1.1 | Стратегия | Отсутствует стратегия развития информационной безопасности. Топ-менеджмент не вовлекается в вопросы ИБ, только формально согласует ключевые инициативы (подписывает документы) |
1.2 | Управление недопустимыми событиями и ключевыми рисками ИБ | Функция ИБ совместно с ИТ-подразделением определила риски, связанные с ИБ, и управляет ими самостоятельно. Риски ИБ пересматриваются нерегулярно |
1.3 | Функция ИБ | Функция ИБ выделена в отдельную структуру или входит в состав подразделения ИТ или службы безопасности, но не подчиняется напрямую топ-менеджменту (подчиняется руководителю ИТ-подразделения или службы безопасности). Специалисты по ИБ посещают тематические конференции и воркшопы по ИБ |
2.1 | Процесс управления активами | Процесс частично формализован в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности могут быть не детализированы |
2.2 | Инвентаризация активов | Отсутствует единая база активов, сведения хранятся разрозненно. Актуализация сведений об активах осуществляется нерегулярно. Владельцы активов не назначены |
2.3 | Классификация и определение значимости активов | Не все активы проходят процедуру классификации и приоритизации. При определении значимости актива не учитываются НС и ключевые риски ИБ |
3.1 | Процесс мониторинга событий | Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы |
3.2 | Область мониторинга событий ИБ | Определен перечень источников, с которых должны собираться события ИБ, перечень собираемых событий и параметров регистрации. Источники событий ИБ частично подключены к решению класса SIEM |
3.3 | Обработка и анализ событий ИБ | Используются базовые правила обработки событий, предустановленные в автоматизированном решении |
4.1 | Процесс управления событиями | Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы |
4.2 | Реагирование на инциденты | Управление инцидентами ИБ осуществляется вручную. Разработаны верхнеуровневые планы реагирования на инциденты ИБ |
5.1 | Процесс управления уязвимостями | Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы |
5.2 | Анализ уязвимостей | Сканирование на наличие уязвимостей осуществляется периодически и покрывает не все критически значимые активы. Приоритизируется обработка выявленных уязвимостей |
5.3 | Контроль устранения уязвимостей | Установлены сроки устранения уязвимостей. Контроль устранения уязвимостей осуществляется периодически |
6.1 | Процесс управления доступами | Процесс формализован частично в верхнеуровневых документах и исполняется. Роли в процессе закреплены за участниками, однако функции и обязанности не детализированы |
6.2 | Права доступа и учетные записи | Права доступа назначаются согласно роли и должностным (функциональным) обязанностям. Учетные записи отключаются после определенного периода бездействия. Активные учетные записи и права доступа периодически пересматриваются |
6.3 | Удаленный доступ | Удаленный доступ к системам и приложениям осуществляется с использованием специализированных механизмов защиты (например, VPN или IP-вайтлистинга). Сеансы удаленного доступа отключаются после определенного периода бездействия |
7.1 | Безопасные конфигурации | Разработаны и применяются стандарты безопасных конфигураций. Требования к настройке безопасных конфигураций периодически пересматриваются |
8.1 | Технологическая устойчивость | Для большинства критически значимого ПО, сервисов и средств защиты обеспечивается поддержка вендора. Риски, связанные с прекращением поддержки иностранных систем, не учитываются |
8.2 | Безопасность унаследованных систем | Ведется учет унаследованных (legacy) систем. Разработаны планы по минимизации рисков, связанных с эксплуатацией унаследованных систем |
9.1 | Сетевая безопасность | Сеть сегментирована. Применяются средства межсетевого экранирования на границе сети. Применяются технологии безопасного соединения пользователей с корпоративной сетью (например, VPN или двухфакторная аутентификация) |
9.2 | Защита конечных точек | Для конечных точек обеспечивается наличие антивирусного ПО с актуальными базами сигнатур вредоносного кода. Введены ограничения на установку ПО |
9.3 | Безопасность приложений | Учитываются приложения и контролируются версий ПО. Разделяются среды для разработки, тестирования и развертывания приложений (DEV-TEST-PROD). Для защиты веб-приложений от сетевых атак используются решения класса WAF |
10.1 | Контроль защищенности | Проводятся периодические штабные учения по реагированию на инциденты ИБ. Регулярно оцениваются соответствия требованиям ИБ с привлечением внешних организаций |