным оборудованием

Зависимости: зависимости отсутствуют.

FOP_RMT.1.1 ОФБ должны определять обязанности и процедуры управления оборудованием и его использования, включая оборудование на территории пользователя.

FOP_RMT.1.2 ОФБ должны определять процедуры осуществления дистанционного доступа к деловой информации через общедоступную сеть с помощью передвижной вычислительной аппаратуры только после успешной идентификации и аутентификации и с применением соответствующих механизмов управления доступом. FOP_RMT.1.3 ФБС должны обеспечивать меры блокировки клавиатуры или эквивалентные меры обеспечения безопасности для защиты ПК или терминалов от несанкционированного доступа.

FOP_RMT.1.4 ФБС должны обеспечивать меры автоматической идентификации оборудования как средства аутентификации соединений из специфических местоположений оборудования.

FOP_RMT.1.5 ФБС должны обеспечивать управленческие меры физическим и логическим доступом к диагностическим и конфигурационным портам.

В.6.4 Системное оборудование (FOP_SYS)

В.6.4.1 Характеристика семейства

Данное семейство определяет процедуры безопасности для системного оборудования и включает в себя подробное изложение управления системным оборудованием.

В.6.4.2 Ранжирование компонентов

FOP_SYS.1 Управление системным оборудованием

Определены запасное оборудование и резервные носители, правила хранения опасных и воспламеняющихся материалов. Процедуры проверки поступающего материала и защиты сетевой проводки с конкретными действиями и спецификациями.

В.6.4.3 FOP_SYS.1 Управление системным оборудованием

Зависимости: зависимости отсутствуют.

FOP_SYS.1.1 ОФБ должны определять правила размещения запасного оборудования и резервных носителей на безопасном расстоянии для избежания ущерба, причиненного бедствием на главной территории.

FOP_SYS.1.2 ОФБ должны определять правила хранения опасных и воспламеняющихся материалов безопасным образом на безопасном расстоянии на защищенном участке.

FOP_SYS.1.3 ОФБ должны определять правила хранения каталогов внутренних телефонных справочников, указывающих местоположение оборудования для обработки секретной информации, недоступной для общественности.

FOP_SYS.1.4 ОФБ должны определять процедуры проверки поступающего материала на наличие потенциальных угроз перед его перемещением от района доставки и разгрузки к месту использования.

FOP_SYS.1.5 ФБС должны обеспечить меры защиты сетевой проводки от несанкционированного прослушивания или повреждения при ее прокладке через площади общественного пользования.

FOP_SYS.1.6 ОФБ должны определять правила обслуживания оборудования в соответствии с рекомендованными поставщиком интервалами и спецификациями.

FOP_SYS.1.7 ОФБ должны определять правила проведения ремонта или обслуживания оборудования только санкционированным обслуживающим персоналом.

FOP_SYS.1.8 ОФБ должны определять управленческие меры для соответствующего уровня физической защиты и защиты от воздействия окружающей среды в соответствии со стандартами, применяемыми на главной территории для резервной информации. Меры обеспечения безопасности, применяемые к носителям на основной территории, должны быть распространены на резервную территорию.

FOP_SYS.1.9 ОФБ должны определять правила хранения всех носителей в безопасной и защищенной среде в соответствии со спецификацией изготовителей.

FOP_SYS.1.10 ОФБ должны определять обязанности по защите оборудования, работающего в автономном режиме для всех работников, подрядчиков и пользователей третьей стороны в отношении требований и процедур безопасности.

FOP_SYS.1.11 ОФБ должны определять процедуры обеспечения переноса всей релевантной информации в организацию и ее надежного стирания из оборудования в случае покупки оборудования организации работником, подрядчиком и пользователем третьей стороны или использования ими собственного оборудования.

FOP_SYS.1.12 ОФБ должны обеспечить меры обеспечения безопасности для носителей, содержащих информацию, которая должна быть защищена от несанкционированного доступа, неправильного использования или искажения во время транспортирования за пределами организации.

В.6.5 Управление аппаратурой (FOP_MNG)

В.6.5.1 Характеристика семейства

Данное семейство определяет управление аппаратурой и включает в себя физическую защиту, вспомогательное оборудование и каналы связи.

В.6.5.2 Ранжирование компонентов

FOP_MNG.1 Физическая защита

Определена физическая защита офисов, помещений и аппаратуры. Определено разделение аппаратуры, используемой для разработки, испытания и эксплуатации. Определены требования для адекватной резервной аппаратуры и защиты средств обработки информации.

FOP_MNG.2 Силовое вспомогательное оборудование

Определены управление вспомогательным оборудованием и применение резервного генератора.

FOP_MNG.3 Каналы связи

Определено управление внешними каналами связи.

В.6.5.3 Записи

Для FOP_MNG.1: описание физической защиты офисов, помещений и аппаратуры, разделения аппаратуры, используемой для разработки, испытания и эксплуатации, адекватной резервной аппаратуры и защиты средств обработки информации с конкретными действиями и спецификациями.

Для FOP_MNG.2: описание управления силовым вспомогательным оборудованием и применение резервного генератора с конкретными действиями и спецификациями.

Для FOP_MNG.3: описание управления каналами связи и мер по устранению неисправностей с конкретными действиями и спецификациями.

B.6.5.4 FOP_MNG.1 Физическая защита

Зависимости: FOD_PSN.5 Доступ к аппаратуре и оборудованию.

FOP_MNG.1.1 ОФБ должны определять требования безопасности для физической защиты офисов, других помещений и аппаратуры от ущерба вследствие пожара, наводнения, землетрясения, взрыва, общественных беспорядков и других видов бедствий природных или антропогенных катастроф.

FOP_MNG.1.2 ОФБ должны определять требования безопасности разделения аппаратуры разработки, испытания и эксплуатации с целью снижения рисков несанкционированного доступа или внесения изменений в автоматизированную систему.

FOP_MNG.1.3 ОФБ должны определять требования безопасности для адекватной резервной аппаратуры в целях обеспечения возможности восстановления всей значимой информации и программного обеспечения после какого-либо бедствия или неисправности носителей информации.

FOP_MNG.1.4 ОФБ должны определять требования безопасности для защиты оборудования обработки информации с целью избежания несанкционированного доступа или раскрытия информации, хранящейся в этом оборудовании и обрабатываемой им.

В.6.5.5 FOP_MNG.2 Силовое вспомогательное оборудование

Зависимости: зависимости отсутствуют.

FOP_MNG.2.1 ФБС должны обеспечить меры обеспечения безопасности для защиты оборудования от перебоев в питании и других сбоев, вызванных неисправностями во вспомогательном оборудовании.

FOP_MNG.2.2 ОФБ должны определять требования безопасности для применения оборудования УПС.

FOP_MNG.2.3 ОФБ должны определять требования безопасности для применения резервного генератора при необходимости продолжения обработки информации в случае длительного перебоя в питании.

В.6.5.6 FOP_MNG.3 Каналы связи

Зависимости: зависимости отсутствуют.

FOP_MNG.3.1 ФБС должны обеспечить меры защиты силовой и телекоммуникационной проводки, передающей данные или предоставляющей вспомогательные информационные услуги, от прослушивания или повреждения.

FOP_MNG.3.2 ФБС должны определять требования безопасности при поддержании связности коммуникаций в случае неисправности аппаратуры связи или прерывания в его работе.

В.7 Класс 7: Третьи стороны

В данном классе представлены требования к организационным мерам для третьих сторон.

В.7.1 Управление взаимодействием с третьей стороной (FOT_MNG)

В.7.1.1 Характеристика семейства

Данное семейство определяет управление взаимодействием с третьей стороной и обязательства третьих сторон и включает в себя требования безопасности для аутсорсинга и третьих сторон.

В.7.1.2 Ранжирование компонентов

FOT_МNG.1 Аутсорсинг.

Определен план необходимых передач информации, лицензионных соглашений, владения кодами и прав на интеллектуальную собственность.

FOT_MNG.2 Требования безопасности для третьих сторон.

Определены все требования безопасности, являющиеся результатом работы с третьими сторонами. Определены достаточное общее управление и правила непредоставления доступа к информации организации. Определен менеджмент риска, применимый к взаимоотношениям с третьей стороной.

В.7.1.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства: Для FOT_MNG.1: описание плана необходимых передач информации, лицензионных соглашений, владения кодами и прав на интеллектуальную собственность с конкретными действиями и спецификациями.

Для FOT_MNG.2: описание всех требований безопасности, проистекающих из работы с третьими сторонами, достаточного общего управления и правил непредоставления доступа к информации организации и менеджмента риска с конкретными действиями и спецификациями.

В.7.1.4 FOT_MNG.1 Аутсорсинг

Зависимости: FOD_PSN.3 Персональное соглашение.

FOT_MNG.1.1 ОФБ должны определять требования безопасности для плана необходимых передач информации, средств обработки информации и всего подлежащего перемещению и поддержанию безопасности во время периода передачи информации при мероприятиях аутсорсинга.

FOT_MNG.1.2 ОФБ должны определять требования безопасности для лицензионных соглашений, владения кодами и прав на интеллектуальную собственность, сертификации качества и точности выполняемой работы, мероприятий по условному депонированию в случае неудачи третьей стороны, прав доступа для аудита качества и точности проделанной работы, договорных требований к качеству кода и тестированию для обнаружения троянского кода там, где было разработано программное обеспечение.

В.7.1.5 FOT_MNG.1 Требования безопасности для третьей стороны

Зависимости: зависимости отсутствуют.

FOT_MNG.1.1 ОФБ должны определять требования безопасности, являющиеся результатом работы с третьими сторонами или внутрифирменными мерами контроля по согласованию с третьей стороной.

FOT_MNG.1.2 ОФБ должны определять требования безопасности для обеспечения соответствия политикам и стандартам безопасности организации по согласованию с третьими сторонами, включая доступ к информации организации, ее обработку, передачу или управление ею, или к средствам обработки информации.

FOT_MNG.1.3 ОФБ должны определять требования безопасности для достаточного общего контроля и аспектов безопасности для секретной или критически важной информации или средств обработки информации, доступ к которой осуществляется третьей стороной и которая обрабатывается или управляется третьей стороной.

FOT_MNG.1.4 ОФБ должны определять правила, предписывающие не предоставлять доступ к информации организациям третьей стороны, пока не будут определены меры обеспечения безопасности и подписано соглашение, определяющее условия подсоединения или доступа, и рабочее соглашение.

FOT_MNG.1.5 ОФБ должны определять требования безопасности для осуществления менеджмента рисками, связанными с бизнес-процессами с третьими сторонами или их персоналом.

FOT_MNG.1.6 ОФБ должны определять требования безопасности для осуществления менеджмента рисками, связанными с различными средствами хранения и обработки информации, которые будут использоваться третьей стороной.

FOT_MNG.1.7 ОФБ должны определять процедуры надзора и контролирования организацией разработки программного обеспечения, осуществляемой на стороне.

FOT_MNG.1.8 ОФБ должны определять требования безопасности для подтверждения реализации, эксплуатации и поддержания мер обеспечения безопасности, классификации служб и уровней поставки, включенных в договор о поставке услуг третьей стороной, этой третьей стороной.

FOT_MNG.1.9 ОФБ должны определять требования безопасности для регулярного мониторинга и пересмотра услуг, отчетов и записей, предоставляемых третьей стороной, а также проведения аудитов.

FOT_MNG.1.10 ОФБ должны определять требования безопасности к управлению внесением изменений в предоставление услуг, включая поддержание и усовершенствование существующих политик, процедур и мер обеспечения информационной безопасности с учетом критичности задействованных бизнес-систем и процессов и повторной оценки рисков.

FOT_MNG.1.11 ОФБ должны определять требования безопасности, предназначенные для внесения в договоры с третьими сторонами, включающие доступ к информации или средствам обработки информации организации, обработке, передаче этой информации или к управлению ею или добавлению продуктов или услуг к средствам обработки информации.

В.8 Класс FOM: управление

В данном классе представлены требования по управлению организационными мерами безопасности.

В.8.1 Управление параметрами безопасности (FOM_PRM)

В.8.1.1 Характеристика семейства

Данное семейство определяет управление параметрами безопасности и включает в себя подробное описание применения криптографии и привилегий.

В.8.1.2 Ранжирование компонентов

FOM_PRM.1 Использование криптографии

Определены подход к распределению ключей, включая методы защиты криптографических ключей и восстановления зашифрованной информации.

FOM_PRM.2 Разделение привилегий

Определено разделение привилегий.

В.8.1.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOM_PRM.1: описание подхода к распределению ключей, включая методы защиты криптографических ключей и восстановления зашифрованной информации с конкретными действиями и спецификациями.

Для FOM_PRM.2: описание разделения привилегий с конкретными действиями и спецификациями.

В.8.1.4 FOM_PRM.1 Использование криптографии

Зависимости: FOS_POL.4 Криптографическая политика.

FOM_PRM.1.1 ОФБ должны определять требования безопасности к методу управления использованием криптографических средств управления в организации, методу назначения ключей, включая методы защиты криптографических ключей и восстановления зашифрованной информации в случае утерянных, скомпрометированных или поврежденных ключей; роли и обязанности тех, кто отвечает за реализацию политики, а также положения и государственные ограничения, которые могут применяться к использованию криптографических методов в различных частях мира, и проблемы потока зашифрованной информации через границу для криптографической политики организации.

В.8.1.5 FOM_PRM.2 Разделение привилегий

FOM_PRM.2.1 ОФБ должны определять правила разделения привилегий для снижения возможностей несанкционированного или неправильного применения активов, отделения инициирования события от его авторизации.

FOM_PRM.2.2 ОФБ должны определять требования безопасности при назначении привилегий пользователю, отличных от тех, которые используются в обычной деловой деятельности.

В.8.2 Управление классификацией активов (FOMCLS)

В.8.2.1 Характеристика семейства

В данном семействе определяется классификация активов. Она включает в себя категорирование.

В.8.2.2 Ранжирование компонентов

FOM_CLS.1 Категорирование

Определено категорирование записей.

FOM_CLS.2 Идентификация активов

Определена идентификация активов.

В.8.2.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOM_CLS.1: описание категоризации записей с конкретными спецификациями.

Для FOM_CLS.2: описание идентификации активов с конкретными спецификациями.

В.8.2.4 FOM_CLS.1 Категоризация

Зависимости: зависимости отсутствуют.

FOM_CLS.1.1 ОФБ должны определять требования безопасности к категоризации записей на типы записей, записи баз данных, журналы транзакций, журналы аудита и эксплуатационные процедуры (каждая с подробностями о периодах сохранности и типе среды для хранения информации).

В.8.2.5 FOM_CLS.2 Идентификация активов

Зависимости: зависимости отсутствуют.

FOM_CLS.2.1 ОФБ должны определять требования безопасности к спецификации идентификации, спецификации типа актива, функции актива, требований к управлению, предоставлять уровни защиты, соответствующие значимости активов, согласовывать владение и категорию защиты и регистрировать текущее местоположение каждого актива в реестре.

FOM_CLS.2.2 ОФБ должны определять требования безопасности к составлению и поддержанию реестра всех значимых активов.

FOM_CLS.2.3 ОФБ должны определять требования безопасности к периоду сохранности важной деловой информации, а также любые требования по постоянному хранению архивных копий.

В.8.3 Управление обязанностями персонала, связанными с безопасностью (FOM_PSN)

В.8.3.1 Характеристика семейства

Данное семейство определяет обязанности персонала по обеспечению безопасности. Определение обязанностей персонала осуществляется в отношении владельцев активов и менеджеров безопасности.

В.8.3.2 Ранжирование компонентов

FOM_PSN.1 Владение активами

Определено владение активами.

FOM_PSN.2 Менеджеры безопасности

Определено назначение менеджеров безопасности.

В.8.3.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOM_PSN.1: описание владения активами с конкретными спецификациями.

Для FOM_PSN2: описание назначения менеджеров безопасности.

B.8.3.4 FOM_PSN.1 Владение активами

Зависимости: FOA_POL.3 Управление активами пользователя.

FOM_PSN.1.1 ОФБ должны определять требования безопасности к владению всей информацией и активами, связанными со средствами обработки информации, определенным подразделением организации.

В.8.3.5 FOM_PSN.2 Менеджеры безопасности

Зависимости: зависимости отсутствуют.

FOM_PSN.2.1 ОФБ должны определять требования безопасности к назначению конкретного ответственного менеджера каждому средству безопасности.

FOM_PSN.2.2 ОФБ должны определять требования безопасности с тем, чтобы руководство настаивало на применении мер обеспечения безопасности всеми работниками, подрядчиками и пользователями третьих сторон в соответствии с установленными политиками и процедурами организации.

В.8.4 Управление организацией безопасности (FOM_ORG)

В.8.4.1 Характеристика семейства

Данное семейство определяет организацию руководства по обеспечению безопасности и включает в себя обязанности руководства по обеспечению безопасности и участие в совещании руководства.

В.8.4.2 Ранжирование компонентов

FOM_ORG.1 Обязанности руководства

Определены обязанности руководства по обеспечению безопасности.

FOM_ORG.2 Членство в руководстве

Определено участие в совещании руководства.

В.8.4.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOM_ORG.1: описание обязанности руководства с конкретными действиями и спецификациями.

Для FOM_ORG.2: описание участия в заседании руководства с конкретными подробностями.

В.8.4.4 FOM_ORG.1 Обязанности руководства

Зависимости: FOD_ORG.1 Обязанности по координации безопасности

FOM_ORG.1.1 ОФБ должны определять обязанности руководства по обеспечению соответствия действий по обеспечению безопасности политике безопасности, утверждению конкретных методологий и процессов по информационной безопасности, мониторинга значительных изменений угроз и подвергания информационных активов угрозам, оценке адекватности и координации внедрения специфических мер обеспечения безопасности в новые системы или услуги, содействию доступности поддержки информационной безопасности в организации.

FOM_ORG.1.2 ОФБ должны определять обязанности менеджеров по обеспечению необходимого уровня выполнения процедур безопасности в своей зоне ответственности для достижения соответствия политикам и стандартам безопасности.

FOM_ORG.1.3 ОФБ должны определять обязанности руководства по пересмотру политики информационной безопасности через запланированные промежутки времени или, в случае внесения изменений, по обеспечению ее непрерывной стабильности, адекватности и эффективности.

В.8.4.5 FOM_ORG.2 Членство в совещании руководства

Зависимости: FOD_ORG.2 Обязанности совещания руководства.

FOM_ORG.2.1 ОФБ должны определять назначение представителей руководства и различных подразделений организации с соответствующими ролями и должностями для участия в совещании руководства с целью координации действий по обеспечению информационной безопасности.

В.8.5 Управление отчетами о безопасности (FOM_INC)

В.8.5.1 Характеристика семейства

Данное семейство определяет управление отчетами об инцидентах безопасности и включает в себя управление сообщенными проблемами безопасности.

В.8.5.2 Ранжирование компонентов

FOM_INC.1 Сообщение об обнаруженных проблемах безопасности

Определено управление сообщенными проблемами безопасности.

В.8.5.3 Записи

Автоматизированная система должна сохранять и предоставлять для проверки следующие свидетельства.

Для FOM_INC.1: описание процедур сообщения об инцидентах безопасности с конкретными действиями и спецификациями и записями о проведении контроля.

В.8.5.4 FOM_INC.1 Сообщение об обнаруженных проблемах безопасности

Зависимости: зависимости отсутствуют.

FOM_INC.1.1 ОФБ должны как можно быстрее определять процедуры обнаружения и сообщения о любых наблюдаемых или подозреваемых слабых местах в области безопасности или услугах в системах или сервисах руководству или непосредственно поставщику услуг для скорейшего предотвращения инцидентов безопасности.

FOM_INC.1.2 ОФБ должны определять правила запрещения попыток доказать наличие подозреваемых слабых мест посредством процесса эксплуатации системы.