1 Управление учетными записями и правами субъектов логического доступа (УЗП)
|
1.1 Организация и контроль использования учетных записей субъектов логического доступа
|
УЗП.1
|
Осуществление логического доступа пользователями и эксплуатационным персоналом под уникальными и персонифицированными учетными записями
|
Т
|
Т
|
Т
|
УЗП.2
|
Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа
|
О
|
О
|
Т
|
УЗП.3
|
Контроль отсутствия незаблокированных учетных записей:
• уволенных работников:
• работников, отсутствующих на рабочем месте более 90 календарных дней;
• работников внешних {подрядных) организаций, прекративших свою деятельность в организации
|
О
|
О
|
Т
|
УЗП.4
|
Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения
|
О
|
О
|
О
|
1.2 Организация, контроль предоставления (отзыва) и блокирование логического доступа
|
УЗП.5
|
Документарное определение правил предоставления (отзыва) и блокирования логического доступа
|
Н
|
О
|
О
|
УЗП.6
|
Назначение для всех ресурсов доступа распорядителя логического доступа (владельца ресурса доступа)
|
О
|
О
|
О
|
УЗП.7
|
Предоставление прав логического доступа по решению распорядителя логического доступа (владельца ресурса доступа)
|
О
|
О
|
О
|
УЗП.8
|
Хранение эталонной информации о предоставленных правах логического доступа и обеспечение целостности указанной информации
|
О
|
Т
|
Т
|
УЗП.9
|
Контроль соответствия фактических прав логического доступа эталонной информации о предоставленных правах логического доступа
|
О
|
Т
|
Т
|
УЗП.10
|
Исключение возможного бесконтрольного самостоятельного расширения пользователями предоставленных им прав логического доступа
|
Т
|
Т
|
Т
|
УЗП.11
|
Исключение возможного бесконтрольного изменения пользователями параметров настроек средств и систем защиты информации, параметров настроек АС. связанных с защитой информации
|
Т
|
Т
|
Т
|
УЗП.12
|
Контроль необходимости отзыва прав субъектов логического доступа при изменении их должностных обязанностей
|
О
|
О
|
О
|
УЗП.13
|
Контроль прекращения предоставления логического доступа и блокирование учетных записей при истечении периода (срока) предоставления логического доступа
|
О
|
Т
|
Т
|
УЗП.14
|
Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 90 дней
|
О
|
Т
|
Н
|
УЗП.15
|
Установление фактов неиспользования субъектами логического доступа
предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 45 дней
|
Н
|
Н
|
Т
|
УЗП.16
|
Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа,
не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15
|
О
|
О
|
О
|
УЗП.17
|
Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа
|
О
|
Т
|
Т
|
УЗП.18
|
Реализация возможности определения состава предоставленных прав логического доступа для конкретного субъекта логического доступа
|
О
|
Т
|
Т
|
УЗП.19
|
Определение состава ролей, связанных с выполнением операции (транзакции) в АС, имеющих финансовые последствия для финансовой организации, клиентов и контрагентов, и ролей, связанных с контролем выполнения указанных операций (транзакций), запрет выполнения указанных ролей одним субъектом логического доступа
|
О
|
Т
|
Т
|
УЗП.20
|
Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа ролей, предусмотренных мерой УЗП.19
|
О
|
Т
|
Т
|
УЗП.21
|
Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа следующих функций:
• эксплуатация и (или) контроль эксплуатации ресурса доступа, в том числе АС. одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации;
• создание и (или) модернизация ресурса доступа, в том числе АС. одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации;
• эксплуатация средств и систем защиты информации одновременно с контролем эксплуатации средств и систем защиты информации;
• управление учетными записями субъектов логического доступа одновременно с управлением правами субъектов логического доступа
|
Н
|
О
|
Т
|
1.3 Регистрация событий защиты информации и контроль использования предоставленных прав логического доступа
|
УЗП.22
|
Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего привилегированными правами логического доступа, позволявшими осуществить деструктивное воздействие, приводящие к нарушению выполнения бизнес-процессов или технологических процессов финансовой организации
|
Н
|
Т
|
Т
|
УЗП.23
|
Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала и пользователей, обладающих правами логического доступа, в том числе в АС, позволяющими
осуществить операции (транзакции), приводящие к финансовым последствиям для финансовой организации, клиентов и контрагентов
|
Т
|
Т
|
Т
|
УЗП.24
|
Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению логическим доступом
|
Т
|
Т
|
Т
|
УЗП.25
|
Регистрация событий зашиты информации, связанных с действиями по управлению учетными записями и правами субъектов логического доступа
|
Т
|
Т
|
Т
|
УЗП.26
|
Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению техническими мерами, реализующими многофакторную аутентификацию
|
Н
|
Т
|
Т
|
УЗП.27
|
Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по изменению параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации
|
Н
|
Т
|
Т
|
УЗП.28
|
Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению криптографическими ключами
|
Т
|
Т
|
Т
|
УЗП.29
|
Закрепление АРМ пользователей и эксплуатационного персонала за конкретными субъектами логического доступа
|
Н
|
Н
|
О
|
2 Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа (РД)
|
2.1 Идентификация и аутентификация субъектов логического доступа
|
РД.1
|
Идентификация и однофакторная аутентификация пользователей
|
Т
|
Т
|
Н
|
РД.2
|
Идентификация и многофакторная аутентификация пользователей
|
Н
|
Н
|
Т
|
РД.3
|
Идентификация и однофакторная аутентификация эксплуатационного персонала
|
Т
|
Н
|
Н
|
РД.4
|
Идентификация и многофакторная аутентификация эксплуатационного персонала
|
Н
|
Т
|
Т
|
РД.5
|
Аутентификация программных сервисов, осуществляющих логический доступ с использованием технических учетных записей
|
Т
|
Т
|
Т
|
РД.6
|
Аутентификация АРМ эксплуатационного персонала, используемых для осуществления логического доступа
|
Н
|
Т
|
Т
|
РД.7
|
Аутентификация АРМ пользователей, используемых для осуществления логического доступа
|
Н
|
Н
|
Т
|
РД.8
|
Сокрытие (неотображение) паролей при их вводе субъектами доступа
|
Т
|
Т
|
Т
|
РД.9
|
Запрет использования учетных записей субъектов логического доступа с
незаданными аутентификационными данным) или заданными по умолчанию разработчиком ресурса доступа, в том числе разработчиком АС
|
О
|
О
|
О
|
РД.10
|
Запрет на использование групповых, общих и стандартных учетных записей и паролей, а также прочих подобных методов идентификации и аутентификации, не позволяющих определить конкретного субъекта доступа
|
О
|
О
|
О
|
РД.11
|
Временная блокировка учетной записи пользователей после выполнения ряда неуспешных последовательных попыток аутентификации на период времени не менее 30 мин.
|
Т
|
Т
|
Т
|
РД.12
|
Запрет множественной аутентификации субъектов логического доступа с использованием одной учетной записи путем открытия параллельных сессий логического доступа с использованием разных АРМ. в том числе виртуальных
|
Н
|
Т
|
Т
|
РД.13
|
Обеспечение возможности выполнения субъектом логического доступа –работниками финансовой организации процедуры принудительного прерывания сессии логического доступа и (или) приостановки осуществления
логического доступе (с прекращением отображения на мониторе АРМ информации, доступ к которой получен в рамках сессии осуществления логического доступа)
|
Т
|
Т
|
Т
|
РД.14
|
Автоматическое прерывание сессии логического доступа (приостановка осуществления логического доступа) по истечении установленного времени бездействия (неактивности) субъекта логического доступа, не превышающего 15 мин., с прекращением отображения на мониторе АРМ информации. доступ к которой получен в рамках сессии осуществления логического доступа
|
Т
|
Т
|
Т
|
РД.15
|
Выполнение процедуры повторной аутентификации для продолжения осуществления логического доступа после его принудительного или автоматического прерывания (приостановки осуществления логического доступа), предусмотренного мерами PД.13 и РД.14
|
Т
|
Т
|
Т
|
Скачать 92.99 Kb.